監査ログ・イベントの表示

監査ログ・イベントを表示する方法について説明します。

監査によって、サポートされるサービスに対して実行されたAPI操作のレコードがログ・イベントのリストとして提供されます。サービスは、テナント・レベルとコンパートメント・レベルの両方でイベントをロギングします。

監査でロギングされたイベントを表示する際に、テナンシまたはコンパートメントで発生した特定のアクティビティや、そのアクティビティを行ったユーザーに関心がある場合があります。問題のアクティビティを含むログ・イベントのリストを表示するには、何かが起こったおおよその日時とそれが発生したコンパートメントを把握する必要があります。時刻をグリニッジ標準時(GMT)の24時間形式で指定して、ログ・イベントをリスト表示します。必要に応じてローカル・タイムゾーンとのオフセットを計算してください。通常はAPIコールの15分以内に新しいアクティビティが既存リストに追加されますが、処理時間は異なる場合があります。

必要なIAMポリシー

Oracle Cloud Infrastructureを使用するには、管理者によってポリシー内のセキュリティ・アクセス権が付与されている必要があります。このアクセスは、コンソールまたはREST APIを、SDK、CLIまたはその他のツールのいずれを使用している場合でも必要です。権限がない、または認可されていないというメッセージが表示された場合は、自分がどのタイプのアクセス権を持っているか、およびどのコンパートメントで作業するかを管理者に確認してください。

管理者用: 次のポリシー・ステートメントによって、指定したグループ(Auditors)にテナンシのすべての監査イベント・ログを表示する権限を付与します。

Allow group Auditors to read audit-events in tenancy

特定のコンパートメント(ProjectA)のみの監査イベント・ログへのアクセス権をグループに付与するには、次のようなポリシーを作成します。

Allow group Auditors to read audit-events in compartment ProjectA

ポリシーを初めて使用する場合は、ポリシーの開始共通ポリシーを参照してください。監査のポリシーの詳細は、監査サービスの詳細を参照してください。

コンソールでの検索およびフィルタ処理

コンソールで「監査」に移動すると、現在のコンパートメントについて結果のリストが生成されます。監査ログはコンパートメントごとに編成されているため、特定のイベントを探す場合は、そのイベントが発生したコンパートメントを知っている必要があります。次のすべての方法でリストをフィルタ処理できます。

  • 日付および時間
  • リクエスト・アクション・タイプ(操作) 
  • キーワード

たとえば、ログイン試行が失敗するというユーザーからの報告が届き始めているとします。監査を使用して問題を調査する必要があります。日付と時間を調整して、このイベントが報告された少し前に開始する期間で、対応するエラーを検索します。対応するエラーやエラー前の似ている操作を探して、エラーの理由を関連付けます。

ノート

サービスは、イベントを処理した時刻にイベントをロギングします。操作が発生した時刻から処理される時刻までに遅延が生じることがあります。

リクエスト・アクションによって結果をフィルタ処理して、関心がある操作を含むイベントのみに絞り込むことができます。たとえば、特定の時間枠内に削除されたインスタンスの情報のみが必要だとします。削除リクエスト・アクション・フィルタを選択して、削除操作を含むイベントのみを表示します。

キーワードを使用してフィルタ処理することもできます。キーワード・フィルタは監査イベント・フィールドの値と組み合わせると効果的です。たとえば、あるアカウントのユーザー名がわかっており、特定の期間にそのアカウントのすべてのアクティビティのリストが必要だとします。キーワード・フィルタとしてユーザー名を使用して検索してください。

すべての監査イベントには同じフィールドが含まれるため、それらのフィールドの値を検索します。使用できる値をよく理解するには監査ログ・イベントの内容を参照してください。