監査ログ・イベントのコンテンツ

監査ログ・イベントの内容について説明します。

ここでは、監査ログ・イベントの内容について説明します。各監査ログ・イベントは、次の2つの主要部分で構成されています。

  • すべてのイベント・メッセージのコンテナとして機能するエンベロープ
  • イベント・メッセージを生成したリソースのデータを含むペイロード

リソース識別子

ほとんどのタイプのOracle Cloud Infrastructureリソースには、Oracle Cloud ID (OCID)と呼ばれるOracleによって割り当てられた一意の識別子があります。OCIDのフォーマットおよびリソースを識別するその他の方法の詳細は、リソース識別子を参照してください。

イベント・エンベロープ

イベント・エンベロープのこれらの属性は、すべてのイベントで同じです。エンベロープの構造は、Cloud Native Computing Foundation (CNCF)によってホストされるCloudEvents業界標準形式に準拠します。

プロパティ 説明
cloudEventsVersion

CloudEvents仕様のバージョン。

ノート: 監査では、CloudEventsイベント・封筒のバージョン0.1仕様が使用されます。

contentType application/jsonに設定します。data属性に含まれているデータのコンテンツ・タイプ。
data イベントのペイロード。data内の情報は、イベントを生成したリソースから取得されます。
eventID

イベントのUUID。この識別子はOCIDではなく、イベントの一意のIDのみです。

eventTime イベントの時刻。RFC 3339タイムスタンプ書式で表されます。
eventType

発生したイベントのタイプです。

ノート:イベントを生成するサービスでは、フィールドの内容を追加、削除、変更することもできます。これらのタイプの変更を実装しているサービスは、eventTypeの新しいバージョンを公開し、eventTypeVersionフィールドを修正します。

eventTypeVersion

イベント・タイプのバージョン。このバージョンは、エンベロープではなくイベントのペイロードに適用されます。cloudEventsVersionを使用して、エンベロープのバージョンを特定します。

source イベントを生成したリソース。たとえば、Autonomous Databaseまたはオブジェクト・ストレージ・バケットです。

ペイロード

これらのフィールドのデータは、イベント・ログを生成したサービス、および定義したイベント・タイプによって異なります。

データ

データ・オブジェクトには、次の属性が含まれます。

プロパティ 説明
data.additionalDetails イベントを生成したリソースに固有の属性のコンテナ・オブジェクトです。
data.availabilityDomain リソースが存在する可用性ドメイン。
data.compartmentId イベントを生成したリソースのコンパートメントのOCID。
data.compartmentName イベントを生成したリソースのコンパートメントの名前。
data.definedTags イベントを生成したリソースに追加される定義済タグ。
data.eventGroupingId

この値は、同じAPI操作の一部である複数の監査イベントをリンクします。たとえば、操作の開始時と終了時にイベントを生成する、長時間実行中のAPI操作です。

data.eventName

このイベントを生成したAPI操作の名前。

例: LaunchInstance

data.freeformTags イベントを生成したリソースに追加されたフリーフォーム・タグ。
data.identity アイデンティティ属性のコンテナ・オブジェクト。アイデンティティを参照してください。
data.request リクエスト属性のコンテナ・オブジェクト。リクエストを参照してください。
data.resourceId イベントを生成したリソースのOCIDまたはID。
data.resourceName イベントを生成したリソースの名前。
data.response レスポンス属性のコンテナ・オブジェクト。レスポンスを参照してください。
data.stateChange 状態の変更属性のコンテナ・オブジェクトです。状態の変更を参照してください。

アイデンティティ

アイデンティティ・オブジェクトには、次の属性が含まれています。

プロパティ 説明
data.identity.authType 使用する認証タイプ。
data.identity.callerId コール元のOCID。プリンシパルの代理でリクエストを行ったコール元。
data.identity.callerName リクエストを発行するユーザーまたはサービスの名前。この値は、callerIdに関連付けられたわかりやすい名前です。
data.identity.consoleSessionId この値は、このリクエストに関連付けられたコンソール・セッションを識別します。
data.identity.credentials ユーザーの資格証明ID。
data.identity.ipAddress リクエストのソースのIPアドレス。
data.identity.principalId プリンシパルのOCID。
data.identity.principalName ユーザーまたはサービスの名前。この値は、principalIdに関連付けられたわかりやすい名前です。
data.identity.tenantId テナントのOCID。
data.identity.userAgent リクエストを行ったクライアントのユーザー・エージェント。

リクエスト

リクエスト・オブジェクトには、次の属性が含まれます。

プロパティ 説明
data.request.action

リクエストのHTTPメソッド。

例: GET

data.request.headers リクエスト内のHTTPヘッダー・フィールドおよび値。
data.request.id リクエストの一意識別子。
data.request.parameters この操作の間にコール元から提供されたすべてのパラメータ。
data.request.path

APIリクエストのフルパス。

例: /20160918/instances/ocid1.instance.oc1.phx.<unique_ID>

レスポンス

レスポンス・オブジェクトには、次の属性が含まれます。

プロパティ 説明
data.response.headers レスポンスのヘッダー。
data.response.message 操作中に発生した内容のわかりやすい説明。
data.response.payload この値は、レスポンス・ペイロードの関心のあるメタデータが含まれた監査バージョン1のスキーマとの下位互換性のために含まれています。
data.response.responseTime 監査リクエストに対するレスポンス時間。RFC 3339タイムスタンプ書式で表されます。
data.response.status レスポンスのステータス・コード。

