1. Home
  2. Cloud
  3. ログおよびモニタリング
  4. 監査ログ

重要

このページの日本語コンテンツは古くなっている可能性があります。最新の英語版コンテンツをご覧になるには、こちらをクリックしてください。

監査ログレコードの概要

イベントには発生に関するコンテキストとデータが含まれています。Confluent Cloud の監査ログレコードごとに、イベントソース(source)に関連するすべてのイベントで一意の識別子(id)が含まれています。

各監査ログレコードは以下の情報で構成されています。

  • イベントコンテキスト
    • ソース、イベントのタイプ、データのコンテンツタイプ、サブジェクト、時間など、イベントに関するメタデータ。
  • イベントデータ
    • サービス名、メソッド名、リソース名、認証、認可、リクエストなど、イベントデータに関する詳細。

注釈

監査可能イベントメッセージにはイベントの内容が取り込まれません。監査ログレコードはイベントが発生したことを通知し、イベントコンテキストとイベントデータに関するメタデータのみを含みます。

監査ログレコードの例

次の監査ログレコードの例は、ユーザーが新しいトピックを作成するときにクラスターから返される監査ログメッセージの内容を示しています。

{
    "id": "fc0f727d-899a-4a22-ad8b-a866871a9d37",
    "source": "crn://confluent.cloud/kafka=lkc-a1b2c",
    "specversion": "1.0",
    "type": "io.confluent.kafka.server/authorization",
    "datacontenttype": "application/json",
    "subject": "crn://confluent.cloud/kafka=lkc-a2b2c",
    "time": "2021-01-01T12:34:56.789Z",
    "data": {
        "serviceName": "crn://confluent.cloud/kafka=lkc-a1b2c",
        "methodName": "kafka.CreateTopics",
        "resourceName": "crn://confluent.cloud/kafka=lkc-a1b2c/topic=departures",
        "authenticationInfo": {
            "principal": "User:123456"
        },
        "authorizationInfo": {
            "granted": true,
            "operation": "DescribeConfigs",
            "resourceType": "Topic",
            "resourceName": "departures",
            "patternType": "LITERAL",
            "superUserAuthorization": true
        },
        "request": {
            "correlationId": "123",
            "clientId": "adminclient-42"
        }
    }
}

この例では、イベントコンテキストのプロパティ がイベント発生のメタデータに関連する値を指定しています。

  • 監査可能イベントメッセージの source は Confluent Resource Name(CRN) crn://confluent.cloud/kafka=lkc-a1b2c で定義されます。この場合、イベントが Kafka クラスター lkc-a1b2s で発生したことを示しています。
  • イベントの type である io.confluent.kafka.server/authorization は、監査可能イベントメッセージが認可チェックの結果としてトリガーされたことを示しています。
  • time は認可イベントのタイムスタンプを示します。

イベントデータのプロパティ セクションの data ペイロードには、認可イベントのイベントデータの詳細が含まれています。

  • serviceName は Kafka クラスター lkc-a1b2s で発生したイベントを示しています。
  • methodName は認可がトピック作成のためのものであったことを示しています。
  • resourceName はトピックが departures であることを示しています。
  • authenticationInfo は認証済みのユーザーアカウントが 123456 であったことを示しています。
  • authorizationInfo セクションは、トピック departures に対して操作 DescribeConfigs を実行するために認可が付与されたことを示しています。
  • request セクションにはリクエストの相関識別子とクライアント識別子が含まれます。

すべてのイベントコンテキストおよびイベントデータのプロパティの詳細については、次の 2 つのセクションで説明します。

イベントコンテキストのプロパティ

監査ログエントリの最初のセクションには、一意の識別子、イベントのソース、イベントログスキーマのバージョン、イベントのタイプ、データのコンテンツタイプ、イベントのサブジェクト、イベントの発生時間など、イベントに関するコンテキスト情報が含まれます。

イベントコンテキストのプロパティ 説明
id すべてのソースを対象にした一意性を保証する、ランダムに生成された UUID。
source 監査可能イベントのソースの場所。Kafka クラスター上のイベントの場合、クラスターを識別する Confluent Resource Name(CRN) です。その他のイベントの場合、最上位の CRN(crn://confluent.cloud/)です。
subject 監査可能イベントの影響を受けるリソース。Kafka クラスターの場合、クラスター自体の CRN です。その他のリソースの場合、そのリソースの CRN です。
specversion 使用している CloudEvents 仕様のバージョン。
type

発生するイベントのタイプ。このプロパティの値は、他の特定のイベントプロパティの存在または不在に応じて変わります。指定可能なタイプは次のとおりです。

  • io.confluent.kafka.server/authentication
  • io.confluent.kafka.server/authorization
  • io.confluent.cloud/request

詳細については、「監査ログイベントスキーマのファイル」を参照してください。
datacontenttype 監査ログデータを提示する CloudEvent フォーマット(JSON)。
time イベントの発生時間を示す RFC 3339 フォーマット のタイムスタンプ。

イベントデータのプロパティ

イベントペイロードは datacontenttype コンテキストプロパティで指定されているメディアフォーマットにエンコードされます。

データプロパティはすべて監査ログレコードの data セクションに含まれています。これらのプロパティはイベントタイプ間で異なるため、以下のイベントデータごとにセクションを分けて説明します。

