Eventos de Audit Trail

Información general

Audit Trail de Datadog registra más de 100 tipos de eventos de auditoría de toda la plataforma Datadog. Estos eventos se clasifican en diferentes categorías de productos, en forma de nombres de eventos.

Eventos de plataforma

Eventos específicos de productos

Consulta la documentación de Audit Trail para obtener más información sobre cómo instalar y configurar Audit Trail.

Eventos de auditoría

Eventos de gestión de acceso

NombreDescripción del evento de auditoríaConsultar el navegador de auditorías
Clave de aplicación (Usuario de cuenta de servicio)Un usuario ha creado, modificado o eliminado una clave de aplicación para un usuario de cuenta de servicio.@evt.name:"Access Management" @asset.type:application_key
Métodos de autenticación (Organización)Un usuario ha modificado los métodos de autenticación autorizados para una organización, así como los valores anteriores y nuevos.@evt.name:"Access Management" @asset.type:identity_provider
Correo electrónicoSe ha añadido, deshabilitado o verificado un correo electrónico en la cuenta de Datadog como usuario de la cuenta.@evt.name:"Access Management" @asset.type:user
Rol modificadoSe ha modificado un rol, así como los permisos anteriores y nuevos.@evt.name:"Access Management" @asset.type:role @action:modified
Rol creado o eliminadoSe ha creado o eliminado un rol en la organización.@evt.name:"Access Management" @asset.type:role @action:(created OR deleted)
Solicitud de acceso a un rolUn usuario ha creado, respondido o eliminado una solicitud de acceso a un rol, así como el valor de la solicitud de acceso.@evt.name:"Access Management" @asset.type:role_request
Rol del usuarioSe ha añadido o eliminado un usuario de un rol en la organización.@evt.name:"Access Management" @asset.type:role @action:modified
ContraseñaUn usuario ha modificado su contraseña en la organización.@evt.name:"Access Management" @asset.type:password @action:modified
Política de restricciónSe ha modificado una política de restricción para un recurso.@evt.name:"Access Management" @asset.type:restriction_policy @action:(modified OR deleted)
Actualización de correo electrónico (Asistencia)El servicio de asistencia de Datadog ha actualizado el correo electrónico de un usuario.@evt.name:"Access Management" @evt.actor.type:SUPPORT_USER @asset.type:user @action:modified
Invitación de usuario (Asistencia)El servicio de asistencia de Datadog ha invitado a un usuario a la organización.@evt.name:"Access Management" @evt.actor.type:SUPPORT_USER @asset.type:user @action:created
Rol del usuario (Asistencia)El servicio de asistencia de Datadog ha añadido o eliminado un usuario de un rol en la organización.@evt.name:"Access Management" @evt.actor.type:SUPPORT_USER @asset.type:role @action:modified
Rol modificado (Asistencia)El servicio de asistencia de Datadog ha modificado un rol, así como los permisos anteriores y nuevos.@evt.name:"Access Management" @evt.actor.type:SUPPORT_USER @asset.type:role @action:modified

Agent

NombreDescripción de un evento de auditoríaConsultar el navegador de auditorías
Agent habilitadoSe ha habilitado un nuevo Datadog Agent.@evt.name:"Datadog Agent" @action:created
Flare del Agent creadoSe ha creado un flare de Datadog Agent para los tickets de asistencia.@evt.name:"Datadog Agent" @action:created @asset.type:agent_flare
Configuración del Agent actualizadaSe ha actualizado una configuración del Datadog Agent.@evt.name:"Datadog Agent" @action:modified

Eventos de solicitud de API

NombreDescripción del evento de auditoríaConsultar el navegador de auditorías
Solicitud de APISe ha enviado una solicitud de API en algún lugar de la plataforma Datadog.@evt.name:Request @action:accessed

Eventos de Application Performance Monitoring (APM)

