監査ログ

1 監査ログの画面を表示する
2 製品監査ログをダウンロードする
3 組織のAPIキーを登録する
4 組織監査ログをダウンロードする
5 監査ログのストレージをユーザーが個別に用意したS3に変更する
- 5.1 カスタムバケット
- 5.2 カスタムバケット with AWS DataSync

ここでは監査ログに関する基本操作を説明します。アトラシアンクラウドでは、組織、製品の監査ログを180日間保管され組織管理者、製品管理者がダウンロードすることができますが、ユーザーからの無期限で保管したい。ユーザー側で用意したストレージに保管先としたい。という要望が多くあります。この機能を利用することで、監査ログが無期限でストレージに保管されて、ユーザーはいつでもダウンロードできます。

監査ログの画面を表示する

製品監査ログの画面は、アトラシアンのサイト管理者が利用することが可能です。

ホームの画面の”監査ログ”を選択します。
監査ログの画面が表示されます。

製品監査ログをダウンロードする

製品監査ログのダウンロードは、アトラシアンのサイト管理者が利用することが可能です。

(非推奨)アプリのインストールを実施してから、すべての製品監査ログがダウンロードできるまで、しばらくお時間を要することがありますのでご了承ください。

製品監査ログのJira監査ログとConfluence監査ログのセクションで、"最近", "期間指定", "すべて"から期間を指定して"ダウンロード"ボタンをクリックしてください。ダウンロード用のリンクがメールで送信されます。
送信されたメールを確認して"監査ログのダウンロードリンク"をクリックしてください。製品監査ログをダウンロードすることができます。

組織のAPIキーを登録する

組織監査ログのダウンロードは、組織の管理者で組織のAPIキーの作成と設定が必要となります。

組織監査ログのセクションの"追加"ボタンをクリックして組織のAPIキーを登録してください。APIキーの登録は組織管理をご参照ください。

組織監査ログをダウンロードする

組織監査ログのダウンロードは、アトラシアンのサイト管理者が利用することが可能です。

組織のAPIキーを登録するを実施してから、すべての組織監査ログがダウンロードできるまで、しばらくお時間を要することがありますのでご了承ください。

組織監査ログのセクションで、"最近", "期間指定", "すべて"から期間を指定して"ダウンロード"ボタンをクリックしてください。ダウンロード用のリンクがメールで送信されます。
送信されたメールを確認して"監査ログのダウンロードリンク"をクリックしてください。組織監査ログをダウンロードすることができます。

監査ログのストレージをユーザーが個別に用意したS3に変更する

組織、または製品の監査ログは、デフォルトではD-Accelが用意したS3に保管されますが、こちらの設定をすることでユーザーが個別に用意したS3へ変更できます。S3への変更方法として、カスタムバケットとカスタムバケット with AWS DataSyncの2つの方法があり、高速なデータ転送を希望される場合は後者の変更をお勧めします。

カスタムバケット

設定にあたっては事前に以下の3点のご準備をお願いします。

S3バケットのアクセス情報(S3のリージョン、S3バケット名、アクセスキーID、シークレットアクセスキー)を用意する。
S3 バケットへ許可いただくIPアドレスは IP制限に関してからお問い合わせください。
S3 IAMのポリシーでバケットへ権限を付与する。
- 下記の”例) S3 バケットのポリシー” をご参考に、保管先となる S3 バケットにあわせて{BUCKET_NAME}、許可いただくIPアドレスにあわせて{IP_ADDRESS}を置き換えて、ご利用ください。

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Effect": "Allow",
			"Action": [
				"s3:ListBucket",
				"s3:GetBucketLocation",
				"s3:PutObject",
				"s3:GetObject"
			],
			"Resource": [
				"arn:aws:s3:::{BUCKET_NAME}",
				"arn:aws:s3:::{BUCKET_NAME}/*"
			],
			"Condition": {
				"IpAddress": {
					"aws:SourceIp": [
						"{IP_ADDRESS}",
						"{IP_ADDRESS}",
						"{IP_ADDRESS}",
						"{IP_ADDRESS}",
						"{IP_ADDRESS}"
					]
				}
			}
		},
		{
			"Effect": "Allow",
			"Action": [
				"s3:ListBucket",
				"s3:GetBucketLocation",
				"s3:PutObject",
				"s3:GetObject"
			],
			"Resource": [
				"arn:aws:s3:::{BUCKET_NAME}",
				"arn:aws:s3:::{BUCKET_NAME}/*"
			],
			"Condition": {
				"StringEquals": {
					"aws:SourceVpc": [
						"vpc-0ba1ee9e80419b50d", 
						"vpc-083ffe1e3d8770e81"
					]
				}
			}
		},
		{
			"Effect": "Allow",
			"Action": [
				"s3:GetObject"
			],
			"Resource": [
				"arn:aws:s3:::{BUCKET_NAME}/download_audit_logs/*"
			]
		}
	]
}

