Docs Menu
Docs Home
/ /
監査メッセージ
Docs Home
/ /
監査
/
監査メッセージ
Docs Home
/
管理
/
セキュリティ
/
監査
/
監査メッセージ

OCSF スキーマ監査メッセージ

OCSFスキーマでは、記録されたログメッセージの構文は次のとおりです。

{
   "activity_id" : <int>,
   "category_uid" : <int>,
   "class_uid" : <int>,
   "time" : <int>,
   "severity_id" : <int>,
   "type_uid" : <int>,
   "metadata" : <document>
   "actor" : {
      "user" : {
         "type_id" : <int>,
         "name" : <string>,
         "groups" : <array of documents>
      }
   },
   "src_endpoint" : {
      "ip": <string>,   // IP address for origin client computer
      "port": <int>,    // Port for origin client computer
      "intermediate_ips": [ {
         // IP address and port for mongos or load balancer
         "ip": <string>,
         "port": <int>
      }, {
         // IP address and port for mongos or load balancer
         "ip": <string>,
         "port": <int>
      } ]
   },
   "dst_endpoint" : {
      // IP address and port for local MongoDB server
      "ip": <string>,
      "port": <int>
   }
}

以下の表は、ログメッセージのフィールドを説明したものです。

フィールド
タイプ
説明

activity_id

整数

アクティビティ タイプ。 OCSF 型マッピング を参照してください。

category_uid

整数

監査イベント のカテゴリ。 「 OCSF カテゴリマッピング 」を参照してください。

class_uid

整数

監査イベントクラス。 「 OCSF クラスマッピング 」を参照してください。

time

整数

イベントが発生した UNIXエポックからのミリ秒数。

severity_id

整数

監査されイベントの重大度。

type_uid

整数

監査するイベントのクラス、アクティビティ、およびカテゴリの組み合わせ。 「 OCSF 型マッピング 」を参照してください。

metadata

ドキュメント

製品やスキーマのバージョンなど、イベントに関するメタデータ。

actor

ドキュメント

アクションを実行したユーザーに関する情報。

src_endpoint

ドキュメント

MongoDB 8.1 以降では、クライアントアプリケーションがロードバランサーを介して mongod または mongosインスタンスに接続する場合、元のクライアントコンピューターとロードバランサーのIPアドレスとポートが監査するログに含まれます。ログを使用して、監査するイベントと元のクライアントコンピューターを照合できます。

src_endpoint は、 IPアドレスとポートに関する情報を保存します。intermediate_ips 配列の各要素は、発信元クライアントコンピューターリクエストが通過したロードバランサーまたは mongos のIPアドレスとポートを含むドキュメントです。

リクエストがロードバランサーを通過する場合:

  • src_endpoint は、プロキシプロトコルヘッダーから読み取られたオリジンクライアントのIPアドレスとポートを保存します。

  • src_endpoint.intermediate_ips は、ロードバランサーのIPアドレスとポートを保存します。

監査するイベントがシャードで発生した場合:

  • src_endpoint は、発信元クライアントコンピューターのIPアドレスとポートを保存します。アドレスとポートはプロキシプロトコルヘッダーから読み取られます。または、元のクライアントコンピューターが mongod または mongos に接続している場合は、アドレスとポートはクライアントコンピューター接続から読み取られます。

  • src_endpoint.intermediate_ips は、リクエストが mongos によって転送された場合、mongos IPアドレスとポートを保存します。ロードバランサーを使用する場合、ロードバランサーのIPアドレスとポートを保存する追加の src_endpoint.intermediate_ips が存在します。

バージョン8.1で変更

dst_endpoint

ドキュメント

ローカルMongoDBサーバーのIPアドレスとポート。

バージョン8.1で変更

注意

ログ メッセージには、ログに記録されたイベントに応じて追加のフィールドが含まれる場合があります。

OCSF カテゴリ マッピング

以下の表では、 category_uidの値について説明しています。

category_uid
カテゴリ

1

システム活動

2

検索結果

3

IAM

4

ネットワーク アクティビティ

5

検出

6

アプリケーション アクティビティ

OCSF クラスマッピング

OCSFclass_uids の完全なリストと、それらがさまざまなクラスにマッピングされる方法については、 OCSF ドキュメントを参照してください。

OCSF 型マッピング

type_uidフィールドは、監査するイベントのクラス、アクティビティ、カテゴリの組み合わせを表します。 結果の UUID は、発生したアクティビティのタイプを示します。

具体的には、 type_uid( class_uid * 100 ) + (activity_id)で、 category_idclass_id内の 100 桁です。

