アカウント管理のためのアクティビティ追跡イベント
アカウント管理などのIBM Cloudサービスは、アクティビティ追跡イベントを生成します。
アクティビティ追跡イベントは、IBM Cloud内のサービスの状態を変更するアクティビティについてレポートします。 イベントを使用して、異常なアクティビティや重要なアクションを調査し、規制の監査要件に準拠することができます。
プラットフォームサービスであるIBM Cloud Activity Tracker Event Routingを使用して、アクティビティトラッキングイベントの送信先を定義するターゲットとルートを設定することで、アカウント内の監査イベントを任意の送信先にルーティングすることができます。 詳しくは、IBM Cloud Activity Tracker Event Routing の概要を参照してください。
IBM Cloud Logsを使用すると、アカウントで生成され、IBM Cloud Activity Tracker Event Routingによって IBM Cloud Logsインスタンスにルーティングされたイベントを視覚化し、警告することができます。
活動トラッキングイベントがIBM Cloud Activity Tracker Event Routingによって送信される場所
アカウント管理は、次の表に示す地域でIBM Cloud Activity Tracker Event Routingによってアクティビティ追跡イベントを送信します。
ダラス(us-south) |
ワシントン (us-east) |
トロント (ca-tor) |
サンパウロ (br-sao) |
|---|---|---|---|
| いいえ | いいえ | いいえ | いいえ |
東京(jp-tok) |
シドニー(au-syd) |
大阪 (jp-osa) |
in-che |
|---|---|---|---|
| いいえ | いいえ | いいえ | いいえ |
フランクフルト(eu-de) |
ロンドン(eu-gb) |
マドリード (eu-es) |
|---|---|---|
| はい | いいえ | いいえ |
ObservabilityページからIBM Cloud Logsを起動する
IBM Cloud LogsUIの起動については、「IBM Cloud LogsドキュメントのUIを起動する。 参照。
アカウント管理のイベント
次の表に、イベントを生成するアクションのリストを示します。
| アクション | 説明 |
|---|---|
billing.account.create |
アカウントを作成すると、そのアカウントにアカウント ID が割り当てられた後に、イベントが生成されます。 |
billing.account.update |
アカウントに関する情報を更新すると、イベントが生成されます。 |
billing.account.active |
アカウントを検証すると、イベントが生成されます。つまり、アカウントがアクティブになると、イベントが生成されます。 |
billing.account-subscription.create |
サブスクリプション・アカウントを作成すると、イベントが生成されます。 |
アカウントの使用量レポートの管理のイベント
これらのイベントは、ユーザーがアカウント内の使用量の情報を確認したときに生成されます。 例えば、ユーザーは 「管理」>「課金と使用」>「使用状況 」セクションで使用状況データを見たり、データのエクスポートを要求したりできる。 また、ユーザーは CLI を介して、または API 呼び出しを直接行うことによって、使用量の情報を要求できます。
単一のアカウントの使用量レポートの管理のイベント
次の表に、イベントを生成するアクションのリストを示します。
| アクション | 説明 |
|---|---|
billing.account-summary.read |
デフォルトで表示されるアカウント・レベルのサマリーの使用量のページをユーザーが表示すると、イベントが生成されます。 |
billing.account-summary.download |
ユーザーがアカウント・レベルのサマリーの使用量のページから CSV 形式でのデータのサマリー・エクスポートを要求すると、イベントが生成されます。 |
billing.account-usage-report.read |
ユーザーがデフォルトのアカウント・レベルのサマリーの使用量のページで時間フレームまたはリソース・グループ、またはその両方を構成した後に表示される使用量データを表示すると、イベントが生成されます。 このイベントは、ユーザーがインスタンスの使用量データのページを表示したときにも生成されます。 |
billing.account-instances-usage-report.download |
ユーザーがアカウント・レベルのサマリーの使用量のページから CSV 形式でのデータのインスタンス・エクスポートを要求すると、イベントが生成されます。 |
エンタープライズの使用量レポートの管理のイベント
次の表に、イベントを生成するアクションのリストを示します。
| アクション | 説明 |
|---|---|
billing.enterprise-usage-report.read |
デフォルトで表示されるエンタープライズのアカウント・レベルのサマリーの使用量のページをユーザーが表示すると、イベントが生成されます。 |
billing.enterprise-usage-report.download |
ユーザーがエンタープライズのアカウント・レベルのサマリーの使用量のページから CSV 形式でのデータのサマリー・エクスポートを要求すると、イベントが生成されます。 |
billing.enterprise-instances-usage-report.download |
ユーザーがエンタープライズのアカウント・レベルのサマリーの使用量のページから CSV 形式でのデータのインスタンス・エクスポートを要求すると、イベントが生成されます。 |
