コンソール監査ログ
TiDB Cloudは、 TiDB Cloudコンソール上のユーザーのさまざまな行動や操作を追跡するのに役立つコンソール監査ログ機能を提供します。例えば、ユーザーを組織に招待したり、クラスターを作成したりするなどの操作を追跡できます。
前提条件
- TiDB Cloudにおいて、組織の
Organization OwnerまたはOrganization Console Audit Managerロールに所属している必要があります。そうでない場合、 TiDB Cloudコンソールでコンソール監査ログ関連のオプションを表示できません。 - コンソール監査ログの有効化と無効化は、組織内でのみ可能です。また、組織内のユーザーのアクションのみを追跡できます。
- コンソール監査ログを有効にすると、 TiDB Cloudコンソールのすべてのイベント タイプが監査され、一部のイベントのみを監査するように指定することはできません。
コンソール監査ログを有効にする
コンソール監査ログ機能はデフォルトで無効になっています。有効にするには、以下の手順を実行してください。
- TiDB Cloudコンソールで、左上隅のコンボ ボックスを使用して対象の組織に切り替えます。
- 左側のナビゲーション ペインで、 [コンソール監査ログ] をクリックします。
- 右上隅の[設定]をクリックし、コンソール監査ログを有効にして、 [更新]をクリックします。
コンソール監査ログを無効にする
コンソール監査ログを無効にするには、次の手順を実行します。
- TiDB Cloudコンソールで、左上隅のコンボ ボックスを使用して対象の組織に切り替えます。
- 左側のナビゲーション ペインで、 [コンソール監査ログ] をクリックします。
- 右上隅の[設定]をクリックし、コンソール監査ログを無効にして、 [更新]をクリックします。
コンソール監査ログをビュー
組織のコンソール監査ログのみを表示できます。
注記:
- 組織でコンソール監査ログを初めて有効にする場合、コンソール監査ログは空です。監査対象イベントが実行されると、対応するログが表示されます。
- コンソール監査ログが無効になってから 90 日以上経過した場合、ログは表示されません。
- TiDB Cloudコンソールで、左上隅のコンボ ボックスを使用して対象の組織に切り替えます。
- 左側のナビゲーション ペインで、 [コンソール監査ログ] をクリックします。
- 監査ログの特定の部分を取得するには、イベントの種類、操作ステータス、および時間範囲をフィルタリングできます。
- (オプション) さらにフィールドをフィルターするには、 [詳細フィルター]をクリックし、さらにフィルターを追加して、 [適用]をクリックします。
- ログの行をクリックすると、右側のペインに詳細情報が表示されます。
コンソール監査ログをエクスポートする
組織のコンソール監査ログをエクスポートするには、次の手順を実行します。
- TiDB Cloudコンソールで、左上隅のコンボ ボックスを使用して対象の組織に切り替えます。
- 左側のナビゲーション ペインで、 [コンソール監査ログ] をクリックします。
- (オプション)コンソール監査ログの特定の部分をエクスポートする必要がある場合は、さまざまな条件でフィルタリングできます。それ以外の場合は、この手順をスキップしてください。
- 「ログのダウンロード」をクリックし、JSON または CSV で希望のエクスポート形式を選択します。
コンソール監査ログstorageポリシー
コンソール監査ログのstorage期間は 90 日間で、その後はログは自動的にクリーンアップされます。
注記:
- TiDB Cloudではコンソール監査ログのstorage場所を指定できません。
- 監査ログを手動で削除することはできません。
コンソール監査イベントの種類
コンソール監査ログには、イベント タイプを通じてTiDB Cloudコンソール上のさまざまなユーザー アクティビティが記録されます。
注記:
現在、 TiDB Cloudコンソール上のほとんどのイベントタイプが監査対象となっており、以下の表で確認できます。まだ対応していない残りのイベントタイプについても、 TiDB Cloud は引き続き対応に向けて取り組んでいきます。
| コンソール監査イベントタイプ | 説明 |
|---|---|
| 組織の作成 | 組織を作成する |
| ログイン組織 | 組織にログインする |
| スイッチ組織 | 現在の組織から別の組織に切り替える |
| ログアウト組織 | 組織からログアウトする |
