New Relic を使用および管理するための追加のセキュリティ対策として、 NrAuditEvent
イベントを使用して、New Relic 組織の変更を示す監査ログを表示できます。
NrAuditEvent
とは何ですか? NrAuditEvent
は、あなたとあなたのユーザーが New Relic 組織で行ういくつかの重要な種類の構成変更を記録するために作成されます。収集されたデータには、アカウントの変更の種類、変更を行ったアクター、実行されたアクションの人間が判読できる説明、および変更のタイムスタンプが含まれます。報告される情報には次のものが含まれます。
追加または削除されたユーザー ユーザー権限の変更 API経由でのアカウント変更 合成モニターの変化 ダッシュボードの削除 ワークロードの設定変更 このイベントによって報告されるすべての属性を確認するには、 NrAuditEvent
を参照してください。
これらの種類の変更について通知を受けるには、アラート を使用できます。
使用上の注意と詳細 NrAuditEvent
すべての New Relic アカウントは、最大 13 か月のアカウント変更を照会できます。
New Relic の組織とアカウントがPartnership API を使用して作成された場合、 NrAuditEvent
はアカウントの作成または編集に関する情報を返しません。
監査ログは、 監査モード の構成とは異なります。 APM エージェント。 APM 監査モードは、アプリから送信されるすべてのデータに関する情報を記録します。
クエリの例 NRQL を使用してNrAuditEvent
をクエリする例を次に示します。
UI のクエリ ビルダーでは、一度に 1 つのアカウントしかクエリできないことに注意してください。適切な権限があれば、 NerdGraph でクロスアカウント クエリを実行できます。
一般的なアカウントの変更 New Relicのアカウントにはどのような変更が加えられていますか? 特定の期間におけるNew Relicアカウントへのすべての変更を表示するには、次の基本的なNRQLクエリを実行します。
どのようなタイプのアカウント変更が最も多かったのでしょうか? アカウントユーザーに対して特定の期間中に最も頻繁に行われた変更の種類を照会するには、照会にactionIdentifier
属性 を含めます。例えば:
SELECT count ( * ) AS Actions
組織に追加されたアカウントは何ですか? 作成されたアカウントとその作成者に関する情報を照会するには、次のようなものを使用できます。
SELECT actorEmail , actorId , targetId
WHERE actionIdentifier = 'account.create'
アカウントの変更にはどのような傾向がありますか? NRQLクエリにTIMESERIES
を含めると、結果は線グラフとして表示されます。例えば:
TIMESERIES facet actionIdentifier since 1 week ago
どのようなユーザー管理の変更を行ったのか? ユーザーのユーザーモデル がこれらのクエリに影響を与えることに注意してください。ユーザーが元のユーザーモデルを使用している場合は、アカウントごとにのみクエリを実行できます。ユーザーが新しいユーザーモデルを使用している場合は 、NewRelic組織 のトップレベルアカウントにクエリを実行する必要があります。
ユーザーに行われたすべての変更を確認するには、次のようにします。
WHERE targetType = 'user'
ユーザータイプ の変更点に絞りたい場合は、次のようにします。
SELECT * FROM NrAuditEvent
WHERE targetType = 'user'
AND actionIdentifier IN ( 'user.self_upgrade' , 'user.change_type' )
合成モニタリング:モニターにどのような変更が加えられましたか? 特定の期間中の合成モニターの更新をクエリするには、クエリに actionIdentifier
属性を含めます。例えば:
SELECT count ( * ) FROM NrAuditEvent
WHERE actionIdentifier = 'synthetics_monitor.update_script'
FACET actionIdentifier , description , actorEmail
SINCE 1 week ago LIMIT 1000
この合成監視機能の詳細については、合成監視監査ログ を参照してください。
ワークロード。ワークロードの構成にどのような変更が加えられたか? ワークロードに対して行われた構成の変更をクエリするには、以下のクエリを使用します。 targetId
属性には、検索に使用できる、変更されたワークロードのGUIDが含まれています。ワークロードの変更は自動化されることが多いため、ユーザーがUIまたはAPIを介して直接変更を行ったかどうかを知るために、 actorType
属性を含めることができます。
SELECT timestamp , actorEmail , actorType , description , targetId
WHERE targetType = 'workload'
SINCE 1 week ago LIMIT MAX
私のアカウントにはどのようなターゲット タイプがありますか? targetType
属性は、アカウント、ロール、ユーザー、アラート条件または通知、ログなど、変更されたオブジェクトを記述します。アカウントの targetType
値のリストを生成するには、以下のクエリを実行します。このクエリでは、タッチされた targetTypes
のみが表示されることに注意してください。
SELECT uniques ( targetType )
特定のユーザーが行った変更 どのユーザーがどのようなアカウント変更をしたのか? 特定の期間中にアカウントに変更を加えたユーザーに関する詳細情報を表示するには、クエリにactorType = 'user'
を含めます。例えば:
SELECT actionIdentifier , description , actorEmail , actorId , targetType , targetId
特定のユーザーがどのようなアカウント変更を行ったか? 選択した時間枠内に特定の人が行ったアカウントアクティビティを照会するには、その人のactorId
を知っている必要があります。例えば:
WHERE actorId = 829034 SINCE 1 week ago
合成モニタリング:特定のユーザーによって作成されたモニターは何ですか? 特定のユーザーによって行われた合成モニターの更新をクエリするには、クエリに actionIdentifier
属性と actorEmail
属性を含めます。例えば:
SELECT count ( * ) FROM NrAuditEvent
WHERE actionIdentifier = 'synthetics_monitor.update_script'
FACET actorEmail , actionIdentifier , description
SINCE 1 week ago LIMIT 1000
APIによる変更 APIキーを使ってどのようなアカウントの変更が行われましたか? 特定の期間中にAPIキーを使用して行われたアカウントへの変更に関する詳細情報を表示するには、クエリにactorType = 'api_key'
を含めます。例えば:
SELECT actionIdentifier , description , targetType , targetId , actorAPIKey , actorId , actorEmail
WHERE actorType = 'api_key'