IBM Cloud Activity Tracker Event Routing 入門
IBM Cloud® Activity Tracker Event Routing を使用して、 IBM Cloudで監査イベント ( グローバル と ロケーション・ベース の両方のイベント・データ) をルーティングする方法を構成します。 監査イベントは、セキュリティ運用にとって重要なデータであり、コンプライアンス要件を満たすための重要な要素である。 ストレージ・ロケーションの制御は、 IBM Cloudでエンタープライズ・グレードのソリューションを構築する上で重要です。
プラットフォームサービスのActivity Tracker Event Routingを使用して、監査データがルーティングされる場所を定義するターゲットとルートを構成することで、アカウントレベルで監査イベントを管理できます。Activity Tracker Event Routingは、サポートされている地域 で生成されたイベントをルーティングできます。 IBM Cloud Activity Tracker Event Routingについては、Activity Tracker Event Routing についてを参照してください。
前提条件
-
IBM Cloud Activity Tracker Event Routingを管理する権限を持つユーザー ID が必要です。 IAM 役割とその割り当て方法について詳しくは、 IAM でのアクセス権限の管理 および IAM 役割 を参照してください。
ステップ 1. アカウント・グローバル設定の構成
アカウントで Activity Tracker Event Routing を構成すると、メタデータの場所、構成を管理できるエンドポイントのタイプ、ターゲットを定義できる場所、明示的に構成していないリージョンで監査イベントを収集するためのデフォルトターゲットなどのアカウント設定を構成できます。 詳しくは、 Activity Tracker Event Routing アカウント設定の構成 を参照してください。
アカウント内で監査イベントを収集、ルーティング、および管理する場所と方法を定義するには、これらの設定を設定します。 例えば、すべての Activity Tracker Event Routing リソース定義が保管されている地域を定義する 1 次メタデータ・ロケーションを構成するには、次のコマンドを実行します。
ibmcloud atracker setting update --metadata-region-primary <REGION>
<REGION> では、 Activity Tracker Event Routing が利用可能なサポート対象地域のいずれかに地域を設定することができます。
メタデータ・ロケーションを設定する際には、データ・ロケーションに適用される準拠規制または業界規制を確認してください。
ステップ 2 1 つのターゲットの構成
ターゲットは、監査イベントが収集される場所を定義します。 ターゲットについて詳しくは、 アカウントでのターゲットの動作について を参照してください。
アカウントでターゲットを構成するには、以下のいずれかのオプションを選択します。
残りの手順では、 cloud-object-storage ターゲットを構成することを前提としています。
ステップ 3。 1 つの経路の構成
経路は、アカウント内で生成された監査イベントがルーティングされる場所を示すルールを定義します。 経路はアカウントの下でグローバルになり、Activity Tracker Event Routing がデプロイされているすべての地域で評価されます。 詳しくは、 アカウントでの経路の機能について を参照してください。
このステップでは、地域イベントおよびグローバル・イベントをターゲット・バケットにリダイレクトするルートを構成します。
以下のコマンドを実行して、経路を作成します。
ibmcloud atracker route create --name <ROUTE_NAME> --rules
説明
--name <ROUTE_NAME>-
経路に付ける名前。
--rules <ROUTING_RULES>-
単一引用符で囲まれた JSON 形式のルール定義。 以下に例を示します。
--rules '[{"locations":["global"],"target_ids":["11111111-1111-1111-1111-111111111111"]},{"locations":["us-south","us-east"],"target_ids":["22222222-2222-2222-2222-222222222222","33333333-3333-3333-3333-333333333333"]}]'
経路を構成した後、構成が有効になるまでに最大で 1 時間かかる場合があります。
例えば、前のステップで作成したターゲットに監査イベントを送信するルートを作成するには、以下のコマンドを実行します。
ibmcloud atracker route create --name "my-route" --rules '[{"locations":["global","eu-de"],"target_ids":["TARGETID"]}]'
TARGETID は前のステップで作成したターゲットのID。
ステップ 4: イベントの収集の検証
ターゲットおよび経路が構成されたら、バケット内で監査イベントが有効であることを検証する必要があります。
例えば、監査イベントはバケット内のログファイルに保存される。
ログ・ファイルは、以下のように構造化され、名前が付けられます。
<REGION>/<DATE>T<HOUR>/2021-02-23T15:38+05.log
説明
<REGION>は、監査イベントの収集元の領域を定義します。 例えば、有効な値はus-southおよびus-eastです。<DATE>は、監査イベントが収集される日付を定義します。 形式はYYYY-MM-DDです。<HOUR>は、時刻を定義します。 値は 24 時間クロックを使用して設定されます。<FILENAME>はタイム・スタンプを定義します。 形式はYYYY-MM-DDTHH:MM+SSです。
各ログ・ファイルには、ファイル名のタイム・スタンプをマップするeventTimeを持つ監査イベントが含まれています。eventTimeは、監査イベントがいつ生成されたかを示します。
例えば、米国南部リージョンで監査イベントを収集するサンプル・ログ・ファイルは、以下のようになります。
us-south/2021-02-23T15/2021-02-23T15:38+05.log
以下のいずれかの方法を選択して、バケット内のオブジェクトをリストできます。
次へ
アカウント構成を計画します。 詳しくは、 アカウント構成の計画 を参照してください。