監査証跡イベント

概要

Datadog 監査証跡は、Datadog プラットフォーム全体から 100 種類以上の監査イベントを記録します。これらの監査イベントは、イベント名として異なる製品カテゴリに分類されます。

プラットフォームイベント

製品別イベント

監査証跡の設定と構成については、監査証跡ドキュメントを参照してください。

監査イベント

アクセス管理イベント

名前監査イベントの説明監査エクスプローラーのクエリ
アプリケーションキー (サービスアカウントユーザー)ユーザーがサービスアカウントユーザーのアプリケーションキーを作成、変更、または削除した。@evt.name:"Access Management" @asset.type:application_key
認証方法 (組織)ユーザーが組織で許可される認証方法を変更し、前と後の値がどうなったか。@evt.name:"Access Management" @asset.type:identity_provider
メールDatadog アカウントのユーザーとして、メールアドレスが追加、無効化、または検証された。@evt.name:"Access Management" @asset.type:user
ロールの変更ロールが変更され、以前の権限と新しい権限がどうなったか。@evt.name:"Access Management" @asset.type:role @action:modified
ロールの作成または削除組織内でロールが作成または削除された。@evt.name:"Access Management" @asset.type:role @action:(created OR deleted)
ロールアクセスリクエストユーザーが、ロールに対するアクセスリクエストを作成、応答、または削除し、そのアクセスリクエストの値。@evt.name:"Access Management" @asset.type:role_request
ユーザーのロールユーザーが組織内のロールに追加または削除された。@evt.name:"Access Management" @asset.type:role @action:modified
パスワードA user modified their password in the org. Password update events are delivered to all orgs that user is active in, even if the org does not have password authentication configured.@evt.name:"Access Management" @asset.type:password @action:modified
Restriction policyリソースの制限ポリシーが変更されました。@evt.name:"Access Management" @asset.type:restriction_policy @action:(modified OR deleted)
Email update (Support)A user’s email was updated by Datadog Support.@evt.name:"Access Management" @evt.actor.type:SUPPORT_USER @asset.type:user @action:modified
User invite (Support)A user was invited to the org by Datadog Support.@evt.name:"Access Management" @evt.actor.type:SUPPORT_USER @asset.type:user @action:created
User’s role (Support)A user was added or deleted from a role in the org by Datadog Support.@evt.name:"Access Management" @evt.actor.type:SUPPORT_USER @asset.type:role @action:modified
Role modified (Support)A role was modified by Datadog Support, and what the previous and new permissions are.@evt.name:"Access Management" @evt.actor.type:SUPPORT_USER @asset.type:role @action:modified

Agent

名前監査イベントの説明監査エクスプローラーのクエリ
Agent enabledA new Datadog Agent was enabled.@evt.name:"Datadog Agent" @action:created
Agent flare createdDatadog Agent flare is created for support tickets.@evt.name:"Datadog Agent" @action:created @asset.type:agent_flare
Agent configuration updatedA Datadog Agent configuration was updated.@evt.name:"Datadog Agent" @action:modified

API リクエストイベント

名前監査イベントの説明監査エクスプローラーのクエリ
API RequestDatadog プラットフォーム上で API リクエストが行われた。@evt.name:