メインコンテンツまでスキップ
Sumo Logic Japanese

監査イベント インデックス

トライアル アカウントとエンタープライズ アカウントの可用性

監査イベント インデックスは、自分のアカウントの活動に関する JSON 形式のイベント ログを提供します。これにより、変化についてモニタおよび監視できます。Enterprise アカウントでは、監査イベント インデックスが有効になっており、デフォルトで検索に使用できます。Enterprise 監査アプリケーションを使用することで、監視および分析のために監査イベント インデックスのデータを視覚的に表示できます。

このインデックスは改善されており、Audit Index とは異なります。ただし、監査対象のイベントには、一部重複があります。Audit Index は、イベント ログをプレーン テキストで提供し、アカウント制限に達したときや、スロットリング、Scheduled Search イベントなどで処理が失敗したときに監査します。

ドキュメント 

利用可能な監査イベントはすべて参考用にドキュメント化されます。このドキュメントは、本書に組み込まれるのではなく、各デプロイでホストされます。Sumo Logic には複数のデプロイがあります。これは、アカウントが作成された地理的位置と日付に応じて割り当てられます。不明な場合は「使用するエンドポイントの決め方」を参照してください。

デプロイ用のドキュメント リンク選択します。

デプロイ ドキュメント URL
AU https://service.au.sumologic.com/audit/docs/
CA https://service.ca.sumologic.com/audit/docs/
DE https://service.de.sumologic.com/audit/docs/
EU https://service.eu.sumologic.com/audit/docs/
FED https://service.fed.sumologic.com/audit/docs/
IN https://service.in.sumologic.com/audit/docs/
JP https://service.jp.sumologic.com/audit/docs/
US1 https://service.sumologic.com/audit/docs/
US2 https://service.us2.sumologic.com/audit/docs/

監査イベント インデックスの検索

監査イベント インデックスを検索することは、取得されたデータに対して通常の検索を実行することと同じです。単純に、 _index メタデータ フィールドに sumologic_audit_events の値を指定するだけです。

検索するには、次の手順を実行します。

  1. [Search (検索)] ページで、次のクエリを入力します。
        
    _index=sumologic_audit_
    events
  2. 確認が必要なインシデントの時間範囲を選択します。
  3. [Start (開始)] をクリックして、検索を実行します。

監査済みイベント

このインデックスには、以下の機能に対する詳細な JSON ログが含まれています。特定の機能について監査イベントを検索するには、メタデータ フィールド _sourceCategory と対応する値を使用します。たとえば、アクセス キーのイベントを検索するには、次のクエリを使用します。

_index=sumologic_audit_events _sourceCategory=accessKeys

製品の特徴 _sourceCategory 値
アクセス キー accessKeys
収集 collection
Content (コンテンツ) content
Data Forwarding dataForwarding
FER (Field Extraction Rules) fieldExtractionRules
Fields fieldManagement
Ingest Budget ingestBudgets
パスワード ポリシー passwordPolicy
ロール roles
SAML saml
サービス ホワイトリスト serviceWhitelist
サポート アカウント supportAccount
Users (ユーザ) users
ユーザ セッション userSessions
2 段階認証 multiFactorAuthentication

メタデータの割り当て

メタデータフィールドは、次のように監査イベント ログに割り当てられています。

メタデータ フィールド 割り当ての説明
_sourceCategory 共通パラメータsubsystem の値。
_sourceName 共通パラメータeventName の値。
_sourceHost リクエストしたホストのリモート IP アドレス。値が存在しない場合、no_sourceHost になります。

共通パラメーター

各監査イベント ログには共通のキーがあり、ログが製品分野で分類され、イベントの詳細情報が提供されます。

パラメータ 説明 データ タイプ
accountId 組織の一意の ID。 文字列
eventId イベントの一意の ID。 文字列
eventName イベントの名前。 文字列
eventTime ISO 8601 形式のイベント タイムスタンプ。 文字列
eventFormatVersion イベント ログ形式のバージョン。 文字列
operator 操作したユーザに関する情報。省略された場合は、Sumo サービスが operator です。 文字列の JSON オブジェクト
subsystem イベントの製品分野。 文字列

{
    "content": {
        "type": "search",
        "name": "this search should be packaged NHAXoOdq80o1ZKZ",
        "description": "savedSearch"
    },
    "operator": {
        "email": "searchservice_test@demo.com",
        "id": "0000000002F2438D",
        "interface": "UI",
        "sessionId": "go42n37za657ck0i3t4368",
        "sourceIp": "50.18.133.252",
        "type": "UserContext"
    },
    "contentIdentity": {
        "type": "search",
        "contentId": "0000000009B2636B",
        "externalId": "000000000BFB73FE",
        "name": "this search should be packaged NHAXoOdq80o1ZKZ"
    },
    "adminMode": false,
    "accountId": "0000000000000131",
    "eventId": "0234cc63-333c-4585-a78f-08517e5f9fd7",
    "eventName": "ContentCreated",
    "eventTime": "2018-12-11T21:37:33.950Z",
    "eventFormatVersion": "1.0 beta",
    "subsystem": "content"
}

  • この記事は役に立ちましたか?