監査イベント インデックス
監査イベント インデックスは、自分のアカウントの活動に関する JSON 形式のイベント ログを提供します。これにより、変化についてモニタおよび監視できます。Enterprise アカウントでは、監査イベント インデックスが有効になっており、デフォルトで検索に使用できます。Enterprise 監査アプリケーションを使用することで、監視および分析のために監査イベント インデックスのデータを視覚的に表示できます。
このインデックスは改善されており、Audit Index とは異なります。ただし、監査対象のイベントには、一部重複があります。Audit Index は、イベント ログをプレーン テキストで提供し、アカウント制限に達したときや、スロットリング、Scheduled Search イベントなどで処理が失敗したときに監査します。
ドキュメント
利用可能な監査イベントはすべて参考用にドキュメント化されます。このドキュメントは、本書に組み込まれるのではなく、各デプロイでホストされます。Sumo Logic には複数のデプロイがあります。これは、アカウントが作成された地理的位置と日付に応じて割り当てられます。不明な場合は「使用するエンドポイントの決め方」を参照してください。
デプロイ用のドキュメント リンク選択します。
監査イベント インデックスの検索
監査イベント インデックスを検索することは、取得されたデータに対して通常の検索を実行することと同じです。単純に、 _index
メタデータ フィールドに sumologic_audit_events
の値を指定するだけです。
検索するには、次の手順を実行します。
- [Search (検索)] ページで、次のクエリを入力します。
_index=sumologic_audit_events
- 確認が必要なインシデントの時間範囲を選択します。
- [Start (開始)] をクリックして、検索を実行します。
監査済みイベント
このインデックスには、以下の機能に対する詳細な JSON ログが含まれています。特定の機能について監査イベントを検索するには、メタデータ フィールド _sourceCategory
と対応する値を使用します。たとえば、アクセス キーのイベントを検索するには、次のクエリを使用します。
_index=sumologic_audit_
events _sourceCategory=accessKeys
製品の特徴 | _sourceCategory 値 |
---|---|
アクセス キー | accessKeys |
収集 | collection |
Content (コンテンツ) | content |
Data Forwarding | dataForwarding |
FER (Field Extraction Rules) | fieldExtractionRules |
Fields | fieldManagement |
Ingest Budget | ingestBudgets |
パスワード ポリシー | passwordPolicy |
ロール | roles |
SAML | saml |
サービス ホワイトリスト | serviceWhitelist |
サポート アカウント | supportAccount |
Users (ユーザ) | users |
ユーザ セッション | userSessions |
2 段階認証 | multiFactorAuthentication |
メタデータの割り当て
メタデータフィールドは、次のように監査イベント ログに割り当てられています。
メタデータ フィールド | 割り当ての説明 |
---|---|
_sourceCategory | 共通パラメータの subsystem の値。 |
_sourceName | 共通パラメータの eventName の値。 |
_sourceHost | リクエストしたホストのリモート IP アドレス。値が存在しない場合、no_sourceHost になります。 |
共通パラメーター
各監査イベント ログには共通のキーがあり、ログが製品分野で分類され、イベントの詳細情報が提供されます。
パラメータ | 説明 | データ タイプ |
---|---|---|
accountId | 組織の一意の ID。 | 文字列 |
eventId | イベントの一意の ID。 | 文字列 |
eventName | イベントの名前。 | 文字列 |
eventTime | ISO 8601 形式のイベント タイムスタンプ。 | 文字列 |
eventFormatVersion | イベント ログ形式のバージョン。 | 文字列 |
operator | 操作したユーザに関する情報。省略された場合は、Sumo サービスが operator です。 | 文字列の JSON オブジェクト |
subsystem | イベントの製品分野。 | 文字列 |
{
"content": {
"type": "search",
"name": "this search should be packaged NHAXoOdq80o1ZKZ",
"description": "savedSearch"
},
"operator": {
"email": "searchservice_test@demo.com",
"id": "0000000002F2438D",
"interface": "UI",
"sessionId": "go42n37za657ck0i3t4368",
"sourceIp": "50.18.133.252",
"type": "UserContext"
},
"contentIdentity": {
"type": "search",
"contentId": "0000000009B2636B",
"externalId": "000000000BFB73FE",
"name": "this search should be packaged NHAXoOdq80o1ZKZ"
},
"adminMode": false,
"accountId": "0000000000000131",
"eventId": "0234cc63-333c-4585-a78f-08517e5f9fd7",
"eventName": "ContentCreated",
"eventTime": "2018-12-11T21:37:33.950Z",
"eventFormatVersion": "1.0 beta",
"subsystem": "content"
}