| 組織にユーザーを招待 | ユーザーを組織に招待する |
| 組織への招待の削除 | 組織への参加を希望するユーザーの招待を削除する |
| 組織への招待状を再送信 | 組織に参加するためのユーザーへの招待状を再送信する |
| 組織への参加を確認 | 招待されたユーザーが組織への参加を確認する |
| 組織からユーザーを削除 | 組織に参加しているユーザーを削除する |
| 組織内のユーザーロールの更新 | 組織内のユーザーの役割を更新する |
| APIキーの作成 | APIキーを作成する |
| APIキー編集 | APIキーを編集する |
| APIキーの削除 | APIキーを削除する |
| タイムゾーンの更新 | 組織のタイムゾーンを更新する |
| ショービル | 組織の請求書を表示 |
| ビルをダウンロード | 組織法案をダウンロード |
| クレジットを表示 | 組織のクレジットを表示 |
| ペイメントカードを追加 | 支払いカードを追加する |
| ペイメントカードの更新 | 支払いカードを更新する |
| ペイメントカードの削除 | 支払いカードを削除する |
| デフォルトの支払いカードを設定する | デフォルトの支払いカードを設定する |
| 請求プロファイルの編集 | 請求プロファイル情報を編集する |
| 契約アクション | 契約関連活動を整理する |
| コンソール監査ログを有効にする | コンソール監査ログを有効にする |
| コンソール監査ログの表示 | コンソール監査ログを表示する |
| プロジェクトにユーザーを招待 | ユーザーをプロジェクトに招待する |
| プロジェクトへの招待の削除 | プロジェクトへのユーザーの招待を削除する |
| プロジェクトへの招待状を再送信 | ユーザーにプロジェクトへの参加を依頼する招待状を再送信する |
| プロジェクト参加の確認 | 招待されたユーザーがプロジェクトへの参加を確認する |
| プロジェクトからユーザーを削除 | プロジェクトに参加しているユーザーを削除する |
| プロジェクトの作成 | プロジェクトを作成する |
| プロジェクトCIDRの作成 | 新しいプロジェクトCIDRを作成する |
| AWSVPCPeeringの作成 | AWS VPCピアリングを作成する |
| AWSVPCPeering の削除 | AWS VPCピアリングを削除する |
| GCPVPPCピアリングの作成 | Google Cloud VPC ピアリングを作成する |
| GCPVPCピアリングの削除 | Google Cloud VPC ピアリングを削除する |
| プライベートエンドポイントサービスの作成 | プライベートエンドポイントサービスを作成する |
| プライベートエンドポイントサービスの削除 | プライベートエンドポイントサービスを削除する |
| AWSプライベートエンドポイントの作成 | AWSプライベートエンドポイントを作成する |
| AWSプライベートエンドポイントの削除 | AWSプライベートエンドポイントを削除する |
| アラートを購読する | アラートを購読する |
| アラートの購読解除 | アラートの購読解除 |
| Datadog統合の作成 | Datadog統合を作成する |
| DatadogIntegration の削除 | Datadog統合を削除する |
| VercelIntegrationの作成 | vercel統合を作成する |
| VercelIntegration の削除 | vercel統合を削除 |
| Prometheus統合の作成 | Prometheus統合を作成する |
| Prometheus統合の削除 | Prometheus統合を削除する |
| クラスターの作成 | クラスターを作成する |
| クラスターの削除 | クラスターを削除する |
| 一時停止クラスター | クラスターを一時停止する |
| 履歴書クラスター | クラスターを再開する |
| スケールクラスター | クラスターをスケールする |
| TiDBClusterCA をダウンロード | CA証明書をダウンロード |
| オープンWebSQLコンソール | Web SQL 経由で TiDB クラスターに接続する |
| ルートパスワードの設定 | TiDBクラスタのルートパスワードを設定する |
| IPアクセスリストの更新 | TiDB クラスタの IP アクセス リストを更新する |
| 自動バックアップの設定 | TiDBクラスタの自動バックアップメカニズムを設定する |
