メインコンテンツまでスキップ
Sumo Logic Japanese

監査の有効化と管理

Sumo Logic 監査インデックスは、Sumo はアカウント管理、ユーザ アクティビティ、スケジュール済み検索などに関連した内部イベントに関する情報を自動的に取得します。イベントは監査メッセージをレポートし、これらのイベント メッセージが収集されて、アカウントの使用をより視覚的に把握できるようになります。

監査インデックスを使用するには、システム管理者が手動で監査を有効にする必要があります。監査レコードが有効になると、システムは 5 分ごとにログ メッセージを取得します。データの埋め戻しは行われません。また、データはオプションが有効である間だけしか取得されません。

_index=sumologic_audit のクエリを使用して監査インデックスにアクセスします。

監査の有効化

  1. [Administration (管理)] > [Security (セキュリティ)] > [Policy (ポリシー)] を選択します。
  2. [Sumo Logic Auditing (Sumo Logic の監査)] の隣にある [Enable (有効)] チェックボックスをオンにします。

監査インデックスの使用

監査インデックスに対しては、他のメッセージと同じように Sumo Logic の [Search (検索)] ページからクエリを実行できます。監査インデックスで作成されたデータを見るには、 _index メタデータ フィールドに sumologic_audit という値を指定します。

監査インデックスに対してクエリを実行する手順

  1. [Search (検索)] ページで以下のクエリを入力します。 
    _index=sumologic_audit
    重要: 表示されているとおりに正確にクエリを入力してください。クエリの一部を変更すると無効になります。
  2. 確認が必要なインシデントの時間範囲を選択します。
  3. [Start (開始)] をクリックして、検索を実行します。

結果が [Messages (メッセージ)] タブに返されます。

収集された監査インデックス イベント

監査インデックスには、アカウントで生成されたイベントに関する情報を含むログ メッセージが 5 分ごとに取り込まれます。

特に、以下のイベントが収集されます。

  • ソース カテゴリ (_sourceCategory)。監査対象の活動のカテゴリ
  • ソース ホスト (_sourcehost)。ユーザの IP アドレス
  • クラス。活動が実行されたオブジェクト
  • 動作。実行された動作
  • メッセージ時間 (_messagetime)。動作に要した時間
  • ソース ユーザ (sourceUser)。動作を実行したユーザのユーザ名
  • ソース セッション (sourceSession)。動作を実行したユーザのセッション ID
  • インターフェイス。動作の実行元 (UI または API)
  • ステータス。動作のステータス (成功または失敗)
  • ターゲット。動作の対象 (キー名など)
  • メッセージ (_raw)。動作で生成されたメッセージ。

利用できるソース カテゴリ

ソース カテゴリ クエリ値
アカウント管理 account_management
ユーザ アクティビティ user_activity
サポート ユーザ アクティビティ support_account_activity
スケジュール済み検索 scheduled_search

アカウント管理

アカウント管理ソース カテゴリ (_sourceCategory=account_management) の各イベントについて、監査インデックス (_index=sumologic_audit) にステータスが記録され、成功または失敗を示すログ メッセージも含まれます。

アカウントでレポートされるアカウント管理イベントは以下の通りです。

  Enable (有効化) 無効化 作成 変更 Delete (削除)
ユーザ    
ロール    
データ転送      
アクセス キー  
パスワード ポリシー        
サービス ホワイトリスト    
SAML    
Microsoft Office 365 監査ソース

Microsoft Office 365 の監査ソースには、以下について監査インデックスにイベントが記録されます。

  • Microsoft でのソース登録成功
  • Microsoft からのコンテンツの読み取りの失敗
  • トークン更新失敗イベント
  • サブスクリプション ウォッチポイント失敗イベント

これらのイベントを検索するには、この監査インデックス クエリを使用します。

_index=sumologic_audit _sourcecategory=account_management _sourceName=collector

イベントは以下の形式を使用します。

登録成功イベント:

Received validation notification from Office 365 for Audit Source with ID SOURCEID, name SOURCENAME. Validation code - VALIDATIONCODE

コールバック失敗イベント:

Failed to read back from Office 365 for audit source with ID SOURCEID, name SOURCENAME. Object identifier - CONTENTURI

トークンまたはサブスクリプション失敗イベント (NAME には token または watchpoint が入ります)

Failed to refresh OAuth NAME for source SOURCENAME. Exception: EXCEPTION. Error message: ERRORMESSAGE

ユーザ アクティビティ

ユーザ アクティビティ ソース カテゴリ ( _sourceCategory=user_activity) の各イベントについて、監査インデックス (_index=sumologic_audit) にステータスが記録され、成功または失敗を示すログ メッセージも含まれます。

アカウントでレポートされるユーザ アクティビティ イベントは以下の通りです。

パスワード
  • 変更
  • リセット
環境設定
  • 変更
セッション
  • ログイン
コンテンツ ライブラリ
  • 作成
  • Delete (削除)
  • Move (移動)
  • Copy (コピー)
  • 名前または説明の更新
  • インポート
  • エクスポート
  • アプリケーションのインストール
サポート アカウント

サポート アカウントを有効化している場合は、サポート アカウント ソース カテゴリ アクティビティ
(_sourceCategory=support_account_activity) について以下の情報も含まれます。

