New Relic を使用および管理するための追加のセキュリティ対策として、 NrAuditEventイベントを使用して、New Relic 組織の変更を示す監査ログを表示できます。
何ですか NrAuditEvent NrAuditEventは、あなたとあなたのユーザーが New Relic 組織で行ういくつかの重要な種類の構成変更を記録するために作成されます。収集されたデータには、アカウントの変更の種類、変更を行ったアクター、実行されたアクションの人間が判読できる説明、および変更のタイムスタンプが含まれます。報告される情報には次のものが含まれます。
追加または削除されたユーザー ユーザー権限の変更 ログインとログアウトのイベント API経由でのアカウント変更 合成モニターの変化 ダッシュボードの作成、削除、更新、 公開共有 ワークロードの設定変更 このイベントによって報告されるすべての属性を確認するには、 NrAuditEvent
これらの種類の変更について通知を受けるには、アラート を使用できます。
使用上の注意と詳細 NrAuditEvent すべての New Relic アカウントは、最大 13 か月のアカウント変更を照会できます。
New Relic の組織とアカウントがPartnership API を使用して作成された場合、 NrAuditEventはアカウントの作成または編集に関する情報を返しません。
監査ログは、 APM エージェントの監査モード の構成とは異なります。 APM 監査モードでは、アプリから送信されるすべてのデータに関する情報が記録されます。
クエリの例 NRQL を使用してNrAuditEventをクエリする例を次に示します。
UI のクエリ ビルダーでは、一度に 1 つのアカウントしかクエリできないことに注意してください。適切な権限があれば、 NerdGraph でクロスアカウント クエリを実行できます。
一般的なアカウントの変更 New Relicのアカウントにはどのような変更が加えられていますか? 特定の期間におけるNew Relicアカウントへのすべての変更を表示するには、次の基本的なNRQLクエリを実行します。
どのようなタイプのアカウント変更が最も多かったのでしょうか? アカウントユーザーに対して特定の期間中に最も頻繁に行われた変更の種類を照会するには、照会にactionIdentifier属性
SELECT count ( * ) AS Actions
組織に追加されたアカウントは何ですか? 作成されたアカウントとその作成者に関する情報を照会するには、次のようなものを使用できます。
SELECT actorEmail , actorId , targetId
WHERE actionIdentifier = 'account.create'
どのようなユーザーが組織にログインしましたか? あなたの組織にログインしているユーザーに、次のような書き込みを使用します。
SELECT actorEmail , actorId
WHERE actionIdentifier = 'user.login'
アカウントの変更にはどのような傾向がありますか? NRQLクエリにTIMESERIESを含めると、結果は線グラフとして表示されます。例えば:
TIMESERIES facet actionIdentifier since 1 week ago
どのようなユーザー管理の変更を行ったのか? New Relic 組織 の最上位アカウントをクエリします。
ユーザーに行われたすべての変更を確認するには、次のようにします。
WHERE targetType = 'user'
ユーザータイプ の変更点に絞りたい場合は、次のようにします。
SELECT * FROM NrAuditEvent
WHERE targetType = 'user'
AND actionIdentifier IN ( 'user.self_upgrade' , 'user.change_type' )
合成モニタリング:モニターにどのような変更が加えられましたか? 特定の期間中の合成モニターの更新をクエリするには、クエリに actionIdentifier
SELECT count ( * ) FROM NrAuditEvent
WHERE actionIdentifier = 'synthetics_monitor.update_script'
FACET actionIdentifier , description , actorEmail
SINCE 1 week ago LIMIT 1000
この合成監視機能の詳細については、合成監視監査ログ を参照してください。
ワークロード。ワークロードの構成にどのような変更が加えられたか? ワークロードに対して行われた構成の変更をクエリするには、以下のクエリを使用します。 targetId属性には、検索に使用できる、変更されたワークロードのGUIDが含まれています。ワークロードの変更は自動化されることが多いため、ユーザーがUIまたはAPIを介して直接変更を行ったかどうかを知るために、 actorType属性を含めることができます。
SELECT timestamp , actorEmail , actorType , description , targetId
WHERE targetType = 'workload'
SINCE 1 week ago LIMIT MAX
私のアカウントにはどのようなターゲット タイプがありますか? targetType 属性は、アカウント、ロール、ユーザー、アラート条件または通知、ログなど、変更されたオブジェクトを記述します。アカウントの targetType 値のリストを生成するには、以下のクエリを実行します。このクエリでは、タッチされた targetTypes のみが表示されることに注意してください。
SELECT uniques ( targetType )
特定のユーザーが行った変更 どのユーザーがどのようなアカウント変更をしたのか? 特定の期間中にアカウントに変更を加えたユーザーに関する詳細情報を表示するには、クエリにactorType = 'user'
SELECT actionIdentifier , description , actorEmail , actorId , targetType , targetId
特定のユーザーがどのようなアカウント変更を行ったか? 選択した時間枠内に特定の人が行ったアカウントアクティビティを照会するには、その人のactorId
WHERE actorId = 829034 SINCE 1 week ago
合成モニタリング:特定のユーザーによって作成されたモニターは何ですか? 特定のユーザーによって行われた合成モニターの更新をクエリするには、クエリに actionIdentifieractorEmail
SELECT count ( * ) FROM NrAuditEvent
WHERE actionIdentifier = 'synthetics_monitor.update_script'
FACET actorEmail , actionIdentifier , description
SINCE 1 week ago LIMIT 1000
APIによる変更 APIキーを使ってどのようなアカウントの変更が行われましたか? 特定の期間中にAPIキーを使用して行われたアカウントへの変更に関する詳細情報を表示するには、クエリにactorType = 'api_key'
SELECT actionIdentifier , description , targetType , targetId , actorAPIKey , actorId , actorEmail
WHERE actorType = 'api_key'