OCI チュートリアル「監査ログを使用したテナント監視」をやってみた Vol.1

はじめに

OCI には、テナンシ内のすべての API コールを自動記録する 監査 (Audit) サービス が標準搭載されています。しかし「ログが溜まるだけでは意味がない」と感じることはないでしょうか。

今回は公式チュートリアルに沿って、サービス・コネクタ・ハブ と 通知サービス を組み合わせ、「バケットが作成されたらメールで通知する」仕組みを構築します。所要時間は約20分です。

📄 この記事は2回に分けてお届けします。

– Vol.1（本記事）：サービス・コネクタ・ハブの概要と作成手順

– Vol.2：動作確認と拡張モードを使った高度なフィルタ設定

サービス・コネクタ・ハブとは

サービス・コネクタ・ハブは、OCI の複数サービス間のデータ連携をノーコードで実現するサービスです。「ソース → (タスク) → ターゲット」という構成でサービスを繋ぎます。

今回はソースに「ロギング（監査ログ）」、ターゲットに「通知」を設定します。コードを一切書かずに監視・通知の仕組みが完成するのが最大の魅力です。

なお、事前準備として、メールを受信できる トピック と サブスクリプション が作成済みである必要があります。監査サービス自体はテナンシ開設時にデフォルトで有効なので、別途の有効化は不要です。

構築する仕組みの全体像

監査ログ (_Audit)
↓
サービス・コネクタ・ハブ（ログフィルタ：Bucket – Create）
↓
通知サービス（トピック → サブスクリプション）
↓
メール受信

サービス・コネクタ・ハブを作成する

1. OCIコンソールの左上のナビゲーションメニューから

2. Observability & Management（オブザーバビリティおよび管理） を選択します。

3. Connectors（コネクタ） をクリックします。

4. コネクタの作成」をクリックします。

次の内容で設定します。

基本情報

ソースの構成

ログ・フィルタ・タスク（フィルタ1）

※過去6時間にオブジェクトストレージを作成している場合、右側のリンクから該当のログを確認することができます※

「＋別のフィルタ」をクリックしてフィルタ2を追加します。

ログ・フィルタ・タスク（フィルタ2）

コンパートメントの OCID は Identity & Security → コンパートメント から確認できます。

※ターゲットの構成の前に「タスクの構成」がありますが、今回は飛ばして問題ないです※

ターゲットの構成

設定後、「デフォルト・ポリシーを作成します」という確認が表示されます。これはサービス・コネクタから通知サービスへの書き込み権限を自動付与するものです。「作成」をクリックして完了です。

まとめ

Vol.1 では、サービス・コネクタ・ハブの概要と基本的な作成手順を紹介しました。ノーコードでサービス間連携が組めること、IAM ポリシーが自動生成されることが大きなポイントです。

Vol.2 では実際に動作確認を行い、拡張モードを使ったより高度なフィルタ設定も紹介します。

参考リンク

• OCIチュートリアル：監査(Audit)ログを使用したテナント監視

• コネクタ・ハブ・メトリック・リファレンス