  • セッション
    • ログイン
    • ログアウト
コレクタのアップグレード通知

Web UI からコレクタをアップグレードまたはダウングレードすると、監査インデックスにエントリが書き込まれます。

ユーザ アクティビティ ソース カテゴリ ( _sourceCategory=user_activity) とコレクタ ソース (_sourceName=COLLECTOR) の各イベントについて、監査インデックス (_index=sumologic_audit) にステータスが記録され、成功または失敗を示すログ メッセージも含まれます。

アカウントでレポートされるコレクタ アップグレード イベントは以下の通りです。

  • ステータス(成功/失敗) 
  • Collector Name (コレクタ名)
  • 以前のバージョン
  • 現在のバージョン
  • リクエスト時刻
  • 失敗理由

たとえば、以下のクエリで検索すると:

_index=sumologic_audit _sourceCategory=user_activity _sourceName=COLLECTOR | Status

以下のコレクタ アップグレード イベントが返されます。

Status: FAILURE Message: Upgrade collector yanm-mac, from version 20.1-2832, to version 20.1-2844.request time Mon Jul 25 10:47:32 PDT 2016, Cannot run program "/Applications/Sumo Logic Collector/jre1.8.0_92.jre/Contents/Home/bin/java": error=2, No such file or directory

スケジュール済み検索

スケジュール済み検索ソース カテゴリ (_sourceCategory=scheduled_search) の各イベントについて、監査インデックス (_index=sumologic_audit) にステータスが記録され、成功または失敗を示すログ メッセージも含まれます。

アカウントでレポートされるスケジュール済み検索イベントは以下の通りです。

  • 開始
  • 完了
  • 作成
  • Delete (削除)
  • 更新
  • タイムアウト
  • スキップ
  • 一時停止
  • 再開
  • アラート トリガー

一時停止イベントは、Sumo Logic が何らかの理由で手動で検索を一時停止した場合にのみ発生します。検索が一時停止されていて、エラーだと考えられる場合は、Sumo Logic サポートに連絡してください。

調整の通知

アカウント管理ソース カテゴリ (_sourceCategory=account_management) とボリューム割り当てソース (_sourceName=VOLUME_QUOTA) のについて、監査インデックス (_index=sumologic_audit) ステータスが記録されます。ステータスには、過去 15 分で調整が行われたリソースのタイプが含まれます。

調整が発生した時点でアラートを送信するようにスケジュール済み検索を設定することができます。「スケジュール済み検索」を参照してください。 

アカウントでレポートされる調整イベントは以下の通りです。

  • LogIngest。Sumo Logic に送信されたログ データが一時的に調整されました。
  • MetricIngest。Sumo Logic に送信されたメトリクス データが一時的に調整されました。

調整イベントは、以下の条件が成立すると監査インデックスにレポートされます。

  • 過去 15 分間に調整イベントが発生した。
  • コレクタ ソースの 2% 以上が時間間隔のデータ調整効果を経験した。

たとえば、以下のクエリで検索すると:

  • _index=sumologic_audit _sourceCategory=account_management _sourceName=VOLUME_QUOTA

    以下の調整通知が返されます。

    An automatic data ingest rate limit has been temporarily enabled for your account.(Resource type: LogIngest)

 Amazon CloudWatch メトリクス データの調整

Amazon で関連する API に設定されている制限値を超えると、AWS は自動的に CloudWatch データをスロットリングします。  アカウントに大量のメトリクス データ ポイントがある場合、Amazon によって CloudWatch データのスロットリングが行われる可能性があります。

Sumo Logic 側でスロットリングが行われない場合、Amazon 側でのスロットリングによって、メトリクス データが欠落する可能性があります。これを防ぐため、1 回の間隔で複数のスロットリング メッセージを受信した場合、Sumo Logic では、CloudWatch のスキャン間隔が自動的に 2 倍になります。ただし、スキャン間隔の変更は Sumo Logic UI には反映されません。元の設定間隔が依然として表示されます。CloudWatch のスキャン間隔を設定する方法については、「Amazon CloudWatch メトリクス ソース」を参照してください。 

スキャン間隔を大きく擦ると、監査ログにメッセージが追加されます。Sumo Logic ユーザによる操作は不要です。 

監査インデックスで調整通知を特定するためのクエリの例を示します。

_index=sumologic_audit _sourceCategory=account_management _sourceName=COLLECTOR

このクエリにより、以下の調整通知が返されます。

CloudWatch source ui-cw-oldPrimary received throttling exception from AWS while querying for metrics. (CloudWatch ソースの ui-cw-oldPrimary は、メトリクスのクエリ中に AWS からスロットリング例外を受信しました。)Increasing scan interval to 20 minutes. (スキャン間隔が 20 分に増やされました。)

監査ソース OAuth トークンとウォッチポイントの更新

監査ソースについて、Sumo Logic は OAuth トークンとサブスクリプション ウォッチポイントを定期的に更新することで、データの消失を防止しています。 

何らかの理由で更新に失敗すると、監査ログにメッセージが追加されます。

以下は、監査インデックスで更新失敗通知を検索するためのクエリの例です。

_index = sumologic_audit _sourcecategory = "account_management" _sourceName=COLLECTOR

このクエリにより、以下の更新失敗通知が返されます。

Failed to refresh OAuth token for source SOURCE_NAME.Exception: com.sumologic.cocoa.api.FailedThirdPartyOperationException Error message: ステータス コード: 400, error message: { "error": "invalid_grant", "error_description": "Token has been expired or revoked."}....
  • この記事は役に立ちましたか?