重要
このページの日本語コンテンツは古くなっている可能性があります。最新の英語版コンテンツをご覧になるには、こちらをクリックしてください。
監査ログレコードの概要¶
イベントには発生に関するコンテキストとデータが含まれています。Confluent Cloud の監査ログレコードごとに、イベントソース(source
)に関連するすべてのイベントで一意の識別子(id
)が含まれています。
各監査ログレコードは以下の情報で構成されています。
- イベントコンテキスト
- ソース、イベントのタイプ、データのコンテンツタイプ、サブジェクト、時間など、イベントに関するメタデータ。
- イベントデータ
- サービス名、メソッド名、リソース名、認証、認可、リクエストなど、イベントデータに関する詳細。
注釈
監査可能イベントメッセージにはイベントの内容が取り込まれません。監査ログレコードはイベントが発生したことを通知し、イベントコンテキストとイベントデータに関するメタデータのみを含みます。
監査ログレコードの例¶
次の監査ログレコードの例は、ユーザーが新しいトピックを作成するときにクラスターから返される監査ログメッセージの内容を示しています。
{
"id": "fc0f727d-899a-4a22-ad8b-a866871a9d37",
"source": "crn://confluent.cloud/kafka=lkc-a1b2c",
"specversion": "1.0",
"type": "io.confluent.kafka.server/authorization",
"datacontenttype": "application/json",
"subject": "crn://confluent.cloud/kafka=lkc-a2b2c",
"time": "2021-01-01T12:34:56.789Z",
"data": {
"serviceName": "crn://confluent.cloud/kafka=lkc-a1b2c",
"methodName": "kafka.CreateTopics",
"resourceName": "crn://confluent.cloud/kafka=lkc-a1b2c/topic=departures",
"authenticationInfo": {
"principal": "User:123456"
},
"authorizationInfo": {
"granted": true,
"operation": "DescribeConfigs",
"resourceType": "Topic",
"resourceName": "departures",
"patternType": "LITERAL",
"superUserAuthorization": true
},
"request": {
"correlationId": "123",
"clientId": "adminclient-42"
}
}
}
この例では、イベントコンテキストのプロパティ がイベント発生のメタデータに関連する値を指定しています。
- 監査可能イベントメッセージの
source
は Confluent Resource Name(CRN)crn://confluent.cloud/kafka=lkc-a1b2c
で定義されます。この場合、イベントが Kafka クラスターlkc-a1b2s
で発生したことを示しています。 - イベントの
type
であるio.confluent.kafka.server/authorization
は、監査可能イベントメッセージが認可チェックの結果としてトリガーされたことを示しています。 time
は認可イベントのタイムスタンプを示します。
イベントデータのプロパティ セクションの data
ペイロードには、認可イベントのイベントデータの詳細が含まれています。
serviceName
は Kafka クラスターlkc-a1b2s
で発生したイベントを示しています。methodName
は認可がトピック作成のためのものであったことを示しています。resourceName
はトピックがdepartures
であることを示しています。authenticationInfo
は認証済みのユーザーアカウントが123456
であったことを示しています。authorizationInfo
セクションは、トピックdepartures
に対して操作DescribeConfigs
を実行するために認可が付与されたことを示しています。request
セクションにはリクエストの相関識別子とクライアント識別子が含まれます。
すべてのイベントコンテキストおよびイベントデータのプロパティの詳細については、次の 2 つのセクションで説明します。
イベントコンテキストのプロパティ¶
監査ログエントリの最初のセクションには、一意の識別子、イベントのソース、イベントログスキーマのバージョン、イベントのタイプ、データのコンテンツタイプ、イベントのサブジェクト、イベントの発生時間など、イベントに関するコンテキスト情報が含まれます。
イベントコンテキストのプロパティ | 説明 |
---|---|
id |
すべてのソースを対象にした一意性を保証する、ランダムに生成された UUID。 |
source |
監査可能イベントのソースの場所。Kafka クラスター上のイベントの場合、クラスターを識別する Confluent Resource Name(CRN) です。その他のイベントの場合、最上位の CRN(crn://confluent.cloud/ )です。 |
subject |
監査可能イベントの影響を受けるリソース。Kafka クラスターの場合、クラスター自体の CRN です。その他のリソースの場合、そのリソースの CRN です。 |
specversion |
使用している CloudEvents 仕様のバージョン。 |
type |
発生するイベントのタイプ。このプロパティの値は、他の特定のイベントプロパティの存在または不在に応じて変わります。指定可能なタイプは次のとおりです。
詳細については、「監査ログイベントスキーマのファイル」を参照してください。 |
datacontenttype |
監査ログデータを提示する CloudEvent フォーマット(JSON)。 |
time |
イベントの発生時間を示す RFC 3339 フォーマット のタイムスタンプ。 |
イベントデータのプロパティ¶
イベントペイロードは datacontenttype
コンテキストプロパティで指定されているメディアフォーマットにエンコードされます。
データプロパティはすべて監査ログレコードの data
セクションに含まれています。これらのプロパティはイベントタイプ間で異なるため、以下のイベントデータごとにセクションを分けて説明します。
- 認証イベントデータ (
io.confluent.kafka/authentication
) - 認可イベントデータ (
.io.confluent.kafka/authorization
) - 組織イベントデータ (
io.confluent.cloud/request
)
認証イベントデータのプロパティ¶
イベントタイプ: io.confluent.kafka.server/authentication
