はじめに
IBM Cloudを業務で使用するうえで、IBM Cloudのユーザ管理、アクセス管理、サービスの作成・削除などの各種のアクティビティのログを、後々の監査の目的で残しておきたいという要望があるかと思います。
AWSではCloudTrailというサービスが提供されていますが、IBM Cloudでこれに該当するのが「IBM Cloud Activity Tracker with LogDNA」(以降、Activity Tracker)です。
別記事「IBM Log Analysis with LogDNAで、IBM Cloud Kubernetes Service(IKS)のログを監視・アラート通知する」では、アプリケーションやミドルウェアのログ収集について述べましたが、Activity Trackerでは、あくまで監査証跡としてのログ保管・参照を目的にしています。
Activity Trackerも、先のLog Analysisと同様、LogDNAを使用しており、その使用感は変わりません。
また、Activity Trackerは、LogDNAのインスタンスを作成し、有効にするだけで、対象サービス・処理のアクティビティログが自動的に収集されます(IBM Cloud Object Storageは一部の例外あり)。
それでは実際にインスタンスを作成し、ログがどのように収集されるかを見ていきましょう。
Activity Tracker使用上の注意点
まずはじめに注意点です。
Activity Trackerのインスタンスはリージョン単位で作成しますが、各リージョンによってログ収集可能なサービスが異なります。また、アカウントやユーザなどの管理のアクティビティのログは、「フランクフルト (eu-de) 」のインスタンスにのみ収集されます。そのため、他のリージョンでインスタンスを作成してもユーザの招待などのログは収集されません。(Activity Trackerのチュートリアルでも、リージョンはフランクフルトで作成と記載されていますが、フランクフルト以外では収集されないとは記載されていないので分かりづらい...)
各リージョンでどのサービスのログが収集可能かは、ロケーション別のクラウド・サービスにまとまっていますので、事前にご確認ください。
AWSのCloudTrailでは設定により全リージョン対象に収集が可能なので、IBM Cloudもいずれ対応してくれればと思います。
Activity Trackerを使ってみる
IBM CloudのActivity Trackerのページにアクセスします。
「Activity Trackerインスタンスの作成」ボタンをクリックします。
「リージョン」で「フランクフルト」、料金プランでは「7日間のイベント検索」を選択し、「作成」ボタンをクリックします。
以下のように、Activity Trackerのインスタンスが作成されます。
「LogDNAの表示」リンクをクリックすることで、LogDNAのダッシュボードに遷移し、アクティビティログを参照することができます。
アクティビティログが収集されることを確認するために、アクセス(IAM)の設定ページでユーザ管理に関する変更を実施してみます。
別記事「IBM Cloudでのユーザ招待、他ユーザへの多要素認証の要求設定」で実施した、他要素認証の要求設定をON・OFFした結果のログが以下の画面の赤枠部分になります。
1行だけしか表示されていませんが、該当行をクリックすることで、詳細なログが展開されます。(セキュリティ上の都合で、ここではお見せできないですが...)
以上のように、Activity Trackerは非常に簡単に使い始めることができます。
唯一、前述の通り、インスタンスを作成したリージョンによって収集される・されないがあるので、その点だけ注意が必要です。