NombreDescripción del evento de auditoríaConsultar el navegador de auditorías
Filtro de retenciónUn usuario ha creado, modificado o eliminado un filtro de retención, así como los valores anteriores o nuevos de la configuración del filtro de retención.@evt.name:APM @asset.type:retention_filter
Métrica basada en tramos (spans)Un usuario ha creado, modificado o eliminado una métrica basada en tramos, así como los valores anteriores o nuevos de configuración de la métrica.@evt.name:APM @asset.type:custom_metrics
FacetaUn usuario ha creado, modificado o eliminado una faceta, así como los valores anteriores o nuevos de configuración de la faceta.@evt.name:APM @asset.type:facet
Nombre de la operación principalUn usuario ha creado, modificado o eliminado el nombre de la operación principal de un servicio, así como los valores de configuración anteriores o nuevos.@evt.name:APM @asset.type:service_operation_name
Segunda etiqueta (tag) principalUn usuario ha añadido, modificado o eliminado la segunda etiqueta principal, así como los valores de configuración anteriores o nuevos.@evt.name:APM @asset.type:second_primary_tag
Frecuencias de muestreo configuradas de forma remotaUn usuario ha configurado las frecuencias de muestreo de APM de forma remota.@evt.name:APM @asset.type:samplerconfig

Application Security Management

NameDescription of audit eventQuery in audit explorer
One-click ActivationA user activated or de-activated ASM on a service.@evt.name:"Application Security" @asset.type:compatible_services
ProtectionA user enabled or disabled the ASM protection.@evt.name:"Application Security" @asset.type:blocking_configuration
DenylistA user blocked, unblocked, or extended the blocking duration of an IP address or a user ID.@evt.name:"Application Security" @asset.type:ip_user_denylist
PasslistA user added, modified, or deleted an entry to the passlist.@evt.name:"Application Security" @asset.type:passlist_entry
In-App WAF PolicyA user created, modified, or deleted an In-App WAF policy.@evt.name:"Application Security" @asset.type:policy_entry
In-App WAF Custom RuleA user validated, created, modified, or deleted an In-App WAF custom rule.@evt.name:"Application Security" @asset.type:waf_custom_rule

Eventos de Audit Trail

NombreDescripción del evento de auditoríaConsultar el navegador de auditorías
Descargar como CSVUn usuario exporta la lista de eventos de auditoría como CSV@evt.name:Audit Trail @asset.type:audit_events_csv

Eventos de autenticación

NombreDescripción del evento de auditoríaConsultar el navegador de auditorías
Clave de API (Parámetros de organización)Se ha accedido, listado, creado o eliminado una clave de API en la página Organization Settings (Parámetros de organización).@evt.name:Authentication @asset.type:api_key
Clave de aplicación (Parámetros de organización)Se ha accedido, listado, creado o eliminado una clave de aplicación en la página Organization Settings (Parámetros de organización).@evt.name:Authentication @asset.type:application_key
Clave de API pública (Parámetros de organización)Se ha accedido, listado, creado o eliminado una clave de API pública en la página Organization Settings (Parámetros de organización).@evt.name:Authentication @asset.type:public_api_key
Inicio de sesión de usuarioUn usuario inicia sesión en Datadog y sigue el método de autenticación utilizado.@evt.name:Authentication @action:login

Eventos de CI Visibility

NombreDescripción del evento de auditoríaConsultar el navegador de auditorías
Rama por defecto del repositorioUn usuario ha modificado la rama por defecto de un repositorio.@evt.name:"CI Visibility" @asset.type:ci_app_repository @action:modified
Parámetros del servicio de testUn usuario ha creado o modificado los parámetros del servicio de test.@evt.name:"CI Visibility" @asset.type:ci_app_test_service_settings (@action:created OR @action:modified)
Configuración de la cuenta de GitHubUn usuario ha modificado la configuración de la cuenta de GitHub.@evt.name:"CI Visibility" @asset.type:github_opt_ins (@action:modified OR @action:deleted)
Filtros de exclusiónSe han modificado los filtros de exclusión.@evt.name:"CI Visibility" @asset.type:ci_app_exclusion_filters @action:modified
Regla de las pruebas de calidadUn usuario ha creado, modificado o eliminado una regla de una prueba de calidad.@evt.name:"CI Visibility" @asset.type:ci_app_quality_gates (@action:created OR @action:modified OR @action:deleted)

