Enterprise の監査ログのストリーミング

監査ログのストリーミングについて

知的財産を保護し、組織のコンプライアンスを維持するために、ストリーミングを使用して監査ログデータのコピーを保持し、監視できます。* 組織またはリポジトリの設定へのアクセス

アクセス許可の変更
組織、リポジトリ、またはチームの追加または削除されたユーザー
管理者に昇格されるユーザー
GitHub Appの権限の変更
API 要求 (有効にする必要があります) * Git イベント (複製、フェッチ、プッシュなど)

監査ログのストリーミングには、次の利点があります。

データの探索。大量のデータに対してクエリを実行するために、推奨されるツールを使用して、ストリーミングされたイベントを調べることができます。ストリーミングには、Enterprise アカウント全体の監査イベントと Git イベントの両方が含まれます。
データの継続性。ストリーミングは、最長 7 日間、監査データを失うことなく一時停止できます。
データ保有。エクスポートされた監査ログと Git イベントデータを必要な期間だけ保持できます。

Enterprise 所有者は、ストリームをいつでも設定、一時停止、または削除することができます。ストリーミングによって、Enterprise 内のすべての Organization に関する監査と Git イベントデータがエクスポートされます。

メモ: すべての監査ログは JSON 形式でストリーミングされます。

監査ログのストリーミングの設定

プロバイダーの指示に従って、GitHub Enterprise Cloud での監査ログのストリーミングを設定します。

Amazon S3
Azure Blob Storage
Azure Event Hubs
Datadog
Google Cloud Storage
Splunk

Amazon S3 へのストリーミングの設定

アクセスキーを使用して S3 へのストリーミングを設定したり、OpenID Connect (OIDC) を使用して GitHub Enterprise Cloud に有効期間の長いシークレットを格納するのを回避したりできます。

アクセスキーを使用して S3 へのストリーミングを設定する
OpenID Connect を使用して S3 へのストリーミングを設定する
OpenID Connect を使用して S3 へのストリーミングを無効にする
AWS CloudTrail Lake との統合

アクセスキーを使用して S3 へのストリーミングを設定する

GitHub から監査ログのストリーミングを設定するには、次のものが必要です。

AWS アクセスキー ID
AWS 秘密鍵

アクセスキー ID と秘密鍵の作成またはアクセスについては、AWS ドキュメントの「Understanding and getting your AWS credentials」 (AWS 資格情報の理解と取得) を参照してください。

AWS でバケットを作成し、バケットへのパブリックアクセスをブロックします。詳しくは、AWS のドキュメント「Amazon S3 バケットの作成、設定、操作」をご覧ください。 1. 次の JSON をコピーし、EXAMPLE-BUCKET を自分のバケットの名前に変えて、GitHub がバケットに書き込まれることを許可するポリシーを AWS で作成します。 GitHub では、この JSON のアクセス許可のみが必要になります。
```
{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid": "VisualEditor0",
         "Effect": "Allow",
         "Action": [
            "s3:PutObject"
         ],
         "Resource": "arn:aws:s3:::EXAMPLE-BUCKET/*"
     }
   ]
}
```
詳しくは、AWS のドキュメント「IAM ポリシーの作成」をご覧ください。 1. GitHub.com の右上の自分のプロファイル写真をクリックし、 [自分の Enterprise] をクリックします。
Enterpriseのリストで、表示したいEnterpriseをクリックしてください。
Enterprise アカウントのサイドバーで、 [設定] をクリックします。 1. [ 設定] で、 [監査ログ] をクリックします。
[Audit log](監査ログ) の [Log streaming](ログストリーミング) をクリックします。 1. [ストリームの構成] ドロップダウンメニューを選び、 [Amazon S3] をクリックします。
[認証] で [アクセスキー] をクリックします。
ストリームの設定を構成します。
- [バケット] に、ストリーミング先のバケットの名前を入力します。たとえば、auditlog-streaming-test のようにします。
- [アクセスキー ID] に、アクセスキーの ID を入力します。たとえば、ABCAIOSFODNN7EXAMPLE1 のようにします。
- [シークレットキー] に、シークレットキーを入力します。たとえば、aBcJalrXUtnWXYZ/A1MDENG/zPxRfiCYEXAMPLEKEY のようにします。
GitHub で Amazon S3 エンドポイントに接続して書き込めることを確認するには、 [Check endpoint](エンドポイントのチェック) をクリックします。 1. エンドポイントを正常に確認したら、 [保存] をクリックします。

