New Relic 사용 및 관리를 위한 추가 보안 조치로 NrAuditEvent
이벤트를 사용하여 New Relic 조직의 변경 사항을 보여주는 감사 로그를 볼 수 있습니다.
NrAuditEvent
은(는) 무엇인가요? NrAuditEvent
는 귀하와 귀하의 사용자가 New Relic 조직에서 수행하는 몇 가지 중요한 구성 변경 유형을 기록하기 위해 생성됩니다. 수집된 데이터에는 계정 변경 유형, 변경을 수행한 행위자, 수행된 조치에 대한 사람이 읽을 수 있는 설명 및 변경에 대한 타임스탬프가 포함됩니다. 보고된 정보에는 다음이 포함됩니다.
사용자 추가 또는 삭제 사용자 권한 변경 API를 통한 계정 변경 합성 모니터 변경 사항 대시보드 삭제 워크로드 구성 변경 이 이벤트에 의해 보고된 모든 속성을 보려면 NrAuditEvent
을(를) 참조하십시오.
이러한 유형의 변경에 대한 알림을 받으려면 경고 를 사용할 수 있습니다.
사용상의주의 사항 및 세부 사항 NrAuditEvent
모든 New Relic 계정은 최대 13개월의 계정 변경 사항을 조회할 수 있습니다.
New Relic 조직 및 계정이 Partnership API 를 사용하여 생성된 경우 NrAuditEvent
는 계정 생성 또는 편집에 대한 정보를 반환하지 않습니다.
감사 로깅은 감사 모드를 구성하는 것과 다릅니다. 대리인. APM 감사 모드는 앱에서 전송되는 모든 데이터에 대한 정보를 기록합니다.
쿼리 예시 다음은 NRQL 을 사용하여 NrAuditEvent
를 쿼리하는 몇 가지 예입니다.
UI의 쿼리 빌더는 한 번에 하나의 계정만 쿼리할 수 있습니다. 올바른 권한이 있는 경우 NerdGraph 로 교차 계정 쿼리를 실행할 수 있습니다.
일반 계정 변경 New Relic 계정에 어떤 변경 사항이 있습니까? 특정 기간 동안 New Relic 계정에 대한 모든 변경 사항을 보려면 다음 기본 NRQL 쿼리를 실행하십시오.
SELECT * from NrAuditEvent SINCE 1 day ago
어떤 유형의 계정 변경이 가장 많이 이루어졌습니까? 특정 기간 동안 계정 사용자에게 어떤 유형의 변경이 가장 자주 발생했는지 쿼리하려면 쿼리에 actionIdentifier
속성 을 포함하세요. 예를 들어:
SELECT count(*) AS Actions FROM NrAuditEvent
FACET actionIdentifier SINCE 1 week ago
우리 조직에 어떤 계정이 추가되었습니까? 생성된 계정 및 생성자에 대한 정보를 쿼리하려면 다음과 같이 사용할 수 있습니다.
SELECT actorEmail, actorId, targetId FROM NrAuditEvent WHERE actionIdentifier = 'account.create' SINCE 1 month ago
계정 변경에 어떤 경향이 나타납니까? NRQL 쿼리에 TIMESERIES
을 포함하면 결과가 선 그래프로 표시됩니다. 예를 들어:
SELECT count(*) from NrAuditEvent TIMESERIES facet actionIdentifier since 1 week ago
어떤 사용자 관리 변경이 이루어졌습니까? 사용자의 사용자 모델 은 이러한 쿼리에 영향을 미칩니다.사용자가 원래 사용자 모델을 사용하는 경우 계정별로만 쿼리할 수 있습니다.사용자가 최신 사용자 모델을 사용하는 경우 New Relic 조직 의 최상위 계정을 쿼리해야 합니다.
사용자에 대한 모든 변경 사항을 보려면 다음을 사용할 수 있습니다.
SELECT * FROM NrAuditEvent WHERE targetType = 'user'
사용자 유형 에 대한 변경 사항을 보기 위해 범위를 좁히려면 다음을 사용할 수 있습니다.
SELECT * FROM NrAuditEvent WHERE targetType = 'user'
AND actionIdentifier IN ('user.self_upgrade', 'user.change_type')
종합 모니터링: 모니터에 어떤 변경 사항이 있습니까? 특정 기간 동안 합성 모니터에 대한 업데이트를 쿼리하려면 쿼리에 actionIdentifier
속성을 포함합니다. 예를 들어:
SELECT count(*) FROM NrAuditEvent
WHERE actionIdentifier = 'synthetics_monitor.update_script'
FACET actionIdentifier, description, actorEmail
SINCE 1 week ago LIMIT 1000
이 종합 모니터링 기능에 대한 자세한 내용은 종합 모니터링 감사 로그 를 참조하십시오.
워크로드: 워크로드 구성이 어떻게 변경되었습니까? 워크로드에 적용된 구성 변경 사항을 쿼리하려면 아래 쿼리를 사용하십시오. targetId
속성에는 검색에 사용할 수 있는 수정된 워크로드의 GUID가 포함됩니다. 워크로드에 대한 변경은 종종 자동화되므로 actorType
속성을 포함하여 사용자가 UI 또는 API를 통해 직접 변경했는지 알 수 있습니다.
SELECT timestamp, actorEmail, actorType, description, targetId
FROM NrAuditEvent WHERE targetType = 'workload'
SINCE 1 week ago LIMIT MAX
특정 사용자가 변경한 사항 사용자가 변경한 계정은 무엇입니까? 특정 기간 동안 계정을 변경한 사용자에 대한 자세한 정보를 보려면 쿼리에 actorType = 'user'
을 포함합니다. 예를 들어:
SELECT actionIdentifier, description, actorEmail, actorId, targetType, targetId
FROM NrAuditEvent WHERE actorType = 'user'
특정 사용자가 변경한 계정은 무엇입니까? 선택한 기간 동안 특정 개인이 수행한 계정 활동을 쿼리하려면 해당 actorId
를 알아야 합니다. 예를 들어:
SELECT actionIdentifier FROM NrAuditEvent
WHERE actorId = 829034 SINCE 1 week ago
누가 계정을 가장 많이 변경했습니까? 계정을 가장 많이 변경한 사람( actorType
)을 식별하려면 쿼리에 actorEmail
속성 을 포함하십시오. 예를 들어:
SELECT count(*) as Users FROM NrAuditEvent
FACET actorEmail SINCE 1 week ago
종합 모니터링: 특정 사용자가 만든 모니터는 무엇입니까? 특정 사용자가 만든 합성 모니터에서 업데이트를 쿼리하려면 쿼리에 actionIdentifier
및 actorEmail
속성을 포함합니다. 예를 들어:
SELECT count(*) FROM NrAuditEvent
WHERE actionIdentifier = 'synthetics_monitor.update_script'
FACET actorEmail, actionIdentifier, description
SINCE 1 week ago LIMIT 1000
API를 사용한 변경 사항 API 키를 사용하여 변경된 계정은 무엇입니까? 특정 기간 동안 API 키를 사용하여 이루어진 계정 변경에 대한 자세한 정보를 보려면 쿼리에 actorType = 'api_key'
을 포함하십시오. 예를 들어:
SELECT actionIdentifier, description, targetType, targetId, actorAPIKey, actorId, actorEmail
FROM NrAuditEvent WHERE actorType = 'api_key' SINCE 1 week ago