Bastionhost では、Simple Log Service (SLS) に監査ログをアーカイブできます。監査ログのアーカイブ設定を構成すると、Bastionhost は監査ログをリアルタイムで Simple Log Service に自動的に配信します。このトピックでは、Simple Log Service に監査ログをアーカイブする方法について説明します。
Simple Log Service にアーカイブできるのは、アーカイブ設定が構成された後に生成された監査ログのみです。
背景情報
監査ログは、Bastionhost ユーザーが Bastionhost を使用して実行する O&M アクティビティを記録します。監査ログには、コマンド監査レコードと操作ログが含まれています。 Bastionhost は、監査ログを 180 日間のみ保存します。監査ログを 180 日間を超えて保存する場合は、SLS に監査ログをアーカイブできます。SLS に監査ログをアーカイブした後、SLS を使用して監査ログのクエリと分析、カスタムログ保存期間の指定、Splunk などのサードパーティプラットフォームへの監査ログの転送を行うことができます。詳細については、「クエリと分析」または「Splunk アドオンを使用した Simple Log Service から Splunk へのログの転送」をご参照ください。
SLS に監査ログをアーカイブした後も、アーカイブ操作は Bastionhost に保存されている監査ログには影響しません。堡塁ホストのコンソールの Session Audit ページで、監査ログを引き続き表示できます。詳細については、「セッションの検索とセッション詳細の表示」をご参照ください。
手順
Simple Log Service コンソール にログオンします。
画面の指示に従って Simple Log Service をアクティブ化します。
ログ監査サービス ページにアクセスします。
左側のナビゲーションペインで、[クラウド製品へのアクセス] > [グローバル構成] を選択します。次に、次の手順を実行して、監査ログ収集の設定を完了します。
[中央プロジェクトのリージョン] ドロップダウンリストで、ログの一元 저장用リージョンを選択します。
[クラウド製品] 列で [Bastion Host] を見つけ、[操作ログ] をオンにして、[ストレージタイプ] 列で監査ログの保存期間を指定します。
監査ログを表示します。
左側のナビゲーションペインで、
アイコンをクリックします。[中央] > [bastionhost] を選択して、監査ログを表示します。
次の表は、Simple Log Service (SLS) に保存されている Bastionhost 監査ログのログフィールドについて説明しています。
フィールド
説明
__topic__
ログのトピック。値は bastionhost に固定されています。
owner_id
Alibaba Cloud アカウント ID。
region
堡塁ホストが存在するリージョン。
content
ログに記録される操作(コマンド関連の操作やファイル転送など)。
event_type
イベントタイプ。詳細については、このトピックの「event_type フィールドの有効な値」セクションをご参照ください。
instance_id
堡塁ホストの ID。
resource_address
O&M 操作が実行されるアセットの IP アドレス。
resource_name
O&M 操作が実行されるアセットの名前。
result
操作の結果(コマンド関連の操作やファイル転送など)。
session_id
セッション ID。
user_client_ip
堡塁ホストにアクセスする Bastionhost ユーザーの IP アドレス。
user_id
Bastionhost ユーザーの ID。
user_name
Bastionhost ユーザーのユーザー名。
event_type フィールドの有効な値
有効な値 | 説明 |
db.oracle.req | Oracle データベースに送信されたリクエスト。 |
db.mysql.req | MySQL データベースに送信されたリクエスト。 |
db.pgsql.req | PostgreSQL データベースに送信されたリクエスト。 |
cmd.Command | コマンド関連の操作。 |
cmd.Command.policy | 制御ポリシーに基づいて処理されたコマンド。 |
graph.Text | グラフィックテキスト関連のイベント。 |
graph.Keyboard | グラフィックキーボードイベント。 |
file.Upload | ファイルのアップロード。 |
file.Download | ファイルのダウンロード。 |
file.Rename | ファイルの名前変更。 |
file.Delete | ファイルの削除。 |
file.DeleteDir | ディレクトリの削除。 |
file.CreateDir | ディレクトリの作成。 |
login.CSLogin | クライアントソフトウェア (CS) ベースのユーザーによるログオン。 |
Session.session | セッション。 |
次の値は、Bastionhost V3.2.43 以降でのみサポートされています。 | |
login.CSPasswordLogin | CS ベースのログオン時のパスワードベースの認証。 |
login.CSResetPassword | CS を使用したパスワードの変更。 |
login.PortalPasswordLogin | ポータルからのログオン時のパスワードベースの認証。 |
user.PortalResetPassword | ポータルを使用したパスワードの変更。 |
