Bastionhost は、運用保守 (O&M) レコードである監査ログを Simple Log Service (SLS) にアーカイブすることをサポートしています。ログアーカイブを設定すると、Bastionhost は監査ログをリアルタイムで自動的に SLS に転送します。このトピックでは、監査ログを SLS にアーカイブする方法について説明します。
設定完了後に生成された監査ログのみがアーカイブ可能です。設定前に作成された監査ログはアーカイブできません。
背景情報
監査ログは Bastionhost ユーザーの操作レコードであり、セッションコマンド監査と操作ログが含まれます。デフォルトでは、Bastionhost はログを 180 日間のみ保持します。監査ログをより長期間保持するには、SLS にアーカイブできます。ログを SLS にアーカイブすると、SLS を使用してクエリや分析、保持期間のカスタマイズ、Splunk などのサードパーティプラットフォームへの転送ができます。詳細については、「クエリと分析」または「Alibaba Cloud Simple Log Service Splunk Add-on」をご参照ください。
SLS への監査ログのアーカイブは、Bastionhost に保存されているログには影響しません。Session Audit ページで引き続き監査ログを表示できます。詳細については、「セッションの検索と表示」をご参照ください。
手順
Simple Log Service コンソールにログインします。
画面の指示に従って Simple Log Service をアクティブ化します。
ログ監査サービスページに移動します。
重要2025 年 1 月 21 日以降、ログ監査サービスコンソールへのエントリポイントは削除されます。ただし、この日付より前にサービスを有効化したユーザーには引き続き表示されます。旧バージョンを使用する必要がある新規ユーザーは、新しいログ監査サービスに移動し、その [旧バージョンに戻る] 機能を使用できます。詳細については、「ログ監査 (旧バージョン)」をご参照ください。
左側のナビゲーションウィンドウで、[クラウドネイティブモード] > [グローバル設定] を選択します。次に、監査情報を次のように設定します。
[中央プロジェクトのリージョン] ドロップダウンリストから、集中ログストレージのターゲットリージョンを選択します。
クラウドプロダクトのリストで、Bastionhost [操作ログ] のスイッチをオンにし、[ストレージメソッド] で保持期間を設定します。
Bastionhost 監査ログを表示します。
左側のナビゲーションウィンドウで、
アイコンをクリックします。[集中化] > [Bastionhost] を選択して、監査ログを表示します。
次の表に、Simple Log Service (SLS) に転送される Bastionhost 監査ログのログフィールドを示します。
SLS ログフィールド
説明
__topic__
ログの Topic。値は `bastionhost` に固定されます。
owner_id
Alibaba Cloud アカウント ID。
region
Bastionhost インスタンスが存在するリージョン。
content
文字コマンドやファイル転送などの操作の内容。
event_type
イベントタイプ。詳細については、「event_type の詳細」をご参照ください。
instance_id
Bastionhost インスタンスの ID。
resource_address
O&M 資産の IP アドレス。
resource_name
O&M 資産の名前。
result
文字コマンドやファイル転送などの操作の結果。
session_id
セッション ID。セッションの一意の識別子です。
user_client_ip
ユーザーのソース IP アドレス。Bastionhost へのアクセスに使用される IP アドレスです。
user_id
Bastionhost ユーザー ID。ユーザーの一意の識別子です。
user_name
Bastionhost ユーザーの名前。
`event_type` の詳細
イベント | 説明 |
db.oracle.req | Oracle データベースリクエストイベント |
db.mysql.req | MySQL データベースリクエストイベント |
db.pgsql.req | PostgreSQL データベースリクエストイベント |
cmd.Command | コマンド文字 |
cmd.Command.policy | コントロールポリシーによって処理されたコマンド |
graph.Text | グラフィカルテキスト |
graph.Keyboard | グラフィカルキーボードイベント |
file.Upload | ファイルのアップロード |
file.Download | ファイルのダウンロード |
file.Rename | ファイル名の変更 |
file.Delete | ファイルの削除 |
file.DeleteDir | ディレクトリの削除 |
file.CreateDir | ディレクトリの作成 |
login.CSLogin | ユーザー CS ログイン |
Session.session | セッション |
以下のイベントは V3.2.43 以降でのみサポートされます | |
login.CSPasswordLogin | CS ユーザー名とパスワードのログイン認証 |