IAM アカウント管理のイベントの設定
次の表は、 [管理]>[アクセス(IAM)]>[設定] ダッシュボードから制御されるアカウント設定が変更されたときに生成されるアクションの一覧です:
| アクション | 説明 |
|---|---|
iam-identity.accountsettings.update |
イニシエーターがアカウント設定 Multifactor authentication (MFA)、Restrict API key creation、Restrict service ID creation、Restrict IP address access のうちの 1 つ以上を変更すると、イベントが生成されます。 |
iam-groups.account-settings.update |
イニシエーターがアカウント設定 Public access group を変更すると、イベントが生成されます。 |
billing.account-traits.update |
イニシエーターがアカウント設定 Restrict user list visibility を変更すると、イベントが生成されます。 |
以下の表に、構成変更を報告する requestData フィールドをリストします。
| アクション | 説明 |
|---|---|
requestData.public_access_enabled |
Public access group 設定が変更されると設定されるブール値を報告します。 |
requestData.request_body.old_mfa_traits |
Multifactor authentication (MFA) 設定の元の値を報告します。 有効な値は、 NONE、 TOTP、 TOTP4ALL、 LEVEL1、 LEVEL2、 LEVEL3
アカウントでMFAが有効になっておらず、すべてのユーザーが標準のIDとパスワードを使用してログインする場合、このフィールドは IBMid このフィールドは、アカウントが非連帯ユーザーに対してMFAを要求する場合のみ、 このフィールドは、 IBMid を持つすべてのユーザーにMFAが必要な場合に、 このフィールドを このフィールドを このフィールドを |
requestData.request_body.new_mfa_traits |
Multifactor authentication (MFA) 設定の新しい値を報告します。 |
requestData.request_body.old_restrict_create_platform_apikey |
Restrict API key creation 設定の元の値を報告する。有効な値: NOT_RESTRICTED および RESTRICTED |
requestData.request_body.new_restrict_create_platform_apikey |
Restrict API key creation 設定の新しい値を報告する。有効な値: NOT_RESTRICTED および RESTRICTED |
requestData.request_body.old_restrict_create_service_id |
Restrict service ID creation 設定の元の値を報告する。有効な値: NOT_RESTRICTED および RESTRICTED |
requestData.request_body.new_restrict_create_service_id |
Restrict service ID creation 設定の新しい値を報告する。有効な値: NOT_RESTRICTED および RESTRICTED |
requestData.request_body.old_allowed_ip_addresses |
Restrict IP address access 設定の元の値を報告する。有効な値: NOT_RESTRICTED および RESTRICTED |
requestData.request_body.new_allowed_ip_addresses |
Restrict IP address access 設定の新しい値を報告する。有効な値: NOT_RESTRICTED および RESTRICTED |
requestData.team_directory_enabled |
Restrict user list visibility 設定が変更されると設定されるブール値を報告します。 |
次の表は、 [管理]>[アクセス(IAM)]>[設定(Settings)] ダッシュボードから制御されるアカウント設定が変更されたときにイベントを生成する deprecated アクションの一覧です:
| アクション | 説明 |
|---|---|
billing.account-traits.update |
アカウント設定が変更されると、イベントが生成されます。 |
billing.account-mfa.set-on |
Account Login設定でアカウントに多要素認証が設定されると、イベントが生成されます。 |
billing.account-mfa.set-off |
Account Login設定で、アカウントの多要素認証の設定が解除されると、イベントが生成されます。 |
組織管理のイベント
次の表に、イベントを生成するアクションのリストを示します。
| アクション | 説明 |
|---|---|
billing.account-org.create |
アカウントに組織を追加すると、イベントが生成されます。 |
タグ管理のイベント
次の表に、イベントを生成するアクションのリストを示します。
| アクション | 説明 |
|---|---|
global-search-tagging.tag.create |
タグを作成すると、イベントが生成されます。 タグのタイプは requestData オブジェクトに含まれています。 |