Eventos de la plataforma de seguridad en la nube

NameDescription of audit eventQuery in audit explorer
CWS agent ruleA user accessed (fetched) a CWS agent rule in the Cloud Security Platform.@evt.name:"Cloud Security Platform" @asset.type:cws_agent_rule @action:accessed
Notification profileA user created, updated, or deleted a notification profile in the Cloud Security Platform.@evt.name:"Cloud Security Platform" @asset.type:notification_profile
Security ruleA user validated, updated, deleted, or created a security rule and the previous and new values for the rule.@evt.name:"Cloud Security Platform" @asset.type:security_rule
Security signalA user modified the state of a signal or assigned the signal to a user, and the previous and new values for the signal.@evt.name:"Cloud Security Platform" @asset.type:security_signal @action:modified
Report subscriptionA user subscribed or unsubscribed from a K9 email report.@evt.name:"Cloud Security Platform" @asset.type:report_subscription

Eventos de dashboard

NombreDescripción del evento de auditoríaConsultar el navegador de auditorías
Dashboard creadoSe ha creado un dashboard y el nuevo valor de JSON del dashboard.@evt.name:Dashboard @asset.type:dashboard @action:created
Dashboard eliminadoSe ha eliminado un dashboard y el valor anterior de JSON del dashboard.@evt.name:Dashboard @asset.type:dashboard @action:deleted
dashboard integrado (Roadie)Un dashboard de Datadog se ha integrado a un tercero y un usuario visualiza el dashboard.@evt.name:Dashboard @asset.type:embed @action:accessed
dashboard modificadoSe ha modificado un dashboard, así como los valores de JSON anteriores y nuevos del dashboard.@evt.name:Dashboard @asset.type:dashboard @action:modified
usuario(s) del dashboard añadido(s)Un usuario ha añadido los ID de usuario que pueden acceder a un dashboard, así como la lista de nuevos ID de usuario.@evt.name:Dashboard @asset.type:dashboard_share_acl @action:created
usuario(s) del dashboard eliminado(s)Un usuario ha eliminado los ID de usuario que pueden acceder a un dashboard, así como la lista de los ID de usuario eliminados.@evt.name:Dashboard @asset.type:dashboard_share_acl @action:deleted
URL pública consultadaSe consulta una URL de dashboard pública.@evt.name:Dashboard @asset.type:dashboard @action:accessed
URL pública generada o eliminadaSe genera o elimina una URL pública para ver un dashboard.@evt.name:Dashboard @asset.type:dashboard_share_link

Eventos de instrumentación dinámica

NombreDescripción del evento de auditoríaConsultar el navegador de auditorías
Probe de logsUn usuario ha creado, modificado o eliminado correctamente un probe de logs con instrumentación dinámica.@evt.name:"Dynamic Instrumentation" @action:(created OR modified OR deleted) @asset.type:log_probe
Probe de métricasUn usuario ha creado, modificado o eliminado correctamente un probe de métricas con instrumentación dinámica.@evt.name:"Dynamic Instrumentation" @action:(created OR modified OR deleted) @asset.type:span_probe
Probe de tramosUn usuario ha creado, modificado o eliminado correctamente un probe de tramos con instrumentación dinámica.@evt.name:"Dynamic Instrumentation" @action:(created OR modified OR deleted) @asset.type:metric_probe

Eventos de seguimiento de errores

NombreDescripción del evento de auditoríaConsultar el navegador de auditorías
Seguimiento de errores para la activación de logsUn usuario ha habilitado o deshabilitado el seguimiento de errores para la generación de logs.@evt.name:"Error Tracking" @action:(created OR deleted) @asset.type:error_tracking_logs
Crear o modificar el filtro de inclusiónUn usuario ha añadido o modificado un filtro de inclusión.@evt.name:"Error Tracking" @asset.type:error_tracking_inclusion_filter