login.CSResetPassword | CS パスワードの変更 |
login.PortalPasswordLogin | ポータルユーザーのユーザー名とパスワードのログイン認証 |
user.PortalResetPassword | ポータルパスワードの変更 |
user.PortalClearOTP | ポータルモバイル OTP トークンの消去 |
user.PortalBindOTP | ポータルモバイル OTP トークンのバインド |
user.PortalLogout | ポータルログオフ |
login.CSTwoFactorLogin | CS 二要素認証 |
login.PortalTwoFactorLogin | ポータル二要素認証 |
user.CreateUser | ユーザーの作成 |
user.DeleteUser | ユーザーの削除 |
user.ModifyUser | ユーザーの編集 |
user.LockUser | ユーザーのロック |
user.UnlockUser | ユーザーのロック解除 |
user.CreateUserPublicKey | ユーザー SSH 公開鍵の追加 |
user.ModifyUserPublicKey | ユーザー SSH 公開鍵の更新 |
user.DeleteUserPublicKey | ユーザー SSH 公開鍵の削除 |
user.ExportUsers | ユーザーのエクスポート |
user.SyncRemoteUserDN | リモートユーザー DN の同期 |
user.NotifyUserOperationAddress | ユーザーログイン制限の変更 |
user.SetUserUSBKey | ユーザー USBKey 証明書のバインド |
user.ResetUserUSBKey | ユーザー USBKey 証明書のデタッチ |
user.CreateUserGroup | ユーザーグループの作成 |
user.ModifyUserGroup | ユーザーグループの編集 |
user.DeleteUserGroup | ユーザーグループの削除 |
user.AddUsersToGroup | ユーザーグループへのメンバーの追加 |
user.RemoveUsersFromGroup | ユーザーグループからのメンバーの削除 |
asset.CreateHost | ホストの作成 |
asset.ModifyHost | ホストの編集 |
asset.DeleteHost | ホストの削除 |
asset.EnableHost | ホストの有効化 |
asset.DisableHost | ホストの無効化 |
asset.ResetHostsFingerPrint | ホストの指紋の更新 |
asset.RefreshECSHostStatus | ECS ホストステータスの確認 |
asset.RefreshKMSSecretsForECS | ECS ホストの KMS 認証情報のステータスの確認と更新 |
asset.RefreshAssetNetworkStatus | 資産ネットワークステータスの確認 |
asset.ExportHosts | ホストのエクスポート |
asset.CreateDatabase | データベース資産の作成 |
asset.ModifyDatabase | データベース資産の変更 |
asset.DeleteDatabase | データベース資産の削除 |
asset.EnableDatabase | データベース資産の有効化 |
asset.DisableDatabase | データベース資産の無効化 |
asset.RefreshRDSDatabaseStatus | RDS データベース資産ステータスの確認 |
asset.ExportDatabases | データベース資産のエクスポート |
asset.CreateAssetGroup | 資産グループの作成 |
asset.ModifyAssetGroup | 資産グループの編集 |
asset.DeleteAssetGroup | 資産グループの削除 |
asset.AddHostsToGroup | 資産グループへのホストメンバーの追加 |
asset.RemoveHostsFromGroup | 資産グループからのホストメンバーの削除 |
asset.AddDatabasesToGroup | 資産グループへのデータベースメンバーの追加 |
asset.RemoveDatabasesFromGroup | 資産グループからのデータベースメンバーの削除 |
asset.AddAppsToGroup | 資産グループへのアプリケーションメンバーの追加 |
asset.RemoveAppsFromGroup | 資産グループからのアプリケーションメンバーの削除 |
asset.CreateHostAccount | ホストアカウントの作成 |
asset.ModifyHostAccount | ホストアカウントの編集 |
asset.DeleteHostAccount | ホストアカウントの削除 |
asset.ResetHostAccountCredential | ホストアカウント認証情報の消去 |
asset.CreateDatabaseAccount | データベースアカウントの作成 |
asset.ModifyDatabaseAccount | データベースアカウントの変更 |
asset.DeleteDatabaseAccount | データベースアカウントの削除 |