global-search-tagging.tag.delete |
アカウント内のタグを削除すると、イベントが生成されます。 |
global-search-tagging.tags.delete |
アカウント内のリソースにアタッチされていないタグをすべて削除すると、イベントが生成されます。 |
<service-name>.tag.attach |
リソースにタグを関連付けると、イベントが生成されます。 |
<service-name>.tag.detach |
リソースからタグを削除すると、イベントが生成されます。 |
アクセス・タグが作成されると、global-search-tagging.tag.create を含むイベントを取得します。
アクセス・タグがリソースに付加されると、イベント<service-name>.tag.attachを受け取ります。
ユーザー管理のイベント
次の表に、イベントを生成するアクションのリストを示します。
| アクション | 説明 |
|---|---|
user-management.user.invite |
ユーザーをアカウントに招待すると、イベントが生成されます。 |
user-management.user.resend-invite |
イベントは、アカウントのユーザーに招待を再送信したときに生成されます。 |
user-management.cloud-user.list |
アカウントからユーザーを取得すると、イベントが生成されます。 |
user-management.user.read |
アカウントからユーザー情報を取得すると、イベントが生成されます。 |
billing.user.active |
アカウントに参加するための招待を E メールで受信したユーザーが E メール・アドレスを検証すると、イベントが生成されます。 |
user-management.user.update |
IBM Cloud UI からユーザーのログイン構成を変更すると、イベントが生成されます。 |
user-management.user-realm.update |
ユーザーのIBMIDを更新すると、イベントが生成されます。 |
user-management.user.delete |
アカウントからユーザーを削除すると、イベントが生成されます。 |
user-management.user-setting.read |
ユーザーのログイン構成設定を取得すると、イベントが発生します:ユーザ・ワンタイム・パスコード認証、ログイン時にMFAセキュリティ質問を要求、ユーザ管理ログイン、またはセキュリティ質問の設定 |
user-management.user-setting.update |
ユーザーのログイン構成設定 (「ユーザーのワンタイム・パスコード認証」、「ログイン時に MFA セキュリティーのための質問が必要」、「ユーザー管理ログイン」、またはセキュリティーの質問のセットアップ) を更新すると、イベントが生成されます。 |
ユーザーをアカウントに招待する
この非同期アクティビティには、保留中の招待を示すイベントと、招待の完了または失敗を示すイベントが別々に生成される。
- 保留中の招待イベントは、アクション、結果、メッセージフィールドに以下の値を含む。
"action": "user-management.user.invite",
"outcome": "pending",
"message": "IAM User Management: invite user -pending"
- 完了した招待イベントは、action、outcome、messageフィールドに以下の値を含む。
"action": "user-management.user.invite",
"outcome": "success",
"message": "IAM User Management: invite user"
アカウントからユーザーを削除する
1つは保留中の削除を示すもの、もう1つは削除の完了または失敗を示すものです。
- 保留中の削除ユーザイベントは、アクション、結果、メッセージフィールドに以下の値を含む。
"action": "user-management.user.delete",
"outcome": "pending",
"message": " IAM User Management: delete user IBMid-Example -pending"
- 完了した削除ユーザーイベントには、action、outcome、message フィールドに以下の値が含まれます。
"action": "user-management.user.delete",
"outcome": "success",
"message": " IAM User Management: delete user IBMid-Example"
カーボン計算機のイベント
次の表に、イベントを生成するアクションのリストを示します。
| アクション | 説明 |
|---|---|
carbon-calculator.carbon-emissions.list |
指定されたアカウントの炭素排出量を取得するためのリクエスト。 |
carbon-calculator.services.list |
炭素排出量を取得できるサービスのリストを要求する。 |
carbon-calculator.locations.list |
炭素排出量を取得できる場所のリストを要求する。 |
アカウント管理活動追跡イベントの分析
ユーザー管理イベント
このセクションでは、 [管理] > [アクセス(IAM)] > [ユーザ] ダッシュボードからユーザを管理するときに生成されるイベントについて説明します。
ユーザー管理イベントを分析するとき、アクションが要求されたユーザーのユーザー ID に target.name が設定されます。
ユーザーの状況の変更
ユーザーを選択し、[詳細] セクションの [編集] をクリックしてユーザーのステータスを変更すると、以下のイベントが発生します:
