Skip to main content
Data Infrastructure Insights
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

Workload Securityイベントの監査

共同作成者 netapp-alavoie
PDF

予期される変更(追跡のため)と予期されない変更(トラブルシューティングのため)の両方を特定します。Workload Securityシステムのイベントとユーザーアクティビティの監査証跡を表示します。

監査対象イベントの表示

監査ページを表示するには、メニューの「管理者」>「監査」をクリックしてください。監査ページが表示され、各監査エントリについて以下の詳細情報が表示されます:

  • 時間 - イベントまたはアクティビティの日時

  • ユーザー - アクティビティを開始したユーザー

  • 役割 - Workload Securityにおけるユーザーの役割(ゲスト、ユーザー、管理者)

  • IP - イベントに関連付けられた IP アドレス

  • アクション - アクティビティのタイプ(例:Login、Create、Update)

  • カテゴリ - アクティビティのカテゴリ。

  • 詳細 - アクティビティの詳細

  • アプリケーションの種類 - 監査対象アプリケーションの種類:Observability または Workload Security。Workload Security 監査のみをフィルタリングする場合に使用してください。

監査対象となるワークロードセキュリティイベントには、以下のものが含まれますが、これらに限定されません:

  • Workload Securityポリシーの変更。

  • 新しいデータソースコレクター(DSC)の作成。

  • DSCの変更。

  • エージェントの作成。

  • ユーザー管理タスク。

  • APIトークンタスク。

監査エントリの表示

監査エントリを表示するには、いくつかの方法があります。

  • 特定の期間 (1 時間、24 時間、3 日間など) を選択して監査エントリを表示できます。

  • 列ヘッダーの矢印をクリックすると、エントリの並べ替え順序を昇順(上向き矢印)または降順(下向き矢印)に変更できます。デフォルトでは、テーブルにはエントリが時間の降順で表示されます。

  • フィルター フィールドを使用すると、必要なエントリのみをテーブルに表示できます。追加のフィルターを追加するには、[+]ボタンをクリックします。

フィルタリングの詳細

フィルターを絞り込むには、次のいずれかを使用できます。

フィルタ

何をするのか

結果

*(アスタリスク)

あらゆるものを検索できます

ヴォル*レル

「vol」で始まり「rhel」で終わるすべてのリソースを返します。

? (疑問符)

特定の文字数を検索できます

BOS-PRD??-S12

BOS-PRD12-S12、BOS-PRD23-S12などを返します

または

複数のエンティティを指定できる

FAS2240 または CX600 または FAS3270

FAS2440、CX600、またはFAS3270のいずれかを返します

ない

検索結果からテキストを除外できます

EMCではありません*

「EMC」で始まらないものをすべて返します

なし

選択されたフィールドで空白/NULL/なしを検索します

なし

対象フィールドが空でない結果を返します

ない *

上記のNoneと同様ですが、このフォームを使用してテキストのみのフィールドでNULL値を検索することもできます

ない *

ターゲット フィールドが空でない結果を返します。

""

完全一致を検索

「NetApp*」

正確なリテラル文字列NetApp*を含む結果を返します

フィルタ文字列を二重引用符で囲むと、Insight は最初の引用符と最後の引用符の間のすべてを完全一致として扱います。引用符内の特殊文字または演算子はリテラルとして扱われます。たとえば、「*」でフィルタリングすると、文字通りのアスタリスクである結果が返されます。この場合、アスタリスクはワイルドカードとして扱われません。演算子 OR と NOT も、二重引用符で囲むとリテラル文字列として扱われます。

監査対象のイベントとアクション

Workload Securityによって監査されるイベントとアクションは、以下の大まかな分野に分類できます:

  • ユーザーアカウント:ログイン、ログアウト、ロール変更など

  • エージェント:作成、削除、アップグレード、ピン留め、ピン留め解除など

    例:Agent Agent-Boston-1 が削除されました。 一括操作により、エージェントのバージョン 1.760.0 へのアップグレードが開始されました。

  • Data/User directory Collector:追加、削除、変更、アップグレード、延期/再開、エージェントの変更、再起動など。

    例:Data collector Collector-Boston1 removed, type ONTAP SVM Agent: Agent-Boston-1, Cluster IP 10.193.88.36, SVM demoGroupShares2 Collector ONTAP SVM upgrade to version 1.417.0 initiated by bulk operation

  • 自動応答ポリシー:追加、更新、削除、有効化、無効化など

    例:自動化された攻撃ポリシーPolicy-Boston1が更新されました。プロパティDevicesが更新されました、古い値:[Device(name=svm_boston1, dataSourceId=39fb3b9c-9dd4-4961-bc27-23eb0b6f9ab7)]、新しい値:[Device(name=demoGroupShares2, dataSourceId=5b9f5b74-4533-4852-909d-8886582a4359)]

  • ユーザーのブロック/ブロック解除:自動または手動によるユーザーのブロックおよびブロック解除。

    例:自動応答の一環として、ユーザー Safwan Langley に対して 2 時間のブロックが開始されました

  • APIキー:追加、削除など

    例:Workload Security API アクセストークン JPick-SWS が作成されました

  • 通知:メールアドレスの変更など

    例:Recipient ci-alerts-notifications-dl created

監査イベントのエクスポート

監査表示の結果を.CSVファイルにエクスポートすることで、データを分析したり、他のアプリケーションにインポートしたりすることができます。手順1.監査ページで、希望する期間と必要なフィルターを設定します。Workload Securityは、設定したフィルタリング条件と期間に一致する監査エントリのみをエクスポートします。2.表の右上にある「エクスポート」ボタンをクリックしてください。表示された監査イベントは、最大10,000行まで.CSVファイルにエクスポートされます。

監査データの保持

Workload Securityが監査データを保持する期間は、お客様のサブスクリプションによって異なります:

  • トライアル環境: 監査データは30日間保持されます

  • サブスクライブされた環境: 監査データは1年と1日間保持されます

保持期間より古い監査エントリは自動的に削除されます。ユーザーの操作は必要ありません。