OpenID Connect を使用して S3 へのストリーミングを設定する

AWS では、GitHub の OIDC プロバイダーを IAM に追加します。詳しくは、AWS のドキュメント「OpenID Connect (OIDC) ID プロバイダーの作成」をご覧ください。
- プロバイダーの URL には、https://oidc-configuration.audit-log.githubusercontent.com を使います。
- [対象者] には、sts.amazonaws.com を使います。
AWS でバケットを作成し、バケットへのパブリックアクセスをブロックします。詳しくは、AWS のドキュメント「Amazon S3 バケットの作成、設定、操作」をご覧ください。 1. 次の JSON をコピーし、EXAMPLE-BUCKET を自分のバケットの名前に変えて、GitHub がバケットに書き込まれることを許可するポリシーを AWS で作成します。 GitHub では、この JSON のアクセス許可のみが必要になります。
```
{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid": "VisualEditor0",
         "Effect": "Allow",
         "Action": [
            "s3:PutObject"
         ],
         "Resource": "arn:aws:s3:::EXAMPLE-BUCKET/*"
     }
   ]
}
```
詳しくは、AWS のドキュメント「IAM ポリシーの作成」をご覧ください。
GitHub IdP のロールと信頼ポリシーを構成します。詳しくは、AWS のドキュメント「ウェブ ID または OpenID Connect フェデレーション用のロールを作成する (コンソール)」をご覧ください。
- 上で作成したアクセス許可ポリシーを追加して、バケットへの書き込みを許可します。
- 信頼関係を編集して、sub フィールドを検証条件に追加し、ENTERPRISE を自分の Enterprise の名前に置き換えます。
```
"Condition": {
   "StringEquals": {
      "oidc-configuration.audit-log.githubusercontent.com:aud": "sts.amazonaws.com",
      "oidc-configuration.audit-log.githubusercontent.com:sub": "https://github.com/ENTERPRISE"
    }
 }
```
- 作成されたロールの Amazon Resource Name (ARN) を記録しておきます。
GitHub.com の右上の自分のプロファイル写真をクリックし、 [自分の Enterprise] をクリックします。
Enterpriseのリストで、表示したいEnterpriseをクリックしてください。
Enterprise アカウントのサイドバーで、 [設定] をクリックします。 1. [ 設定] で、 [監査ログ] をクリックします。
[Audit log](監査ログ) の [Log streaming](ログストリーミング) をクリックします。 1. [ストリームの構成] ドロップダウンメニューを選び、 [Amazon S3] をクリックします。
[認証] の [OpenID Connect] をクリックします。
ストリームの設定を構成します。
- [バケット] に、ストリーミング先のバケットの名前を入力します。たとえば、auditlog-streaming-test のようにします。
- [ARN ロール] に、前に記録した ARN ロールを入力します。たとえば、arn:aws::iam::1234567890:role/github-audit-log-streaming-role のようにします。
GitHub で Amazon S3 エンドポイントに接続して書き込めることを確認するには、 [Check endpoint](エンドポイントのチェック) をクリックします。 1. エンドポイントを正常に確認したら、 [保存] をクリックします。

OpenID Connect を使用して S3 へのストリーミングを無効にする

OIDC のセキュリティ脆弱性を検出したなど、何らかの理由で OIDC を使用した S3 へのストリーミングを無効にする場合は、ストリーミングの設定時に AWS で作成した GitHub OIDC プロバイダーを削除します。詳しくは、AWS のドキュメント「OpenID Connect (OIDC) ID プロバイダーの作成」をご覧ください。

その後は、脆弱性が解決されるまで、アクセスキーを使用してストリーミングを設定します。詳しい情報については、「アクセスキーを使用して S3 へのストリーミングを設定する」を参照してください。

AWS CloudTrail Lake との統合

監査ログの S3 ストリーミングを AWS CloudTrail Lake と統合することで、GitHub Enterprise Cloud からの監査ログは AWS アクティビティログと連結できます。詳しくは、AWS CloudTrail ドキュメントか、aws-samples/aws-cloudtrail-lake-github-audit-log リポジトリの「GitHub 監査ログと CloudTrail オープン監査の統合」をご覧ください。