次の表は、監査されたアクションがtype_uidにどのようにマッピングされるかを示しています。

アクション タイプ
type_uid
カテゴリ
クラス
アクティビティ

addShard

500101

構成

デバイス構成の状態

Log

applicationMessage

100799

システム

プロセス アクティビティ

その他

auditConfigure

500201 or 500203

検出

デバイス構成の状態

  • 1 が作成

  • 3 が 更新

authzCheck

600301 - 600304

アプリケーション

APIアクティビティ

  • 1 が作成

  • 2 は 読み取り

  • 3 が 更新

  • 4 は 削除

authenticate

300201

IAM

認証

ログオン

clientMetadata

400101

ネットワーク

ネットワーク アクティビティ

を開く

createCollection

300401

IAM

エンティティマネジメント

作成

createDatabase

300401

IAM

エンティティマネジメント

作成

createIndex

300401

IAM

エンティティマネジメント

作成

createRole

300101

IAM

アカウントの変更

作成

createUser

300101

IAM

アカウントの変更

作成

directAuthMutation

300100

IAM

アカウントの変更

不明

dropAllRolesFromDatabase

300106

IAM

アカウントの変更

削除

dropAllUsersFromDatabase

300106

IAM

アカウントの変更

削除

dropCollection

300404

IAM

エンティティマネジメント

削除

dropDatabase

300404

IAM

エンティティマネジメント

削除

dropIndex

300404

IAM

エンティティマネジメント

削除

dropPrivilegesToRole

300107

IAM

アカウントの変更

ポリシーを付与

dropRole

300106

IAM

アカウントの変更

削除

dropUser

300106

IAM

アカウントの変更

削除

enableSharding

500201

構成

デバイス構成の状態

Log

getClusterParameter

600302

アプリケーション

APIアクティビティ

読み取り

grantRolesToRole

300107

IAM

アカウントの変更

ポリシーを付与

grantRolesToUser

300107

IAM

アカウントの変更

ポリシーを付与

importCollection

300401

IAM

エンティティマネジメント

作成

logout

300202

IAM

認証

ログオフ

refineCollectionShardKey

500201

構成

デバイス構成の状態

Log

removeShard

500201

構成

デバイス構成の状態

Log

renameCollection

300403

IAM

エンティティマネジメント

Update

replSetReconfig

500201

構成

デバイス構成の状態

Log

revokePrivilegesFromRole

300108

IAM

アカウントの変更

削除ポリシー

revokeRolesFromRole

300108

IAM

アカウントの変更

削除ポリシー

revokeRolesFromUser

300108

IAM

アカウントの変更

削除ポリシー

rotateLog

100799

システム

プロセス

その他

setClusterParameter

500201

構成

デバイス構成の状態

Log

shardCollection

500201

構成

デバイス構成の状態

Log

shutdown

100702

システム

プロセス

終了

startup

100701

システム

プロセス

Launch

updateCachedClusterServerParameter

500201

構成

デバイス構成の状態

Log

updateRole

300199

IAM

アカウントの変更

その他

updateUser

300199

IAM

アカウントの変更

その他

以下の例は、さまざまなアクションタイプのOCSFスキーマログメッセージを示しています。

認証アクション

{
   "activity_id" : 1,
   "category_uid" : 3,
   "class_uid" : 3002,
   "time" : 1710715316123,
   "severity_id" : 1,
   "type_uid" : 300201,
   "metadata" : {
      "correlation_uid" : "20ec4769-984d-445c-aea7-da0429da9122",
      "product" : "MongoDB Server",
      "version" : "1.0.0"
   },
   "actor" : {
      "user" : {
         "type_id" : 1,
         "name" : "admin.admin",
         "groups" : [ { "name" : "admin.root" } ]
      }
   },
   "src_endpoint" : { "ip" : "127.0.0.1", "port" : 56692 },
   "dst_endpoint" : { "ip" : "127.0.0.1", "port" : 20040 },
   "user" : { "type_id" : 1, "name" : "admin.admin" },
   "auth_protocol" : "SCRAM-SHA-256",
   "unmapped" : { "atype" : "authenticate" }
}

AuthCheck アクション

{
   "activity_id" : 0,
   "category_uid" : 6,
   "class_uid" : 6003,
   "time" : 1710715315002,
   "severity_id" : 1,
   "type_uid" : 600300,
   "metadata" : {
      "correlation_uid" : "af4510fb-0a9f-49aa-b988-06259a7a861d",
      "product" : "MongoDB Server",
      "version" : "1.0.0"
   },
   "actor" : {},
   "src_endpoint" : { "ip" : "127.0.0.1", "port" : 45836 },
   "dst_endpoint" : { "ip" : "127.0.0.1", "port" : 20040 },
   "api" : {
      "operation" : "getParameter",
      "request" : { "uid" : "admin" },
      "response" : { "code" : 13, "error" : "Unauthorized" }
   }
}

戻る

mongo スキーマ

次へ

参照

項目一覧