監査イベントインデックス

最後の更新
PDFとして保存

トライアルアカウントとエンタープライズアカウントの可用性

監査イベントインデックスは、自分のアカウントの活動に関する JSON 形式のイベントログを提供します。これにより、変化についてモニタおよび監視できます。Enterprise アカウントでは、監査イベントインデックスが有効になっており、デフォルトで検索に使用できます。Enterprise 監査アプリケーションを使用することで、監視および分析のために監査イベントインデックスのデータを視覚的に表示できます。

このインデックスは改善されており、Audit Index とは異なります。ただし、監査対象のイベントには、一部重複があります。Audit Index は、イベントログをプレーンテキストで提供し、アカウント制限に達したときや、スロットリング、Scheduled Search イベントなどで処理が失敗したときに監査します。

ドキュメント

利用可能な監査イベントはすべて参考用にドキュメント化されます。このドキュメントは、本書に組み込まれるのではなく、各デプロイでホストされます。Sumo Logic には複数のデプロイがあります。これは、アカウントが作成された地理的位置と日付に応じて割り当てられます。不明な場合は「使用するエンドポイントの決め方」を参照してください。

デプロイ用のドキュメントリンク選択します。

デプロイ	ドキュメント URL
AU	https://service.au.sumologic.com/audit/docs/
CA	https://service.ca.sumologic.com/audit/docs/
DE	https://service.de.sumologic.com/audit/docs/
EU	https://service.eu.sumologic.com/audit/docs/
FED	https://service.fed.sumologic.com/audit/docs/
IN	https://service.in.sumologic.com/audit/docs/
JP	https://service.jp.sumologic.com/audit/docs/
US1	https://service.sumologic.com/audit/docs/
US2	https://service.us2.sumologic.com/audit/docs/

監査イベントインデックスの検索

監査イベントインデックスを検索することは、取得されたデータに対して通常の検索を実行することと同じです。単純に、 _index メタデータフィールドに sumologic_audit_events の値を指定するだけです。

検索するには、次の手順を実行します。

[Search (検索)] ページで、次のクエリを入力します。
_index=sumologic_audit_events
表示されているとおりに正確にクエリを入力してください。クエリの一部を変更すると無効になります。
確認が必要なインシデントの時間範囲を選択します。
[Start (開始)] をクリックして、検索を実行します。

監査済みイベント

このインデックスには、以下の機能に対する詳細な JSON ログが含まれています。特定の機能について監査イベントを検索するには、メタデータフィールド _sourceCategory と対応する値を使用します。たとえば、アクセスキーのイベントを検索するには、次のクエリを使用します。

_index=sumologic_audit_events _sourceCategory=accessKeys

製品の特徴	_sourceCategory 値
アクセスキー	`accessKeys`
収集	`collection`
Content (コンテンツ)	`content`
Data Forwarding	`dataForwarding`
FER (Field Extraction Rules)	`fieldExtractionRules`
Fields	`fieldManagement`
Ingest Budget	`ingestBudgets`
パスワードポリシー	`passwordPolicy`
ロール	`roles`
SAML	`saml`
サービスホワイトリスト	`serviceWhitelist`
サポートアカウント	`supportAccount`
Users (ユーザ)	`users`
ユーザセッション	`userSessions`
2 段階認証	`multiFactorAuthentication`

メタデータの割り当て

メタデータフィールドは、次のように監査イベントログに割り当てられています。

メタデータフィールド	割り当ての説明
_sourceCategory	共通パラメータの `subsystem` の値。
_sourceName	共通パラメータの `eventName` の値。
_sourceHost	リクエストしたホストのリモート IP アドレス。値が存在しない場合、`no_sourceHost` になります。

共通パラメーター

各監査イベントログには共通のキーがあり、ログが製品分野で分類され、イベントの詳細情報が提供されます。

パラメータ	説明	データタイプ
accountId	組織の一意の ID。	文字列
eventId	イベントの一意の ID。	文字列
eventName	イベントの名前。	文字列
eventTime	ISO 8601 形式のイベントタイムスタンプ。	文字列
eventFormatVersion	イベントログ形式のバージョン。	文字列
operator	操作したユーザに関する情報。省略された場合は、Sumo サービスが operator です。	文字列の JSON オブジェクト
subsystem	イベントの製品分野。	文字列

{ "content": { "type": "search", "name": "this search should be packaged NHAXoOdq80o1ZKZ", "description": "savedSearch" }, "operator": { "email": "searchservice_test@demo.com", "id": "0000000002F2438D", "interface": "UI", "sessionId": "go42n37za657ck0i3t4368", "sourceIp": "50.18.133.252", "type": "UserContext" }, "contentIdentity": { "type": "search", "contentId": "0000000009B2636B", "externalId": "000000000BFB73FE", "name": "this search should be packaged NHAXoOdq80o1ZKZ" }, "adminMode": false, "accountId": "0000000000000131", "eventId": "0234cc63-333c-4585-a78f-08517e5f9fd7", "eventName": "ContentCreated", "eventTime": "2018-12-11T21:37:33.950Z", "eventFormatVersion": "1.0 beta", "subsystem": "content" }