Audit Index
Audit Index により、自分のアカウントで発生した、アカウント管理、スロットリング、Scheduled Search などに関連する内部イベントについてのイベント ログがプレーン テキストで提供されます。イベントは監査メッセージをレポートし、これらのイベント メッセージが収集されて、アカウントの使用をより視覚的に把握できるようになります。
このインデックスは、監査イベント インデックスとは異なりますが、監査対象のイベントの一部が重複しています。監査イベント インデックスは、自分のアカウントの活動に関する JSON 形式のイベント ログを提供します。
Audit Index を使用するには、事前に管理者が有効にする必要があります。Audit Index が有効になると、Sumo によって 5 分ごとにメッセージがイベント ログ記録されます。データの埋め戻しは行われません。
Audit Index の有効化
- [Administration (管理)] > [Security (セキュリティ)] > [Policies (ポリシー)] を選択します。
- [Sumo Logic Auditing (Sumo Logic の監査)] の隣にある [Enable (有効)] チェックボックスをオンにします。
Audit Index に対してクエリ実行
Audit Index は [Log Search (ログ検索)] タブでクエリできます。すべてのタイプの監査イベントを検索するには、次のように入力します。
_index=sumologic_audit
クエリに他のメタデータ、メッセージ フィールド、キーワードなどを含めることで、より絞り込んだ検索を実行できます。イベント タイプの Source Category は、以下の「Audit index の Source Category」に示されています。イベント メッセージに関連付けられているフィールドは、「監査イベントのメッセージ フィールド」に示されています。
結果が [Message (メッセージ)] タブに返されます。
Audit index の Source Category
イベント タイプ | Source Category |
アカウント管理 | account_management |
ユーザ アクティビティ | user_activity |
サポート ユーザ アクティビティ | support_account_activity |
Scheduled Search | scheduled_search |
メトリクス | metrics |
アラート | alert |
監査イベントのメッセージ フィールド
次の表のリストは、監査イベントに対して返されるフィールドを定義しています。デフォルトでは、イベント時間と生のメッセージのみが表示されることに注意してください。選択したフィールドを表示するには、ページの [Hidden Fields (非表示フィールド)] セクションでフィールドの横にあるボックスをクリックします。
フィールド | 説明 |
[Time (時間)] (_messagetime) | イベントが発生した時間 |
[Message (メッセージ)] (_raw) | Audit index に書き込まれた生のログ メッセージ。 |
動作 | 実行されたアクション。アクションはイベント タイプごとに異なります。詳細については、「監査イベント クラスとアクション」を参照してください。 |
class (クラス) | イベントの影響を受けるオブジェクト。クラスはイベント タイプごとに異なります。詳細については、「監査イベント クラスとアクション」を参照してください。 |
Collector | 値には「InternalCollector」が含まれます。 |
Interface (インターフェイス) | Sumo UI や、API の使用など、イベントが開始された方法を示します。値には、「UI」、「API」、および「INTERNAL」があります。 |
_sourceCategory | イベントタイプに関連付けられた Source Category。詳細については、以下の「Audit Index Source」を参照してください。 |
_sourcehost | ソースのホストの IP アドレス、または「no_sourcehost」。 |
sourceSession | イベントに関連付けられたセッション ID、または「no_session」。 |
sourceUser | イベントに関連付けられた Sumo のユーザ名。 |
Status (ステータス) | 動作のステータス (成功または失敗) |
対象 | キー名などのアクションの対象。 |
監査イベント クラスとアクション
このセクションには、Sumo が監査ログを書き込むオブジェクトのクラス (Collector、ユーザ、セッションなど) と、監査ログへのメッセージが生成されるアクション (作成や削除など) がリストされます。
Audit Index を照会すると、検索結果で、各監査ログのクラスとアクションが返されます。デフォルトでは、class
と action
は非表示になっています。非表示フィールドを表示するには、[Messages (メッセージ)] タブの [Hidden Fields (非表示フィールド)] セクションで、フィールドの横にあるチェック ボックスをクリックします。また、クエリで class
および action
フィールドを使用して、Audit Index の対象を絞った検索を実行することもできます。
アカウント管理イベント
_sourceCategory=account_management
次の表に、アカウント管理イベントの class
および action
フィールドの値を示します。
class (クラス) | Actions | 製品の特徴 |
ACCESS_KEY | CREATE ENABLE DISABLE DELETE |
アクセス キー |
COLLECTOR | CREATE UPDATE UPGRADE DELETE THROTTLE |
収集 |
DATA_FORWARDING | ENABLE DISABLE |
Data Forwarding |
PASSWORD_POLICY | MODIFY | パスワード ポリシー |
ROLE | CREATE MODIFY DELETE |
ロール |
SERVICE_WHITELIST | ENABLE DISABLE MODIFY |
サービス ホワイトリスト |
USER | CREATE MODIFY DISABLE |
Users (ユーザ) |
VOLUME_QUOTA | EXCEEDED RESET |