asset.CreateAssetSource | サードパーティ資産ソースの作成 |
asset.ModifyAssetSource | サードパーティ資産ソースの編集 |
asset.DeleteAssetSource | サードパーティ資産ソースの削除 |
authorization.AttachHostAccountsToUser | ユーザーへのホストアカウント使用権限の付与 |
authorization.DetachHostAccountsFromUser | ユーザーからのホストアカウント権限の取り消し |
authorization.AttachHostAccountsToUserGroup | ユーザーグループへのホストアカウント使用権限の付与 |
authorization.DetachHostAccountsFromUserGroup | ユーザーグループからのホストアカウント権限の取り消し |
authorization.AttachAssetGroupAccountsToUser | ユーザーへのホストアカウント名使用権限の付与 |
authorization.DetachAssetGroupAccountsFromUser | ユーザーからのホストアカウント名権限の取り消し |
authorization.AttachAssetGroupAccountsToUserGroup | ユーザーグループへのホストアカウント名使用権限の付与 |
authorization.DetachAssetGroupAccountsFromUserGroup | ユーザーグループからのホストアカウント名権限の取り消し |
asset.AttachDatabaseAccountsToUser | ユーザーへのデータベースアカウント使用権限の付与 |
asset.DetachDatabaseAccountsFromUser | ユーザーからのデータベースアカウント権限の取り消し |
asset.AttachDatabaseAccountsToUserGroup | ユーザーグループへのデータベースアカウント使用権限の付与 |
asset.DetachDatabaseAccountsFromUserGroup | ユーザーグループからのデータベースアカウント権限の取り消し |
policy.CreatePolicy | コントロールポリシーの作成 |
policy.DeletePolicy | コントロールポリシーの削除 |
policy.ModifyPolicy | コントロールポリシーの更新 |
policy.AttachUsersToPolicy | コントロールポリシーとユーザーの関連付け |
policy.DetachUsersFromPolicy | コントロールポリシーからのユーザーの関連付け解除 |
policy.AttachUserGroupsToPolicy | コントロールポリシーとユーザーグループの関連付け |
policy.DetachUserGroupsFromPolicy | コントロールポリシーからのユーザーグループの関連付け解除 |
policy.AttachHostsToPolicy | コントロールポリシーとホストの関連付け |
policy.DetachHostsFromPolicy | コントロールポリシーからのホストの関連付け解除 |
policy.AttachAssetGroupsToPolicy | コントロールポリシーとホストグループの関連付け |
policy.DetachAssetGroupsFromPolicy | コントロールポリシーからのホストグループの関連付け解除 |
policy.CreateDatabaseMaskPolicy | データマスキングポリシーの作成 |
policy.ModifyDatabaseMaskPolicy | データマスキングポリシーの変更 |
policy.DeleteDatabaseMaskPolicy | データマスキングポリシーの削除 |
policy.AttachDatabasesToPolicy | コントロールポリシーとデータベースの関連付け |
policy.DetachDatabasesFromPolicy | コントロールポリシーからのデータベースの関連付け解除 |
policy.AttachAppsToPolicy | コントロールポリシーとアプリケーションの関連付け |
policy.DetachAppsFromPolicy | コントロールポリシーからのアプリケーションの関連付け解除 |
policy.SetPolicyUserScope | コントロールポリシーのユーザースコープの設定 |
policy.SetPolicyAssetScope | コントロールポリシーの資産スコープの設定 |
policy.SetHostAccountToPolicy | コントロールポリシーのホストアカウントの設定 |
policy.SetDatabaseAccountToPolicy | コントロールポリシーのデータベースアカウントの設定 |
policy.SetAppAccountToPolicy | コントロールポリシーのアプリケーションアカウントの設定 |
policy.SetAssetGroupAccountNamesToPolicy | コントロールポリシーの資産グループアカウントの設定 |
policy.GenerateApproveCommand | コマンド承認レコードの生成 |
