監査
IBM Cloud Activity Tracker を使用すると、 Db2 診断ログ (db2diag.log) を IBM Cloud インスタンスから独自の Log Analysis with LogDNA サービス・インスタンスに転送できます。 ログ転送を有効にすることを選択すると、 Log Analysis を使用して、組織が必要とする期間これらのログを保持したり、ログを検索または分析したりすることができます。
セキュリティー担当者、監査員、またはマネージャーは、 IBM Cloud® Activity Tracker サービスを使用して、ユーザーおよびアプリケーションが IBM Cloudの Db2 Warehouse on Cloud サービスとどのように対話しているかを追跡できます。
IBM Cloud Activity Tracker は、IBM Cloud でのサービスの状態を変更するユーザー開始アクティビティーを記録します。 このサービスを使用して、異常なアクティビティーや重大なアクションを調査し、法規上の監査要件に準拠することができます。 さらに、アクションが発生した際にそれに関するアラートを通知させるようにできます。 収集されるイベントは、Cloud Auditing Data Federation (CADF) 標準に準拠しています。 詳しくは、 IBM Cloud Activity Trackerの入門チュートリアルを参照してください。
Activity Tracker with LogDNA 統合は、以下の表に従って地域内の IBM® Db2® Warehouse on Cloud デプロイメントで使用可能です。
| デプロイメント・リージョン | Activity Tracker リージョン |
|---|---|
| ダラス | us-south |
| ワシントン | us-east |
| フランクフルト | eu-de |
| ロンドン | eu-gb |
| シドニー | au-syd |
| 東京 | jp-tok |
| トロント | ca-tor |
Activity Tracker with LogDNA のプロビジョニング
このサービスをプロビジョンすると、イベントは同じリージョン内のすべての IBM® Db2® Warehouse on Cloud デプロイメントから自動的に転送されます。
サービスは、その カタログ・ページ または既存の 「プログラム識別情報ダッシュボード」からプロビジョンできます。
Activity Tracker with LogDNA サービスには無料で使用できるライト・プランがありますが、提供されるのはストリーミング・イベントのみとなります。 タグ付け、エクスポート、保存、その他の機能を利用するには、有料プランのいずれかを使用する必要があります。
イベント・フィールド
Activity Tracker イベントの共通フィールドの説明は、「イベント・フィールド」ページにあります。
イベント・リスト
以下の表に、IBM® Db2® Warehouse on Cloud デプロイメントから Activity Tracker に送信されるイベントをリストします。
| アクション | 説明 |
|---|---|
<service_id>.backup-scheduled.create |
デプロイメントのスケジュールされたバックアップが作成されました。 バックアップが失敗した場合は、メッセージに "-failure" フラグが追加されます。 |
<service_id>.backup.create |
デプロイメントのバックアップが作成されました。 バックアップが失敗した場合は、メッセージに "-failure" フラグが追加されます。 |
<service_id>.backup.restore |
バックアップからリストアが作成されました。 リストアしようとして失敗した場合は、メッセージに "-failure" フラグが追加されます。 |
<service_id>.restore.start |
バックアップからリストアが作成されました。 リストアしようとして失敗した場合は、メッセージに "-failure" フラグが追加されます。 |
<service_id>.user-password.update |
ユーザーのパスワードが更新されました。 ユーザーのパスワードを更新しようとして失敗した場合は、メッセージに "-failure" フラグが追加されます。 |
<service_id>.user.create |
ユーザーが作成されました。 ユーザーを作成しようとして失敗した場合は、メッセージに "-failure" フラグが追加されます。 |
<service_id>.user.delete |
ユーザーが削除されました。 ユーザーを削除しようとして失敗した場合は、メッセージに "-failure" フラグが追加されます。 |
<service_id>.table.delete |
表が削除されました。 ユーザーを削除しようとして失敗した場合は、メッセージに "-failure" フラグが追加されます。 |
<service_id>.token.create |
トークンが作成されました。 ユーザーを作成しようとして失敗した場合は、メッセージに "-failure" フラグが追加されます。 |
<service_id>.token.delete |
トークンが削除されました。 ユーザーを削除しようとして失敗した場合は、メッセージに "-failure" フラグが追加されます。 |
<service_id>.privilege.update |
特権が付与されました。 ユーザーを削除しようとして失敗した場合は、メッセージに "-failure" フラグが追加されます。 |
<service_id>.privilege.revoke |
特権が取り消されました。 ユーザーを削除しようとして失敗した場合は、メッセージに "-failure" フラグが追加されます。 |
<service_id>.database-connection.list |
アクティブなデータベース接続をリストします。 ユーザーを削除しようとして失敗した場合は、メッセージに "-failure" フラグが追加されます。 |
<service_id>.database-connection.stop |
データベース接続を終了します。 ユーザーを削除しようとして失敗した場合は、メッセージに "-failure" フラグが追加されます。 |
<service_id>.lock.enable |
ユーザー・アカウントを無期限にロックします。 ユーザーを削除しようとして失敗した場合は、メッセージに "-failure" フラグが追加されます。 |
<service_id>.lock.disable |
