IBM Cloud Docs
IBM Cloud Activity Tracker 入門

IBM Cloud Activity Tracker 入門

IBM Cloud® Activity Tracker サービスを使用すると、IBM Cloud アクティビティーのレコードを取り込み、IBM Cloud アカウントのアクティビティーをモニターすることができます。 このサービスを使用すると、異常なアクティビティーや重要なアクションを調査できます。また、法規上の監査要件にも準拠できます。 さらに、アクションの発生時にアラートを受けることも可能です。 収集されるイベントは、Cloud Auditing Data Federation (CADF) 標準に準拠しています。

2024 年 3 月 28 日以降、 IBM Log Analysis および IBM Cloud Activity Tracker サービスは非推奨になり、2025 年 3 月 30 日以降はサポートされなくなります。 お客様は、2025 年 3 月 30 日より前に、これらの 2 つのサービスを置き換える IBM Cloud Logsにマイグレーションする必要があります。

IBM Cloud Activity Tracker Event Routingについて詳しくは、 Activity Tracker Event Routingについて を参照してください。

IBM Cloud® Activity Tracker について

アプリケーションの実行場所がオンプレミス、ハイブリッド・クラウド、またはパブリック・クラウドのいずれであるかに関係なく、社内のポリシーおよび業界の規定に準拠することは、すべての組織の戦略にとって重要な要件です。 IBM Cloud Activity Tracker サービスは IBM Cloud 上のサービスへの API 呼び出しをモニターするためのフレームワークおよび機能を提供し、企業のポリシーおよび市場の業界固有の規定への準拠の証拠を生成します。

IBM Cloud Activity Tracker サービス
。 Activity Tracker ホストされたイベント検索フロー

クラウド環境 (IBM Cloud など) で作業をする場合、社内のポリシーと業界や国ベースの準拠要件に従って、ワークロードやデータの監査とモニターに関するクラウド戦略を立てる必要があります。 IBM Cloud Activity Tracker サービスを通じて登録された情報を使用することで、セキュリティー・インシデントを特定し、無許可アクセスを検出して、規制上および社内の監査要件に準拠することができます。

  • IBM Cloud Activity Tracker は、クラウド内の IT リソースに対する高水準のセキュリティー・ガバナンスをサポートします。
  • IBM Cloud Activity Tracker は、管理者が 1 つの場所で API アクティビティーの取り込み、保管、表示、検索、およびモニターを行えるようにするソリューションを提供します。 また、サポートされているいずれかの通知チャネルを使用してアラートを通知する機能も提供しています。
  • IBM Cloud Activity Tracker は、イベントをダウンロードする機能を提供します。エクスポートしたイベントは監査証跡レポートを生成するために使用できます。 組織が社内規定および外部の業界や国の規制に準拠するために、これらのレポートが必要になることがあります。

IBM Cloud Activity Tracker は、 IBM Cloud で実行されるリソースに対する API 呼び出しの監査レコードを収集し、保管します。 これらのイベントは IBM Cloud にアーカイブして、長期的に保管できます。

IBM Cloud 管理者は、ほとんどの enabled-services について監査イベントを自動的に収集するように IBM Cloud アカウントを構成できます。 ただし、一部のサービスでは、生成される大量のデータが原因で監査イベントを収集および分析できるようにするために、サービス・プラン、構成設定、またはその両方のアップグレードが必要になる場合があります。 Activity Tracker イベントの有効化については、こちらを参照してください

Activity Trackerにイベントを送信するサービスについては、 Activity Tracker イベントを生成する IBM Cloud サービス を参照してください。

コンプライアンスおよび組織の要件に応じて、 IBM Cloud Activity Tracker Event Routing または IBM Cloud Activity Tracker ホスト・イベント検索オファリングを選択できます。

  • IBM Cloud で金融サービス (FS) の検証状況を維持しようとするアプリケーション環境では、 IBM Cloud Activity Tracker Event Routing を使用する必要があります。
  • PCI、SOC2、Privacy Shield、HIPAA に準拠する必要があるアプリケーション環境では、IBM Cloud Activity Tracker ホスト・イベント検索オファリングを使用する必要があります。

イベント・ルーティング入門 ホストされたイベントおよび検索オファリングの概要

セキュリティー

IBM Cloud Activity Tracker サービスでの処理を行うときには、セキュリティーに関する以下の情報を考慮してください。

  • IBM Cloud Activity Tracker イベントを生成する IBM サービスは、IBM クラウドのセキュリティー・ポリシーに従います。 詳しくは、 IBM Cloudのセキュリティーとプライバシーを信頼するを参照してください。
  • IBM Cloud Activity Tracker サービスは、IBM クラウド・サービスの状態を変更するユーザー開始アクションを取り込みます。 この情報からデータベースまたはアプリケーションに直接アクセスすることはできません。
  • 許可されたユーザーのみが IBM Cloud Activity Tracker イベント・ログの表示およびモニターを行うことができます。 各ユーザーは、IBM Cloud での固有の ID によって識別されます。
  • プロビジョンできるサービスのインスタンスは IBM Cloud のロケーション (リージョン) につき 1 つのみです。