認証イベントデータのプロパティ

イベントタイプ: io.confluent.kafka.server/authentication

イベントデータのプロパティ 説明
data 監査可能イベントのイベントデータペイロード。
methodName 常に kafka.Authentication
serviceName プリンシパルが認証を試行している Kafka クラスターの CRN。
resourceName プリンシパルが認証を試行している Kafka クラスターの CRN。
authenticationInfo 認証対象のプリンシパル(ユーザーまたはサービスアカウント)の詳細。
result 認証の結果。

認可イベントデータのプロパティ

イベントタイプ: io.confluent.kafka.server/authorization

イベントデータのプロパティ 説明
data 監査可能イベントのイベントデータペイロード。
methodName 認可を実行する対象となる操作のタイプ。Kafka クラスター上のリソースの場合、methodName プロパティの先頭に "kafka." プレフィックスが付きます。それ以外の場所のリソースの場合、methodName は "mds.Authorize" です。
serviceName この監査ログを生成したサービス。Kafka クラスター上の認可の場合、その特定の Kafka クラスターの CRN です。それ以外の場所の認可の場合、最上位の Confluent Cloud CRN です。
resourceName 認可のリクエスト対象であったリソースの正規の CRN。新しいリソースを作成する場合は、エンティティが存在していない段階で認可がチェックされます。このため、含まれている CRN はエンティティそのものではなく親スコープのものです。
authenticationInfo 認可のチェック対象となったプリンシパルの詳細。ネスト化されたプロパティについては、「監査ログイベントスキーマのファイル」を参照してください。
authorizationInfo リソースタイプの詳細、適用されている認可ポリシー、認可が付与されたかどうか。
request リクエストにユーザーが指定した追加の情報。

組織イベントデータのプロパティ

イベントタイプ: io.confluent.cloud/request

イベントデータのプロパティ 説明
data 監査可能イベントのイベントデータペイロード。
methodName 監査可能イベントメッセージをトリガーしたリクエストのタイプ。
serviceName 最上位の Confluent Cloud CRN(crn://confluent.cloud
resourceName 影響を受けたリソースの CRN。
cloudResources 組織イベントの影響を受けたリソースのリスト。
authenticationInfo リクエストを行ったプリンシパル(ユーザーまたはサービスアカウント)の詳細。
requestMetadata 単一のユーザーアカウントによってトリガーされた複数の監査可能イベントアクションを関連付けるために使用できる、クライアント IP アドレスなどの追加のメタデータ。1 つのユーザーアカウントによる 1 つのアクション(例: Kafka クラスター作成の試行)で、複数の監査ログレコードが生成される場合があります(認可チェック、結果または応答など)。リクエスト ID を使用してこれらの監査ログレコードを結び付けることができます。
request リクエストの内容に関する詳細。
result リクエストによって発生した結果(作成されたリソースなど)。

Confluent Resource Name(CRN)

Confluent Resource Names(CRN)は、Kafka クラスター、トピック、またはコンシューマーグループなどのリソースを一意に識別するための統一された方法であり、監査ログで使用されます。

各 CRN は、関連する Confluent リソースを一意に識別する URI(Uniform Resource Identifier)であり、crn:// から始まります。

CRN の例を以下に示します。

crn://confluent.cloud/organization=fc5ba16d-661d-474c-85df-c2a1ed26032c/environment=env-pqr45/cloud-cluster=lkc-a1b2c/kafka=lkc-a1b2c

この内容は以下のように解釈します。

  • 認可イベントは Kafka クラスター kafka=lkc-a1b2c で発生した。
  • Kafka クラスターは環境 environment=env-pqr45 に存在する。
  • 環境は組織 organization=fc5ba16d-661d-474c-85df-c2a1ed26032c に存在する。

以下の CRN は、最も一般的に使用される Confluent Cloud リソースを識別します。

クラスターリソースの CRN

この CRN は、Kafka クラスターを識別します。

例:

crn://confluent.cloud/organization=fc5ba16d-661d-474c-85df-c2a1ed26032c/environment=env-pqr45/cloud-cluster=lkc-a1b2c/kafka=lkc-a1b2c
crn://confluent.cloud/kafka=lkc-a1b2c
トピックの CRN

この CRN は、Confluent Cloud トピックを識別します。

例:

crn://confluent.cloud/kafka=lkc-a1b2c/topic=my-topic
サービスアカウントの CRN

この CRN は、Confluent Cloud サービスアカウントを識別します。

例:

crn://confluent.cloud/organization=fc5ba16d-661d-474c-85df-c2a1ed26032c/service-account=sa-ymnkzp
crn://confluent.cloud/organization=fc5ba16d-661d-474c-85df-c2a1ed26032c/service-account=sa-x8y9z0
crn://confluent.cloud/organization=fc5ba16d-661d-474c-85df-c2a1ed26032c/service-account=%2A
スキーマレジストリ の CRN

この CRN は、Confluent Cloud スキーマレジストリ を識別します。

例:

crn://confluent.cloud/organization=fc5ba16d-661d-474c-85df-c2a1ed26032c/environment=env-pqr45/schema-registry=lsrc-m1n2o

CRN の詳細については、「Confluent Resource Name」を参照してください。