Confluent Cloud の監査ログのトラブルシューティング¶

このセクションでは、監査ログの問題のトラブルシューティングに役立つヒントを紹介します。

クラスターから監査ログイベントが送信されない¶

監査ログが利用できるのは、スタンダードクラスターと専用クラスターだけです。ベーシッククラスタータイプをご使用の場合は、アップグレードを検討してください。

認可されなかったトピックの変更が監査ログメッセージに出力されない¶

専用クラスター上のトピックを変更しようと試みたにもかかわらず、その後、監査ログメッセージにトピックが出力されない場合、一般的な管理ツールの中には、リソースの作成、変更、削除の前に、リソースを記述しようとするものがあることが原因と考えられます。その記述リクエストが失敗するか拒否された場合、後続のリクエストの送信が試行されない可能性があります。そのような場合、監査ログに認証イベントは出力されますが、作成、変更、削除のいずれのリクエストも実行されないため、後続の認可チェックは一切出力されません。

新しく作成したトピックが監査ログメッセージに出力されない¶

API は、ユーザーのトピック作成権限をチェックするとき、まず、任意のトピックを作成するクラスターレベルの権限がそのユーザーにあることを確認しようと試みます。権限がある場合、アクセスは許可されます。権限がない場合、API は 2 回目のチェックを実行し、特定のトピック名（またはその名前を使用したプレフィックス）を作成する権限がそのユーザーにあるかどうかを確かめます。このクラスターレベルのチェックが成功した場合、監査ログイベントには、クラスターの ID は出力されますが、特定のトピックへの参照は含まれません。クラスターレベルの権限チェックでは、トピック名が使用されないためです。

知らない名前が認可チェックに出現している¶

知らないトピック名や存在しないトピック名を含んだ CreateTopics 認可チェックが複数出現している場合があります。Cloud Console インターフェイスへのログインでは、ログインユーザーの権限をチェックして、該当するコントロールのみを表示するために、特定のページで権限チェックの "ドライラン" がバックグラウンド実行されるのが一般的です。こうしたドライランリクエストの認証チェックと認可チェックはログに記録されます。通常、crn:///kafka=lkc-abcde/topic=341e9e2e-f734-439d-8469-4433ce7f627c のような resourceName が割り当てられます。

認証の失敗が監査ログメッセージに出力されない¶

Confluent Cloud では、認証の失敗はすべて内部的に記録されますが、監査ログに渡されるのは、その接続で使用が試みられた、クラスターのいずれかの API キーが有効かつアクティブであり、なおかつシークレットに誤りがある場合だけです。認証の失敗が監査ログメッセージに出力されない場合、それが原因と考えられます。

説明のない識別子が監査ログメッセージに含まれている¶

説明のない識別子（User:12345 など）を使用した監査ログメッセージに遭遇した場合、次のいずれかのコマンドを実行してください。

confluent iam user list
confluent api-key list
confluent iam service-account list

Describe コマンドから何も出力されない¶

監査ログを有効にしている組織であっても、confluent audit-log describe コマンドの実行結果として何も出力されないことがあります。そのような場合、監査ログを有効にする前に、Confluent CLI によって組織の情報がキャッシュされていた可能性があります。キャッシュを更新するには、次のコマンドを実行します。

confluent login --prompt

プロデューサーとコンシューマーのリクエストに対する監査ログメッセージが生成されない¶

監査ログメッセージには、プロデューサーとコンシューマーが接続するときの認証イベントは含まれますが、生成リクエストと消費リクエストそのものは "含まれません"。