Eventos de integración

NombreDescripción del evento de auditoríaConsultar el navegador de auditorías
RecursoCada vez que se añade, modifica o elimina un recurso (canal, servicio, webhook, cuenta, instancia, etc.) de una integración, así como los valores de configuración anteriores y nuevos.@evt.name:Integration @asset.type:integration

Eventos de Log Management

NombreDescripción del evento de auditoríaConsultar el navegador de auditorías
Configuración de archivosUn usuario ha creado, modificado o eliminado la configuración de un archivo, así como los valores de configuración anteriores y nuevos.@evt.name:"Log Management" @asset.type:archive
Métrica personalizadaUn usuario ha creado, modificado o eliminado una métrica personalizada para logs, así como los valores de configuración anteriores y nuevos de la métrica personalizada.@evt.name:"Log Management" @asset.type:"custom metric"
Configuración del filtro de exclusiónUn usuario ha creado, modificado o eliminado la configuración de un filtro de exclusión, así como los valores de configuración anteriores y nuevos.@evt.name:"Log Management" @asset.type:"exclusion filter"
FacetaUn usuario ha creado, modificado o eliminado una faceta en el navegador de logs. así como los valores de configuración anteriores y nuevos de la faceta.@evt.name:"Log Management" @asset.type:facet
Vista del historialUn usuario ha creado, modificado, cancelado o eliminado una vista de historial de logs, así como los valores de configuración anteriores y nuevos de la vista del historial.@evt.name:"Log Management" @asset.type:historical_view
Configuración del índiceUn usuario ha creado, modificado o eliminado la configuración de un índice, así como los valores de configuración anteriores y nuevos.@evt.name:"Log Management" @asset.type:index
Pipeline de logsUn usuario ha creado, modificado o eliminado un pipeline de logs o un pipeline anidado, así como los valores de configuración anteriores y nuevos.@evt.name:"Log Management" @asset.type:pipeline
ProcesadorUn usuario ha creado, modificado o eliminado un procesador en un pipeline, así como los valores de configuración anteriores y nuevos.@evt.name:"Log Management" @asset.type:pipeline_processor
Consulta (Beta pública)Un usuario ha ejecutado una consulta de la lista de Log Management en el explorador de logs, los dashboards o a través de la API pública.@evt.name:"Log Management" @asset.type:logs_query
Configuración de consultas de restricciónUn usuario ha creado, modificado o eliminado la configuración de una consulta de restricción en logs, así como los valores de configuración anteriores y nuevos.@evt.name:"Log Management" @asset.type:restriction_query
Configuración de atributos estándarUn usuario ha creado, modificado o eliminado la configuración de un atributo estándar en logs, así como los valores de configuración anteriores y nuevos.@evt.name:"Log Management" @asset.type:standard_attribute
Descargar como CSVUn usuario exporta una lista de logs como CSV@evt.name:"Log Management" @asset.type:logs_csv

Eventos de métricas

NombreDescripción del evento de auditoríaConsultar el navegador de auditorías
Métrica personalizada creadaUn usuario ha creado una métrica personalizada, así como el nuevo valor de configuración de la métrica personalizada.@evt.name:Metrics @asset.type:metric @action:created
Métrica personalizada eliminadaUn usuario ha eliminado una métrica personalizada, así como el anterior valor de configuración de la métrica personalizada.@evt.name:Metrics @asset.type:metric @action:deleted
Métrica personalizada modificadaUn usuario ha modificado una métrica personalizada, así los valores de configuración anteriores y nuevos de la métrica personalizada.@evt.name:Metrics @asset.type:metric @action:modified