- ユーザーのプロパティーを変更するためのアカウント内の要求を報告する、アクション
user-management.user.updateを含むイベント。
例えば、イベント user-management.user.update の action フィールドを参照:
"action": "user-management.user.update",
"message": "User management service: update user"
"initiator": {
"id": "IBMid-12345",
"typeURI": "service/security/account/user",
"name": "example@ibm.com",
"host": {
"agent": "",
"address": "...",
"addressType": "IPv4"
},
"credential": {
"type": "token"
}
},
"target": {
"id": "crn:v1:bluemix:public:user-management:global:a/account1234:::",
"typeURI": "user-management/user",
"name": "IBMid-12345",
"host": {
"address": "user-management.cloud.ibm.com"
}
}
IP アドレスの制限
**「IP アドレス制限」**セクションから IP アドレス制限を構成するときは、アクション user-management.user-setting.update を含む 1 つのイベントを取得します。
例えば、イベント user-management.user-setting.update の requestData フィールドを参照:
{
"action": "user-management.user-setting.update",
"message": "IAM User Management: update user-setting user@company.com",
"requestData": {
"totalNumberChanges": 1,
"update": [
{
"ips_added": [
{
"address": "241.211.116.250",
"addressType": "IPv4"
},
{
"address": "89.78.194.127",
"addressType": "IPv4"
},
{
"address": "40.190.11.111",
"addressType": "IPv4"
},
{
"address": "246.140.117.83",
"addressType": "IPv4"
},
],
"updateType": "allowed_ip_addresses changes"
}
]
ユーザー・ログインの管理
管理]→[アクセス(IAM)]→[ユーザー]→[ユーザーの詳細] セクションでユーザーのログインに関する情報を変更すると、アクション user-management.user-setting.update のイベントが 1 つ発生します。
User-managed login プロパティが無効の場合の requestData フィールドのサンプルを参照してください:
{
"action": "user-management.user-setting.update",
"message": "IAM User Management: update user-setting user@company.com",
"requestData": {
"totalNumberChanges": 1,
"update": [
{
"initialValue": true,
"newValue": false,
"updateType": "self_manage update"
}
]
}
User one-time passcode authentication プロパティが有効な場合の requestData フィールドのサンプルを参照してください。 requestData.2FA フィールドは true に設定されています。
{
"action": "user-management.user-setting.update",
"message": "IAM User Management: update user-setting user@company.com",
"requestData": {
"totalNumberChanges": 1,
"update": [
{
"initialValue": false,
"newValue": true,
"updateType": "2FA update"
},
]
}
requestData「ログイン時に MFA セキュリティーのための質問が必要」プロパティーが有効になっているときの、 フィールドのサンプルを参照してください。 requestData.security_questions_setup フィールドは true に設定されています。
{
"action": "user-management.user-setting.update",
"message": "IAM User Management: update user-setting user@company.com",
"requestData": {
"totalNumberChanges": 1,
"update": [
{
"initialValue": false,
"newValue": true,
"updateType": "security_questions_setup update"
}
]
}
ユーザーがアカウント招待を受諾
ユーザーがアカウント招待を承諾すると、次のようなイベントが発生する:
- どのユーザがアカウント招待を受け入れたかを報告するアクション '