状態の変更

状態変更オブジェクトには、次の属性があります。

プロパティ 説明
data.stateChange.current 操作中に変更された可能性があるフィールドの現在の状態を示します。現在の操作でリソースがどのように変更されたかを確認するには、この属性の情報をdata.stateChange.previousと比較します。
data.stateChange.previous 操作中に変更された可能性があるフィールドの以前の状態を示します。現在の操作でリソースがどのように変更されたかを確認するには、この属性の情報をdata.stateChange.currentと比較します。

監査ログの例

次の例は、監査サービスによって記録されたイベントです。

{
	"eventType": "com.oraclecloud.ComputeApi.GetInstance",
	"cloudEventsVersion": "0.1",
	"eventTypeVersion": "2.0",
	"source": "ComputeApi",
	"eventId": "<unique_ID>",
	"eventTime": "2019-09-18T00:10:59.252Z",
	"contentType": "application/json",
	"data": {
		"eventGroupingId": null,
		"eventName": "GetInstance",
		"compartmentId": "ocid1.tenancy.oc1..<unique_ID>",
		"compartmentName": "compartmentA",
		"resourceName": "my_instance",
		"resourceId": "ocid1.instance.oc1.phx.<unique_ID>",
		"availabilityDomain": "<availability_domain>",
		"freeformTags": null,
		"definedTags": null,
		"identity": {
			"principalName": "ExampleName",
			"principalId": "ocid1.user.oc1..<unique_ID>",
			"authType": "natv",
			"callerName": null,
			"callerId": null,
			"tenantId": "ocid1.tenancy.oc1..<unique_ID>",
			"ipAddress": "172.24.80.88",
			"credentials": null,
			"userAgent": "Jersey/2.23 (HttpUrlConnection 1.8.0_212)",
			"consoleSessionId": null
		},
		"request": {
			"id": "<unique_ID>",
			"path": "/20160918/instances/ocid1.instance.oc1.phx.<unique_ID>",
			"action": "GET",
			"parameters": {},
			"headers": {
				"opc-principal": [
					"{\"tenantId\":\"ocid1.tenancy.oc1..<unique_ID>\",\"subjectId\":\"ocid1.user.oc1..<unique_ID>\",\"claims\":[{\"key\":\"pstype\",\"value\":\"natv\",\"issuer\":\"authService.oracle.com\"},{\"key\":\"h_host\",\"value\":\"iaas.r2.oracleiaas.com\",\"issuer\":\"h\"},{\"key\":\"h_opc-request-id\",\"value\":\"<unique_ID>\",\"issuer\":\"h\"},{\"key\":\"ptype\",\"value\":\"user\",\"issuer\":\"authService.oracle.com\"},{\"key\":\"h_date\",\"value\":\"Wed, 18 Sep 2019 00:10:58 UTC\",\"issuer\":\"h\"},{\"key\":\"h_accept\",\"value\":\"application/json\",\"issuer\":\"h\"},{\"key\":\"authorization\",\"value\":\"Signature headers=\\\"date (request-target) host accept opc-request-id\\\",keyId=\\\"ocid1.tenancy.oc1..<unique_ID>/ocid1.user.oc1..<unique_ID>/8c:b4:5f:18:e7:ec:db:08:b8:fa:d2:2a:7d:11:76:ac\\\",algorithm=\\\"rsa-pss-sha256\\\",signature=\\\"<unique_ID>\\\",version=\\\"1\\\"\",\"issuer\":\"h\"},{\"key\":\"h_(request-target)\",\"value\":\"get /20160918/instances/ocid1.instance.oc1.phx.<unique_ID>\",\"issuer\":\"h\"}]}"
				],
				"Accept": [
					"application/json"
				],
				"X-Oracle-Auth-Client-CN": [
					"splat-proxy-se-02302.node.ad2.r2"
				],
				"X-Forwarded-Host": [
					"compute-api.svc.ad1.r2"
				],
				"Connection": [
					"close"
				],
				"User-Agent": [
					"Jersey/2.23 (HttpUrlConnection 1.8.0_212)"
				],
				"X-Forwarded-For": [
					"172.24.80.88"
				],
				"X-Real-IP": [
					"172.24.80.88"
				],
				"oci-original-url": [
					"https://iaas.r2.oracleiaas.com/20160918/instances/ocid1.instance.oc1.phx.<unique_ID>"
				],
				"opc-request-id": [
					"<unique_ID>"
				],
				"Date": [
					"Wed, 18 Sep 2019 00:10:58 UTC"
				]
			}
		},
		"response": {
			"status": "200",
			"responseTime": "2019-09-18T00:10:59.278Z",
			"headers": {
				"ETag": [
					"<unique_ID>"
				],
				"Connection": [
					"close"
				],
				"Content-Length": [
					"1828"
				],
				"opc-request-id": [
					"<unique_ID>"
				],
				"Date": [
					"Wed, 18 Sep 2019 00:10:59 GMT"
				],
				"Content-Type": [
					"application/json"
				]
			},
			"payload": {
				"resourceName": "my_instance",
				"id": "ocid1.instance.oc1.phx.<unique_ID>"
			},
			"message": null
		},
		"stateChange": {
			"previous": null,
			"current": null
		},
		"additionalDetails": {
			"imageId": "ocid1.image.oc1.phx.<unique_ID>",
			"shape": "VM.Standard1.1",
			"type": "CustomerVmi"
		}
	}
}