Eventos de monitor

NombreDescripción de eventos de auditoríaConsultar el navegador de auditorías
Monitor creadoSe crea un monitor y el nuevo valor de JSON del monitor.@evt.name:Monitor @asset.type:monitor @action:created
Monitor eliminadoSe elimina un monitor y el anterior valor de JSON del monitor.@evt.name:Monitor @asset.type:monitor @action:deleted
Monitor modificadoSe modifica un monitor y los valores anteriores y nuevos de JSON del monitor.@evt.name:Monitor @asset.type:monitor @action:modified
Monitor resueltoSe resuelve un monitor.@evt.name:Monitor @asset.type:monitor @action:resolved

Eventos de Notebook

NombreDescripción del evento de auditoríaConsultar el navegador de auditorías
Notebook creadoSe crea un notebook y el nuevo valor de JSON del notebook.@evt.name:Notebook @asset.type:notebook @action:created
Notebook eliminadoSe elimina un notebook y el anterior valor de JSON del notebook.@evt.name:Notebook @asset.type:notebook @action:deleted
Notebook modificadoSe modifica un notebook y los valores anteriores y nuevos de JSON del notebook.@evt.name:Notebook @asset.type:notebook @action:modified

Eventos de OAuth

NombreDescripción del evento de auditoríaConsultar el navegador de auditorías
Cliente de OAuthUn usuario ha creado, modificado o eliminado un cliente de OAuth, así como los valores anteriores y nuevos del cliente de OAuth.@evt.name:OAuth @asset.type:oauth_client

Eventos de gestión de organizaciones

NombreDescripción del evento de auditoríaConsultar el navegador de auditorías
Configuración de Audit TrailUn usuario ha modificado los parámetros de Audit Trail, así como los parámetros anteriores y nuevos.@evt.name:"Organization Management" @asset.type:audit_logs_settings
Organización secundaria creadaUn usuario ha creado una nueva organización secundaria para una organización existente en Datadog.@evt.name:"Organization Management" @asset.type:organization @action:created

Eventos de Real User Monitoring (RUM)

NombreDescripción del evento de auditoríaConsultar el navegador de auditorías
Solicitud RUM creadaUn usuario ha creado o eliminado una aplicación en RUM, así como el tipo de aplicación (Navegador, Flutter, iOS, React Native, Android).@evt.name:"Real User Monitoring" @asset.type:real_user_monitoring_application @action:(created OR deleted)
Solicitud RUM modificadaUn usuario ha modificado una aplicación en RUM, el nuevo valor de la aplicación y el tipo de aplicación (Navegador, Flutter, iOS, React Native, Android).@evt.name:"Real User Monitoring" @asset.type:real_user_monitoring_application @action:modified
Repetición de sesión visualizadaUn usuario ha visualizado una repetición de sesión.@evt.name:"Real User monitoring" @asset.type:session_replay @action:accessed

Eventos de notificaciones de seguridad

NombreDescripción del evento de auditoríaConsultar el navegador de auditorías
Token filtradoDatadog ha detectado una clave de API o de aplicación de Datadog filtrada que debería revocarse.@evt.name:"Security Notification" @asset.type:(api_key OR application_key) @action:notification
Anulación del método de inicio de sesiónDatadog ha detectado una anulación del método de inicio de sesión de usuario que es diferente de los métodos de inicio de sesión predeterminados establecidos para la organización.@evt.name:"Security Notification" @asset.type:user @action:notification
Inicio de sesión inusualDatadog ha detectado un evento de inicio de sesión inusual.@evt.name:"Security Notification" @asset.type:unusual_login @action:notification
Usuario invitado mediante correo electrónico desechableDatadog ha detectado que un usuario con un correo electrónico de un proveedor de correo gratuito o desechable ha sido invitado a la organización.@evt.name:"Security Notification" @asset.type:user_invite @action:notification