user.PortalClearOTP | ポータルを使用したワンタイムパスワード (OTP) アプリのバインド解除。 |
user.PortalBindOTP | ポータルを使用した OTP アプリのバインド。 |
user.PortalLogout | ポータルからのログオフ。 |
login.CSTwoFactorLogin | CS ベースのログオン時の 2 要素認証。 |
login.PortalTwoFactorLogin | ポータルからのログオン時の 2 要素認証。 |
user.CreateUser | ユーザーの作成。 |
user.DeleteUser | ユーザーの削除。 |
user.ModifyUser | ユーザーの変更。 |
user.LockUser | アカウントのロック。 |
user.UnlockUser | アカウントのロック解除。 |
user.CreateUserPublicKey | SSH 公開鍵の追加。 |
user.ModifyUserPublicKey | SSH 公開鍵の更新。 |
user.DeleteUserPublicKey | SSH 公開鍵の削除。 |
user.ExportUsers | ユーザーのエクスポート。 |
user.SyncRemoteUserDN | リモートユーザーの識別名 (DN) の同期。 |
user.NotifyUserOperationAddress | ユーザーログオン制限の変更。 |
user.SetUserUSBKey | USB キー証明書の関連付け。 |
user.ResetUserUSBKey | USB キー証明書の関連付け解除。 |
user.CreateUserGroup | ユーザーグループの作成。 |
user.ModifyUserGroup | ユーザーグループの変更。 |
user.DeleteUserGroup | ユーザーグループの削除。 |
user.AddUsersToGroup | ユーザーグループへのユーザーの追加。 |
user.RemoveUsersFromGroup | ユーザーグループからのユーザーの削除。 |
asset.CreateHost | ホストのインポート。 |
asset.ModifyHost | ホストの変更。 |
asset.DeleteHost | ホストの削除。 |
asset.EnableHost | ホストの有効化。 |
asset.DisableHost | ホストの無効化。 |
asset.ResetHostsFingerPrint | ホストフィンガープリントの更新。 |
asset.RefreshECSHostStatus | Elastic Compute Service (ECS) インスタンスのステータスチェック。 |
asset.RefreshKMSSecretsForECS | ECS インスタンス上の Key Management Service (KMS) シークレットの更新ステータスチェック。 |
asset.RefreshAssetNetworkStatus | アセットのネットワークステータスチェック。 |
asset.ExportHosts | ホストのエクスポート。 |
asset.CreateDatabase | データベースの作成。 |
asset.ModifyDatabase | データベースの変更。 |
asset.DeleteDatabase | データベースの削除。 |
asset.EnableDatabase | データベースの有効化。 |
asset.DisableDatabase | データベースの無効化。 |
asset.RefreshRDSDatabaseStatus | ApsaraDB RDS データベースのステータスチェック。 |
asset.ExportDatabases | データベースのエクスポート。 |
asset.CreateAssetGroup | アセットグループの作成。 |
asset.ModifyAssetGroup | アセットグループの変更。 |
asset.DeleteAssetGroup | アセットグループの削除。 |
asset.AddHostsToGroup | アセットグループへのホストの追加。 |
asset.RemoveHostsFromGroup | アセットグループからのホストの削除。 |
asset.AddDatabasesToGroup | アセットグループへのデータベースの追加。 |
asset.RemoveDatabasesFromGroup | アセットグループからのデータベースの削除。 |
asset.AddAppsToGroup | アセットグループへのアプリケーションの追加。 |
asset.RemoveAppsFromGroup | アセットグループからのアプリケーションの削除。 |
asset.CreateHostAccount | ホストアカウントの作成。 |
asset.ModifyHostAccount | ホストアカウントの変更。 |
asset.DeleteHostAccount | ホストアカウントの削除。 |
asset.ResetHostAccountCredential | ホストアカウントのログオン資格情報の削除。 |
asset.CreateDatabaseAccount | データベースアカウントの作成。 |
asset.ModifyDatabaseAccount | データベースアカウントの変更。 |
asset.DeleteDatabaseAccount | データベースアカウントの削除。 |
asset.CreateAssetSource | サードパーティホストのインポート。 |
asset.ModifyAssetSource | サードパーティホストの変更。 |
asset.DeleteAssetSource | サードパーティホストの削除。 |
authorization.AttachHostAccountsToUser | ユーザーがホストアカウントを使用するための承認。 |
authorization.DetachHostAccountsFromUser | ユーザーが使用することを承認されているホストアカウントのリストからのホストアカウントの削除。 |
authorization.AttachHostAccountsToUserGroup | ユーザーグループがホストアカウントを使用するための承認。 |
authorization.DetachHostAccountsFromUserGroup | ユーザーグループが使用することを承認されているホストアカウントのリストからのホストアカウントの削除。 |
authorization.AttachAssetGroupAccountsToUser | ユーザーがホストアカウント名を使用するための承認。 |
authorization.DetachAssetGroupAccountsFromUser | ユーザーが使用することを承認されているホストアカウント名のリストからのホストアカウント名の削除。 |
authorization.AttachAssetGroupAccountsToUserGroup | ユーザーグループがホストアカウント名を使用するための承認。 |
authorization.DetachAssetGroupAccountsFromUserGroup | ユーザーグループが使用することを承認されているホストアカウント名のリストからのホストアカウント名の削除。 |
asset.AttachDatabaseAccountsToUser | ユーザーがデータベースアカウントを使用するための承認。 |
asset.DetachDatabaseAccountsFromUser | ユーザーが使用することを承認されているデータベースアカウントのリストからのデータベースアカウントの削除。 |
asset.AttachDatabaseAccountsToUserGroup | ユーザーグループがデータベースアカウントを使用するための承認。 |
asset.DetachDatabaseAccountsFromUserGroup | ユーザーグループが使用することを承認されているデータベースアカウントのリストからのデータベースアカウントの削除。 |
policy.CreatePolicy | 制御ポリシーの作成。 |
policy.DeletePolicy | 制御ポリシーの削除。 |
policy.ModifyPolicy | 制御ポリシーの更新。 |
policy.AttachUsersToPolicy | 制御ポリシーへのユーザーの関連付け。 |
policy.DetachUsersFromPolicy | 制御ポリシーからのユーザーの関連付け解除。 |
policy.AttachUserGroupsToPolicy | 制御ポリシーへのユーザーグループの関連付け。 |
policy.DetachUserGroupsFromPolicy | 制御ポリシーからのユーザーグループの関連付け解除。 |
policy.AttachHostsToPolicy | 制御ポリシーへのホストの関連付け。 |
policy.DetachHostsFromPolicy | 制御ポリシーからのホストの関連付け解除。 |
policy.AttachAssetGroupsToPolicy | 制御ポリシーへのホストグループの関連付け。 |
policy.DetachAssetGroupsFromPolicy | 制御ポリシーからのホストグループの関連付け解除。 |
policy.CreateDatabaseMaskPolicy | データマスキングポリシーの作成。 |
policy.ModifyDatabaseMaskPolicy | データマスキングポリシーの変更。 |
policy.DeleteDatabaseMaskPolicy | データマスキングポリシーの削除。 |
policy.AttachDatabasesToPolicy | 制御ポリシーへのデータベースの関連付け。 |
policy.DetachDatabasesFromPolicy | 制御ポリシーからのデータベースの関連付け解除。 |
policy.AttachAppsToPolicy | 制御ポリシーへのアプリケーションの関連付け。 |
policy.DetachAppsFromPolicy | 制御ポリシーからのアプリケーションの関連付け解除。 |
policy.SetPolicyUserScope | 制御ポリシーが適用されるユーザーの決定。 |
policy.SetPolicyAssetScope | 制御ポリシーが適用されるアセットの決定。 |
policy.SetHostAccountToPolicy | 制御ポリシーに関連付けられたホストにログオンするために使用されるアカウントの決定。 |
policy.SetDatabaseAccountToPolicy | 制御ポリシーに関連付けられたデータベースにログオンするために使用されるアカウントの決定。 |
policy.SetAppAccountToPolicy | 制御ポリシーに関連付けられたデータベースにログオンするために使用されるアカウントの決定。 |
policy.SetAssetGroupAccountNamesToPolicy | 制御ポリシーに関連付けられたアセットグループにアクセスするために使用されるアカウントの決定。 |
policy.GenerateApproveCommand | コマンドレビューレコードの生成。 |
policy.CancelApproveCommand | コマンドレビューのキャンセル。 |
policy.AcceptApproveCommand | コマンドレビューの採用。 |
policy.RejectApproveCommand | コマンドレビューの拒否。 |
policy.GenerateApproveCommand | コマンドレビュータスクの作成。 |
task.CreatePasswordTask | パスワード変更タスクの作成。 |
task.ModifyPasswordTask | パスワード変更タスクの更新。 |
task.DeletePasswordTask | パスワード変更タスクの削除。 |
task.AttachHostAccountsToPasswordTask | パスワード変更タスクへのホストアカウントの関連付け。 |
task.DetachHostAccountsFromPasswordTask | パスワード変更タスクからのホストアカウントの関連付け解除。 |
task.ExecutePasswordTask | パスワード変更タスクの実行。 |
task.CancelPasswordTask | パスワード変更タスクのキャンセル。 |
task.EnablePasswordTask | パスワード変更タスクの開始。 |
task.ExportPasswordTaskHistory | パスワード変更レコードのエクスポート。 |
system.DeleteAuditSessionVideo | セッションビデオファイルの削除。 |
system.ModifyInstanceTwoFactor | 2 要素認証設定の変更。 |
system.InterruptAuditSession | セッションのブロック。 |
system.ImportBastionHostConfig | 構成バックアップのインポート。 |
system.ExportBastionHostConfig | 構成バックアップのエクスポート。 |
system.ModifyInstanceLDAPAuthServer | Lightweight Directory Access Protocol (LDAP) 認証サーバーの構成変更。 |
system.ModifyInstanceADAuthServer | Active Directory (AD) 認証サーバーの構成変更。 |
system.AddInstanceMember | リソースディレクトリメンバーの追加。 |
system.RemoveInstanceMember | リソースディレクトリメンバーの削除。 |
system.ModifyInstanceTLSConfig | Transport Layer Security (TLS) 設定の変更。 |
system.ModifyDataEncryptionConfig | データ暗号化方法の変更。 |
system.VerifyUserInfoSignature | 主要な情報保護のための署名検証。 |
system.BindIDaaSInstance | サービスとしての ID (IDaaS) インスタンスの関連付け。 |
system.UnbindIDaaSInstance | IDaaS インスタンスの関連付け解除。 |
system.ModifyInstanceLoginPolicy | ユーザーログオンおよびロックアウト設定の変更。 |
system.ModifyInstanceUserPolicy | ユーザーパスワードのセキュリティとステータス設定の変更。 |
system.CreateInstanceADAuthServer | AD 認証サーバーの作成。 |
system.DeleteInstanceADAuthServer | AD 認証サーバーの削除。 |
system.ModifyInstanceIDaaSConfig | 関連付けられた IDaaS インスタンスの構成変更。 |
system.ModifyInstanceOperationConfig | 堡塁ホストの O&M 設定の変更。 |
system.ModifyInstanceAssetPolicy | 接続チェックサイクルの変更。 |
system.AddInstanceNotificationReceiveUser | [通知] タブの警告管理者の追加。 |
system.RemoveInstanceNotificationReceiveUser | [通知] タブの警告管理者の削除。 |
system.ModifyInstanceNotificationConfig | 通知設定の変更。 |
system.ModifyInstanceStorePolicy | セッションビデオの自動削除設定の変更。 |
system.ModifyInstanceSessionPolicy | セッションの自動削除設定の変更。 |
audit.DownloadOperationEventsBackup | O&M イベントログバックアップのダウンロード。 |
audit.ExportOperationAuditReport | O&M レポートのエクスポート。 |
audit.DownloadAutoOperationTaskOutput | 自動 O&M タスク結果のダウンロード。 |
asset.CreateHostShareKey | 共有鍵の作成。 |
asset.ModifyHostShareKey | 共有鍵の変更。 |
asset.DeleteHostShareKey | 共有鍵の削除。 |
asset.AttachHostAccountsToHostShareKey | ホストアカウントへの共有鍵の関連付け。 |
asset.DetachHostAccountsFromHostShareKey | ホストアカウントからの共有鍵の関連付け解除。 |
asset.CreateNetworkDomain | ネットワークドメインの作成。 |
asset.ModifyNetworkDomain | ネットワークドメインの変更。 |
asset.DeleteNetworkDomain | ネットワークドメインの削除。 |
asset.MoveHostsToNetworkDomain | ホストが属するネットワークドメインの変更。 |
asset.MoveDatabasesToNetworkDomain | データベースが属するネットワークドメインの変更。 |
authorization.CreateRule | 承認ルールの作成。 |
authorization.ModifyRule | 承認ルールの変更。 |
authorization.DeleteRule | 承認ルールの削除。 |
authorization.EnableRule | 承認ルールの有効化。 |
authorization.DisableRule | 承認ルールの無効化。 |
authorization.ExportAuthorizationRelation | 承認データのエクスポート。 |
operation.CreateOperationTicket | O&M アプリケーションレビューのチケットの作成。 |
operation.AcceptOperationTicket | O&M アプリケーションの承認。 |
operation.RejectOperationTicket | O&M アプリケーションの拒否。 |
operation.CancelOperationTicket | O&M アプリケーションのキャンセル。 |
task.CreateAutoOperationTask | O&M タスクの作成。 |
task.ModifyAutoOperationTask | O&M タスクの変更。 |
task.DeleteAutoOperationTask | O&M タスクの削除。 |
task.StartAutoOperationTask | O&M タスクの開始。 |
task.StopAutoOperationTask | O&M タスクの停止。 |
task.CreateAutoOperationScript | O&M スクリプトの作成。 |
task.ModifyAutoOperationScript | O&M スクリプトの変更。 |
task.DeleteAutoOperationScript | O&M スクリプトの削除。 |
task.AcceptOperationTaskApproval | 自動 O&M のチケットの承認。 |
task.RejectOperationTaskApproval | 自動 O&M のチケットの拒否。 |
task.CancelAutoOperationTask | O&M タスクのアプリケーションのキャンセル。 |
asset.ImportKMSSecretsForHost | KMS からの ECS シークレットのインポート。 |
operation.ConnectAsset | アセットへの接続。 |
operation.LoginAsset | アセットへのログオン。 |
operation.LogoutAsset | アセットからのログオフ。 |
operation.SetOperationSSOConfig | シングルサインオン (SSO) クライアントの構成変更。 |
operation.ModifyOperationUserProfile | O&M エンジニアの個人情報の変更。 |
asset.CreateAppServer | アプリケーションサーバーの作成。 |
asset.ModifyAppServer | アプリケーションサーバーの変更。 |
asset.DeleteAppServers | アプリケーションサーバーの削除。 |
asset.SyncAppServerAccount | アプリケーションサーバーアカウントの同期。 |
asset.CreateAppTool | リモートクライアントツールの作成。 |
asset.ModifyAppTool | リモートクライアントツールの変更。 |
asset.DeleteAppTools | リモートクライアントツールの削除。 |
asset.CreateApp | アプリケーションの作成。 |
asset.ModifyApp | アプリケーションの変更。 |
asset.DeleteApps | アプリケーションの削除。 |
asset.DeleteApp | アプリケーションの削除。 |
asset.CreateAppAccount | アプリケーションアカウントの作成。 |
asset.ModifyAppAccount | アプリケーションアカウントの変更。 |
asset.DeleteAppAccounts | アプリケーションアカウントの削除。 |
asset.AttachAppAccountsToUser | ユーザーがアプリケーションアカウントを使用するための承認。 |
asset.DetachAppAccountsFromUser | ユーザーが使用することを承認されているアプリケーションアカウントのリストからのアプリケーションアカウントの削除。 |
asset.AttachAppAccountsToUserGroup | ユーザーグループがアプリケーションアカウントを使用するための承認。 |
asset.DetachAppAccountsFromUserGroup | ユーザーグループが使用することを承認されているアプリケーションアカウントのリストからのアプリケーションアカウントの削除。 |