監査
セキュリティー担当者、監査員、またはマネージャーは、 IBM Cloud® Activity Tracker サービスを使用して、ユーザーおよびアプリケーションが IBM Cloudの Db2 on Cloud サービスとどのように対話しているかを追跡できます。
IBM Cloud Activity Tracker は、IBM Cloud でのサービスの状態を変更するユーザー開始アクティビティーを記録します。 このサービスを使用して、異常なアクティビティーや重大なアクションを調査し、法規上の監査要件に準拠することができます。 さらに、アクションが発生した際にそれに関するアラートを通知させるようにできます。 収集されるイベントは、Cloud Auditing Data Federation (CADF) 標準に準拠しています。 詳しくは、 IBM Cloud Activity Trackerの入門チュートリアルを参照してください。
Activity Tracker with LogDNA 統合は、以下の表に従って地域内の IBM® Db2® on Cloudデプロイメントで使用可能です。
| デプロイメント・リージョン | Activity Tracker リージョン |
|---|---|
| ダラス | us-south |
| ワシントン | us-east |
| フランクフルト | eu-de |
| ロンドン | eu-gb |
| シドニー | au-syd |
| 東京 | jp-tok |
| サンパウロ | br-sao |
| トロント | ca-tor |
Activity Tracker with LogDNA のプロビジョニング
このサービスをプロビジョンすると、イベントは同じリージョン内のすべての IBM® Db2® on Cloud デプロイメントから自動的に転送されます。
サービスは、その カタログ・ページ または既存の 「プログラム識別情報ダッシュボード」からプロビジョンできます。
Activity Tracker with LogDNA サービスには無料で使用できるライト・プランがありますが、提供されるのはストリーミング・イベントのみとなります。 タグ付け、エクスポート、保存、その他の機能を利用するには、有料プランのいずれかを使用する必要があります。
イベント・フィールド
Activity Tracker イベントの共通フィールドの説明は、「イベント・フィールド」ページにあります。
イベント・リスト
以下の表に、IBM® Db2® on Cloud デプロイメントから Activity Tracker に送信されるイベントをリストします。
| アクション | 説明 |
|---|---|
<service_id>.backup-scheduled.create |
デプロイメントのスケジュールされたバックアップが作成されました。 バックアップが失敗した場合は、メッセージに "-failure" フラグが追加されます。 |
<service_id>.backup.create |
デプロイメントのバックアップが作成されました。 バックアップが失敗した場合は、メッセージに "-failure" フラグが追加されます。 |
<service_id>.backup.restore |
バックアップからリストアが作成されました。 リストアしようとして失敗した場合は、メッセージに "-failure" フラグが追加されます。 |
<service_id>.restore.start |
バックアップからリストアが作成されました。 リストアしようとして失敗した場合は、メッセージに "-failure" フラグが追加されます。 |
<service_id>.user-password.update |
ユーザーのパスワードが更新されました。 ユーザーのパスワードを更新しようとして失敗した場合は、メッセージに "-failure" フラグが追加されます。 |
<service_id>.user.create |
ユーザーが作成されました。 ユーザーを作成しようとして失敗した場合は、メッセージに "-failure" フラグが追加されます。 |
<service_id>.user.delete |
ユーザーが削除されました。 ユーザーを削除しようとして失敗した場合は、メッセージに "-failure" フラグが追加されます。 |
<service_id>.resources.scale |
スケーリング操作が実行されました。 スケーリング操作が失敗した場合は、メッセージに "-failure" フラグが追加されます。 |
<service_id>.privilege.update |
取り消された特権が付与されました。 ユーザーを削除しようとして失敗した場合は、メッセージに "-failure" フラグが追加されます。 |
<service_id>.whitelisted-ips-list.update |
許可リストが変更されました。 許可リストを変更しようとして失敗した場合は、メッセージに "-failure" フラグが追加されます。 |
<service_id>.serviceendpoints.update |
サービス・エンドポイント構成に対する変更が行われました。 操作が失敗した場合は、メッセージに "-failure" フラグが追加されます。 |
<service_id>.schema.create |
スキーマが作成されました。 ユーザーを削除しようとして失敗した場合は、メッセージに "-failure" フラグが追加されます。 |
<service_id>.privilege.revoke |
特権が取り消されました。 ユーザーを削除しようとして失敗した場合は、メッセージに "-failure" フラグが追加されます。 |
<service_id>.database-connection.list |
アクティブなデータベース接続をリストします。 ユーザーを削除しようとして失敗した場合は、メッセージに "-failure" フラグが追加されます。 |
<service_id>.database-connection.stop |
データベース接続を終了します。 ユーザーを削除しようとして失敗した場合は、メッセージに "-failure" フラグが追加されます。 |
<service_id> フィールドは、Cloud Databases デプロイメントのタイプを示しています。 例えば、 db2 、 dashdb-for-transactions 、 messages-for-rabbitmq などです。
イベントの表示
Activity Tracker with LogDNA には、デプロイメントの **「管理」**ページの **「プログラム識別情報」**タブからアクセスできます。 **「Activity Tracker の管理 (Manage Activity Tracker)」**ボタンは、ご使用の IBM Cloud アカウントに属するすべての Activity Tracker インスタンスのメイン・リストにリンクしています。 データベース・ログを転送するように設定したインスタンスを選択します。 IBM Cloud Activity Tracker は、ロケーションごとに 1 つのインスタンスのみを持つことができます。 **「Activity Tracker の表示 (View Activity Tracker)」**をクリックすると、イベントが表示されます。
イベント・アクティビティーがこのサービスに転送された後に、各イベントのタイム・スタンプの左にある矢印をクリックすると、詳細ビューに展開できます。
Activity Tracker with LogDNA サービスは、ユース・ケースの保存をカスタマイズできるように、イベントの 検索、 フィルタリング、および エクスポート を提供します。 また、これを使用してアラートを構成することもできます。
データベース監査
組み込み Db2 監査機能を使用して、IBM® Db2® on Cloud インスタンスにおけるデータ・アクセスをモニターできます。 Db2 監査機能を使用して、事前定義済みの一連のデータベース・イベント (データベース・オブジェクトに対するアクセスおよび操作の試行、ユーザー認証、SQL ステートメント実行、監査ログへのアクセスなど) の監査証跡を生成および保守します。 監査ログを使用して、使用パターンを明らかにしてシステムの誤用を識別し、そういった誤用を除去するための処置を実施できる場合があります。
Db2 on Cloudの監査について詳しくは、 監査ポリシーのガイドラインを参照してください。
データベースに加えられた変更の監査と追跡は、以下の方法でも行えます。
CHANGE HISTORYイベント・モニターを作成することによって、イベント・モニター・テーブルに照会を実行し、データベース内で誰によって何が行われたかを判別できます。 詳しくは、CHANGE HISTORYイベント・モニターを参照してください。
SYSCAT.AUDITPOLICIES、 SYSIBMADM.PRIVILEGES、および SYSCAT.AUDITUSE は取り消されます。 これは、これらの特権を PUBLIC に明示的に割り当てたクライアントにのみ影響します。 クライアントは、特権を PUBLIC に再追加することを選択できます。
データベース変更の監査およびトラッキングについて詳しくは、「 変更を監査またはトラッキングするにはどうすればよいですか?」を参照してください。