Eventos de Sensitive Data Scanner

NombreDescripción del evento de auditoríaConsultar el navegador de auditorías
Grupo de análisisUn usuario ha creado, modificado o eliminado un grupo de análisis en Sensitive Data Scanner, así como los valores de configuración anteriores y nuevos.@evt.name:"Sensitive Data Scanner" @asset.type:sensitive_data_scanner_scanning_group
Regla de análisisUn usuario ha creado, modificado o eliminado una regla de análisis de un grupo de análisis en Sensitive Data Scanner, así como los valores de configuración anteriores y nuevos.@evt.name:"Sensitive Data Scanner" @asset.type:sensitive_data_scanner_scanning_rule

Eventos de objetivos de nivel de servicio (SLOs)

NombreDescripción del evento de auditoríaConsultar el navegador de auditorías
SLOUn usuario crea, modifica o elimina un SLO, así como los valores anteriores y nuevos del SLO.@evt.name:SLO @asset.type:slo
Corrección de SLOUn usuario crea, modifica o elimina una corrección de SLO, así como los valores anteriores y nuevos de la corrección de SLO.@evt.name:SLO @asset.type:slo_correction

Eventos de monitorización de Synthetic

NombreDescripción del evento de auditoríaConsultar el navegador de auditorías
Ubicación privadaUn usuario ha creado o eliminado una ubicación privada para tests de Synthetic.@evt.name:"Synthetics Monitoring" @asset.type:synthetics_private_location
Test de Synthetic creado o eliminadoUn usuario ha creado o eliminado un test de Synthetic.@evt.name:"Synthetics Monitoring" @asset.type:synthetics_test @action:(created OR deleted)
Test de Synthetic modificadoUn usuario ha modificado un test de Synthetic, así como los valores de configuración anteriores y nuevos.@evt.name:"Synthetics Monitoring" @asset.type:synthetics_test @action:modified
Variable de SyntheticUn usuario ha creado, modificado o eliminado una variable de Synthetic.@evt.name:"Synthetics Monitoring" @asset.type:synthetics_variable
Configuración de SyntheticUn usuario ha modificado la configuración de Synthetic (cuotas, acceso a localizaciones privadas), así como los valores de configuración anteriores y nuevos.@evt.name:"Synthetics Monitoring" @asset.type:synthetics_settings @action:modified

Eventos de la tabla de referencia

NombreDescripción del evento de auditoríaConsultar el navegador de auditorías
Tabla de referenciaUn usuario creó, eliminó o modificó una tabla de referencia.@evt.name:"Reference Tables" @asset.type:reference_table @action:(created OR deleted OR modified)
Archivo de tabla de referenciaUn usuario cargó o importó un archivo con un proveedor de nube para una tabla de referencia.@evt.name:"Reference Tables" @asset.type:reference_table_file @action:(uploaded OR imported)

Eventos de gestión de equipos

NombreDescripción del evento de auditoríaConsultar el navegador de auditorías
Gestión de equiposUn usuario ha creado, eliminado o modificado un equipo o una asociación de equipos.@evt.name:"Teams Management" @action:(created OR deleted OR modified)

Eventos de flujo de trabajo

NombreDescripción del evento de auditoríaConsultar el navegador de auditorías
Flujo de trabajoUn usuario ha creado, eliminado o modificado un flujo de trabajo, o se ha ejecutado un flujo de trabajo.@evt.name:"Workflows" @asset.type:workflow @action:(created OR deleted OR modified OR executed)
Planificación de flujo de trabajoUn usuario ha creado, eliminado o modificado una planificación de un flujo de trabajo.@evt.name:"Workflows" @asset.type:workflow_schedule @action:(created OR deleted OR modified)
Acción de flujo de trabajoUn usuario ha respondido a una notificación de Slack durante la ejecución de un flujo de trabajo.@evt.name:"Workflows" @asset.type:workflow_action @action:(responded)
Conexión personalizadaUn usuario ha creado, eliminado o modificado una conexión.@evt.name:"Custom Connections" @asset.type:custom_connection @action:(created OR deleted OR modified)

Lectura adicional

Más enlaces, artículos y documentación útiles:

Obtén más información sobre Audit TrailDOCUMENTACIÓN more more