メインコンテンツまでスキップ
Sumo Logic Japanese

Audit Index

3.png

Audit Index により、自分のアカウントで発生した、アカウント管理、スロットリング、Scheduled Search などに関連する内部イベントについてのイベント ログがプレーン テキストで提供されます。イベントは監査メッセージをレポートし、これらのイベント メッセージが収集されて、アカウントの使用をより視覚的に把握できるようになります。

このインデックスは、監査イベント インデックスとは異なりますが、監査対象のイベントの一部が重複しています。監査イベント インデックスは、自分のアカウントの活動に関する JSON 形式のイベント ログを提供します。

Audit Index を使用するには、事前に管理者が有効にする必要があります。Audit Index が有効になると、Sumo によって 5 分ごとにメッセージがイベント ログ記録されます。データの埋め戻しは行われません。

Audit Index の有効化

  1. [Administration (管理)] > [Security (セキュリティ)] > [Policies (ポリシー)] を選択します。
  2. [Sumo Logic Auditing (Sumo Logic の監査)] の隣にある [Enable (有効)] チェックボックスをオンにします。

Audit Index に対してクエリ実行

Audit Index は [Log Search (ログ検索)] タブでクエリできます。すべてのタイプの監査イベントを検索するには、次のように入力します。

_index=sumologic_audit

クエリに他のメタデータ、メッセージ フィールド、キーワードなどを含めることで、より絞り込んだ検索を実行できます。イベント タイプの Source Category は、以下の「Audit index の Source Category」に示されています。イベント メッセージに関連付けられているフィールドは、「監査イベントのメッセージ フィールド」に示されています。 

結果が [Message (メッセージ)] タブに返されます。

audit-index-search.png

Audit index の Source Category

イベント タイプ Source Category
アカウント管理 account_management
ユーザ アクティビティ user_activity
サポート ユーザ アクティビティ support_account_activity
Scheduled Search scheduled_search
メトリクス metrics
アラート alert

監査イベントのメッセージ フィールド

次の表のリストは、監査イベントに対して返されるフィールドを定義しています。デフォルトでは、イベント時間と生のメッセージのみが表示されることに注意してください。選択したフィールドを表示するには、ページの [Hidden Fields (非表示フィールド)] セクションでフィールドの横にあるボックスをクリックします。

フィールド 説明
[Time (時間)] (_messagetime) イベントが発生した時間
[Message (メッセージ)] (_raw) Audit index に書き込まれた生のログ メッセージ。 
動作 実行されたアクション。アクションはイベント タイプごとに異なります。詳細については、「監査イベント クラスとアクション」を参照してください。
class (クラス) イベントの影響を受けるオブジェクト。クラスはイベント タイプごとに異なります。詳細については、「監査イベント クラスとアクション」を参照してください。
Collector 値には「InternalCollector」が含まれます。 
Interface (インターフェイス) Sumo UI や、API の使用など、イベントが開始された方法を示します。値には、「UI」、「API」、および「INTERNAL」があります。
_sourceCategory イベントタイプに関連付けられた Source Category。詳細については、以下の「Audit Index Source」を参照してください。
_sourcehost ソースのホストの IP アドレス、または「no_sourcehost」。
sourceSession イベントに関連付けられたセッション ID、または「no_session」。
sourceUser イベントに関連付けられた Sumo のユーザ名。 
Status (ステータス) 動作のステータス (成功または失敗)
対象 キー名などのアクションの対象。

監査イベント クラスとアクション

このセクションには、Sumo が監査ログを書き込むオブジェクトのクラス (Collector、ユーザ、セッションなど) と、監査ログへのメッセージが生成されるアクション (作成や削除など) がリストされます。  

Audit Index を照会すると、検索結果で、各監査ログのクラスとアクションが返されます。デフォルトでは、classaction は非表示になっています。非表示フィールドを表示するには、[Messages (メッセージ)] タブの [Hidden Fields (非表示フィールド)] セクションで、フィールドの横にあるチェック ボックスをクリックします。また、クエリで class および action フィールドを使用して、Audit Index の対象を絞った検索を実行することもできます。

アカウント管理イベント

 _sourceCategory=account_management 

次の表に、アカウント管理イベントの class および action フィールドの値を示します。

class (クラス) Actions 製品の特徴
ACCESS_KEY CREATE
ENABLE
DISABLE
DELETE
アクセス キー
COLLECTOR CREATE
UPDATE
UPGRADE
DELETE
THROTTLE
収集
DATA_FORWARDING ENABLE
DISABLE
Data Forwarding
PASSWORD_POLICY MODIFY パスワード ポリシー
ROLE CREATE
MODIFY
DELETE
ロール
SERVICE_WHITELIST ENABLE
DISABLE
MODIFY
サービス ホワイトリスト
USER CREATE
MODIFY
DISABLE
Users (ユーザ)
VOLUME_QUOTA EXCEEDED
RESET
スロットリングIngest Budgets。クエリの例については、「Ingest Budgets の監査」を参照してください。
Microsoft Office 365 監査 Source イベント