Azure Blob Storage へのストリーミングの設定

GitHub でのストリーミングを設定する前に、まず、Microsoft Azure でストレージアカウントとコンテナーを作成しておく必要があります。詳細については、Microsoft のドキュメント「Azure Blob Storage の概要」を参照してください。

GitHub でストリーミングを構成するには、SAS トークンの URL が必要です。

Microsoft Azure portal で次の操作を行います。

[ホーム] ページで、 [ストレージアカウント] をクリックします。
[名前] で、使用するストレージアカウントの名前をクリックします。
[データストレージ] で、 [コンテナー] をクリックします。
使用するコンテナーの名前をクリックします。
左側のサイドバーの [設定] で、 [共有アクセストークン] をクリックします。
[アクセス許可] ドロップダウンメニューを選択し、Create と Write を選択して他のすべてのオプションの選択を解除します。
シークレットローテーションポリシーに準拠する有効期限を設定します。
[SAS トークンおよび URL を生成] をクリックします。
表示される BLOB SAS URL フィールドの値をコピーします。この URL を GitHub で使用します。

GitHub で次の操作を行います。1. GitHub.com の右上の自分のプロファイル写真をクリックし、 [自分の Enterprise] をクリックします。

Enterpriseのリストで、表示したいEnterpriseをクリックしてください。
Enterprise アカウントのサイドバーで、 [設定] をクリックします。 1. [ 設定] で、 [監査ログ] をクリックします。
[Audit log](監査ログ) の [Log streaming](ログストリーミング) をクリックします。
[ストリームの構成] ドロップダウンメニューを選び、 [Azure Blob Storage] をクリックします。
構成ページで、Azure でコピーした BLOB SAS URL を入力します。 [Container] フィールドは、その URL に基づいて自動入力されます。
[Check endpoint] をクリックして、GitHub で Azure Blob Storage エンドポイントに接続して書き込むことができることを確認します。
エンドポイントを正常に確認したら、 [保存] をクリックします。

Azure Event Hubs へのストリーミングの設定

GitHub でのストリーミングを設定する前に、まず、Microsoft Azure でイベントハブ名前空間が必要です。次に、その名前空間内にイベントハブインスタンスを作成する必要があります。ストリーミングを設定するときに、このイベントハブインスタンスの詳細が必要になります。詳細については、Microsoft のドキュメント「クイックスタート:Azure portal を使用したイベントハブの作成」を参照してください。

イベントハブに関する 2 つの情報 (インスタント名と接続文字列) が必要です。

Microsoft Azure portal で次の操作を行います。

ページの上部にある [Microsoft Azure] の横にある検索ボックスを使用して、"Event Hubs" を検索します。
[Event Hubs] を選択します。イベントハブの名前が一覧表示されます。
ストリーミング先のイベントハブの名前をメモします。イベントハブをクリックします。
左側のメニューで、 [共有アクセスポリシー] を選びます。
ポリシーの一覧から共有アクセスポリシーを選ぶか、新しいポリシーを作成します。
[接続文字列 -主キー] フィールドから接続文字列をコピーします。

GitHub で次の操作を行います。1. GitHub.com の右上の自分のプロファイル写真をクリックし、 [自分の Enterprise] をクリックします。

Enterpriseのリストで、表示したいEnterpriseをクリックしてください。
Enterprise アカウントのサイドバーで、 [設定] をクリックします。 1. [ 設定] で、 [監査ログ] をクリックします。
[Audit log](監査ログ) の [Log streaming](ログストリーミング) をクリックします。
[ストリームの構成] ドロップダウンメニューを選び、 [Azure Event Hubs] をクリックします。
構成ページで、次の項目を入力します。
- Azure Event Hubs インスタンスの名前。
- 接続文字列。
[Check endpoint] をクリックして、GitHub で Azure Events Hubs エンドポイントに接続して書き込むことができることを確認します。
エンドポイントを正常に確認したら、 [保存] をクリックします。

Datadog へのストリーミングの設定

Datadog へのストリーミングを設定するには、Datadog でクライアントトークンまたは API キーを作成し、次に認証用のトークンを使用して GitHub Enterprise Cloud で監査ログストリーミングを構成する必要があります。 Datadog でバケットやその他のストレージコンテナーを作成する必要はありません。