ユーザー・アカウントをアンロックします。 ユーザーを削除しようとして失敗した場合は、メッセージに "-failure" フラグが追加されます。 |
<service_id>.policy.list |
使用可能なポリシーをリストします。 ユーザーを削除しようとして失敗した場合は、メッセージに "-failure" フラグが追加されます。 |
<service_id>.policy.update |
ポリシーが更新されました。 ユーザーを削除しようとして失敗した場合は、メッセージに "-failure" フラグが追加されます。 |
<service_id>.policy.delete |
ポリシーが削除されました。 ユーザーを削除しようとして失敗した場合は、「-failure」フラグがメッセージに組み込まれます。 |
<service_id>.schema.create |
スキーマが作成されました。 ユーザーを削除しようとして失敗した場合は、メッセージに "-failure" フラグが追加されます。 |
<service_id> フィールドは、Cloud Databases デプロイメントのタイプを示しています。 例えば、 dashdb または messages-for-rabbitmqなどです。
イベントの表示
Activity Tracker with LogDNA には、デプロイメントの**「管理」ページの「プログラム識別情報」**タブからアクセスできます。 **「Activity Tracker の管理 (Manage Activity Tracker)」**ボタンは、ご使用の IBM Cloud アカウントに属するすべての Activity Tracker インスタンスのメイン・リストにリンクしています。 データベース・ログを転送するように設定したインスタンスを選択します。 IBM Cloud Activity Tracker は、ロケーションごとに 1 つのインスタンスのみを持つことができます。 **「Activity Tracker の表示 (View Activity Tracker)」**をクリックすると、イベントが表示されます。
イベント・アクティビティーがこのサービスに転送された後に、各イベントのタイム・スタンプの左にある矢印をクリックすると、詳細ビューに展開できます。
Activity Tracker with LogDNA サービスは、ユース・ケースの保存をカスタマイズできるように、イベントの 検索、 フィルタリング、および エクスポート を提供します。 また、これを使用してアラートを構成することもできます。
Db2 監査機能を使用したデータベース監査
組み込み Db2 監査機能を使用して、IBM® Db2® Warehouse on Cloud インスタンスにおけるデータ・アクセスをモニターできます。 この機能は、前述の監査機能に加えて、データベース・レベルの監査を提供します。 Db2 監査機能を使用して、事前定義済みの一連のデータベース・イベント (データベース・オブジェクトに対するアクセスおよび操作の試行、ユーザー認証、SQL ステートメント実行、監査ログへのアクセスなど) の監査証跡を生成および保守します。 監査ログを使用して、使用パターンを明らかにしてシステムの誤用を識別し、そういった誤用を除去するための処置を実施できる場合があります。
Db2WoC インスタンスと同じリージョンおよびプラットフォーム (IBM Cloud Object Storage または AWS S3) で COS バケットを構成することを強くお勧めします。
初期構成の前に、以下の情報を収集する必要があります。
注: COS バケットは、 Db2WoC インスタンスと同じリージョンおよびプラットフォーム (IBM Cloud Object Storage または AWS S3) で構成することを強くお勧めします。
Cloud Object Storage 資格情報
IBM COS
- IBM Cloud Object Storage
- エンドポイントは、初期構成時に収集することも、インスタンスの詳細に収集することもできます。 使用可能な エンドポイント を参照してください。
次に例を挙げます。
cos_hmac_keys:
access_key_id: 7exampledonotusea6440da12685eee02
secret_access_key: 8not8ed850cddbece407exampledonotuse43r2d2586
AWS S3
- Amazon Simple Storage Service (S3)
- エンドポイントは、初期構成時に収集することも、インスタンスの詳細に収集することもできます。 使用可能な エンドポイント を参照してください。
次に例を挙げます。
access key ID: AKIAIOSFODNN7EXAMPLE
secret access key: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
Cloud Object Storage バケット名 (Cloud Object Storage bucket name)
監査レコードを保管するバケットを作成する必要があります。 初期構成時にバケット名を保存する必要があります。 このバケットを他の目的で使用しないことをお勧めします。 適切な暗号化、アクセス管理、およびデータ保存を使用してバケットを安全に構成することを検討してください。
コスト制御手段の場合、 関連するバケット に割り当て量を設定し、 有効期限ルール を設定する必要があります。
監査レコードがクラウド・オブジェクト・ストレージ・バケットに正常にアップロードされたら、コンソールでファイルをプレビューできます。 監査ログのより大きなサブセットを確認するには、 監査ポリシー を参照してください。 アーカイブされた監査ログの 形式 は、テキストをコンマで区切る DEL です。 システム内でこのファイルを再フォーマットして処理し、さらに分析することができます。
監査の有効化
データベース監査を有効にするには、Web コンソールを開き、「管理」を選択し、「監査」タブにナビゲートします。 「監査を有効にする」ボタンをクリックします。 構成後、少なくとも 1 つのポリシーを定義してアクティブ化することにより、セットアップを完了します。
新しいリモート・ストレージ別名を作成することも、既存のリモート・ストレージ別名を使用することもできます。 監査用に専用の COS バケットを構成することをお勧めします。 監査ログが COS バケットに書き込まれるようにするには、「オブジェクト・パス」をブランクのままにします。 書き込み時に監査機能によってオブジェクト名が自動生成されるため、COS バケットのみを提供するだけで十分です。
Db2 Warehouse on Cloudの監査について詳しくは、 監査ポリシーのガイドライン を参照してください。