スロットリングと Ingest Budgets。クエリの例については、「Ingest Budgets の監査」を参照してください。 |
Microsoft Office 365 監査 Source イベント
次のイベントが発生すると、Sumo では Microsoft Office 365 監査 Source の監査メッセージが記録されます。
- Microsoft での Source 登録成功
- Microsoft からのコンテンツの読み取りの失敗
- トークン更新失敗イベント
- サブスクリプション ウォッチポイント失敗イベント
このイベントを検索するには、次のクエリを使用します。
_index=sumologic_audit _sourcecategory=account_management _sourceName=collector
イベントには次の形式があります。
登録成功イベント
Received validation notification from Office 365 for Audit Source with ID SOURCEID, name SOURCENAME. Validation code - VALIDATIONCODE
コールバック失敗イベント
Failed to read back from Office 365 for audit source with ID SOURCEID, name SOURCENAME. Object identifier - CONTENTURI
トークンまたはサブスクリプション失敗イベント (NAME には token
または watchpoint
が入ります)
Failed to refresh OAuth NAME for source SOURCENAME. Exception: EXCEPTION. Error message: ERRORMESSAGE
スロットリング イベント
アカウント管理 Source Category (_sourceCategory=account_management
) とボリューム割り当て Source (_sourceName=VOLUME_QUOTA
) のについて、Audit Index (_index=sumologic_audit
) ステータスが記録されます。ステータスには、過去 15 分で調整が行われたリソースのタイプが含まれます。
調整が発生した時点でアラートを送信するように Scheduled Search を設定することができます。「Scheduled Search」を参照してください。
レポートされるスロットリング イベントには次のものがあります。
- LogIngest。Sumo Logic に送信されたログ データが一時的に調整されました。
- MetricIngest。Sumo Logic に送信されたメトリクス データが一時的に調整されました。
調整イベントは、以下の条件が成立すると Audit Index にレポートされます。
- 過去 15 分間に調整イベントが発生した。
- Collector Source の 8% 以上が時間間隔のデータ調整効果を経験した。
たとえば、以下のクエリで検索すると:
_index=sumologic_audit _sourceCategory=account_management _sourceName=VOLUME_QUOTA "rate limit"
以下の調整通知が返されます。
An automatic data ingest rate limit has been temporarily enabled for your account. (Resource type: LogIngest)
Amazon CloudWatch メトリクスのスロットリング イベント
Amazon で関連する API に設定されている制限値を超えると、AWS は自動的に CloudWatch データをスロットリングします。 アカウントに大量のメトリクス データ ポイントがある場合、Amazon によって CloudWatch データのスロットリングが行われる可能性があります。
Sumo Logic 側でスロットリングが行われない場合、Amazon 側でのスロットリングによって、メトリクス データが欠落する可能性があります。これを防ぐため、1 回の間隔で複数のスロットリング メッセージを受信した場合、Sumo Logic では、CloudWatch のスキャン間隔が自動的に 2 倍になります。ただし、スキャン間隔の変更は Sumo Logic UI には反映されません。元の設定間隔が依然として表示されます。CloudWatch のスキャン間隔を設定する方法については、「Amazon CloudWatch メトリクス Source」を参照してください。
スキャン間隔を大きく擦ると、監査ログにメッセージが追加されます。Sumo Logic ユーザによる操作は不要です。
Audit Index で調整通知を特定するためのクエリの例を示します。
_index=sumologic_audit _sourceCategory=account_management _sourceName=COLLECTOR
このクエリにより、以下の調整通知が返されます。
CloudWatch source ui-cw-oldPrimary received throttling exception from AWS while querying for metrics.
Increasing scan interval to 20 minutes.
監査 Source OAuth トークンとウォッチポイントの更新
監査 Source について、Sumo Logic は OAuth トークンとサブスクリプション ウォッチポイントを定期的に更新することで、データの消失を防止しています。
何らかの理由で更新に失敗すると、監査ログにメッセージが追加されます。
以下は、Audit Index で更新失敗通知を検索するためのクエリの例です。
_index = sumologic_audit _sourcecategory = "account_management" _sourceName=COLLECTOR
このクエリにより、以下の更新失敗通知が返されます。
Failed to refresh OAuth token for source SOURCE_NAME.
Exception: com.sumologic.cocoa.api.FailedThirdPartyOperationException
Error message: Status code: 400, error message: { "error": "invalid_grant", "error_description": "Token has been expired or revoked."}....