始めに

このチュートリアルを完了して、 IBM Cloudで IBM Cloud Activity Tracker サービスをプロビジョンする方法を学習します。 各イベントでどの一般的なデータが使用できるか、お使いの IBM Cloud 環境の監視のにどのように役立てることができるかを学びます。 Web UI でのナビゲートについて学びます。

前提条件

  • IBM Cloud アカウントのメンバーまたは所有者であるユーザー ID が必要です。 IBM Cloud ユーザー ID を取得するには、 アカウントの作成に移動します。

  • コマンド・ラインを使用して作業する方法を選ぶ場合は、IBM Cloud CLI をインストールする必要があります。 詳しくは、『IBM CloudCLI のインストール』を参照してください。

  • サービスへのアクセスを管理する手順を実行するには、ユーザー ID に、IBM Cloud Activity Tracker サービスを管理するための管理者プラットフォーム権限が必要です。 アカウント所有者にお問い合わせください。 アカウント所有者は、ユーザー・アクセスの管理とアカウント・リソースの管理を行う目的で、別のユーザーにアカウントへのアクセス権限を付与できます。 詳細はこちら

IBM Cloud Activity Tracker サービスのインスタンスのプロビジョン

インスタンスをプロビジョンするには、以下のステップを実行します。

  1. IBM Cloud アカウントにログインします。

    ユーザー ID とパスワードを使用してログインすると、IBM Cloud UI が開きます。

  2. メニュー・アイコンメニュー・アイコンに移動し、可観測性 を選択して可観測性ダッシュボードにアクセスします。

  3. **「Activity Tracker」を選択してから、「作成」**をクリックします。

  4. サービス・インスタンスの名前を入力します。

  5. ロケーションとして**「フランクフルト」**を選択します。

    サービスが使用可能なリージョンについて詳しくは、リージョンを参照してください。

  6. リソース・グループを選択します。

    デフォルトでは、default リソース・グループが設定されています。

    注: リソース・グループを選択できない場合、インスタンスをプロビジョンするリソース・グループでの編集許可があることを確認してください。

  7. Liteサービス・プランを選択します。

    デフォルトでは、ライト・プランが設定されます。

  8. 「作成」 をクリックします。

    インスタンスをプロビジョンすると、IBM Cloud UI の*「可観測性」セクションにある「Activity Tracker」*ダッシュボードが開きます。

サービスへのアクセス権限の管理

ご使用のアカウント内の IBM Cloud Activity Tracker サービスにアクセスするすべてのユーザーには、IAM ユーザー役割が定義されたアクセス・ポリシーを割り当てる必要があります。 そのポリシーによって、選択したサービスまたはインスタンスのコンテキスト内でユーザーが実行できるアクションが決まります。 許可されるアクションは、サービス上で実行できる操作としてカスタマイズされて定義されます。 その後、操作は IAM ユーザー役割にマップされます。 詳細はこちら

リソース・グループのコンテキスト内で IBM Cloud Activity Tracker サービスを使用して作業するための管理権限をユーザーに付与するには、以下の手順を実行します。

アクセス・グループの作成

アクセス・グループを作成するには、以下の手順を実行します。

  1. メニュー・バーから、「管理」 > アクセス (IAM) をクリックし、**「アクセス・グループ」**を選択します。
  2. 「作成」 をクリックします。
  3. グループの名前と説明 (オプション) を入力して**「作成」**をクリックします。

イベントを管理するための許可の追加

グループをセットアップした後で、共通するアクセス・ポリシーをそのグループに割り当てる必要があります。 アクセス・グループに設定するポリシーは、そのグループ内のすべてのエンティティー、ユーザー、およびサービス ID に適用されます。

ポリシーを定義するときには、プラットフォーム役割とサービス役割を選択する必要があります。

  • プラットフォーム管理の役割は、インスタンスの作成と削除、別名、バインディング、および資格情報の管理、およびアクセスの管理を行う能力を含めて、さまざまなアクションをカバーします。 プラットフォームの役割は、管理者、エディター、オペレーター、ビューアーです。 プラットフォーム管理の役割は、アカウント管理サービスにも適用され、ユーザーが、アカウント管理サービスに関して割り当てられた役割に応じて、ユーザーの招待、サービス ID の管理、アクセス・ポリシーの管理、カタログ・エントリーの管理、請求および使用量の追跡を行うことを可能にします。
  • サービス・アクセスの役割は、ユーザーまたはサービスの、サービス・インスタンスに対するアクションを実行する能力を定義します。 サービス・アクセスの役割は、管理者、ライター、およびリーダーです。

