webhook 接続による Audit Index の使用

Audit Index は、Scheduled Search アクティビティ (webhook 接続経由で送信される結果など) のイベント ログを提示します。Audit Index を照会して、Scheduled Search からの webhook アクティビティがないか確認する手順を次に示します。未処理のイベント ログ メッセージを確認し、必要に応じてより有用なクエリにカスタマイズできます。

1. アカウントで Audit Index が有効になっていることを確認します。
2. 目的の時間範囲で次のクエリを実行します。
   
   _index=sumologic_audit _sourcecategory="scheduled_search" action="MODIFY"
| parse "[AlertType=*]" as alertType
| where alertType="webhook"
    
3. どのユーザが Scheduled Search の結果を webhook に送信しているかを確認するには、sourceuser フィールドを表示します。利用可能な全フィールドのリストについては、「監査イベントのメッセージ フィールド」テーブルで確認できます。