IBM Cloud Docs
Code Engine の監査イベント

Code Engine の監査イベント

IBM Cloud® Code Engine サービスを使用すると、IBM Cloud Logs サービス・インスタンスで実行されたユーザー開始のアクティビティーを表示、管理、および監査できます。

IBM Cloud Logs は、IBM Cloud でのサービスの状態を変更するユーザー開始アクティビティーを記録します。 このサービスを使用して、異常なアクティビティーや重大なアクションを調査し、法規上の監査要件を遵守することができます。 アクションが発生した際にそれに関するアラートが通知されるようにすることもできます。 収集されるイベントは、Cloud Auditing Data Federation (CADF) 標準に従っています。 詳しくは、 IBM Cloud Logs を ご覧ください。

監査は、Code Engineダッシュボードを選択して監査を追加する

IBM Cloud コンソールおよび CLI アクションによるイベントのリスト

以下のイベントは、イニシエーターが IBM Cloud Code Engine のコンソールや CLI、あるいは kubectl コマンドや kn コマンドと対話作業を行うと生成されます。 これらのイベントが IBM Cloud Logs に送信されます。

プロジェクト・イベント

以下のアクションがプロジェクト・イベントを生成します。

プロジェクトイベントを生成するアクション
アクション 説明
codeengine.project.create プロジェクトを作成します。
codeengine.project.read プロジェクトに関する情報を取得したり、プロジェクトのリストを作成します。
codeengine.project.update プロジェクトを更新します。
codeengine.project.delete プロジェクトを削除します。
codeengine.projectconfig.read プロジェクトの kubeconfig ファイルを取得します。

アプリケーション・イベント

以下のアクションがアプリケーション・イベントを生成します。

アプリケーションイベントを生成するアクション
アクション 説明
codeengine.application.create プロジェクト内でアプリケーションを作成します。
codeengine.application.read アプリケーションに関する情報を取得します。
codeengine.application.list アプリケーションをリストします。
codeengine.application.update アプリケーションを更新します。
codeengine.application.delete 1 つ以上のアプリケーションを削除します。

構成マップのイベント

以下のアクションが構成マップ・イベントを生成します。

configmapイベントを生成するアクション
アクション 説明
codeengine.configmap.create プロジェクト内で構成マップを作成します。
codeengine.configmap.read 構成マップに関する情報を取得します。
codeengine.configmap.list 構成マップをリストします。
codeengine.configmap.update 構成マップを更新します。
codeengine.configmap.delete 1 つ以上の構成マップを削除します。

シークレットのイベント

以下のアクションがシークレット・イベントを生成します。

シークレットイベントを発生させるアクション
アクション 説明
codeengine.secret.create プロジェクト内でシークレットを作成します。
codeengine.secret.read シークレットに関する情報を取得します。
codeengine.secret.list シークレットをリストします。
codeengine.secret.update シークレットを更新します。
codeengine.secret.delete 1 つ以上のシークレットを削除します。

ビルドおよびビルド実行のイベント

以下のアクションが、ビルドおよびビルド実行のイベントを生成します。

ビルドおよびビルド実行イベントを生成するアクション
アクション 説明
codeengine.build.create プロジェクト内でビルドを作成します。
codeengine.build.read ビルドに関する情報を取得します。
codeengine.build.list ビルドをリストします。
codeengine.build.update ビルドを更新します。
codeengine.build.delete 1 つ以上のビルドを削除します。
codeengine.buildrun.create プロジェクト内でビルド実行を実行依頼します。
codeengine.buildrun.read ビルド実行に関する情報を取得します。
codeengine.buildrun.list ビルド実行をリストします。
codeengine.buildrun.delete 1 つ以上のビルド実行を削除します。

ジョブおよびジョブ実行のイベント

以下のアクションが、ジョブおよびジョブ実行のイベントを生成します。

ジョブおよびジョブ実行イベントを生成するアクション
アクション 説明
codeengine.job.create プロジェクト内でジョブを作成します。
codeengine.job.read ジョブに関する情報を取得します。
codeengine.job.list ジョブをリストします。
codeengine.job.update ジョブを更新します。
codeengine.job.delete 1 つ以上のジョブを削除します。
codeengine.jobrun.create ジョブ実行を実行依頼します。
codeengine.jobrun.read ジョブ実行に関する情報を取得します。
codeengine.jobrun.list ジョブ実行をリストします。
codeengine.jobrun.delete 1 つ以上のジョブ実行を削除します。

サブスクリプションのイベント

以下のアクションがサブスクリプション・イベントを生成します。

購読イベントを生成するアクション
アクション 説明
codeengine.subscription.create プロジェクト内でサブスクリプションを作成します。
codeengine.subscription.read サブスクリプションに関する情報を取得します。
codeengine.subscription.list サブスクリプションをリストします。
codeengine.subscription.update サブスクリプションを更新します。
codeengine.subscription.delete 1 つ以上のサブスクリプションを削除します。

kubectl コマンドと kn コマンドによるイベントのリスト

以下のイベントは、イニシエーターが kubectl コマンドや kn コマンドと対話作業を行うと生成されます。 これらのイベントが IBM Cloud Logs に送信されます。

