Code Engine の監査イベント
IBM Cloud® Code Engine サービスを使用すると、IBM Cloud Logs サービス・インスタンスで実行されたユーザー開始のアクティビティーを表示、管理、および監査できます。
IBM Cloud Logs は、IBM Cloud でのサービスの状態を変更するユーザー開始アクティビティーを記録します。 このサービスを使用して、異常なアクティビティーや重大なアクションを調査し、法規上の監査要件を遵守することができます。 アクションが発生した際にそれに関するアラートが通知されるようにすることもできます。 収集されるイベントは、Cloud Auditing Data Federation (CADF) 標準に従っています。 詳しくは、 IBM Cloud Logs を ご覧ください。
監査は、Code Engineダッシュボードを選択して監査を追加する。
IBM Cloud コンソールおよび CLI アクションによるイベントのリスト
以下のイベントは、イニシエーターが IBM Cloud Code Engine のコンソールや CLI、あるいは kubectl
コマンドや kn
コマンドと対話作業を行うと生成されます。 これらのイベントが IBM Cloud Logs に送信されます。
プロジェクト・イベント
以下のアクションがプロジェクト・イベントを生成します。
アクション | 説明 |
---|---|
codeengine.project.create |
プロジェクトを作成します。 |
codeengine.project.read |
プロジェクトに関する情報を取得したり、プロジェクトのリストを作成します。 |
codeengine.project.update |
プロジェクトを更新します。 |
codeengine.project.delete |
プロジェクトを削除します。 |
codeengine.projectconfig.read |
プロジェクトの kubeconfig ファイルを取得します。 |
アプリケーション・イベント
以下のアクションがアプリケーション・イベントを生成します。
アクション | 説明 |
---|---|
codeengine.application.create |
プロジェクト内でアプリケーションを作成します。 |
codeengine.application.read |
アプリケーションに関する情報を取得します。 |
codeengine.application.list |
アプリケーションをリストします。 |
codeengine.application.update |
アプリケーションを更新します。 |
codeengine.application.delete |
1 つ以上のアプリケーションを削除します。 |
構成マップのイベント
以下のアクションが構成マップ・イベントを生成します。
アクション | 説明 |
---|---|
codeengine.configmap.create |
プロジェクト内で構成マップを作成します。 |
codeengine.configmap.read |
構成マップに関する情報を取得します。 |
codeengine.configmap.list |
構成マップをリストします。 |
codeengine.configmap.update |
構成マップを更新します。 |
codeengine.configmap.delete |
1 つ以上の構成マップを削除します。 |
シークレットのイベント
以下のアクションがシークレット・イベントを生成します。
アクション | 説明 |
---|---|
codeengine.secret.create |
プロジェクト内でシークレットを作成します。 |
codeengine.secret.read |
シークレットに関する情報を取得します。 |
codeengine.secret.list |
シークレットをリストします。 |
codeengine.secret.update |
シークレットを更新します。 |
codeengine.secret.delete |
1 つ以上のシークレットを削除します。 |
ビルドおよびビルド実行のイベント
以下のアクションが、ビルドおよびビルド実行のイベントを生成します。
アクション | 説明 |
---|---|
codeengine.build.create |
プロジェクト内でビルドを作成します。 |
codeengine.build.read |
ビルドに関する情報を取得します。 |
codeengine.build.list |
ビルドをリストします。 |
codeengine.build.update |
ビルドを更新します。 |
codeengine.build.delete |
1 つ以上のビルドを削除します。 |
codeengine.buildrun.create |
プロジェクト内でビルド実行を実行依頼します。 |
codeengine.buildrun.read |
ビルド実行に関する情報を取得します。 |
codeengine.buildrun.list |
ビルド実行をリストします。 |
codeengine.buildrun.delete |
1 つ以上のビルド実行を削除します。 |
ジョブおよびジョブ実行のイベント
以下のアクションが、ジョブおよびジョブ実行のイベントを生成します。
アクション | 説明 |
---|---|
codeengine.job.create |
プロジェクト内でジョブを作成します。 |
codeengine.job.read |
ジョブに関する情報を取得します。 |
codeengine.job.list |
ジョブをリストします。 |
codeengine.job.update |
ジョブを更新します。 |
codeengine.job.delete |
1 つ以上のジョブを削除します。 |
codeengine.jobrun.create |
ジョブ実行を実行依頼します。 |
codeengine.jobrun.read |
ジョブ実行に関する情報を取得します。 |
codeengine.jobrun.list |
ジョブ実行をリストします。 |
codeengine.jobrun.delete |
1 つ以上のジョブ実行を削除します。 |
サブスクリプションのイベント
以下のアクションがサブスクリプション・イベントを生成します。
アクション | 説明 |
---|---|
codeengine.subscription.create |
プロジェクト内でサブスクリプションを作成します。 |
codeengine.subscription.read |
サブスクリプションに関する情報を取得します。 |
codeengine.subscription.list |