policy.CancelApproveCommand | コマンド承認のキャンセル |
policy.AcceptApproveCommand | コマンドの承認 |
policy.RejectApproveCommand | コマンド承認の拒否 |
policy.GenerateApproveCommand | コマンド承認の作成 |
task.CreatePasswordTask | パスワード変更タスクの作成 |
task.ModifyPasswordTask | パスワード変更タスクの更新 |
task.DeletePasswordTask | パスワード変更タスクの削除 |
task.AttachHostAccountsToPasswordTask | パスワード変更タスクへのホストアカウントの関連付け |
task.DetachHostAccountsFromPasswordTask | パスワード変更タスクからのホストアカウントの関連付け解除 |
task.ExecutePasswordTask | パスワード変更タスクの実行 |
task.CancelPasswordTask | パスワード変更タスクのキャンセル |
task.EnablePasswordTask | パスワード変更タスクの有効化 |
task.ExportPasswordTaskHistory | パスワード変更タスク履歴のエクスポート |
system.DeleteAuditSessionVideo | セッション録画ファイルの削除 |
system.ModifyInstanceTwoFactor | 二要素認証設定の変更 |
system.InterruptAuditSession | セッションのブロック |
system.ImportBastionHostConfig | 設定バックアップのインポート |
system.ExportBastionHostConfig | 設定バックアップのエクスポート |
system.ModifyInstanceLDAPAuthServer | LDAP 認証サーバ設定の変更 |
system.ModifyInstanceADAuthServer | AD 認証サーバ設定の変更 |
system.AddInstanceMember | インスタンス RD メンバーアカウントの追加 |
system.RemoveInstanceMember | インスタンス RD メンバーアカウントの削除 |
system.ModifyInstanceTLSConfig | TLS セキュリティ設定の変更 |
system.ModifyDataEncryptionConfig | データ暗号化方式設定の変更 |
system.VerifyUserInfoSignature | ユーザーキー情報署名の検証 |
system.BindIDaaSInstance | IDaaS インスタンスのバインド |
system.UnbindIDaaSInstance | IDaaS インスタンスのアンバインド |
system.ModifyInstanceLoginPolicy | ユーザーログインおよびユーザーロックポリシー設定の変更 |
system.ModifyInstanceUserPolicy | ユーザーパスワードセキュリティおよびユーザーステータス設定の変更 |
system.CreateInstanceADAuthServer | インスタンス AD 認証サーバの作成 |
system.DeleteInstanceADAuthServer | インスタンス AD 認証サーバの削除 |
system.ModifyInstanceIDaaSConfig | バインドされた IDaaS インスタンスの設定変更 |
system.ModifyInstanceOperationConfig | インスタンス O&M 設定の変更 |
system.ModifyInstanceAssetPolicy | 接続性ステータスチェック間隔設定の変更 |
system.AddInstanceNotificationReceiveUser | メッセージ通知のアラート管理者の追加 |
system.RemoveInstanceNotificationReceiveUser | メッセージ通知のアラート管理者の削除 |
system.ModifyInstanceNotificationConfig | メッセージ通知設定の変更 |
system.ModifyInstanceStorePolicy | セッション録画の自動削除設定の変更 |
system.ModifyInstanceSessionPolicy | セッションリストの自動クリーンアップ設定の変更 |
audit.DownloadOperationEventsBackup | O&M イベントログバックアップのダウンロード |
audit.ExportOperationAuditReport | O&M レポートのエクスポート |
audit.DownloadAutoOperationTaskOutput | 自動 O&M タスク結果のダウンロード |
asset.CreateHostShareKey | 共有キーの作成 |
asset.ModifyHostShareKey | 共有キーの編集 |
asset.DeleteHostShareKey | 共有キーの削除 |
asset.AttachHostAccountsToHostShareKey | 共有キーとホストアカウントの関連付け |
