監査ログストリーミングのリトライ
Workatoは、ユーザーアクティビティ、ジョブ概要、ジョブ詳細など、送信に失敗した監査ログを、指定した宛先に再送信します。
Workatoは監査ログを永続キャッシュに保存し、リトライに指数バックオフFormulaを適用します。 システムは、監査ログが宛先に正常に到達した場合、または正常に配信されないまま7日が経過した場合に、キャッシュから監査ログを削除します。
Workatoは、7日間リトライが成功しなかった監査ログを失敗イベントとしてマークします。 ほとんどのログは7~8回のリトライ試行内に宛先へ到達します。
機能の提供状況
監査ログストリーミングのリトライは、すべてのログストリーミング宛先で利用できます。
ゼロリテンションレシピ
レシピ設定ページでDo not store any dataを選択すると、レシピを“ゼロリテンション"に設定できます。 その結果、Workatoは、入力または出力のジョブ行を含むジョブデータを、Workatoプラットフォーム上または外部ストレージロケーションに一切保存しません。
機能の提供状況
ゼロデータリテンション機能は特定の料金プランで利用できます。 詳細については、ご利用の料金プランおよび契約を参照してください。
ゼロリテンションレシピの場合、Workatoは次のタスクを実行します:
- ジョブの入力データと出力データを含まない監査ログを送信します。
ゼロリテンションレシピの監査ログを送信する最初の試行が失敗した場合、Workatoは次のアクションを完了します:
- リトライのために、監査ログを永続キャッシュに保存します。
- 指数バックオフFormulaを使用して、宛先への監査ログ送信をリトライします。
- 宛先への監査ログの配信が成功した時点、または7日後のいずれか早い時点で、永続キャッシュから監査ログを削除します。
- イベントのすべてのリトライをWorkatoログサービスに記録します。
メール通知
監査ログストリーミングが失敗すると、Workatoはアカウントのワークスペース管理者と、エラー通知メールリストに指定されたすべてのユーザーにメール通知を送信します。
監査ログストリーミングは、ストリーミング宛先へのコネクションのエラーが原因で失敗することがあります。 これらのコネクションエラーイベントは、非自発的と自発的の2つのカテゴリに分類されます。 これらの各イベントカテゴリに対するメール通知プロトコルは次のように異なります:
自発的切断
自発的切断とは、宛先へのコネクションを手動で切断することです。 これが発生すると、Workatoは監査ログストリーミングのリトライを無効にする前に8時間待機します。 この遅延は、IAM Role IDなどのコネクション認証情報を更新するためにコネクションを一時的に切断する状況に対応するよう設計されています。 8時間の間隔が経過すると、Workatoは監査ログストリーミングが停止したことを知らせるメール通知を送信します。 透明性を確保するため、ALR(Audit Log Receiver)コネクションが8時間を超えて手動で切断され、WorkatoシステムがALRを無効にした場合、システムはこのアクションを活動監査に記録します。
次の表では、自発的切断通知メールの頻度と内容について説明します:
| 頻度 | 内容 |
|---|---|
| 1回のみ。 |
|
非自発的切断
非自発的切断とは、宛先へのコネクションが有効でなくなったために監査ログのストリーミングに失敗することです。 このシナリオでは、Workatoが送信できるエラー通知メールには2種類あります:
一般通知: 無効なコネクションが原因で監査ログストリーミングが停止した場合、Workatoはこのタイプの通知を送信します。 無効な監査ログストリーミングコネクションはすべて、このタイプの通知メールをトリガーします。
詳細通知: Workatoが特定した特定のエラーに起因する無効なコネクションにより監査ログストリーミングが中断された場合、Workatoはこのタイプの通知を送信します。 エラーが、すでに特定されているエラーシナリオのいずれかに一致する無効なコネクションのみが、これらのタイプのメール通知をトリガーします。
次の表では、非自発的切断通知メールの頻度と内容について説明します:
| 頻度 | 内容 |
|---|---|
| 24時間ごとに1回以下。 |
|
詳細通知のエラーコード
このセクションでは、Workatoが識別できるエラーのタイプについて説明します。 コネクションでこれらのエラーのいずれかが発生した場合、Workatoはエラータイプを指定したメール通知を送信します。 発生したエラーがこのセクションに記載されていない場合、Workatoは一般エラー通知を送信します。
エラーコードはストリーミング宛先に基づいて整理されています:
S3エラーコード
| エラーコード | 説明 |
|---|---|
