はじめに
2024年6月頃、IBM Cloudでは既存の監視ツールであるLog AnalysisとActivity Trackerの後継サービスであるIBM Cloud LogsをFrankfurtとMadridリージョンにGAし、2024年9月にはTokyoとOsakaリージョンでGAされました。
そのため、既存のLog AnalysisとActivity Trackerのインスタンスを後継のCloud Logsに移行する検証を行いました。
今回は既存の監査イベントがActivity Trackerに表示されるように設定されていたLogs Routing機能をCloud Logsに表示されるように設定変更する流れを整理します。
前回の記事ではLog Analysisのログ・データをCloud Logsへ変更する設定の流れを整理しましたが、今回はActivity TrackerからCloud Logsへのイベント・データを変更する流れを整理しました。
基本的な操作の流れは似ているので、前回の記事も参考にしてください。
Log AnalysisとActivity Trackerは2025年3月30日でEOSされる予定です。
そのため、EOSまでに既存インスタンスのマイグレーションが必要となりますので、ご注意ください。
また、今回の内容にはIBM Cloudのアカウント(無料利用可能)が前提となっています。
Activity Tracker Event Routingとは?
Event Routingとは、IBM Cloudサービスからの監査イベントを特定のインスタンス(Cloud Logs、Activity Trackerなど)に送信できるように設定する機能です。これによって、複数リージョンから発生するログを一つのインスタンスに集約することができます。
今回は既存のActivity Tracker宛に設定されていたEvent RoutingをCloud Logsに変更する検証となります。
全体的な流れ
IBM Cloud Object Storage(ICOS)インスタンスの準備
この記事はCloud Logsのインスタンスは準備された前提で作成しています。
前回の記事を参考にCloud Logsのインスタンスを作成ください。
Cloud Logsのインスタンスが作成されたら、次は監査イベントを永続的に保管するため、ICOSインスタンスを作成する必要があります。以下の手順に沿ってインスタンスを作成し、予め作成したCloud Logsインスタンスとのマウント設定を行います。
ICOS画面にてインスタンスの作成
をクリックします。
インフラの選択やインスタンス名、リソースグループなどの設定を行ってインスタンスを作成します。
ICOSのインスタンスが作成されたら、次は「バケット」を作成します。
「バケット」とは、インタンス内で監査イベントが保管される論理的区域であり、名前通りデータを入れておく箱のようなものとなります。
なお、監査イベント用のバケットはLog Analysisからのログ・データを保管するためのバケットとは別にバケットを作成する必要があります。
そのため、すでにログ・データ用のバケットがある場合でも、監査イベント用のバケットを別途作成ください。
Quick Startテンプレートを含め、複数のテンプレートが用意されていますが、今回はカスタムテンプレートにて作成しました。
バケット名や可用性の設定、リージョン、Storage Tierなどを設定し、バケットを作成します。こちらの設定はバケット作成後には変更ができませんのでご注意ください。
なお、今回の検証を実施した際にはまだ国内リージョンがGAされる前だったため、フランクフルト(eu-de)リージョンで作成しています。
バケットまで作成できたら、Cloud Logsインスタンスのストレージタブに入ってメトリック・データ
→接続
にて、使用するICOSのバケットとマウントします。
なお、上記の通りログ・データ
はLog Analysisからのログを接続する項目となり、今回は使用しません。
ここでサービス許可が必要です
という画面が表示された場合、今すぐ許可
をクリックするとインスタンスが表示されます。
Cloud LogsとICOSのバケットをマウントするために、先ほど作成したICOSのインスタンスを検索し、監査イベント用のバケットを選択して接続します。
Activity Tracker Event Routingの設定
既存Activity TrackerのEvent Routing設定を変更し、監査イベントの宛先や経路をActivity TrackerからCloud Logsに変更するためこちらの設定を行います。
Activity Trackerの「ルーティング」カテゴリーにアクセスします。
経路
タブにて、イベントを収集するアカウント内の場所を判別するルールを定義するため、まずは作成
ボタンにて経路を作成します。
次は、経路のルート名やルーティング・ルールの送信元とターゲットなどを設定します。
送信元はグローバルや特定のリージョンを選択することができ、ターゲットはICOSやCloud Logsのインスタンスを選択することができます。今回はグローバルからの監査イベントを予め作成したCloud LogsとICOSインスタンスに設定しています。
また、ターゲット
タブにて監査イベントの収集場所を設定します。
作成
ボタンにてターゲットを作成することができますが、タイプとしてはCloud LogsやObject Storageのインスタンスなどを選択することができますので適宜設定します。
今回はCloud Logsに表示させるため、予め作成したCloud Logsインスタンスを設定しています。
イベントログの確認
前回の記事までは既存のLog Analysisのログしか見ることができませんでしたが、今回のEvent Routingにより、ibm-audit-event
、bvt
が追加され、Activity Trackerの監査イベントもCloud Logsコンソールで確認できます。
なお、監査イベントの内容も既存のActivity Trackerと同じものであり、違和感なく従来通り利用することができるかと思います。