監査ログ
監査ログ機能は、EMQXクラスターにおける重要な運用変更をリアルタイムで追跡することを可能にします。監査ログを通じて、エンタープライズユーザーは誰がどの重要な操作をどのように、いつ実行したかを簡単に把握できます。これは、エンタープライズユーザーが規制要件に準拠し、運用中のデータセキュリティ監査を確実に行うための重要なツールです。
EMQX監査ログは、ダッシュボード、REST API、およびCLIからの変更関連操作の記録をサポートしており、ダッシュボードユーザーのログインやクライアント、アクセス制御、データ連携の変更などが含まれます。ただし、メトリクス取得やクライアントリストの照会などの読み取り専用操作は記録されません。
EMQXは、監査ログの管理を支援するためにダッシュボードビューとログシステムとの連携を提供しています。これらの方法を通じて、EMQXは柔軟かつ包括的な監査ログのサポートを実現し、エンタープライズユーザーがニーズに応じて最適な監査ログの管理・閲覧方法を選択できるようにしています。
監査ログの有効化
監査ログ機能は、ダッシュボードおよび設定ファイルの両方から有効化および設定パラメータの調整が可能です。
ダッシュボードから監査ログを有効化
ダッシュボードの 管理 -> ログ -> 監査ログ に移動すると、監査ログの有効化および設定パラメータの変更が行えます。
監査ログに対して以下のオプションを設定できます:
- ログハンドラの有効化:監査ログ処理プロセスの有効化・無効化。デフォルトで有効です。
- 監査ログファイル名:監査ログファイルのパスと名前を指定します。デフォルトは
${EMQX_LOG_DIR}/audit.logで、${EMQX_LOG_DIR}は変数でデフォルトは./log、つまり最終的に./log/audit.log.1に保存されます。 - 最大ログファイル数:ローテーションされるログファイルの最大数。デフォルトは
10です。 - ローテーションサイズ:ログファイルのサイズを設定し、指定サイズに達するとログファイルがローテーションされます。無効にするとログファイルは無制限に増加します。テキストボックスに値を入力し、ドロップダウンリストから
MB、GB、KBなどの単位を選択できます。デフォルトは50MBです。 - 最大ダッシュボード記録サイズ:データベースに保存される最大レコード数を設定し、ダッシュボードおよび
/auditAPI からアクセス・取得可能です。デフォルトは5000です。 - 高頻度リクエストの無視:パブリッシュ/サブスクライブやクライアントのキックアウトなど、高頻度リクエストを無視して監査ログの洪水を防ぐかどうかを制御します。デフォルトで有効です。
- タイムオフセット:ログのタイムスタンプの形式を定義します。例として "-02:00" や "+00:00" があります。デフォルトは
systemです。
設定ファイルから監査ログを有効化
base.hocon ファイルの log.audit セクションで監査ログを有効化し、設定オプションを変更することも可能です。以下は例です。
log.audit {
path = "./log/audit.log"
rotation_count = 10
rotation_size = 50MB
time_offset = system
ignore_high_frequency_request = true
max_filter_size = 5000
}ダッシュボードで監査ログを閲覧
監査ログが有効化されると、ダッシュボードの システム -> 監査ログ で監査ログの内容を閲覧できます。
検索フィルター
以下の検索キーワードを使ってログ操作のフィルタリング・検索が可能です:
- 開始時間 - 終了時間:操作が発生した時間範囲。
- ソースタイプ:操作が行われた方法。
Dashboard、REST API、CLI、Erlang Consoleの選択肢があります。Erlang Consoleは通常、EMQの現地技術サポート時に使用されるErlang Shellコンソールを指します。 - オペレーター:ダッシュボードのユーザー名またはREST API呼び出しに使用されたキー名。操作方法がダッシュボードまたはREST APIの場合に有効です。
- IP:ダッシュボードユーザーまたはREST APIを呼び出したクライアントのソースIP。操作方法がダッシュボードまたはREST APIの場合に表示されます。
- 操作名:監査ログでサポートされている操作名のドロップダウンリストから選択。
- 操作結果:
成功または失敗から選択。
リストの説明
表示される監査ログリストの各列についての説明は以下の通りです:
- 操作時間:操作が実行された時間。
- 情報:
- ダッシュボードまたはREST APIの場合は操作名を表示。
- CLIおよびコンソールの場合は実行されたコマンドを記録。
- オペレーター:操作方法と対応するオペレーターを含みます。CLIおよびコンソール操作の場合、オペレーターはコマンドが実行されたEMQXノード名です。
- IP:ダッシュボードユーザーまたはREST APIを呼び出したクライアントのソースIP。操作方法がダッシュボードまたはREST APIの場合に表示されます。
- 操作結果:
成功または失敗。失敗にはフォーム検証エラーやリソース削除不可などのケースが含まれます。ダッシュボードまたはREST APIの操作方法にのみ表示され、CLIおよびコンソールでは操作結果を記録できません。
ログファイルで監査ログを閲覧
EMQXで監査ログが有効化されると、変更関連操作は ./log/audit.log.1 ファイルにログ形式で保存されます。エンタープライズユーザーは監査記録の詳細な分析や既存のログ管理システムへの統合が容易になり、コンプライアンスやデータセキュリティ要件を満たすことができます。
注意
コマンドライン操作の監査ログには機密情報が含まれる可能性があるため、ログコレクターに送信する際は注意が必要です。ログ内容のフィルタリングや暗号化伝送の利用を推奨し、不正な情報漏洩を防止してください。
監査ログに含まれるフィールドは操作記録のソースによって異なります。
ダッシュボードまたはREST APIからの操作記録
ダッシュボードまたはREST APIの操作を記録した監査ログには、操作ユーザー、操作対象、操作結果に関する情報が含まれます。ログメッセージのフォーマット例は以下の通りです。
