監査証跡イベント

概要

Datadog 監査証跡は、Datadog プラットフォーム全体から 100 種類以上の監査イベントを記録します。これらの監査イベントは、イベント名として異なる製品カテゴリに分類されます。

プラットフォームイベント

製品別イベント

監査証跡の設定と構成については、監査証跡ドキュメントを参照してください。

監査イベント

アクセス管理イベント

名前監査イベントの説明監査エクスプローラーのクエリ
アプリケーションキー (サービスアカウントユーザー)ユーザーがサービスアカウントユーザーのアプリケーションキーを作成、変更、または削除した。@evt.name:"Access Management" @asset.type:application_key
認証方法 (組織)ユーザーが組織で許可される認証方法を変更し、前と後の値がどうなったか。@evt.name:"Access Management" @asset.type:identity_provider
メールDatadog アカウントのユーザーとして、メールアドレスが追加、無効化、または検証された。@evt.name:"Access Management" @asset.type:user
ロールの変更ロールが変更され、以前の権限と新しい権限がどうなったか。@evt.name:"Access Management" @asset.type:role @action:modified
ロールの作成または削除組織内でロールが作成または削除された。@evt.name:"Access Management" @asset.type:role @action:(created OR deleted)
ロールアクセスリクエストユーザーが、ロールに対するアクセスリクエストを作成、応答、または削除し、そのアクセスリクエストの値。@evt.name:"Access Management" @asset.type:role_request
ユーザーのロールユーザーが組織内のロールに追加または削除された。@evt.name:"Access Management" @asset.type:role @action:modified
パスワード組織でユーザーがパスワードを変更した。@evt.name:"Access Management" @asset.type:password @action:modified
制限ポリシーリソースの制限ポリシーが変更されました。@evt.name:"Access Management" @asset.type:restriction_policy @action:(modified OR deleted)

API リクエストイベント

名前監査イベントの説明監査エクスプローラーのクエリ
API リクエストDatadog プラットフォーム上で API リクエストが行われた。@evt.name:Request @action:accessed

Application Performance Monitoring (APM) イベント

名前監査イベントの説明監査エクスプローラーのクエリ
保持フィルターユーザーが保持フィルターを作成、変更、または削除し、その保持フィルターの構成の以前の値および/または新しい値。@evt.name:APM @asset.type:retention_filter
スパンベースメトリクスユーザーがスパンベースメトリクスを作成、変更、または削除し、そのメトリクスの構成の以前の値および/または新しい値。@evt.name:APM @asset.type:custom_metrics
ファセットユーザーがファセットを作成、変更、または削除し、そのファセットの構成の以前の値および/または新しい値。@evt.name:APM @asset.type:facet
プライマリオペレーション名ユーザーがサービスのプライマリオペレーション名を作成、変更、または削除し、その構成の以前の値および/または新しい値。@evt.name:APM @asset.type:service_operation_name
セカンドプライマリタグユーザーがセカンドプライマリタグを追加、変更、または削除し、その構成の以前の値および/または新しい値。@evt.name:APM @asset.type:second_primary_tag
リモート構成されたサンプリングレートユーザーがリモートで APM のサンプリングレートを構成した。@evt.name:APM @asset.type:samplerconfig

Application Security Management

名前監査イベントの説明監査エクスプローラーのクエリ
1 クリックアクティベーションユーザーがサービス上で ASM をアクティブまたは非アクティブにした。@evt.name:"Application Security" @asset.type:compatible_services
保護ユーザーが ASM 保護を有効または無効にした。@evt.name:"Application Security" @asset.type:blocking_configuration
Denylistユーザーが IP アドレスまたはユーザー ID のブロック、ブロック解除、ブロック期間の延長を行った。@evt.name:"Application Security" @asset.type:ip_user_denylist
パスリストユーザーがパスリストにエントリーを追加、修正、または削除した。@evt.name:"Application Security" @asset.type:passlist_entry
アプリ内 WAF ポリシーユーザーがアプリ内 WAF ポリシーを作成、修正、または削除した。@evt.name:"Application Security" @asset.type:policy_entry
アプリ内 WAF カスタムルールユーザーがアプリ内 WAF カスタムルールを作成、修正、または削除した。@evt.name:"Application Security" @asset.type:waf_custom_rule

監査証跡イベント

名前監査イベントの説明監査エクスプローラーのクエリ
CSV でダウンロードユーザーが監査イベントのリストを CSV でエクスポートする@evt.name:Audit Trail @asset.type:audit_events_csv

認証イベント

名前監査イベントの説明監査エクスプローラーのクエリ
API キー (組織設定)API キーが、組織設定ページでアクセス、一覧化、作成、または削除された。@evt.name:Authentication @asset.type:api_key
アプリケーションキー (組織設定)アプリケーションキーが、組織設定ページでアクセス、一覧化、作成、または削除された。@evt.name:Authentication @asset.type:application_key
公開 API キー (組織設定)公開 API キーが、組織設定ページでアクセス、一覧化、作成、または削除された。@evt.name:Authentication @asset.type:public_api_key
ユーザーログインユーザーが Datadog にログインし、使用された認証方法。@evt.name:Authentication @action:login

CI Visibility イベント

名前監査イベントの説明監査エクスプローラーのクエリ
リポジトリデフォルトブランチユーザーがリポジトリのデフォルトブランチを変更し、そのデフォルトブランチの以前の値と新しい値。@evt.name:"CI Visibility" @asset.type:ci_app_repository

クラウドセキュリティプラットフォームのイベント

名前監査イベントの説明監査エクスプローラーのクエリ
CWS Agent ルールユーザーがクラウドセキュリティプラットフォーム内の CWS Agent ルールにアクセス (フェッチ) した。@evt.name:"Cloud Security Platform" @asset.type:cws_agent_rule @action:accessed
通知プロファイルユーザーがクラウドセキュリティプラットフォームで通知プロファイルを作成、更新、または削除した。@evt.name:"Cloud Security Platform" @asset.type:notification_profile
セキュリティルールユーザーがセキュリティルールを更新、削除、または作成し、そのルールの以前の値と新しい値。@evt.name:"Cloud Security Platform" @asset.type:security_rule
セキュリティシグナルユーザーがシグナルの状態を変更したり、シグナルの割り当てを行い、そのシグナルの前の値と新しい値。@evt.name:"Cloud Security Platform" @asset.type:security_signal @action:modified

ダッシュボードイベント

名前監査イベントの説明監査エクスプローラーのクエリ
ダッシュボードの作成ダッシュボードが作成され、そのダッシュボードの新しい JSON 値。@evt.name:Dashboard @asset.type:dashboard @action:created
ダッシュボードの削除ダッシュボードが削除され、そのダッシュボードの前の JSON 値。@evt.name:Dashboard @asset.type:dashboard @action:deleted
ダッシュボードの埋め込み (Roadie)Datadog のダッシュボードがサードパーティに埋め込まれ、ユーザーがダッシュボードを閲覧した。@evt.name:Dashboard @asset.type:embed @action:accessed
ダッシュボードの変更ダッシュボードが変更され、そのダッシュボードの前の JSON 値と新しい JSON 値。@evt.name:Dashboard @asset.type:dashboard @action:modified
ダッシュボードユーザーの追加ユーザーがダッシュボードにアクセスできるユーザー ID を追加し、新規ユーザー ID の一覧。@evt.name:Dashboard @asset.type:dashboard_share_acl @action:created
ダッシュボードユーザーの削除ユーザーがダッシュボードにアクセスできるユーザー ID を削除し、削除されたユーザー ID の一覧。@evt.name:Dashboard @asset.type:dashboard_share_acl @action:deleted
公開 URL のアクセス公開されているダッシュボードの URL がアクセスされた。@evt.name:Dashboard @asset.type:dashboard @action:accessed
公開 URL の生成または削除ダッシュボードを閲覧するための公開 URL が生成または削除された。@evt.name:Dashboard @asset.type:dashboard_share_link

インテグレーションイベント

名前監査イベントの説明監査エクスプローラーのクエリ
リソースインテグレーションにリソース (チャンネル、サービス、Webhook、アカウント、インスタンスなど) が追加、変更、削除されたとき、およびその構成の以前の値と新しい値。@evt.name:Integration @asset.type:integration

