例:S3オブジェクトの読み出し

S3クライアントがストレージ ノード(LDRサービス)からオブジェクトを読み出すと、監査メッセージが生成されて監査ログに保存されます。

以下の例には、トランザクション中に生成されたすべての監査メッセージが含まれているわけではなく、S3読み出しトランザクション(SGET)に関連するメッセージだけが示されています。

SGET:S3 GET

オブジェクトの読み出しは、クライアントがLDRサービスにGET Object要求を送信した時点で始まります。メッセージには、オブジェクトの読み出し元のバケットと、オブジェクトの識別に使用されるS3キーが含まれています。

2017-09-20T22:53:08.782605 [AUDT:[RSLT(FC32):SUCS][TIME(UI64):47807][SAIP(IPAD):"10.96.112.26"][S3AI(CSTR):"43979298178977966408"][SACC(CSTR):"s3-account-a"][S3AK(CSTR):"SGKHt7GzEcu0yXhFhT_rL5mep4nJt1w75GBh-O_FEw=="][SUSR(CSTR):"urn:sgws:identity::43979298178977966408:root"][SBAI(CSTR):"43979298178977966408"][SBAC(CSTR):"s3-account-a"][S3BK(CSTR):"bucket-anonymous"][S3KY(CSTR):"Hello.txt"][CBID(UI64):0x83D70C6F1F662B02][CSIZ(UI64):12][AVER(UI32):10][ATIM(UI64):1505947988782605][ATYP(FC32):SGET][ANID(UI32):12272050][AMID(FC32):S3RQ][ATID(UI64):17742374343649889669][ASQN(UI64):8][ASES(UI64):1505947893929054]]

バケット ポリシーで許可されている場合、クライアントはオブジェクトを匿名で読み出したり、または別のテナント アカウントが所有しているバケットからオブジェクトを読み出すことができます。監査メッセージには、このような匿名要求およびクロスアカウント要求を追跡できるように、バケット所有者のテナント アカウントに関する情報が含まれています。

以下のメッセージ例では、クライアントは、自身が所有していないバケットに格納されているオブジェクトに対するGET Object要求を送信します。SBAIとSBACの値にはバケット所有者のテナント アカウントIDと名前が記録されますが、これはS3AIおよびSACCに記録されているクライアントのテナント アカウントIDおよび名前とは異なります。

2017-09-20T22:53:15.876415 [AUDT:[RSLT(FC32):SUCS][TIME(UI64):53244][SAIP(IPAD):"10.96.112.26"][S3AI(CSTR):"17915054115450519830"][SACC(CSTR):"s3-account-b"][S3AK(CSTR):"SGKHpoblWlP_kBkqSCbTi754Ls8lBUog67I2LlSiUg=="][SUSR(CSTR):"urn:sgws:identity::17915054115450519830:root"][SBAI(CSTR):"43979298178977966408"][SBAC(CSTR):"s3-account-a"][S3BK(CSTR):"bucket-anonymous"][S3KY(CSTR):"Hello.txt"][CBID(UI64):0x83D70C6F1F662B02][CSIZ(UI64):12][AVER(UI32):10][ATIM(UI64):1505947995876415][ATYP(FC32):SGET][ANID(UI32):12272050][AMID(FC32):S3RQ][ATID(UI64):6888780247515624902][ASQN(UI64):12][ASES(UI64):1505947893929054]]