イベントデータのプロパティ | 説明 |
---|---|
data |
監査可能イベントのイベントデータペイロード。 |
methodName |
常に kafka.Authentication 。 |
serviceName |
プリンシパルが認証を試行している Kafka クラスターの CRN。 |
resourceName |
プリンシパルが認証を試行している Kafka クラスターの CRN。 |
authenticationInfo |
認証対象のプリンシパル(ユーザーまたはサービスアカウント)の詳細。 |
result |
認証の結果。 |
認可イベントデータのプロパティ¶
イベントタイプ: io.confluent.kafka.server/authorization
イベントデータのプロパティ | 説明 |
---|---|
data |
監査可能イベントのイベントデータペイロード。 |
methodName |
認可を実行する対象となる操作のタイプ。Kafka クラスター上のリソースの場合、methodName プロパティの先頭に "kafka." プレフィックスが付きます。それ以外の場所のリソースの場合、methodName は "mds.Authorize" です。 |
serviceName |
この監査ログを生成したサービス。Kafka クラスター上の認可の場合、その特定の Kafka クラスターの CRN です。それ以外の場所の認可の場合、最上位の Confluent Cloud CRN です。 |
resourceName |
認可のリクエスト対象であったリソースの正規の CRN。新しいリソースを作成する場合は、エンティティが存在していない段階で認可がチェックされます。このため、含まれている CRN はエンティティそのものではなく親スコープのものです。 |
authenticationInfo |
認可のチェック対象となったプリンシパルの詳細。ネスト化されたプロパティについては、「監査ログイベントスキーマのファイル」を参照してください。 |
authorizationInfo |
リソースタイプの詳細、適用されている認可ポリシー、認可が付与されたかどうか。 |
request |
リクエストにユーザーが指定した追加の情報。 |
組織イベントデータのプロパティ¶
イベントタイプ: io.confluent.cloud/request
イベントデータのプロパティ | 説明 |
---|---|
data |
監査可能イベントのイベントデータペイロード。 |
methodName |
監査可能イベントメッセージをトリガーしたリクエストのタイプ。 |
serviceName |
最上位の Confluent Cloud CRN(crn://confluent.cloud ) |
resourceName |
影響を受けたリソースの CRN。 |
cloudResources |
組織イベントの影響を受けたリソースのリスト。 |
authenticationInfo |
リクエストを行ったプリンシパル(ユーザーまたはサービスアカウント)の詳細。 |
requestMetadata |
単一のユーザーアカウントによってトリガーされた複数の監査可能イベントアクションを関連付けるために使用できる、クライアント IP アドレスなどの追加のメタデータ。1 つのユーザーアカウントによる 1 つのアクション(例: Kafka クラスター作成の試行)で、複数の監査ログレコードが生成される場合があります(認可チェック、結果または応答など)。リクエスト ID を使用してこれらの監査ログレコードを結び付けることができます。 |
request |
リクエストの内容に関する詳細。 |
result |
リクエストによって発生した結果(作成されたリソースなど)。 |
Confluent Resource Name(CRN)¶
Confluent Resource Names(CRN)は、Kafka クラスター、トピック、またはコンシューマーグループなどのリソースを一意に識別するための統一された方法であり、監査ログで使用されます。
各 CRN は、関連する Confluent リソースを一意に識別する URI(Uniform Resource Identifier)であり、crn://
から始まります。
CRN の例を以下に示します。
crn://confluent.cloud/organization=fc5ba16d-661d-474c-85df-c2a1ed26032c/environment=env-pqr45/cloud-cluster=lkc-a1b2c/kafka=lkc-a1b2c
この内容は以下のように解釈します。
- 認可イベントは Kafka クラスター
kafka=lkc-a1b2c
で発生した。 - Kafka クラスターは環境
environment=env-pqr45
に存在する。 - 環境は組織
organization=fc5ba16d-661d-474c-85df-c2a1ed26032c
に存在する。
以下の CRN は、最も一般的に使用される Confluent Cloud リソースを識別します。
- クラスターリソースの CRN
この CRN は、Kafka クラスターを識別します。
例:
crn://confluent.cloud/organization=fc5ba16d-661d-474c-85df-c2a1ed26032c/environment=env-pqr45/cloud-cluster=lkc-a1b2c/kafka=lkc-a1b2c crn://confluent.cloud/kafka=lkc-a1b2c
- トピックの CRN
この CRN は、Confluent Cloud トピックを識別します。
例:
crn://confluent.cloud/kafka=lkc-a1b2c/topic=my-topic
- サービスアカウントの CRN
この CRN は、Confluent Cloud サービスアカウントを識別します。
例:
crn://confluent.cloud/organization=fc5ba16d-661d-474c-85df-c2a1ed26032c/service-account=sa-ymnkzp crn://confluent.cloud/organization=fc5ba16d-661d-474c-85df-c2a1ed26032c/service-account=sa-x8y9z0 crn://confluent.cloud/organization=fc5ba16d-661d-474c-85df-c2a1ed26032c/service-account=%2A
- スキーマレジストリ の CRN
この CRN は、Confluent Cloud スキーマレジストリ を識別します。
例:
crn://confluent.cloud/organization=fc5ba16d-661d-474c-85df-c2a1ed26032c/environment=env-pqr45/schema-registry=lsrc-m1n2o
CRN の詳細については、「Confluent Resource Name」を参照してください。