| 手動バックアップ | TiDBクラスタの手動バックアップを実行する |
| バックアップ完了 | バックアップタスクが完了しました |
| バックアップタスクの削除 | バックアップタスクを削除する |
| バックアップの削除 | バックアップファイルを削除する |
| バックアップからの復元 | バックアップファイルに基づいてTiDBクラスタに復元する |
| ゴミ箱から復元 | ゴミ箱内のバックアップファイルに基づいてTiDBクラスタに復元する |
| AWSからのデータのインポート | AWSからデータをインポートする |
| GCPからのデータのインポート | Google Cloud からデータをインポートする |
| ローカルからのデータのインポート | ローカルディスクからデータをインポートする |
| 移行ジョブの作成 | 移行ジョブを作成する |
| 移行ジョブの一時停止 | 移行ジョブを一時停止する |
| 履歴書移行ジョブ | 移行ジョブを再開する |
| 移行ジョブの削除 | 移行ジョブを削除する |
| 表示診断 | 診断情報を表示 |
| DB監査ログアクション | データベース監査ログのアクティビティを設定する |
| DB監査フィルターの追加 | データベース監査ログフィルタを追加する |
| DB監査フィルターの削除 | データベース監査ログフィルタを削除する |
| プロジェクトの編集 | プロジェクトの情報を編集する |
| プロジェクトの削除 | プロジェクトを削除する |
| BindSupportPlan | サポートプランを締結する |
| サポートプランのキャンセル | サポートプランをキャンセルする |
| 組織名の更新 | 組織名を更新する |
| 支出制限の設定 | TiDB Cloud Starter クラスターの支出制限を編集する |
| メンテナンスウィンドウの更新 | メンテナンスウィンドウの開始時刻を変更する |
| メンテナンスタスクの延期 | メンテナンスタスクを延期する |
| ブランチの作成 | TiDB Cloud Starter またはTiDB Cloud Essential クラスターのブランチを作成する |
| ブランチの削除 | TiDB Cloud Starter またはTiDB Cloud Essential クラスターのブランチを削除します |
| ブランチルートパスワードの設定 | TiDB Cloud Starter またはTiDB Cloud Essential クラスターのブランチのルート パスワードを設定する |
| 接続ブランチGitHub | クラスターをGitHubリポジトリに接続してブランチ統合を有効にする |
| ブランチを切断GitHub | ブランチ統合を無効にするには、クラスターを GitHub リポジトリから切断します。 |
| 認証方法の更新 | Cloud Organization SSO の認証方法を更新する |
コンソール監査ログフィールド
ユーザー アクティビティを追跡できるように、 TiDB Cloud各コンソール監査ログに次のフィールドが用意されています。
| フィールド名 | データ型 | 説明 |
|---|---|---|
| タイプ | 弦 | イベントの種類 |
| 終了時刻 | タイムスタンプ | イベント時間 |
| 演算子タイプ | 列挙型 | 演算子の種類: userまたはapi_key |
| オペレーターID | uint64 | オペレーターID |
| オペレーター名 | 弦 | オペレーター名 |
| オペレーターIP | 弦 | オペレーターのIPアドレス |
| オペレーターログイン方法 | 列挙型 | microsoftのログインgithub : google emailまたはapi_key |
| 組織ID | uint64 | イベントが属する組織ID |
| 組織名 | 弦 | イベントが属する組織名 |
| プロジェクトID | uint64 | イベントが属するプロジェクトID |
| プロジェクト名 | 弦 | イベントが属するプロジェクト名 |
| クラスターID | uint64 | イベントが属するクラスタID |
| クラスター名 | 弦 | イベントが属するクラスタ名 |
| トレースID | 弦 | オペレータによって開始されたリクエストのトレースID。このフィールドは現在空ですが、将来のリリースで利用可能になる予定です。 |
| 結果 | 列挙型 | イベント結果: successまたはfailure |
| 詳細 | JSON | イベントの詳細な説明 |