画面右上の設定アイコンから”監査ログストレージ設定”を選択します。
組織、または製品の監査ログのパネルにある”カスタムバケットを使用する”をクリックしてオンにします。
ユーザーが用意したS3のリージョン、S3バケット名、アクセスキーID、シークレットアクセスキーを入力して、接続テストをクリックしてください。接続に成功したら保存ボタンをクリックしてください。
保存した後に、再度、”カスタムバケットを使用する”をクリックしてオフにすることで、D-Accelが用意したS3を保存場所として戻すことができます。

カスタムバケット with AWS DataSync

設定にあたっては事前に以下の5点のご準備をお願いします。

現時点ではこのオプションで保存先となるS3は日本リージョンのみ対応しています。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowBucketLevelAccess",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::058336427095:role/daccel-prod-datasync-role"
      },
      "Action": [
        "s3:GetBucketLocation",
        "s3:ListBucket",
        "s3:ListBucketMultipartUploads"
      ],
      "Resource": "arn:aws:s3:::{BUCKET_NAME}"
    },
    {
      "Sid": "AllowObjectLevelAccess",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::058336427095:role/daccel-prod-datasync-role"
      },
      "Action": [
        "s3:AbortMultipartUpload",
        "s3:DeleteObject",
        "s3:GetObject",
        "s3:ListMultipartUploadParts",
        "s3:PutObject",
        "s3:GetObjectTagging",
        "s3:PutObjectTagging"
      ],
      "Resource": "arn:aws:s3:::{BUCKET_NAME}/*"
    }
  ]
}

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Effect": "Allow",
			"Action": [
				"s3:ListBucket",
				"s3:GetBucketLocation",
				"s3:PutObject",
				"s3:GetObject",
				"s3:GetBucketOwnershipControls"
			],
			"Resource": [
				"arn:aws:s3:::{BUCKET_NAME}",
				"arn:aws:s3:::{BUCKET_NAME}/*"
			],
			"Condition": {
				"IpAddress": {
					"aws:SourceIp": [
						"{IP_ADDRESS}",
						"{IP_ADDRESS}",
						"{IP_ADDRESS}",
						"{IP_ADDRESS}",
						"{IP_ADDRESS}"
					]
				}
			}
		},
		{
			"Effect": "Allow",
			"Action": [
				"s3:ListBucket",
				"s3:GetBucketLocation",
				"s3:PutObject",
				"s3:GetObject",
				"s3:GetBucketOwnershipControls"
			],
			"Resource": [
				"arn:aws:s3:::{BUCKET_NAME}",
				"arn:aws:s3:::{BUCKET_NAME}/*"
			],
			"Condition": {
				"StringEquals": {
					"aws:SourceVpc": [
						"vpc-0ba1ee9e80419b50d", 
						"vpc-083ffe1e3d8770e81"
					]
				}
			}
		},
		{
			"Effect": "Allow",
			"Action": [
				"s3:GetObject"
			],
			"Resource": [
				"arn:aws:s3:::{BUCKET_NAME}/download_audit_logs/*"
			]
		}
	]
}

画面右上の設定アイコンから”監査ログストレージ設定”を選択します。
組織、または製品の監査ログのパネルにある”カスタムバケットを使用する”をクリックしてオンにします。
ユーザーが用意したS3のリージョン、S3バケット名、アクセスキーID、シークレットアクセスキーを入力して、接続テストをクリックしてください。
接続に成功したら、”AWS DataSyncを使用する”をクリックして、保存ボタンをクリックしてください。
保存した後に、再度、”カスタムバケットを使用する”をクリックしてオフにすることで、D-Accelが用意したS3を保存場所として戻すことができます。