Datadog へのストリーミングを設定した後は、"github.audit.streaming" でフィルター処理することで自分の監査ログデータを確認できます。詳しくは、「ログ管理」を参照してください。

まだ Datadog アカウントがない場合は、それを作成します。
Datadog で、クライアントトークンまたは API キーを生成して、 [キーのコピー] をクリックします。詳しくは、Datadog Docs の「API キーとアプリケーションキー」を参照してください。 1. GitHub.com の右上の自分のプロファイル写真をクリックし、 [自分の Enterprise] をクリックします。
Enterpriseのリストで、表示したいEnterpriseをクリックしてください。
Enterprise アカウントのサイドバーで、 [設定] をクリックします。 1. [ 設定] で、 [監査ログ] をクリックします。
[Audit log](監査ログ) の [Log streaming](ログストリーミング) をクリックします。
[ストリームの構成] ドロップダウンを選び、 [Datadog] をクリックします。
[トークン] フィールドで、先ほどコピーしたトークンを貼り付けます。
[サイト] ドロップダウンメニューを選び、Datadog サイトをクリックします。ご利用の Datadog サイトを特定するには、その Datadog の URL を Datadog Docs にある Datadog サイト内のテーブルと比較します。
GitHub で Datadog エンドポイントに接続して書き込みができることを確認するには、 [エンドポイントのチェック] をクリックします。
エンドポイントを正常に確認したら、 [保存] をクリックします。
数分後、Datadog の [ログ] タブに監査ログデータが表示されていることを確認します。監査ログデータが表示されない場合は、トークンとサイトが正しいことを GitHub で確認します。

Google Cloud Storage へのストリーミングの設定

Google Cloud Storage へのストリーミングを設定するには、適切な資格情報とアクセス許可を使用して、Google Cloud にサービスアカウントを作成し、そのサービスアカウントの資格情報を認証に使用して GitHub Enterprise Cloud での監査ログのストリーミングを構成します。

Google Cloud のサービスアカウントを作成します。サービスアカウントのアクセス制御または IAM ロールを設定する必要はありません。詳細については、Google Cloud のドキュメント「サービスアカウントの作成と管理」を参照してください。
サービスアカウントの JSON キーを作成し、キーを安全に格納します。詳細については、Google Cloud のドキュメント「サービスアカウントキーの作成と管理」を参照してください。
バケットをまだ作成していない場合は、作成します。詳細については、Google Cloud のドキュメント「ストレージバケットの作成」を参照してください。
バケットのストレージオブジェクト作成者のロールをサービスアカウントに付与します。詳細については、Google Cloud のドキュメント「クラウド IAM 権限を使用する」を参照してください。
GitHub.com の右上の自分のプロファイル写真をクリックし、 [自分の Enterprise] をクリックします。
Enterpriseのリストで、表示したいEnterpriseをクリックしてください。
Enterprise アカウントのサイドバーで、 [設定] をクリックします。 1. [ 設定] で、 [監査ログ] をクリックします。
[Audit log](監査ログ) の [Log streaming](ログストリーミング) をクリックします。
[ストリームの構成] ドロップダウンメニューを選び、 [Google Cloud Storage] をクリックします。
[Bucket] で、Google Cloud Storage バケットの名前を入力します。
[JSON Credentials] で、サービスアカウントの JSON キーのファイルの内容全体を貼り付けます。
GitHub で Google Cloud Storage バケットに接続して書き込めることを確認するには、 [Check endpoint] をクリックします。
エンドポイントを正常に確認したら、 [保存] をクリックします。

Splunk へのストリーミングの設定

監査ログを Splunk の HTTP Event Collector (HEC) エンドポイントにストリーミングするには、エンドポイントが HTTPS 接続を受け入れるように構成されていることを確認する必要があります。詳細については、Splunk のドキュメント「Set up and use HTTP Event Collector in Splunk Web」 (Splunk Web で HTTP Event Collector を設定および作成する) を参照してください。

