監査ログの適切な保持期間を判断する方法
Jira 8.8、Confluence 7.5、および Bitbucket 7.0 以降 (サーバーおよび Data Center) 提供される改善された監査ログでは、データベースに保管される監査ログの保持期間を設定するためのきめ細かなアプローチが導入されています。ログを保持したい正確な日、月、または年数を選択できます。選択した保持期間には 10,000,000 レコードの上限が適用されます。
インスタンスでの出来事を監視したり、安定性に影響する可能性がある兆候やセキュリティ脅威の可能性があるイベントを見つけたりするために、イベント履歴を確保しておくことが推奨されます。しかしながら、大量のイベントを保管するとデータベースのサイズが増大し、結果的にインスタンスのパフォーマンスが悪化する可能性があります。
保持期間についての考慮事項
ご利用のインスタンスに最適な保持期間を判断する際には次の点を考慮します。
サーバーまたは Data Center
選定する保持期間は、サーバーと Data Center のどちらのインスタンスを実行しているかに応じて異なります。Data Center インスタンスを実行している場合はより多くのカバレッジ レベルを選択でき、それによってイベント量が増える可能性があります。ただし、データベースへの記録とは別にイベントをファイルに記録できるため、データベースのサイズが意図したバランスを超えて成長するのを心配する必要はなくなります。サーバーと Data Center の監査機能の詳細については次のページをご確認ください。
アクティブなユーザー数
アクティブ ユーザー数が多いインスタンスではより多くの監査イベントが生成されます。平均すると、600 人のアクティブ ユーザーは毎日約 20,000 件のイベントを生成します。この例の場合、インスタンスは約 1.5 年で上限の 10,000,000 レコードに到達します。アクティブ ユーザーの数が 2 倍である場合、インスタンスは約 8 か月で上限に到達します。
選択したカバレッジ レベルにおける各カバレッジ領域のイベント数
頻繁に発生するイベントは、全体的なログ量に影響します。頻繁に発生するイベントは通常は Full カバレッジ レベルで記録されますが、一部は Base でも記録されます。各レベルで記録されるイベントを確認し、それぞれで生成される量を理解しておくことをおすすめします。詳細については次のページをご確認ください。
サードパーティ製アプリ
REST API を利用する外部アプリも、大量のイベントを生成する可能性があります。このようなイベントやその量は、アプリに応じます。お持ちのサードパーティ製アプリの数を確認し、それらが生成するイベントの量を見積もります。
監査面での制約や法的な制約
追跡が必要なイベントとそれらの粒度について、組織で実現する必要がある内部および外部要件を確認します。
外部連携
監査ログの保持、集約、管理を長期的に行いたい場合は Splunk などの外部ツールと連携する方法があります。Data Center を実行している場合、監査ログはデータベースとファイルに自動的に記録されます。このオプションはサーバーでは利用できません (例外として Bitbucket Server ではファイルへの記録が行われます)。
短期的なソリューションと長期的なソリューション
上述のように、記録対象のイベント数はデータベースのサイズやパフォーマンスに影響します。このため、監査ログをデータベースに保持することは短期的なソリューションとしてのみ考慮するようにします。発生するすべてのイベントの記録は意図しておらず、ご利用のインスタンスが小規模または中規模 (150-300 ユーザー) の場合、3 年の保持期間から始めるのをおすすめします。
しかしながら、1000 ユーザーを超える大規模な Data Center を実行していて、インスタンスの完全なカバレッジを必要としている場合、10,000,000 件の上限に数か月ではなく数週間で到達してしまう可能性があります。このため、データベースの保持期間は可能な限り短く設定することをおすすめします。これにより、最新のイベントを素早く確認および参照し、監査ログ ファイルを外部のログ管理ツールと連携させて長期的な保存を実現できます。監査ログの連携機能の詳細については次のページをご確認ください。