user-management.user-invitation.acceptを持つイベント。
ユーザーが招待を承諾したときの'responseData フィールドのサンプルを参照してください:
"action": "user-management.user-invitation.accept",
"message": "IBM User Management: accept user invitation to account Joe Test's Account",
"responseData": {
"update": [
{
"initialValue": "BSS-3f6af42016b440e087025542cbd9cb91",
"newValue": "IBMid-663003Z105",
"updateType": "IAM ID Update during Accept"
}
]
}
requestData フィールド
以下の表は、*「ユーザー」*ダッシュボードからユーザーの詳細を変更したときに生成されるイベント内にある requestData フィールドをリストしています。
| フィールド | タイプ | 説明 |
|---|---|---|
2FA |
ブール値 | アカウント内のユーザーの MFA 要件を定義します。 このフィールドは、ユーザーに対してMFAが有効になっている場合、 true に設定される。 |
allowed_ip_addresses |
ストリング | ユーザーがアカウント・リソースへのアクセスを許可されている IP アドレスのリスト。 |
ips_added |
ストリング | allowed_ip_addresses」に追加される新しいIPアドレス。 |
ips_removed |
ストリング | allowed_ip_addresses から削除されるIPアドレス。 |
iam_id |
ストリング | 設定が変更されているユーザーの IBM ID を定義します。 |
initialValue |
ストリング | 特定のユーザー設定の元の値。 allowed_ip_addresses には適用されない。 |
newValue |
ストリング | 特定のユーザー設定の新しい値。 allowed_ip_addresses には適用されない。 |
updateType |
ストリング | 更新される特定のユーザー設定。 |
security_questions_setup |
ブール値 | どのような場合に、ユーザーがアカウントにログインするためにセキュリティーのための質問が要求されるかを定義します。 このフィールドは、質問が必須であることを示すため、 true に設定されています。 |
self_manage |
ブール値 | ユーザーがアカウントへのログイン方法に関するログイン設定を自分で構成できるかどうかを定義します。 このフィールドを true に設定すると、ユーザーがパスワード有効期限を設定すること、ログイン時のセキュリティーのための質問をオンにすること、および IBM Cloud へのログインとクラシック・インフラストラクチャー API 呼び出しからのログインのための許容される IP アドレスを定義することができます。 |
totalNumberChanges |
更新された設定の数。 |
アカウントの使用量レポートの管理のイベント
このセクションでは、ユーザーが 「管理」>「課金と使用」>「使用」 セクションを通じて提供される情報を見たり、データのエクスポートを要求したりしたときに生成されるイベントについて説明します。
reason.reasonCode = 404 を含むイベントを受け取ることがありますが、これは、要求に対して有効な使用量データがない場合に生成されます。 その severity は標準に設定されています。
requestData フィールド
以下の表は、アクション requestData、billing.account-summary.read、および billing.account-summary.download を含むイベントの billing.account-instances-usage-report.download フィールドに含まれるフィールドをリストしています。
| フィールド | タイプ | 説明 | ステータス |
|---|---|---|---|
month |
ストリング | ユーザーが使用量データを表示するために選択する月を示します。 | イベントに常に含まれます |
以下の表は、アクション requestData を含むイベントの billing.account-usage-report.read フィールドに含まれるフィールドをリストしています。
| フィールド | タイプ | 説明 | ステータス |
|---|---|---|---|
month |
ストリング | ユーザーが使用量データを表示するために選択する月を示します。 | イベントに常に含まれます |
usage_report_type |
ストリング | レポートのタイプを示します。 有効な値は instances と rollup。 |
イベントに常に含まれます |
sub_account_id |
ストリング | サブアカウント ID を示します。 | オプション |
resource_group |
ストリング | リソース・グループを示します。 | オプション ユーザーがリソース・グループによってデータをフィルタリングする場合に含まれます。 |
organization_id |
ストリング | 組織 ID を示します。 | オプション |
daily |
ブール値 | レポートの頻度を示します。 | オプション |
以下の表は、アクション requestData および billing.enterprise-usage-report.read を含むイベントの billing.enterprise-usage-report.download フィールドに含まれるフィールドをリストしています。
