New Relic を使用および管理するための追加のセキュリティ対策として、 NrAuditEventイベントを使用して、New Relic 組織の変更を示す監査ログを表示できます。
NrAuditEventとは何ですか? NrAuditEventは、あなたとあなたのユーザーが New Relic 組織で行ういくつかの重要な種類の構成変更を記録するために作成されます。収集されたデータには、アカウントの変更の種類、変更を行ったアクター、実行されたアクションの人間が判読できる説明、および変更のタイムスタンプが含まれます。報告される情報には次のものが含まれます。
追加または削除されたユーザー ユーザー権限の変更 API経由でのアカウント変更 合成モニターの変化 ダッシュボードの削除 ワークロードの設定変更 このイベントによって報告されるすべての属性を確認するには、 NrAuditEvent
これらの種類の変更について通知を受けるには、アラート を使用できます。
NrAuditEvent すべての New Relic アカウントは、最大 13 か月のアカウント変更を照会できます。
New Relic の組織とアカウントがPartnership API を使用して作成された場合、 NrAuditEventはアカウントの作成または編集に関する情報を返しません。
監査ログは、 監査モード の構成とは異なります。 エージェント。 APM 監査モードは、アプリから送信されるすべてのデータに関する情報を記録します。
NRQL を使用してNrAuditEventをクエリする例を次に示します。
UI のクエリ ビルダーでは、一度に 1 つのアカウントしかクエリできないことに注意してください。適切な権限があれば、 NerdGraph でクロスアカウント クエリを実行できます。
New Relicのアカウントにはどのような変更が加えられていますか? 特定の期間におけるNew Relicアカウントへのすべての変更を表示するには、次の基本的なNRQLクエリを実行します。
SELECT * from NrAuditEvent SINCE 1 day ago
どのようなタイプのアカウント変更が最も多かったのでしょうか? アカウントユーザーに対して特定の期間中に最も頻繁に行われた変更の種類を照会するには、照会にactionIdentifier属性
SELECT count(*) AS Actions FROM NrAuditEvent
FACET actionIdentifier SINCE 1 week ago
組織に追加されたアカウントは何ですか? 作成されたアカウントとその作成者に関する情報を照会するには、次のようなものを使用できます。
SELECT actorEmail, actorId, targetId FROM NrAuditEvent WHERE actionIdentifier = 'account.create' SINCE 1 month ago
アカウントの変更にはどのような傾向がありますか? NRQLクエリにTIMESERIESを含めると、結果は線グラフとして表示されます。例えば:
SELECT count(*) from NrAuditEvent TIMESERIES facet actionIdentifier since 1 week ago
どのようなユーザー管理の変更を行ったのか? ユーザーのユーザーモデル がこれらのクエリに影響を与えることに注意してください。ユーザーが元のユーザーモデルを使用している場合は、アカウントごとにのみクエリを実行できます。ユーザーが新しいユーザーモデルを使用している場合は 、NewRelic組織 のトップレベルアカウントにクエリを実行する必要があります。
ユーザーに行われたすべての変更を確認するには、次のようにします。
SELECT * FROM NrAuditEvent WHERE targetType = 'user'
ユーザータイプ の変更点に絞りたい場合は、次のようにします。
SELECT * FROM NrAuditEvent WHERE targetType = 'user'
AND actionIdentifier IN ('user.self_upgrade', 'user.change_type')
合成モニタリング:モニターにどのような変更が加えられましたか? 特定の時間枠内の合成モニターの更新を照会するには、照会にactionIdentifier
SELECT count(*) FROM NrAuditEvent
WHERE actionIdentifier = 'synthetics_monitor.update_script'
FACET actionIdentifier, description, actorEmail
SINCE 1 week ago LIMIT 1000
この合成監視機能の詳細については、合成監視監査ログ を参照してください。
ワークロード。ワークロードの構成にどのような変更が加えられたか? ワークロードに対して行われた構成の変更をクエリするには、以下のクエリを使用します。 targetId属性には、検索に使用できる、変更されたワークロードのGUIDが含まれています。ワークロードの変更は自動化されることが多いため、ユーザーがUIまたはAPIを介して直接変更を行ったかどうかを知るために、 actorType属性を含めることができます。
SELECT timestamp, actorEmail, actorType, description, targetId
FROM NrAuditEvent WHERE targetType = 'workload'
SINCE 1 week ago LIMIT MAX
どのユーザーがどのようなアカウント変更をしたのか? 特定の期間中にアカウントに変更を加えたユーザーに関する詳細情報を表示するには、クエリにactorType = 'user'
SELECT actionIdentifier, description, actorEmail, actorId, targetType, targetId
FROM NrAuditEvent WHERE actorType = 'user'
特定のユーザーがどのようなアカウント変更を行ったか? 選択した時間枠内に特定の人が行ったアカウントアクティビティを照会するには、その人のactorId
SELECT actionIdentifier FROM NrAuditEvent
WHERE actorId = 829034 SINCE 1 week ago
最も多くの変更を行ったのは誰ですか? アカウントに最も多くの変更を加えた人( actorTypeactorEmail属性
SELECT count(*) as Users FROM NrAuditEvent
FACET actorEmail SINCE 1 week ago
合成モニタリング:特定のユーザーによって作成されたモニターは何ですか? 特定のユーザーによって行われた合成モニターからの更新を照会するには、照会にactionIdentifieractorEmail
SELECT count(*) FROM NrAuditEvent
WHERE actionIdentifier = 'synthetics_monitor.update_script'
FACET actorEmail, actionIdentifier, description
SINCE 1 week ago LIMIT 1000
APIキーを使ってどのようなアカウントの変更が行われましたか? 特定の期間中にAPIキーを使用して行われたアカウントへの変更に関する詳細情報を表示するには、クエリにactorType = 'api_key'
SELECT actionIdentifier, description, targetType, targetId, actorAPIKey, actorId, actorEmail
FROM NrAuditEvent WHERE actorType = 'api_key' SINCE 1 week ago