ログ管理イベント

名前監査イベントの説明監査エクスプローラーのクエリ
アーカイブ構成ユーザーがアーカイブの構成を作成、変更、または削除し、その構成の以前の値と新しい値。@evt.name:"Log Management" @asset.type:archive
カスタムメトリクスユーザーがログのカスタムメトリクスを作成、変更、または削除し、そのカスタムメトリクスの構成の以前の値と新しい値。@evt.name:"Log Management" @asset.type:"custom metric"
除外フィルターの構成ユーザーが除外フィルターの構成を作成、変更、または削除し、その構成の以前の値と新しい値。@evt.name:"Log Management" @asset.type:"exclusion filter"
ファセットユーザーがログエクスプローラーでファセットを作成、変更、または削除し、そのファセット構成の以前の値と新しい値。@evt.name:"Log Management" @asset.type:facet
履歴ビューユーザーがログの履歴ビューを作成、変更、中止、または削除し、その履歴ビューの構成の以前の値と新しい値。@evt.name:"Log Management" @asset.type:historical_view
インデックス構成ユーザーがインデックスの構成を作成、変更、または削除し、その構成の以前の値と新しい値。@evt.name:"Log Management" @asset.type:index
ログパイプラインユーザーがログパイプラインまたはネストされたパイプラインを作成、変更、または削除し、その構成の以前の値と新しい値。@evt.name:"Log Management" @asset.type:pipeline
プロセッサーユーザーがパイプライン内のプロセッサーを作成、変更、または削除し、その構成の以前の値と新しい値。@evt.name:"Log Management" @asset.type:pipeline_processor
制限クエリの構成ユーザーがログの制限クエリの構成を作成、変更、または削除し、その構成の以前の値と新しい値。@evt.name:"Log Management" @asset.type:restriction_query
標準属性の構成ユーザーがログの標準属性の構成を作成、変更、または削除し、その構成の以前の値と新しい値。@evt.name:"Log Management" @asset.type:standard_attribute
CSV でダウンロードユーザーがログのリストを CSV でエクスポートする@evt.name:"Log Management" @asset.type:logs_csv

メトリクスイベント

名前監査イベントの説明監査エクスプローラーのクエリ
カスタムメトリクスの作成ユーザーがカスタムメトリクスを作成し、そのカスタムメトリクス構成の新しい値。@evt.name:Metrics @asset.type:metric @action:created
カスタムメトリクスの削除ユーザーがカスタムメトリクスを削除し、そのカスタムメトリクス構成の以前の値。@evt.name:Metrics @asset.type:metric @action:deleted
カスタムメトリクスの変更ユーザーがカスタムメトリクスを変更し、そのカスタムメトリクス構成の以前の値と新しい値。@evt.name:Metrics @asset.type:metric @action:modified

モニターイベント

名前監査イベントの説明監査エクスプローラーのクエリ
モニターの作成モニターが作成され、そのモニターの新しい JSON 値。@evt.name:Monitor @asset.type:monitor @action:created
モニターの削除モニターが削除され、そのモニターの前の JSON 値。@evt.name:Monitor @asset.type:monitor @action:deleted
モニターの変更モニターが変更され、そのモニターの前の JSON 値と新しい JSON 値。@evt.name:Monitor @asset.type:monitor @action:modified
モニターの解決モニターが解決された。@evt.name:Monitor @asset.type:monitor @action:resolved

ノートブックイベント

名前監査イベントの説明監査エクスプローラーのクエリ
ノートブックの作成ノートブックが作成され、そのノートブックの新しい JSON 値。@evt.name:Notebook @asset.type:notebook @action:created
ノートブックの削除ノートブックが削除され、そのノートブックの前の JSON 値。@evt.name:Notebook @asset.type:notebook @action:deleted
ノートブックの変更ノートブックが変更され、そのノートブックの前の JSON 値と新しい JSON 値。@evt.name:Notebook @asset.type:notebook @action:modified

OAuth イベント

名前監査イベントの説明監査エクスプローラーのクエリ
OAuth クライアントユーザーが OAuth クライアントを作成、変更、または削除し、その OAuth クライアントの以前の値と新しい値。@evt.name:OAuth @asset.type:oauth_client