| フィールド | タイプ | 説明 | ステータス |
|---|---|---|---|
month |
ストリング | ユーザーが使用量データを表示するために選択する月を示します。 | イベントに常に含まれます |
children |
ブール値 | 使用量がアカウント・レベルで集約されているかどうかを示します。 | イベントに常に含まれます |
enterprise_id |
ストリング | エンタープライズの ID を示します。 | イベントに常に含まれます |
account_id |
ストリング | レポートで要求されているサブアカウント ID を示します。 | オプション |
account_group_id |
ストリング | ユーザーが選択したアカウント・グループを示します。 | オプション ユーザーが 1 つのアカウント・グループを選択してデータをフィルタリングする場合に含まれます。 |
以下の表は、アクション requestData を含むイベントの billing.enterprise-instances-usage-report.download フィールドに含まれるフィールドをリストしています。
| フィールド | タイプ | 説明 | ステータス |
|---|---|---|---|
month |
ストリング | ユーザーが使用量データを表示するために選択する月を示します。 | イベントに常に含まれます |
enterprise_id |
ストリング | エンタープライズの ID を示します。 | イベントに常に含まれます |
account_id |
ストリング | レポートで要求されるサブアカウント ID を示します。 | オプション |
account_group_id |
ストリング | ユーザーが選択したアカウント・グループを示します。 | オプション ユーザーが 1 つのアカウント・グループを選択してデータをフィルタリングする場合に含まれます。 |
アカウント IAM 設定イベント (非推奨)
このセクションでは、 [アクセス(IAM)]>[設定] ダッシュボードからIAMアカウント設定を構成するときに生成されるイベントについて説明します。
MFA の構成
アクセス(IAM) > 設定(Settings)」 ダッシュボードの 「アカウントログイン(Account Login)」 セクションを設定してアカウントでMFAをオンにすると、2つのイベントが発生します:
billing.account-traits.updateフィールド内のアカウントで構成されている MFA のタイプを報告するアクションrequestData.mfaを含むイベント。- MFA がアカウント内で有効になっていることを示すアクション
billing.account-mfa.set-onを含むイベント。
MFA をオフに設定すると、以下の 2 つのイベントを取得します。
billing.account-traits.updateフィールド内のアカウントで構成されている MFA のタイプを報告するアクションrequestData.mfaを含むイベント。- MFA がアカウント内で無効になっていることを示すアクション
billing.account-mfa.set-offを含むイベント。
例えば、イベント billing.account-traits.update の requestData フィールドを参照:
"action": "billing.account-traits.update",
"message": "Billing service: update account traits",
"requestData": {
"mfa": "",
"origin": "BSS"
}
ユーザー・リストの可視性の制限の構成
管理] > [アクセス(IAM)] > [設定] ダッシュボードの[ ユーザーリストの可視性制限] IAMアカウント設定を変更すると、アクション billing.account-traits.update のイベントが1件発生します。
例えば、イベント billing.account-traits.update の requestData フィールドを参照:
"action": "billing.account-traits.update",
"message": "Billing service: update account traits",
"requestData": {
"origin": "BSS",
"team_directory_enabled": false
}
requestData フィールド
以下の表は requestDataアクセス(IAM)]>[設定(Settings)] ダッシュボードからIAMアカウント設定が変更されたときに生成されるイベントのフィールドを以下に示します:
| フィールド | タイプ | 説明 |
|---|---|---|
team_directory_enabled |
ブール値 | ユーザーリストの可視性制限 IAM アカウント設定のステータスを定義します。true に設定されている場合、あなたのアカウントのユーザーは、「ユーザー」ページから他のユーザーを見ることができます。 |
mfa |
ストリング | ユーザーがアカウントにログインするために必要な MFA メソッドを定義します。 有効な値は、 TOTP、および TOTP4ALL このフィールドが に設定されるのは、アカウントが非連帯ユーザの MFA を要求する場合のみである。 TOTP ユーザーがログインするためには、ID、パスワード、および時間ベースのワンタイム・パスコードが必要です。このフィールドは、アカウントが全ユーザにMFAを要求する場合、 TOTP4ALL に設定される。ID、パスワード、および時間ベースのワンタイムパスコードを要求することにより、すべてのユーザー。 このフィールドが空の場合、アカウントでMFAは有効になっておらず、すべてのユーザーが標準のIDとパスワードを使用してログインします。 |