New Relic を使用および管理するための追加のセキュリティ対策として、 NrAuditEvent
イベントを使用して、New Relic 組織の変更を示す監査ログを表示できます。
NrAuditEvent
とは何ですか? NrAuditEvent
は、あなたとあなたのユーザーが New Relic 組織で行ういくつかの重要な種類の構成変更を記録するために作成されます。収集されたデータには、アカウントの変更の種類、変更を行ったアクター、実行されたアクションの人間が判読できる説明、および変更のタイムスタンプが含まれます。報告される情報には次のものが含まれます。
追加または削除されたユーザー ユーザー権限の変更 API経由でのアカウント変更 合成モニターの変化 ダッシュボードの削除 ワークロードの設定変更 このイベントによって報告されるすべての属性を確認するには、 NrAuditEvent
を参照してください。
これらの種類の変更について通知を受けるには、アラート を使用できます。
使用上の注意と詳細 NrAuditEvent
すべての New Relic アカウントは、最大 13 か月のアカウント変更を照会できます。
New Relic の組織とアカウントがPartnership API を使用して作成された場合、 NrAuditEvent
はアカウントの作成または編集に関する情報を返しません。
監査ログは、 監査モード の構成とは異なります。 エージェント。 APM 監査モードは、アプリから送信されるすべてのデータに関する情報を記録します。
クエリの例 NRQL を使用してNrAuditEvent
をクエリする例を次に示します。
UI のクエリ ビルダーでは、一度に 1 つのアカウントしかクエリできないことに注意してください。適切な権限があれば、 NerdGraph でクロスアカウント クエリを実行できます。
一般的なアカウントの変更 New Relicのアカウントにはどのような変更が加えられていますか? 特定の期間におけるNew Relicアカウントへのすべての変更を表示するには、次の基本的なNRQLクエリを実行します。
SELECT * from NrAuditEvent SINCE 1 day ago
どのようなタイプのアカウント変更が最も多かったのでしょうか? アカウントユーザーに対して特定の期間中に最も頻繁に行われた変更の種類を照会するには、照会にactionIdentifier
属性 を含めます。例えば:
SELECT count(*) AS Actions FROM NrAuditEvent
FACET actionIdentifier SINCE 1 week ago
組織に追加されたアカウントは何ですか? 作成されたアカウントとその作成者に関する情報を照会するには、次のようなものを使用できます。
SELECT actorEmail, actorId, targetId FROM NrAuditEvent WHERE actionIdentifier = 'account.create' SINCE 1 month ago
アカウントの変更にはどのような傾向がありますか? NRQLクエリにTIMESERIES
を含めると、結果は線グラフとして表示されます。例えば:
SELECT count(*) from NrAuditEvent TIMESERIES facet actionIdentifier since 1 week ago
どのようなユーザー管理の変更を行ったのか? ユーザーのユーザーモデル がこれらのクエリに影響を与えることに注意してください。ユーザーが元のユーザーモデルを使用している場合は、アカウントごとにのみクエリを実行できます。ユーザーが新しいユーザーモデルを使用している場合は 、NewRelic組織 のトップレベルアカウントにクエリを実行する必要があります。
ユーザーに行われたすべての変更を確認するには、次のようにします。
SELECT * FROM NrAuditEvent WHERE targetType = 'user'
ユーザータイプ の変更点に絞りたい場合は、次のようにします。
SELECT * FROM NrAuditEvent WHERE targetType = 'user'
AND actionIdentifier IN ('user.self_upgrade', 'user.change_type')
合成モニタリング:モニターにどのような変更が加えられましたか? 特定の時間枠内の合成モニターの更新を照会するには、照会にactionIdentifier
属性を含めます。例えば:
SELECT count(*) FROM NrAuditEvent
WHERE actionIdentifier = 'synthetics_monitor.update_script'
FACET actionIdentifier, description, actorEmail
SINCE 1 week ago LIMIT 1000
この合成監視機能の詳細については、合成監視監査ログ を参照してください。
ワークロード。ワークロードの構成にどのような変更が加えられたか? ワークロードに対して行われた構成の変更をクエリするには、以下のクエリを使用します。 targetId
属性には、検索に使用できる、変更されたワークロードのGUIDが含まれています。ワークロードの変更は自動化されることが多いため、ユーザーがUIまたはAPIを介して直接変更を行ったかどうかを知るために、 actorType
属性を含めることができます。
SELECT timestamp, actorEmail, actorType, description, targetId
FROM NrAuditEvent WHERE targetType = 'workload'
SINCE 1 week ago LIMIT MAX
特定のユーザーが行った変更 どのユーザーがどのようなアカウント変更をしたのか? 特定の期間中にアカウントに変更を加えたユーザーに関する詳細情報を表示するには、クエリにactorType = 'user'
を含めます。例えば:
SELECT actionIdentifier, description, actorEmail, actorId, targetType, targetId
FROM NrAuditEvent WHERE actorType = 'user'
特定のユーザーがどのようなアカウント変更を行ったか? 選択した時間枠内に特定の人が行ったアカウントアクティビティを照会するには、その人のactorId
を知っている必要があります。例えば:
SELECT actionIdentifier FROM NrAuditEvent
WHERE actorId = 829034 SINCE 1 week ago
最も多くの変更を行ったのは誰ですか? アカウントに最も多くの変更を加えた人( actorType
)を特定するには、クエリにactorEmail
属性 を含めます。例えば:
SELECT count(*) as Users FROM NrAuditEvent
FACET actorEmail SINCE 1 week ago
合成モニタリング:特定のユーザーによって作成されたモニターは何ですか? 特定のユーザーによって行われた合成モニターからの更新を照会するには、照会にactionIdentifier
}属性とactorEmail
属性を含めます。例えば:
SELECT count(*) FROM NrAuditEvent
WHERE actionIdentifier = 'synthetics_monitor.update_script'
FACET actorEmail, actionIdentifier, description
SINCE 1 week ago LIMIT 1000
APIによる変更 APIキーを使ってどのようなアカウントの変更が行われましたか? 特定の期間中にAPIキーを使用して行われたアカウントへの変更に関する詳細情報を表示するには、クエリにactorType = 'api_key'
を含めます。例えば:
SELECT actionIdentifier, description, targetType, targetId, actorAPIKey, actorId, actorEmail
FROM NrAuditEvent WHERE actorType = 'api_key' SINCE 1 week ago