PermanentRedirect( 301 Moved Permanently) | AWSリージョンが正しく設定されていません。 これは、コネクションで指定されたリージョンが、バケットが最初に設定されたリージョンと一致しないことを意味します。 |
InvalidAccessKeyID( 403 Forbidden) | このエラーは、Role ARNが無効な場合に発生します。 |
AccessDenied( 403 Forbidden) | このエラーは、コネクションに監査ログストリーミングに必要な権限がない場合に発生します。 |
NoSuchBucket( 404 Not Found) | このエラーは、Workatoがコネクションで指定されたS3バケットを見つけられない場合に発生します。 これは、S3バケットが削除されている場合に発生することがあります。 |
InvalidBucketName( 400 Bad Request) | 指定されたS3バケット名が無効です。 |
HTTPエラーコード
| エラーコード | 説明 |
|---|---|
404 Destination Not Found | Workatoはリクエストされたリソースを見つけられませんでした。URLの入力ミス、リンク切れ、リソースの移動または削除など、さまざまな理由が考えられます。 |
403 Forbidden | このエラーは、ストリーミングコネクションに必要な権限がない場合に発生します。 |
401 Unauthorized | このエラーは、ストリーミングコネクションが必要な認証要件を満たしていない場合に発生します。 これは、無効なトークンが原因で発生することがあります。 |
Azure Monitorエラーコード
| エラーコード | 説明 |
|---|---|
Invalid Authorization(403 Forbidden) | このエラーは、指定された共有キーの形式が不正であるか、それ以外の理由で無効な場合に発生します。 |
Error Building Signature | このエラーは、指定されたワークスペースIDまたは共有キーの形式が不正であるか、それ以外の理由で無効な場合に発生します。 |
Streaming Destination Not Found | このエラーは、指定されたワークスペースIDの形式が不正であるか、それ以外の理由で無効な場合に発生します。 このエラーは、Log Analytics Workspaceが削除されている場合にも発生することがあります。 |
Azure Blobエラーコード
| エラーコード | 説明 |
|---|---|
404 ContainerNotFound | ストリーミング宛先コネクションで指定されたコンテナが、無効化または削除されている可能性があります。 |
404 ResourceNotFound | Workatoは、コネクションで指定されたストレージアカウントを見つけられませんでした。 これは、ストレージアカウントが無効化または削除されている場合に発生することがあります。 |
403 AuthorizationPermissionMismatch | Azureユーザーまたは登録済みアプリケーションに、指定されたストレージアカウントへの十分なアクセス権がありません。 これは、クライアント認証情報のシークレットトークンが期限切れまたは削除されている場合に発生することがあります。 |
401 InvalidAuthenticationInfo | このエラーは、Azureユーザーまたは登録済みアプリケーションに、監査ログストリーミングに必要な権限がない場合に発生します。 これは、認証トークンが無効化、削除、または期限切れになっている場合に発生することがあります。 |
Embeddedアカウントのエラー通知メール受信者
Embeddedアカウントのメール受信者は、次の表に示すように、監査ログストリーミングが有効になっているワークスペースによって決まります。
| ログストリーミングが有効な場所 | メール受信者 |
|---|---|
| Embeddedパートナー管理者ワークスペース | Embeddedパートナー管理者 |
| 共有ストリーミング宛先を使用するEmbeddedカスタマーワークスペース | Embeddedパートナー管理者 |
| 個別のストリーミング宛先を使用するEmbeddedカスタマーワークスペース | Embeddedカスタマー |
AHQアカウントのエラー通知メール受信者
AHQアカウントのメール受信者は、次の表に示すように、監査ログストリーミングが有効になっているワークスペースによって決まります。
| ログストリーミングが有効な場所 | メール受信者 |
|---|---|
| AHQ管理者ワークスペース | AHQ管理者 |
| 共有ストリーミング宛先を使用するAHQ管理対象ワークスペース | AHQ管理者 |
| 個別のストリーミング宛先を使用するAHQ管理対象ワークスペース | 管理対象ワークスペース管理者 |
Last updated: