- 重要な情報
- はじめに
- 用語集
- ガイド
- エージェント
- インテグレーション
- OpenTelemetry
- 開発者
- API
- CoScreen
- アプリ内
- Service Management
- インフラストラクチャー
- アプリケーションパフォーマンス
- 継続的インテグレーション
- ログ管理
- セキュリティ
- UX モニタリング
- 管理
管理者またはセキュリティチームのメンバーは、Datadog 監査証跡を使用して組織内で Datadog を使用しているユーザーとそのコンテキストを確認できます。個人として、自身のアクションをストリームで確認することも可能です。
監査証跡内で発生するイベントには、Datadog API に要求されたすべてのリクエストを顧客リクエストに変換するリクエストイベントと、製品特化イベントの 2 種類があります。
たとえば、リクエストイベントを追跡すると、そのイベントに到達する API 呼び出しを確認できます。または、組織または請求担当の管理者の場合は、監査証跡イベントを使用してインフラストラクチャーの状態を変更したユーザーイベントを追跡できます。
この環境では、以下のような製品特有のイベントについて確認する場合に監査証跡が便利です。
ログのボリュームが変化し、毎月の請求額が変化したためインデックスの保持期間が変更されたとき。
ダッシュボードまたはモニターが壊れていて修復が必要な場合に、プロセッサまたはパイプラインを変更したユーザーおよびその変更日時を確認する。
インデックス化のボリュームが増減し、ログが見つからないまたは請求額が増加したため、除外フィルターを変更したユーザーを確認する。
セキュリティ管理者またはInfoSecチームには、監査証跡イベントはコンプライアンスチェックや Datadog リソースにおける監査証跡(だれがいつ何をしたか)の管理に便利です。たとえば、以下のような監査証跡を管理できます。
重要なダッシュボード、モニター、その他の Datadog リソースの更新または削除があった場合の日時と実行者。
組織内のユーザーログイン、アカウント、ロール変更。
Datadog 監査証跡を有効にするには、オーガニゼーションの設定で Security の Audit Trail Settings を選択し、Enable ボタンをクリックします。
監査証跡を有効にした人を確認するには
Datadog Audit Trail was enabled by
と入力します。イベントをキャプチャするために、より広い時間範囲を選択する必要がある場合があります。アーカイブは、監査証跡のオプション機能です。Amazon S3、Google Cloud Storage、Azure Storage への書き込みと、これらの場所から SIEM システムによりイベントを読み取るためにアーカイブを使用できます。アーカイブ構成を作成または更新してから次にアーカイブのアップロードが試行されるまで、数分かかることがあります。イベントは 15 分ごとにアーカイブにアップロードされるので、15 分待ってストレージバケットをチェックし、Datadog アカウントからアーカイブが正常にアップロードされたことを確認してください。
監査証跡のアーカイブを有効にするには、オーガニゼーションの設定で Compliance の Audit Trail Settings を選択し、Archiving までスクロールダウンして Store Events のトグルボタンをクリックしてオンにします。
イベントの保持は、監査証跡のオプション機能です。Retention までスクロールし、Retain Audit Trail Events のトグルをクリックすると、有効になります。
デフォルトの監査証跡イベント保持期間は 7 日間です。保持期間は 3~90 日間の間で設定できます。
監査イベントを詳しく確認するには、Audit Trail セクションに移動します。Datadog のオーガニゼーションの設定からもアクセス可能です。
監査証跡イベントは、ログエクスプローラー内のログと同様の機能を持っています。
フィルターを使用して、イベント名 (ダッシュボード、モニター、認証など)、認証属性 (アクター、API キー ID、ユーザーのメールアドレスなど)、Status
(Error
、Warn
、Info
)、メソッド (POST
、GET
、DELETE
) およびその他のファセット別に監査証跡イベントを確認します。
イベントを選択してイベント属性タブに移動し、関連する監査証跡イベントを確認します。絞り込みまたは検索から除外する特定の属性を選択します (http.method
、usr.email
、client.ip
など)。
効率的なトラブルシューティングには、探索を可能にする適切なスコープにデータがあり、意味のある情報を表示する視覚化オプションにアクセスでき、分析を可能にする関連ファセットがリストされていることが必要です。トラブルシューティングはコンテキストに依存するため、保存ビューを使用すると、あなたとチームメイトが異なるトラブルシューティングコンテキスト間で簡単に切り替えられるようになります。保存ビューは、監査証跡エクスプローラーの左上隅からアクセスできます。
デフォルトのビュー以外のすべての保存ビューは、組織全体で共有されます。
Views パネルの保存ビューエントリからは、いつでも以下のアクションが可能です。
注: インテグレーションの保存ビューおよび読み取り専用ユーザーには、アクションの更新、名前変更、および削除は無効になっています。
デフォルトビュー機能では、監査証跡エクスプローラーを最初に開いたときに常に表示されるクエリやフィルターのデフォルトセットを設定することができます。デフォルトビューに戻るには、Views パネルを開き、リロードボタンをクリックします。
既存の監査証跡エクスプローラーのビューは、デフォルトの保存ビューです。この構成は、自身のみがアクセスおよび閲覧可能であり、この構成を更新しても、組織には何の影響も与えません。UI で何らかのアクションを実行するか、別の構成を埋め込んだ監査証跡エクスプローラーのリンクを開くことで、デフォルトの保存ビューを一時的にオーバーライドすることができます。
Views パネルのデフォルト保存ビューエントリからは、いつでも以下のアクションが可能です。
注目イベントとは、監査イベントのサブセットで、Datadog が特定した、請求に影響を与える可能性のある、またはセキュリティに影響を与える可能性のある重要な構成変更を示すものです。これにより、組織管理者は、生成された多くのイベントの中から最も重要なイベントに絞り込むことができ、利用可能なすべてのイベントとそのプロパティについて学習する必要がありません。
以下のクエリにマッチするイベントは、注目イベントとしてマークされます。
監査イベントの説明 | 監査エクスプローラーのクエリ |
---|---|
ログベースメトリクスの変更 | @evt.name:"Log Management" @asset.type:"custom_metrics" |
ログ管理インデックスの除外フィルターの変更 | @evt.name:"Log Management" @asset.type:"exclusion_filter" |
ログ管理インデックスの変更 | @evt.name:"Log Management" @asset.type:index |
APM 保持フィルターの変更 | @evt.name:APM @asset.type:retention_filter |
APM カスタムメトリクスの変更 | @evt.name:APM @asset.type:custom_metrics |
メトリクスタグの変更 | @evt.name:Metrics @asset.type:metric @action:(created OR modified) |
RUM アプリケーションの作成と削除 | @evt.name:"Real User Monitoring" @asset.type:real_user_monitoring_application @action:(created OR deleted) |
機密データスキャナーのスキャングループの変更 | @evt.name:"Sensitive Data Scanner" @asset.type:sensitive_data_scanner_scanning_group |
Synthetic テストの作成または削除 | @evt.name:"Synthetics Monitoring" @asset.type:synthetics_test @action:(created OR deleted) |
監査イベントの詳細パネルにある Inspect Changes (Diff) タブは、行われた構成変更と以前に設定されたものを比較します。ダッシュボード、ノートブック、およびモニターの構成に加えられた変更が表示され、JSON オブジェクトとして表されます。
監査証跡イベントの特定のタイプや証跡の属性別にモニターを作成するには、監査証跡モニターに関するドキュメントをご参照ください。例: 特定のユーザーログが発生したときにトリガーするモニターを設定、ダッシュボードが削除されたとき用のモニターを設定など。
ダッシュボードを使用すると、監査証跡イベントに視覚的なコンテキストを追加できます。監査ダッシュボードを作成するには:
Datadog 監査証跡では、監査分析ビューを定期的にスケジュールされたメールとして送信することができます。これらのレポートは、Datadog プラットフォームの使用状況を定期的に監視するのに便利です。例えば、国別のユニークな Datadog ユーザーログイン数の週次レポートを取得するように選択できます。このクエリにより、異常なログインアクティビティを監視したり、使用状況に関する自動化された洞察を受け取ったりすることができます。
監査分析クエリをレポートとしてエクスポートするには、時系列、トップリスト、またはテーブルクエリを作成し、More… > Export as scheduled report をクリックして、クエリをスケジュールレポートとしてエクスポートを開始します。
Datadog 監査証跡には、インデックス保持の変更、ログパイプラインの変更、ダッシュボードの変更など、さまざまな監査イベントを表示するすぐに使えるダッシュボードが付属しています。このダッシュボードを複製して、監査ニーズに合わせてクエリや視覚化をカスタマイズすることができます。