IBM Cloud Activity Tracker サービスを管理するには、ユーザーに以下の役割が必要です。

  • プラットフォーム役割: 管理者
  • サービス役割: マネージャー

UI を使ってポリシーを割り当てるには、以下のステップを実行します。

  1. メニュー・バーから、「管理」 > **「アクセス (IAM)」**をクリックします。
  2. **「アクセス・グループ」**を選択します。
  3. アクセス権限を割り当てる先のグループの名前を選択します。
  4. アクセス・ポリシー > アクセス権限の割り当て をクリックします。
  5. **「IAM サービス」**を選択します。
  6. *「どのタイプのアクセス権限を割り当てますか?」*フィールドでは、IBM Cloud Activity Tracker を選択します。
  7. *「対象」*フィールドで、リソース・グループを選択します。
  8. プラットフォーム役割**「管理者」**を選択します。
  9. **「管理者」**サービス役割を選択します。
  10. 追加 をクリックします。 次に、**「割り当て」**を選択します。

グループにユーザーの追加

アクセス・グループにユーザーを追加するには、以下のステップを実行します。

  1. **「ユーザー」タブで「ユーザーの追加」**をクリックします。
  2. 追加するユーザーをリストから選択して、**「グループに追加」**をクリックします。

IBM Cloud Activity Tracker イベントの生成

従量課金アカウントを使用している場合、IBM® Key Protect を使用してイベントを作成することができます。 従量課金アカウントを使用していない場合、使用可能なライト・サービスをプロビジョンすると、イベントがトリガーされます。

  1. IBM Cloud カタログから、カテゴリー 「セキュリティー」 を選択します。

  2. Key Protect サービスを選択します。

  3. (オプション) Key Protect サービスのインスタンスをプロビジョンします

Web UI の起動

Web UI を起動するには、以下のステップを実行します。

  1. IBM Cloud アカウントにログインします

    ユーザー ID とパスワードを使用してログインすると、IBM Cloud ダッシュボードが開きます。

  2. ナビゲーション・メニューで、**「プログラム識別情報」**を選択します。

  3. **「Activity Tracker」**を選択します。

    IBM Cloud で使用可能なインスタンスのリストが表示されます。

  4. フランクフルトにあるインスタンスを選択します。 次に、**「ダッシュボードを開く (Open Dashboard)」**をクリックします。

    グローバル・イベント (サービスのプロビジョニングなど) は、フランクフルトにあるグローバル・ドメイン・インスタンスを介して使用できます。

Web UI が開きます。

イベントを表示します

IBM Cloud Activity Tracker サービスは、IBM Cloud 内の選択されたクラウド・サービスに対して行われる API 呼び出しおよびその他のアクションに関連したアクティビティー・データを取り込みます。

  • イベントは自動的に収集されます。
  • IBM Cloud Activity Tracker で収集されるイベントは、Cloud Auditing Data Federation (CADF) 標準に準拠しています。 CADF 標準は、クラウド環境にあるアプリケーションのセキュリティーの認証、管理、および監査に必要な情報が含まれた、フルイベント・モデルを定義しています。
  • IBM Cloud Activity Tracker は、ロケーション別にイベントを保管およびグループ化します。
  • IBM Cloud のグローバル・アカウントのアクションに関するレポートを作成するイベントがフランクフルト (EU-DE) 地域で収集され、保管されます。
  • IBM Cloud Activity Tracker インスタンス用に選択するサービス・プランによって、Web UI でイベントを検索可能な日数が設定されます。

Web UI が開くと、**「すべて (EVERYTHING)」**ビューが表示されます。 このビューを介してイベントを表示できます。

カスタム・ビューを定義して、タイム・スタンプ、検索照会、またはその両方を適用することにより、一連のイベントを表示することもできます。 詳細はこちらをご覧ください

イベントの構造について説明する

イベントは Cloud Auditing Data Federation (CADF) 標準に準拠しています。 CADF 標準は、クラウド環境にあるアプリケーションのセキュリティーの認証、管理、および監査に必要な情報が含まれた、フルイベント・モデルを定義しています。

CADF イベント・モデルには、以下のコンポーネントが含まれています。

表 1. CADF イベント・モデルで使用可能なコンポーネント
コンポーネント 説明
Action アクションは、イニシエーターが実行する、実行を試みる、あるいは完了を待っている、操作またはアクティビティーです。
Initiator イニシエーターは、API 呼び出しを行って CADF イベントを生成するリソースです。 起動されるイベントは、API 呼び出しで要求されるアクションによって異なります。
Observer オブザーバーは、CADF イベントで利用可能な情報から CADF レコードを作成して保管するリソースです。
Outcome 結果は、ターゲットに対するアクションの状況です。
Target ターゲットは、アクションが実行される、実行を試みられる、あるいは完了の処理待ち中の、対象のリソースです。

詳細はこちらをご覧ください

次のステップ

  1. カスタム・ビューを定義します

  2. IBM Cloud Activity Tracker サービス・プランを、照会を適用することによるイベントの検索およびアラートの構成を行える有料プランにアップグレードします。

    IBM Cloud Activity Tracker サービス・プランについて詳しくは、サービス・プランを参照してください。