asset.DetachHostAccountsFromHostShareKey | 共有キーからのホストアカウントの関連付け解除 |
asset.CreateNetworkDomain | ネットワークドメインの作成 |
asset.ModifyNetworkDomain | ネットワークドメインの編集 |
asset.DeleteNetworkDomain | ネットワークドメインの削除 |
asset.MoveHostsToNetworkDomain | ホストのネットワークドメインの変更 |
asset.MoveDatabasesToNetworkDomain | データベースのネットワークドメインの変更 |
authorization.CreateRule | 権限付与ルールの作成 |
authorization.ModifyRule | 権限付与ルールの変更 |
authorization.DeleteRule | 権限付与ルールの削除 |
authorization.EnableRule | 権限付与ルールの有効化 |
authorization.DisableRule | 権限付与ルールの無効化 |
authorization.ExportAuthorizationRelation | 権限付与関係のエクスポート |
operation.CreateOperationTicket | O&M 承認チケットの作成 |
operation.AcceptOperationTicket | O&M リクエストの承認 |
operation.RejectOperationTicket | O&M リクエストの拒否 |
operation.CancelOperationTicket | O&M リクエストのキャンセル |
task.CreateAutoOperationTask | O&M タスクの作成 |
task.ModifyAutoOperationTask | O&M タスクの変更 |
task.DeleteAutoOperationTask | O&M タスクの削除 |
task.StartAutoOperationTask | O&M タスクの開始 |
task.StopAutoOperationTask | O&M タスクの停止 |
task.CreateAutoOperationScript | O&M スクリプトの作成 |
task.ModifyAutoOperationScript | O&M スクリプトの変更 |
task.DeleteAutoOperationScript | O&M スクリプトの削除 |
task.AcceptOperationTaskApproval | 自動 O&M タスクチケットの承認 |
task.RejectOperationTaskApproval | 自動 O&M タスクチケットの拒否 |
task.CancelAutoOperationTask | O&M タスクリクエストのキャンセル |
asset.ImportKMSSecretsForHost | KMS 認証情報のインポート |
operation.ConnectAsset | 資産への接続 |
operation.LoginAsset | 資産へのログイン |
operation.LogoutAsset | 資産からのログオフ |
operation.SetOperationSSOConfig | シングルサインオン (SSO) O&M ターミナル設定の変更 |
operation.ModifyOperationUserProfile | O&M ユーザーによる個人情報の変更 |
asset.CreateAppServer | アプリケーションサーバの作成 |
asset.ModifyAppServer | アプリケーションサーバの変更 |
asset.DeleteAppServers | アプリケーションサーバの削除 |
asset.SyncAppServerAccount | アプリケーションサーバアカウントの同期 |
asset.CreateAppTool | リモートクライアントツールの作成 |
asset.ModifyAppTool | リモートクライアントツールの変更 |
asset.DeleteAppTools | リモートクライアントツールの削除 |
asset.CreateApp | アプリケーションの作成 |
asset.ModifyApp | アプリケーションの変更 |
asset.DeleteApps | アプリケーションの削除 |
asset.DeleteApp | 単一アプリケーションの削除 |
asset.CreateAppAccount | アプリケーションアカウントの作成 |
asset.ModifyAppAccount | アプリケーションアカウントの変更 |
asset.DeleteAppAccounts | アプリケーションアカウントの削除 |
asset.AttachAppAccountsToUser | ユーザーへのアプリケーションアカウント権限の付与 |
asset.DetachAppAccountsFromUser | ユーザーからのアプリケーションアカウント権限の取り消し |
asset.AttachAppAccountsToUserGroup | ユーザーグループへのアプリケーションアカウント権限の付与 |
asset.DetachAppAccountsFromUserGroup | ユーザーグループからのアプリケーションアカウント権限の取り消し |