次のイベントが発生すると、Sumo では Microsoft Office 365 監査 Source の監査メッセージが記録されます。

  • Microsoft での Source 登録成功
  • Microsoft からのコンテンツの読み取りの失敗
  • トークン更新失敗イベント
  • サブスクリプション ウォッチポイント失敗イベント

このイベントを検索するには、次のクエリを使用します。

_index=sumologic_audit _sourcecategory=account_management _sourceName=collector

イベントには次の形式があります。

登録成功イベント

Received validation notification from Office 365 for Audit Source with ID SOURCEID, name SOURCENAME. Validation code - VALIDATIONCODE

コールバック失敗イベント

Failed to read back from Office 365 for audit source with ID SOURCEID, name SOURCENAME. Object identifier - CONTENTURI

トークンまたはサブスクリプション失敗イベント (NAME には token または watchpoint が入ります)

Failed to refresh OAuth NAME for source SOURCENAME. Exception: EXCEPTION. Error message: ERRORMESSAGE

スロットリング イベント

アカウント管理 Source Category (_sourceCategory=account_management) とボリューム割り当て Source (_sourceName=VOLUME_QUOTA) のについて、Audit Index (_index=sumologic_audit) ステータスが記録されます。ステータスには、過去 15 分で調整が行われたリソースのタイプが含まれます。

調整が発生した時点でアラートを送信するように Scheduled Search を設定することができます。「Scheduled Search」を参照してください。 

レポートされるスロットリング イベントには次のものがあります。

  • LogIngest。Sumo Logic に送信されたログ データが一時的に調整されました。
  • MetricIngest。Sumo Logic に送信されたメトリクス データが一時的に調整されました。

調整イベントは、以下の条件が成立すると Audit Index にレポートされます。

  • 過去 15 分間に調整イベントが発生した。
  • Collector Source の 8% 以上が時間間隔のデータ調整効果を経験した。

たとえば、以下のクエリで検索すると:

_index=sumologic_audit _sourceCategory=account_management _sourceName=VOLUME_QUOTA  "rate limit"

以下の調整通知が返されます。

An automatic data ingest rate limit has been temporarily enabled for your account. (Resource type: LogIngest)

Amazon CloudWatch メトリクスのスロットリング イベント

Amazon で関連する API に設定されている制限値を超えると、AWS は自動的に CloudWatch データをスロットリングします。  アカウントに大量のメトリクス データ ポイントがある場合、Amazon によって CloudWatch データのスロットリングが行われる可能性があります。

Sumo Logic 側でスロットリングが行われない場合、Amazon 側でのスロットリングによって、メトリクス データが欠落する可能性があります。これを防ぐため、1 回の間隔で複数のスロットリング メッセージを受信した場合、Sumo Logic では、CloudWatch のスキャン間隔が自動的に 2 倍になります。ただし、スキャン間隔の変更は Sumo Logic UI には反映されません。元の設定間隔が依然として表示されます。CloudWatch のスキャン間隔を設定する方法については、「Amazon CloudWatch メトリクス Source」を参照してください。 

スキャン間隔を大きく擦ると、監査ログにメッセージが追加されます。Sumo Logic ユーザによる操作は不要です。 

Audit Index で調整通知を特定するためのクエリの例を示します。

_index=sumologic_audit _sourceCategory=account_management _sourceName=COLLECTOR

このクエリにより、以下の調整通知が返されます。

CloudWatch source ui-cw-oldPrimary received throttling exception from AWS while querying for metrics.
Increasing scan interval to 20 minutes.
監査 Source OAuth トークンとウォッチポイントの更新

監査 Source について、Sumo Logic は OAuth トークンとサブスクリプション ウォッチポイントを定期的に更新することで、データの消失を防止しています。 

何らかの理由で更新に失敗すると、監査ログにメッセージが追加されます。

以下は、Audit Index で更新失敗通知を検索するためのクエリの例です。

_index = sumologic_audit  _sourcecategory = "account_management" _sourceName=COLLECTOR

このクエリにより、以下の更新失敗通知が返されます。

Failed to refresh OAuth token for source SOURCE_NAME.
Exception: com.sumologic.cocoa.api.FailedThirdPartyOperationException
Error message: Status code: 400, error message: { "error": "invalid_grant", "error_description": "Token has been expired or revoked."}....