{"time":1702604675872987,"level":"info","source_ip":"127.0.0.1","operation_type":"mqtt","operation_result":"success","http_status_code":204,"http_method":"delete","operation_id":"/mqtt/retainer/message/:topic","duration_ms":4,"auth_type":"jwt_token","query_string":{},"from":"dashboard","source":"admin","node":"emqx@127.0.0.1","http_request":{"method":"delete","headers":{"user-agent":"Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/119.0.0.0 Safari/537.36","sec-fetch-site":"same-origin","sec-fetch-mode":"cors","sec-fetch-dest":"empty","sec-ch-ua-platform":"\"macOS\"","sec-ch-ua-mobile":"?0","sec-ch-ua":"\"Google Chrome\";v=\"119\", \"Chromium\";v=\"119\", \"Not?A_Brand\";v=\"24\"","referer":"http://localhost:18083/","origin":"http://localhost:18083","host":"localhost:18083","connection":"keep-alive","authorization":"******","accept-language":"zh-CN,zh;q=0.9,zh-TW;q=0.8,en;q=0.7","accept-encoding":"gzip, deflate, br","accept":"*/*"},"body":{},"bindings":{"topic":"$SYS/brokers/emqx@127.0.0.1/version"}}}以下の表は上記ログメッセージに含まれるフィールドの説明です。
| フィールド名 | 型 | 説明 |
|---|---|---|
| time | Integer | ログ記録のタイムスタンプ(マイクロ秒単位) |
| level | String | ログレベル |
| source_ip | String | 操作のソースIPアドレス |
| operation_type | String | 操作の機能モジュール。REST APIのタグに対応 |
| operation_result | String | 操作結果。success は成功、failure は失敗を示す |
| http_status_code | String | HTTPレスポンスステータスコード |
| http_method | String | HTTPリクエストメソッド |
| duration_ms | Integer | 操作実行時間(ミリ秒単位) |
| auth_type | String | 認証タイプ。認証に使用された方式やメカニズムを示し、jwt_token(ダッシュボード)またはapi_key(REST API)で固定 |
| query_string | Object | HTTPリクエストのURLクエリパラメータ |
| from | String | リクエストソース。dashboard、rest_api はそれぞれダッシュボード、REST APIを示す。cli、erlang_console の場合はCLIまたはErlang Shellからの操作であり、このログ構造は該当しない |
| source | String | 操作を実行したダッシュボードのユーザー名またはAPIキー名 |
| node | String | 操作が実行されたノード名(ノードまたはサーバー) |
| method | String | HTTPリクエストメソッド。post、put、delete はそれぞれ作成、更新、削除操作に対応 |
| operate_id | String | リクエストのREST APIパス。詳細はREST APIを参照 |
CLIまたはErlangコンソールからの操作記録
CLIまたはErlangコンソールからの操作を記録した監査ログには、実行されたコマンド、呼び出されたパラメータなどの情報が含まれます。ログメッセージのフォーマット例は以下の通りです。
{"time":1695866030977555,"level":"info","msg":"from_cli","from": "cli","node":"emqx@127.0.0.1","duration_ms":0,"cmd":"retainer","args":["clean", "t/1"]}以下の表は上記ログメッセージに含まれるフィールドの説明です。
| フィールド名 | 型 | 説明 |
|---|---|---|
| time | Integer | ログ記録のタイムスタンプ(マイクロ秒単位) |
| level | String | ログレベル |
| msg | String | 操作の説明 |
| from | String | リクエストソース。cli、erlang_console はそれぞれCLI、Erlang Shellを示す。dashboard、rest_api の場合はダッシュボードまたはREST APIからの操作であり、このログ構造は該当しない |
| node | String | 操作が実行されたノード名(ノードまたはサーバー) |
| duration_ms | Integer | 操作の実行時間(ミリ秒単位) |
| cmd | String | 実行された具体的なコマンド操作。対応コマンドはCLIを参照 |
| args | Array | コマンドに付随する追加パラメータ。複数パラメータは配列で区切られる |