GitHub.com の右上の自分のプロファイル写真をクリックし、 [自分の Enterprise] をクリックします。
Enterpriseのリストで、表示したいEnterpriseをクリックしてください。
Enterprise アカウントのサイドバーで、 [設定] をクリックします。 1. [ 設定] で、 [監査ログ] をクリックします。
[Audit log](監査ログ) の [Log streaming](ログストリーミング) をクリックします。
[ストリームの構成] ドロップダウンメニューを選び、 [Splunk] をクリックします。
構成ページで、次の項目を入力します。
- ストリーミング先のアプリケーションがホストされているドメイン。
  
  Splunk Cloud を使っている場合、Domain は http-inputs-<host> である必要があります。ここで、host は、Splunk Cloud で使うドメインです。たとえば、「 http-inputs-mycompany.splunkcloud.com 」のように入力します。
  
  無料試用版の Splunk Cloud を使っている場合、Domain は inputs.<host> である必要があります。ここで、host は、Splunk Cloud で使うドメインです。たとえば、「 inputs.mycompany.splunkcloud.com 」のように入力します。
- アプリケーションでデータを受け入れるポート。
  
  Splunk Cloud を使っていて、ポート構成を変えない場合、Port を 443 にしてください。
  
  無料試用版の Splunk Cloud を使っている場合、Port を 8088 にしてください。
- GitHub でサードパーティアプリケーションに対する認証に使用できるトークン。
[Enable SSL verification] チェックボックスはオンのままにします。

監査ログは常に、暗号化されたデータとしてストリーミングされます。ただし、このオプションを選択すると、GitHub によって、イベントの配信前に Splunk インスタンスの SSL 証明書が検証されます。 SSL 検証は、イベントが URL エンドポイントに安全に配信されることを保証するために役立ちます。このオプションの選択をオフにすることはできますが、SSL 検証を有効のままにすることをお勧めします。
[Check endpoint] をクリックして、GitHub で Splunk エンドポイントに接続して書き込むことができることを確認します。
エンドポイントを正常に確認したら、 [保存] をクリックします。

監査ログのストリーミングの一時停止

ストリーミングを一時停止すると、監査ログデータを失うことなく、受信側のアプリケーションでメンテナンスを実行できます。監査ログは、最長 7 日間 GitHub.com に格納され、ストリーミングの一時停止を解除するとエクスポートされます。

Datadog で受け入れるログは過去 18 時間以降のものに限られます。 Datadog エンドポイントへのストリームを 18 時間以上一時停止した場合、ストリーミングを再開した後に Datadog で受け入れられないログが失われるリスクがあります。

GitHub.com の右上の自分のプロファイル写真をクリックし、 [自分の Enterprise] をクリックします。
Enterpriseのリストで、表示したいEnterpriseをクリックしてください。
Enterprise アカウントのサイドバーで、 [設定] をクリックします。 1. [ 設定] で、 [監査ログ] をクリックします。
[Audit log](監査ログ) の [Log streaming](ログストリーミング) をクリックします。
構成したストリームの右側にある [ストリームの一時停止] をクリックします。
確認メッセージが表示されます。 [Pause stream] をクリックして確定します。

アプリケーションが、監査ログを再び受信できるようになったら、 [Resume stream] をクリックして監査ログのストリーミングを再開します。

監査ログのストリーミングの削除

GitHub.com の右上の自分のプロファイル写真をクリックし、 [自分の Enterprise] をクリックします。
Enterpriseのリストで、表示したいEnterpriseをクリックしてください。
Enterprise アカウントのサイドバーで、 [設定] をクリックします。 1. [ 設定] で、 [監査ログ] をクリックします。
[Audit log](監査ログ) の [Log streaming](ログストリーミング) をクリックします。
[危険なゾーン] の [ストリームの削除] をクリックします。
確認メッセージが表示されます。 [Delete stream] をクリックして確定します。

API 要求の監査ログストリーミングの有効化

注: この機能は現在パブリックベータ版であり、変更されることがあります。

GitHub.com の右上の自分のプロファイル写真をクリックし、 [自分の Enterprise] をクリックします。
Enterpriseのリストで、表示したいEnterpriseをクリックしてください。
Enterprise アカウントのサイドバーで、 [設定] をクリックします。 1. [ 設定] で、 [監査ログ] をクリックします。
[監査ログ] の [設定] をクリックします。
[API 要求] で、 [API 要求イベントを有効にする] を選びます。

Enterprise の監査ログのストリーミング

この記事の内容