Oracle Cloud Infrastructureドキュメント

Search with OpenSearchでの検索の監査ログ

監査ログは、クラスタおよびクラスタのデータに対するアクセス、操作および変更の包括的な記録を取得します。

この機能を使用すると、アクティビティのモニタリング、問題のトラブルシューティング、およびクラスタのセキュリティ・ポリシーへのコンプライアンスの確保に役立ちます。詳細は、OpenSearch監査ログを参照してください。

前提条件

  • クラスタのOpenSearchバージョンは2.11である必要があります。

クラスタの監査ログの有効化

監査ログを使用する前に、クラスタのOpenSearchダッシュボードから機能を有効にする必要があります。

  1. クラスタのOpenSearchダッシュボードにサインインし、「セキュリティ」を選択します。

  2. 左側のナビゲーション・メニューで「監査ログ」をクリックします。

  3. 「監査ロギングの有効化」「無効」から「有効」に切り替えます。

一般設定

一般設定は、監査ログの全体的な構成設定です。これには、設定に対して機能が有効か無効か、ログに記録されるデータの粒度が含まれます。

レイヤーの設定

監査ログは、RESTレイヤーおよびトランスポート・レイヤーに対して有効または無効にできます。

  • RESTレイヤー: 有効にすると、クラスタへのRESTリクエストがログに記録されます。

    REST無効カテゴリは次のとおりです。

    • AUTHENTICATED: 認証されているが必ずしも認可されていないリクエストはログに記録されません。
    • GRANTED_PRIVILEGES: 認証されているが、必ずしも認可されていないリクエストはログに記録されません。

  • トランスポート・レイヤー: 有効にすると、クラスタ内のノード間リクエストがログに記録されます。

    トランスポート無効のカテゴリは次のとおりです。

    • AUTHENTICATED: 認証されているが必ずしも認可されていないノード間リクエストはログに記録されません。
    • GRANTED_PRIVILEGES: 特定の権限を付与されたノード間リクエストはログに記録されません。

属性の設定

属性設定は、リクエストのどの部分をログに記録するかを指定します。

  • 一括リクエスト: 有効にすると、一括リクエストがログに記録されます。

  • リクエスト本文: 有効にすると、リクエストの本文がログに記録されます。

  • 索引の解決: 有効にすると、リクエストでアクセスされる索引の実際の名前が解決され、ログに記録されます。

  • 機密ヘッダー: 有効にすると、認証トークンなどの機密情報を含む可能性のあるヘッダーが記録されます。

設定を無視

ユーザーまたは要求をログから除外するかどうかを指定します。

  • 無視されたユーザー: アクションがログに記録されないユーザーのリストを指定します。

  • 無視されたリクエスト: ログに記録されないリクエスト・パターンのリストを指定します。

コンプライアンス設定

これらは、コンプライアンス・ロギング機能の全体的な構成設定です。コンプライアンス・ロギングを有効にするかどうか、および記録されるデータの粒度を指定します。

コンプライアンス・モード

OpenSearchが特定のコンプライアンス関連の動作を強制するモードでクラスタが動作するかどうかを指定します。Compliance Loggingが有効な場合、構成された他のコンプライアンス設定に基づいて、より厳密なセキュリティ・チェックやロギングなどを実施できます。

構成

OpenSearch構成の更新をログに記録するかどうかを指定します。次のものが含まれます。

  • 内部構成ロギング: 有効にすると、内部OpenSearch構成への変更が記録されます。これは、セキュリティ構成、ロール、権限などに対する変更の追跡に役立ちます。

  • 外部構成ロギング: 有効にすると、OpenSearchの外部に格納されている構成、ファイルまたは外部サービスなど、外部構成への変更が記録されます。

読取り

読み取り操作のロギング構成を指定します。

  • メタデータの読取り: 有効にすると、読取り操作のメタデータのみがログに記録され、実際に読み取られるデータはログに記録されません。これは、機密データを記録せずにアクセス・パターンを監視する場合に便利です。

  • 無視されたユーザー: 読取り操作がログに記録されないユーザーのリストを指定します。

  • 監視対象フィールド: 読取り操作を監視する索引内のフィールドを指定します。

書き込み

書き込み操作のロギング構成を指定します。

  • メタデータの書込み: 有効にすると、書込み操作のメタデータのみがログに記録され、書込み中の実際のデータはログに記録されません。これは、データの内容を記録せずにデータ変更パターンを追跡する場合に便利です。

  • ログ差分: 有効にすると、古いデータと書込み操作の新しいデータの差分がログに記録されます。無効にすると、差異は記録されず、書込み操作が発生したことのみが記録されます。

  • 無視されたユーザー: 読取り操作がログに記録されないユーザーのリストを指定します。

  • 監視索引: 書込み操作を監視する索引を指定します。

監査ログの使用方法

クラスタの監査ログを有効にすると、OpenSearchによって監査ログ索引へのデータの移入が開始されます。そのデータにアクセスするには、ログ・データを指す索引パターンを作成する必要があります。索引パターンは、1つ以上の索引、データ・ストリームまたは索引別名を参照します。

索引パターンの作成

  1. クラスタのOpenSearchダッシュボードにサインインし、「管理」を選択します。

  2. 左側のナビゲーション・メニューで「スタック管理」をクリックし、「索引パターン」を選択します。

  3. 「索引パターンの作成」をクリックします。

  4. 照合する索引パターン名を指定します。デフォルトでは、監査ログ索引名はsecurityで始まるため、security*を指定してすべての監査ログを含めることができます。デフォルト構成を使用していない場合は、カスタム構成に一致する索引パターンを指定します。
  5. 「次のステップ」をクリックします。
  6. 「ステップ2: 設定の構成」@timestampを選択し、「索引パターンの作成」をクリックします。

監査ログの検索

  1. クラスタのOpenSearchダッシュボードにサインインし、「検出」を選択します。

  2. 左上のドロップダウン・メニューから、監査ログ・データを参照するために作成したsecurity*索引パターンまたはその他の索引パターンを選択します。

この時点で、データ・フィールドを追加、削除または変更して、ログ・データを検索できます。

主な機能

  • フィルタおよび検索:

    • 日付範囲- 日付ピッカーを使用して、開始日と終了日を指定してイベントを絞り込みます。
    • フリーテキスト検索- 検索バーを使用して、特定の用語またはアクションを検索します。
    • フィールドベースのフィルタ- audit_categoryaudit_request_originなどの特定のフィールドに基づいてフィルタを適用します。

  • ログ詳細の表示

    通常、監査ログ・エントリには次のものがあります。
    • タイムスタンプ- イベントが発生したとき。
    • 監査カテゴリ- AUTHENTICATEDFAILED_LOGINなどのイベントのタイプ。
    • ユーザー- イベントをトリガーしたユーザーの詳細。
    • リクエスト元- RESTTRANSPORTなどのリクエスト元。
    • Remote IP: - イベントがトリガーされたIPアドレス。

監査ログをエクスポートしています

外部分析またはバックアップ用の監査ログをエクスポートするには:

  1. 検索およびフィルタ・ツールを使用して、エクスポートするログをフィルタします。データの検索およびデータのフィルタ処理を参照してください。

  2. 右上にある「共有」をクリックし、使用するエクスポート・フォーマットを選択します。

ベスト・プラクティス

  • 保持ポリシー: 古い監査ログの保持および削除を管理するための索引ライフサイクル・ポリシーを設定します。
  • モニタリング: 異常なパターンや疑わしいアクティビティがないか、監査ログを定期的に確認します。
  • アクセス制御: 監査ログへのアクセスを、承認された担当者のみに制限します。