組織管理イベント

名前監査イベントの説明監査エクスプローラーのクエリ
監査証跡設定ユーザーが監査証跡設定を変更し、変更前と変更後の設定内容。@evt.name:"Organization Management" @asset.type:audit_logs_settings

リアルユーザーモニタリングイベント

名前監査イベントの説明監査エクスプローラーのクエリ
RUM アプリケーションの作成ユーザーが RUM でアプリケーションを作成または削除し、そのアプリケーションの種類 (Browser、Flutter、IOS、React Native、Android)。@evt.name:"Real User Monitoring" @asset.type:real_user_monitoring_application @action:(created OR deleted)
RUM アプリケーションの変更ユーザーが RUM でアプリケーションを変更し、そのアプリケーションの新しい値、およびアプリケーションの種類 (Browser、Flutter、IOS、React Native、Android)。@evt.name:"Real User Monitoring" @asset.type:real_user_monitoring_application @action:modified

セキュリティ通知イベント

名前監査イベントの説明監査エクスプローラーのクエリ
[トークンリーク][80]Datadog は、失効させるべき Datadog API またはアプリケーションキーのリークを検出しました。@evt.name:"Security Notification" @asset.type:(api_key OR application_key) @action:notification
ログイン方法のオーバーライドDatadog は、組織に設定されたデフォルトのログイン方法とは異なる、ユーザーのログイン方法のオーバーライドを検出しました。@evt.name:"Security Notification" @asset.type:user @action:notification
異常なログインDatadog は、異常なログインイベントを検出しました。@evt.name:"Security Notification" @asset.type:unusual_login @action:notification

機密データスキャナーイベント

名前監査イベントの説明監査エクスプローラーのクエリ
スキャングループユーザーが機密データスキャナーのスキャングループを作成、変更、または削除し、その構成の以前の値と新しい値。@evt.name:"Sensitive Data Scanner" @asset.type:sensitive_data_scanner_scanning_group
スキャンルールユーザーが機密データスキャナーのスキャングループ内のスキャンルールを作成、変更、または削除し、その構成の以前の値と新しい値。@evt.name:"Sensitive Data Scanner" @asset.type:sensitive_data_scanner_scanning_rule

サービスレベル目標 (SLO) イベント

名前監査イベントの説明監査エクスプローラーのクエリ
SLOユーザーが SLO を作成、変更、または削除し、その SLO の以前の値と新しい値。@evt.name:SLO @asset.type:slo
SLO 補正ユーザーが SLO 補正を作成、変更、または削除し、その SLO 補正の以前の値と新しい値。@evt.name:SLO @asset.type:slo_correction

Synthetic モニタリングイベント

名前監査イベントの説明監査エクスプローラーのクエリ
プライベートロケーションユーザーが Synthetic テスト用のプライベートロケーションを作成または削除した。@evt.name:"Synthetics Monitoring" @asset.type:synthetics_private_location
Synthetic テストの作成または削除ユーザーが Synthetic テストを作成または削除した。@evt.name:"Synthetics Monitoring" @asset.type:synthetics_test @action:(created OR deleted)
Synthetic テストの変更ユーザーが Synthetic テストを修正し、その構成の以前の値と新しい値。@evt.name:"Synthetics Monitoring" @asset.type:synthetics_test @action:modified
Synthetic 変数ユーザーが Synthetic 変数を作成、変更、または削除した。@evt.name:"Synthetics Monitoring" @asset.type:synthetics_variable
Synthetic 設定ユーザーが Synthetic 設定 (クォータ、PL アクセス) を変更し、変更前と変更後の設定値。@evt.name:"Synthetics Monitoring" @asset.type:synthetics_settings @action:modified

リファレンステーブルのイベント

名前監査イベントの説明監査エクスプローラーのクエリ
リファレンステーブルユーザーがリファレンステーブルを作成、削除、または変更した。@evt.name:"Reference Tables" @asset.type:reference_table @action:(created OR deleted OR modified)
リファレンステーブルファイルユーザーがクラウドプロバイダーにファイルをアップロードまたはインポートして、リファレンステーブルを作成した。@evt.name:"Reference Tables" @asset.type:reference_table_file @action:(uploaded OR imported)

その他の参考資料

お役に立つドキュメント、リンクや記事:

監査証跡についてドキュメント more more