Docs/管理者ガイド/監査ログ

監査ログ

組織内のすべての管理者およびAPIキー変更は単一の監査ストリームに着地します。監査ログページは、そのストリームをインシデント対応、変更履歴レビュー、コンプライアンスエビデンスのためにフィルタリング、ページネーション、エクスポートします。

場所

サイドバー → 概要セクションの下の監査ログ/organization/audit-logにあります。組織管理者のみに表示されます。

記録されるもの

変更が監査されます。読み取り専用アクション (リスト、取得、ダッシュボードクエリ) は監査されません。監査されるアクションの例には、user.inviteduser.updateduser.removedteam.createdassignment.createdassignment.updatedapikey.createdapikey.revokedwebhook.createdsarif.ingestedがあります。テナントが見たすべてのアクション名の完全なリストは、アクションフィルタードロップダウンから利用できます。

各行には以下が含まれます:

フィールド意味
createdAt変更のUTCタイムスタンプ。
action何が起こったかのドット付き識別子。
actorEmail + actorRoleアクションを実行した人。管理UI変更は人間のメールとorg_adminロールを運びます。公開API変更はapikey:<api-key-uuid>とロールapi_keyを運びます。
targetType / targetId / targetLabel変更されたリソース。ラベルはUIで使用される短い人間可読な説明です。
metadata何が変更されたかを正確に記述するJSON文字列化されたコンテキスト (例えば、課題の前/後の期限、新しいAPIキーに設定されたスコープ)。
ipAddress変更を引き起こしたリクエストのソースIP。

フィルタリング

ページは4つのフィルターを組み合わせます。それらはすべて一緒に結果セットを絞り込み、空のフィルターは「任意の値」として扱われます。

  • アクション — アクション名に対する完全一致。ドロップダウンには、テナントがこれまでに記録したすべてのアクションがリストされます。
  • アクターメール — アクター識別子に対する完全一致。管理UI変更には人間のメールを入力するか、特定のAPIキーのアクティビティを分離するためにapikey:<api-key-uuid>を貼り付けます。
  • 開始 / 終了 — 包括的なUTC日付境界。
  • ページサイズ — デフォルトで50、上限は200。

CSVエクスポート

右上のCSVをエクスポートをクリックして、フィルタリングされた結果セットをダウンロードします。エクスポートには、上記のすべての列に加えて、元のJSON文字列を保持するmetadata列が含まれます — SIEMやJSONセルを解析できるスプレッドシートにファイルを送信する際に便利です。

プログラム的アクセス

同じ監査ストリームは、UIと同じクエリパラメータを使用してGET /api/public/v1/audit-log経由で公開APIから到達可能です。JSONエンベロープとページネーションルールについてはAPI → 監査ログを参照。一般的な自動化には、SIEM (Datadog、Splunk、Elastic) への毎時の増分ポーリング、コンプライアンスエビデンスストアへの週次ダンプが含まれます。

保存されないもの

監査行はアクターメール、ロール、ターゲットメタデータ、IPアドレス、JSONメタデータblobを保存します。返された行にはリクエストボディ、レスポンスボディ、User-Agent文字列を保存しません。User-Agentはフォレンジック用にサーバー側でキャプチャされますが、今日は管理UIまたは公開APIのいずれにも表示されません。