リソースディレクトリの全メンバーのActionTrailログとCloud Configログをログアーカイブアカウントに一元的に配信できます。ログは Object Storage Service (OSS) に配信して永続的に保存できます。また、ログを Simple Log Service に配信してリアルタイムのログ分析を行うこともできます。監査ログを一元的に配信することで、専門の監査担当者が監査ログをクエリおよび分析できます。
背景情報
監査ログを OSS または Simple Log Service に配信すると、OSS または Simple Log Service のログに対してストレージ料金が発生します。監査ログを OSS または Simple Log Service に配信する前に、OSS または Simple Log Service の課金について十分に理解しておいてください。詳細については、「OSS の課金」または「Simple Log Service の課金」をご参照ください。
ActionTrailログを配信する
リソースディレクトリの全メンバーのActionTrailログを OSS または Simple Log Service に配信します。
Cloud Governance Center コンソール にログオンします。
左側のナビゲーションウィンドウで、Landing Zone > [landingzone のセットアップ] を選択します。
標準ブループリントまたは標準ブループリント ( CEN ) セクションで、[ビルド] をクリックします。
この例では、標準ブループリントが使用されます。
[追加された項目] セクションの [ブループリントの設定] ページで、[actiontrail ログの統合配信] をクリックします。
説明設定する項目が [追加された項目] セクションに存在しない場合は、[項目の追加] をクリックします。表示されるダイアログボックスで、項目を追加し、[追加] をクリックします。
[アカウント] ドロップダウンリストから、ログを配信するアカウントを選択します。
デフォルトでは、監査ログは、手順 3:コアアカウントを作成する で作成したログアーカイブアカウントに配信されます。
「Log Service にログを配信」または「OSS にログを配信」セクションでスイッチをオンにします。次に、パラメーターを構成します。
送信先
手動構成
自動構成
Simple Log Service にデータを送信する
[リージョン]: 送信先 Log Service Logstore が存在するリージョン。
[ログストア名]: ログストアの名前。名前はグローバルに一意である必要があります。企業名をプレフィックスとして付けることをお勧めします。例: landingzone-actiontrail-xxxx。
Cloud Governance Center は、 landingzone-enterprise という名前のマルチアカウントトレイルを作成して、すべてのリージョンにおけるすべてのタイプのイベントを追跡します。
説明ActionTrail にマルチアカウントトレイルが作成されている場合、Cloud Governance Center は既存のマルチアカウントトレイルを使用し、別のマルチアカウントトレイルは作成しません。
OSS にデータを送信する
[リージョン]: 送信先 OSS バケットが存在するリージョン。
[バケット名]: バケットの名前。名前はグローバルに一意である必要があります。企業名をプレフィックスとして付けることをお勧めします。例: landingzone-actiontrail-xxxx。
Cloud Config ログを配信する
リソースディレクトリの全メンバーのリソース変更データを OSS または Simple Log Service に配信します。
Cloud Governance Center コンソール にログオンします。
左側のナビゲーションウィンドウで、[Landing Zone] Landing Zone>[landing Zone設定]> を選択します。
標準ブループリントまたは標準ブループリント (CEN) セクションで、[ビルド] をクリックします。
この例では、標準ブループリントが使用されます。
[追加された項目] セクションの [ブループリントの設定] ページで、[cloud Config ログの統合配信] をクリックします。
説明[追加された項目] セクションに設定したい項目が存在しない場合は、[項目の追加] をクリックします。表示されるダイアログボックスで、項目を追加し、[追加] をクリックします。
[アカウント] ドロップダウン リストから、ログの配信先となるアカウントを選択します。
デフォルトでは、監査ログは、手順 3:コアアカウントを作成する で作成したログアーカイブアカウントに配信されます。
「Log Service にログを配信」または「OSS にログを配信」セクションでスイッチをオンにします。その後、パラメーターを構成します。
送信先
手動設定
自動設定
Simple Log Service にデータを送信する
[リージョン]: 送信先 Simple Log Service Logstore が存在するリージョン。
[ログストア名]: Logstore の名前。名前はグローバルに一意である必要があります。企業名をプレフィックスとして付けることをお勧めします。例: landingzone-config-xxxx。
[データ保存期間]: Simple Log Service で監査ログを保持できる期間。指定された保存期間が経過すると、監査ログは削除されます。
Cloud Governance Center は、enterprise という名前のグローバルアカウントグループを作成します。その後、Cloud Governance Center は、グローバルアカウントグループのリソースディレクトリ内のすべてのメンバーのリソース、コンプライアンスパッケージ、およびルールを一元管理します。
説明Cloud Config でグローバルアカウントグループが作成されている場合、Cloud Governance Center は既存のグローバルアカウントグループを使用し、別のグローバルアカウントグループは作成しません。
OSS にデータを送信する
[リージョン]: 送信先 OSS バケットが存在するリージョン。
[バケット名]: バケットの名前。名前はグローバルに一意である必要があります。企業名をプレフィックスとして付けることをお勧めします。例: landingzone-config-xxxx。
ログ配信設定を管理する
ログ配信タスクが初期化された後、配信先を変更したり、配信設定を変更したりできます。たとえば、配信先のスイッチをオンまたはオフにしたり、OSS バケットまたは Simple Log Service Logstore を変更したりできます。
Cloud Governance Center コンソール にログオンします。
左側のナビゲーションウィンドウで、 を選択します。
[OSS へのログ配信] または [Log Service へのログ配信] セクションの右上隅にある [編集] をクリックします。
スイッチをオフにするか、設定を変更します。次に、[OK] をクリックします。