ユーザ アクティビティ イベント
_sourceCategory=user_activity
次の表に、ユーザ アクティビティ イベントの class
および action
フィールドの値を示します。
class (クラス) | Actions |
CONTENT_LIBRARY | CREATE DELETE MOVE COPY UPDATE (名前または説明) IMPORT EXPORT APP_INSTALLATION |
FOLDER | EXPORT INSTALL DELETE IMPORT MANAGE_PERMISSIONS CREATE MOVE COPY |
PASSWORD | MODIFY RESET |
PREFERENCES | MODIFY |
REPORT | UPDATE MANAGE_PERMISSIONS VIEW |
SEARCH | CREATE UPDATE MOVE EXPORT DELETE MANAGE_PERMISSIONS |
SESSION | LOGIN UPDATE LOGOUT |
SOURCE | CREATE UPDATE |
Collector のアップグレード イベント
Web UI から Collector をアップグレードまたはダウングレードすると、Audit Index にエントリが書き込まれます。
ユーザ アクティビティ Source Category (_sourceCategory=user_activity) と Collector Source (_sourceName=COLLECTOR) の各イベントの Audit Index (_index=sumologic_audit) に、成功または失敗の応答ログ メッセージなどのステータスが通知されます。
アカウントでレポートされる Collector アップグレード イベントは以下の通りです。
- ステータス (成功/失敗)
- Collector Name (Collector 名)
- 以前のバージョン
- 現在のバージョン
- リクエスト時刻
- 失敗理由
たとえば、以下のクエリで検索すると:
_index=sumologic_audit _sourceCategory=user_activity _sourceName=COLLECTOR | Status
以下の Collector アップグレード イベントが返されます。
Status: FAILURE Message: Upgrade collector yanm-mac, from version 20.1-2832, to version 20.1-2844. request time Mon Jul 25 10:47:32 PDT 2016, Cannot run program "/Applications/Sumo Logic Collector/jre1.8.0_92.jre/Contents/Home/bin/java": error=2, No such file or directory
サポート アカウント イベント
_sourceCategory=support_account_activity
次の表は、サポート アカウント イベントのクラスおよびアクション フィールドの値を示しています。
class (クラス) | Actions |
SESSION | LOGIN LOGOUT |
Scheduled Search イベント
_sourceCategory=scheduled_search
次の表に、Scheduled Search イベントの class
および action
フィールドの値を示します。
class (クラス) | 動作 | 説明 |
SCHEDULED_SEARCH | Create | Scheduled Search が作成されました。 |
開始 | Scheduled Search が開始されました。 | |
完了 | Scheduled Search が正常に終了しました。 | |
Delete (削除) | Scheduled Search が削除されました。 | |
変更 | Scheduled Search のアラート条件が成立し、アラート アクションが起動されました。 | |
タイムアウト | Scheduled Search が、タイムアウト期間内に完了しませんでした。タイムアウトは、クエリで設定されている時間範囲により、20 分~ 1 時間になります。 詳細については、「Scheduled Search のタイムアウト防止」を参照してください。 |
|
一時停止 | 繰り返しタイムアウトになったため、Sumo が検索を一時停止したことを示します。 Scheduled Search クエリが失敗すると、Sumo Logic はクエリをさらに 2 回実行しようと試みます (合計 3 回)。3 回とも失敗すると、失敗を通知するアラート メールが送信されます。Scheduled Search は、次回のスケジュール時刻までは実行されません。 Scheduled Search が次に実行され、また 3 回失敗すると、再び停止されます。そして、クエリが停止したことを通知するアラート メールが再び送信されます。 Scheduled Search は、実行頻度が毎日ではない場合は (15 分ごとや 1 時間ごとに繰り返し実行される検索) 4 時間停止され、実行頻度が毎日の場合は 1 日停止されます (2 日間で 2 回失敗したら、3 日目はスキップされます)。 |
|
スキップ | Scheduled Search は、実行がスケジュールされた時点で一停止状態だったため、スキップされました。 詳細については、「Scheduled Search が停止した場合の状況」を参照してください。 |
|
再開 | Sumo で、一時停止された Scheduled Search の一時停止が解除されたことを示します。 |
一時停止イベントは、Sumo Logic が何らかの理由で手動で検索を一時停止した場合にのみ発生します。検索が一時停止されていて、エラーだと考えられる場合は、Sumo Logic サポートに連絡してください。
メトリクスの取り込みイベントと抽出イベント
_sourceCategory=metrics
次の表に、メトリクス イベントの class
および action
フィールドの値を示します。
class (クラス) | Actions | 説明 |
INGEST | TRUNCATE | |
METRIC_EXTRACTION | SKIP | ログからメトリクス ルールは、250 文字を超える 1 つ以上のディメンションを抽出します。詳細については、「ログからメトリクス」を参照してください。 |
メトリクス モニタ イベント
_sourceCategory=alert
次の表に、メトリクス モニタ イベントの class
および action
フィールドの値を示します。
class (クラス) | Actions | 説明 |
MONITOR | CREATE | メトリクス モニタが作成されました。 |
MONITOR | DELETE | メトリクス モニタが削除されました。 |
MONITOR | MODIFY | メトリクス モニタのアラートが作成または解消されました。 |