サブスクリプションをリストします。 |
codeengine.subscription.update |
サブスクリプションを更新します。 |
codeengine.subscription.delete |
1 つ以上のサブスクリプションを削除します。 |
kubectl
コマンドと kn
コマンドによるイベントのリスト
以下のイベントは、イニシエーターが kubectl
コマンドや kn
コマンドと対話作業を行うと生成されます。 これらのイベントが IBM Cloud Logs に送信されます。
ポッド・イベント
以下のアクションがポッド・イベントを生成します。
アクション | 説明 |
---|---|
codeengine.pods.create |
プロジェクト内でポッドを作成します。 |
codeengine.pods.read |
ポッドに関する情報を取得します。 |
codeengine.pods.list |
ポッドをリストします。 |
codeengine.pods.update |
ポッドを更新します。 |
codeengine.pods.delete |
ポッドを削除します。 |
サービス・アカウントのイベント
以下のアクションがサービス・アカウント・イベントを生成します。
アクション | 説明 |
---|---|
codeengine.serviceaccounts.read |
サービス・アカウントに関する情報を取得します。 |
codeengine.serviceaccounts.list |
サービス・アカウントをリストします。 |
イベントのイベント
以下のアクションがイベント・タイプ・イベントを生成します。
アクション | 説明 |
---|---|
codeengine.events.read |
イベントに関する情報を取得します。 |
codeengine.events.list |
イベントをリストします。 |
リソース割り当て量のイベント
以下のアクションがリソース割り当て量イベントを生成します。
アクション | 説明 |
---|---|
codeengine.resourcequotas.read |
リソース割り当て量に関する情報を取得します。 |
codeengine.resourcequotas.list |
リソース割り当て量をリストします。 |
制限範囲のイベント
以下のアクションが制限範囲イベントを生成します。
アクション | 説明 |
---|---|
codeengine.limitranges.read |
制限範囲に関する情報を取得します。 |
codeengine.limitranges.list |
制限範囲をリストします。 |
デプロイメント・イベント
以下のアクションがデプロイメント・イベントを生成します。
アクション | 説明 |
---|---|
codeengine.deployments.read |
デプロイメントに関する情報を取得します。 |
codeengine.deployments.list |
デプロイメントをリストします。 |
サービス・バインディングのイベント
以下のアクションがサービス・バインディング・イベントを生成します。
アクション | 説明 |
---|---|
codeengine.servicebindings.create |
プロジェクト内でサービス・バインディングを作成します。 |
codeengine.servicebindings.read |
サービス・バインディングに関する情報を取得します。 |
codeengine.servicebindings.list |
サービス・バインディングをリストします。 |
codeengine.servicebindings.update |
サービス・バインディングを更新します。 |
codeengine.servicebindings.delete |
サービス・バインディングを削除します。 |
注:
- 更新イベントに元の値は含まれません。要求本体で指定された新しい値のみが含まれます。 元の値を検出するには、更新アクションを実行する前に、読み取りアクションを実行できます。
requestData
フィールドには、要求本体とアクションの動詞を含めます。responseData
フィールドには、アクションの応答本体を含めます。- 一部のアクション (
codeengine.pods.list
アクションやcodeengine.pods.get
アクションなど) では、イベントの長さが 16 K を超える場合があります。 このイベント長が発生すると、responseData
フィールドはInformation about the action is not included for performance and size reasons.
に設定されます。
イベントの表示
IBM Cloud Code Engine に監査ログを送る。 IBM Cloud LogsIBM Cloud Code Engine プロジェクトと同じリージョンのサービスに監査ログを送信します。 例えば、us-south
の IBM Cloud Code Engine プロジェクトの監査ログは、us-south
のロギング・インスタンスに送信されます。 IBM Cloud Logs のセットアップについて詳しくは、インスタンスのプロビジョニングを参照してください。
イベントの分析
IBM Cloud Logs によって取り込まれたイベントを表示した後、イベントを分析できます。
- イベントを生成するCode Engineプロジェクトの識別
- イベントが生成されたプロジェクトを識別するには、
target.id
フィールドを参照してください。 このフィールドを使用して Log Analysis 内のイベントをフィルター操作できます。例えば、特定のプロジェクトのみのイベントを表示できます。 - CLI を使用して、プロジェクトに関する詳細を確認できます。
- 要求の固有 ID の取得
- Code Engine プロジェクト・リソースで実行する各アクションには固有 ID があります。
- 要求の固有 ID を検出するには、
correlationId
フィールドに設定されているcorrelationId
値を調べます。 - 失敗に関する情報の取得
- 失敗したアクションに対して発行されたすべてのイベントでは、
failure
フィールドにoutcome
と表示されます。さらに、reason
フィールドの一部として詳細情報が提供されます。 なお、reason.reasonForFailure
フィールドには失敗の詳細が含まれるため、特に役立つことがあります。 - カスタム・ビュー
- イベントフィールドを使用してカスタムビューを生成する方法の詳細については、 IBM Cloud Logs のカスタムビューの 管理を参照してください。