ポッド・イベント

以下のアクションがポッド・イベントを生成します。

ポッドイベントを生成するアクション
アクション 説明
codeengine.pods.create プロジェクト内でポッドを作成します。
codeengine.pods.read ポッドに関する情報を取得します。
codeengine.pods.list ポッドをリストします。
codeengine.pods.update ポッドを更新します。
codeengine.pods.delete ポッドを削除します。

サービス・アカウントのイベント

以下のアクションがサービス・アカウント・イベントを生成します。

サービスアカウントのイベントを生成するアクション
アクション 説明
codeengine.serviceaccounts.read サービス・アカウントに関する情報を取得します。
codeengine.serviceaccounts.list サービス・アカウントをリストします。

イベントのイベント

以下のアクションがイベント・タイプ・イベントを生成します。

イベント・タイプ・イベントを生成するアクション
アクション 説明
codeengine.events.read イベントに関する情報を取得します。
codeengine.events.list イベントをリストします。

リソース割り当て量のイベント

以下のアクションがリソース割り当て量イベントを生成します。

リソース割り当て量のイベントを生成するアクション
アクション 説明
codeengine.resourcequotas.read リソース割り当て量に関する情報を取得します。
codeengine.resourcequotas.list リソース割り当て量をリストします。

制限範囲のイベント

以下のアクションが制限範囲イベントを生成します。

制限範囲のイベントを生成するアクション
アクション 説明
codeengine.limitranges.read 制限範囲に関する情報を取得します。
codeengine.limitranges.list 制限範囲をリストします。

デプロイメント・イベント

以下のアクションがデプロイメント・イベントを生成します。

デプロイメント・イベントを生成するアクション
アクション 説明
codeengine.deployments.read デプロイメントに関する情報を取得します。
codeengine.deployments.list デプロイメントをリストします。

サービス・バインディングのイベント

以下のアクションがサービス・バインディング・イベントを生成します。

サービス・バインディング・イベントを生成するアクション
アクション 説明
codeengine.servicebindings.create プロジェクト内でサービス・バインディングを作成します。
codeengine.servicebindings.read サービス・バインディングに関する情報を取得します。
codeengine.servicebindings.list サービス・バインディングをリストします。
codeengine.servicebindings.update サービス・バインディングを更新します。
codeengine.servicebindings.delete サービス・バインディングを削除します。

注:

  • 更新イベントに元の値は含まれません。要求本体で指定された新しい値のみが含まれます。 元の値を検出するには、更新アクションを実行する前に、読み取りアクションを実行できます。
  • requestData フィールドには、要求本体とアクションの動詞を含めます。
  • responseData フィールドには、アクションの応答本体を含めます。
  • 一部のアクション (codeengine.pods.list アクションや codeengine.pods.get アクションなど) では、イベントの長さが 16 K を超える場合があります。 このイベント長が発生すると、responseDataフィールドは Information about the action is not included for performance and size reasons. に設定されます。

イベントの表示

IBM Cloud Code Engine に監査ログを送る。 IBM Cloud LogsIBM Cloud Code Engine プロジェクトと同じリージョンのサービスに監査ログを送信します。 例えば、us-south の IBM Cloud Code Engine プロジェクトの監査ログは、us-south のロギング・インスタンスに送信されます。 IBM Cloud Logs のセットアップについて詳しくは、インスタンスのプロビジョニングを参照してください。

イベントの分析

IBM Cloud Logs によって取り込まれたイベントを表示した後、イベントを分析できます。

イベントを生成するCode Engineプロジェクトの識別
イベントが生成されたプロジェクトを識別するには、target.id フィールドを参照してください。 このフィールドを使用して Log Analysis 内のイベントをフィルター操作できます。例えば、特定のプロジェクトのみのイベントを表示できます。
CLI を使用して、プロジェクトに関する詳細を確認できます。
要求の固有 ID の取得
Code Engine プロジェクト・リソースで実行する各アクションには固有 ID があります。
要求の固有 ID を検出するには、correlationId フィールドに設定されている correlationId 値を調べます。
失敗に関する情報の取得
失敗したアクションに対して発行されたすべてのイベントでは、failure フィールドに outcome と表示されます。さらに、reason フィールドの一部として詳細情報が提供されます。 なお、reason.reasonForFailure フィールドには失敗の詳細が含まれるため、特に役立つことがあります。
カスタム・ビュー
イベントフィールドを使用してカスタムビューを生成する方法の詳細については、 IBM Cloud Logs のカスタムビューの 管理を参照してください。