ユーザ アクティビティ イベント

_sourceCategory=user_activity

次の表に、ユーザ アクティビティ イベントの class および action フィールドの値を示します。

class (クラス) Actions
CONTENT_LIBRARY CREATE
DELETE
MOVE
COPY
UPDATE (名前または説明)
IMPORT
EXPORT
APP_INSTALLATION
FOLDER EXPORT
INSTALL
DELETE
IMPORT
MANAGE_PERMISSIONS
CREATE
MOVE
COPY
PASSWORD MODIFY
RESET
PREFERENCES MODIFY
REPORT UPDATE
MANAGE_PERMISSIONS
VIEW
SEARCH CREATE
UPDATE
MOVE
EXPORT
DELETE
MANAGE_PERMISSIONS
SESSION LOGIN
UPDATE
LOGOUT
SOURCE CREATE
UPDATE

Collector のアップグレード イベント

Web UI から Collector をアップグレードまたはダウングレードすると、Audit Index にエントリが書き込まれます。

ユーザ アクティビティ Source Category (_sourceCategory=user_activity) と Collector Source (_sourceName=COLLECTOR) の各イベントの Audit Index (_index=sumologic_audit) に、成功または失敗の応答ログ メッセージなどのステータスが通知されます。

アカウントでレポートされる Collector アップグレード イベントは以下の通りです。

  • ステータス (成功/失敗) 
  • Collector Name (Collector 名)
  • 以前のバージョン
  • 現在のバージョン
  • リクエスト時刻
  • 失敗理由

たとえば、以下のクエリで検索すると:

_index=sumologic_audit _sourceCategory=user_activity _sourceName=COLLECTOR | Status

以下の Collector アップグレード イベントが返されます。

Status: FAILURE
Message: Upgrade collector yanm-mac, from version 20.1-2832, 
to version 20.1-2844. request time Mon Jul 25 10:47:32 PDT 2016, 
Cannot run program "/Applications/Sumo Logic Collector/jre1.8.0_92.jre/Contents/Home/bin/java": 
error=2, No such file or directory

サポート アカウント イベント

_sourceCategory=support_account_activity

次の表は、サポート アカウント イベントのクラスおよびアクション フィールドの値を示しています。

class (クラス) Actions
SESSION LOGIN
LOGOUT

Scheduled Search イベント

_sourceCategory=scheduled_search

次の表に、Scheduled Search イベントの class および action フィールドの値を示します。

class (クラス) 動作 説明
SCHEDULED_SEARCH Create Scheduled Search が作成されました。
開始 Scheduled Search が開始されました。
完了 Scheduled Search が正常に終了しました。
Delete (削除) Scheduled Search が削除されました。
変更 Scheduled Search のアラート条件が成立し、アラート アクションが起動されました。
タイムアウト Scheduled Search が、タイムアウト期間内に完了しませんでした。タイムアウトは、クエリで設定されている時間範囲により、20 分~ 1 時間になります。

詳細については、「Scheduled Search のタイムアウト防止」を参照してください。
一時停止 繰り返しタイムアウトになったため、Sumo が検索を一時停止したことを示します。 

Scheduled Search クエリが失敗すると、Sumo Logic はクエリをさらに 2 回実行しようと試みます (合計 3 回)。3 回とも失敗すると、失敗を通知するアラート メールが送信されます。Scheduled Search は、次回のスケジュール時刻までは実行されません。

Scheduled Search が次に実行され、また 3 回失敗すると、再び停止されます。そして、クエリが停止したことを通知するアラート メールが再び送信されます。

Scheduled Search は、実行頻度が毎日ではない場合は (15 分ごとや 1 時間ごとに繰り返し実行される検索) 4 時間停止され、実行頻度が毎日の場合は 1 日停止されます (2 日間で 2 回失敗したら、3 日目はスキップされます)。
スキップ Scheduled Search は、実行がスケジュールされた時点で一停止状態だったため、スキップされました。

詳細については、「Scheduled Search が停止した場合の状況」を参照してください。
再開 Sumo で、一時停止された Scheduled Search の一時停止が解除されたことを示します。

一時停止イベントは、Sumo Logic が何らかの理由で手動で検索を一時停止した場合にのみ発生します。検索が一時停止されていて、エラーだと考えられる場合は、Sumo Logic サポートに連絡してください。

メトリクスの取り込みイベントと抽出イベント

_sourceCategory=metrics

次の表に、メトリクス イベントの class および action フィールドの値を示します。

class (クラス) Actions 説明
INGEST TRUNCATE  
METRIC_EXTRACTION SKIP ログからメトリクス ルールは、250 文字を超える 1 つ以上のディメンションを抽出します。詳細については、「ログからメトリクス」を参照してください。

メトリクス モニタ イベント

_sourceCategory=alert

次の表に、メトリクス モニタ イベントの class および action フィールドの値を示します。

class (クラス) Actions 説明
MONITOR CREATE メトリクス モニタが作成されました。 
MONITOR DELETE メトリクス モニタが削除されました。 
MONITOR MODIFY メトリクス モニタのアラートが作成または解消されました。
  • この記事は役に立ちましたか?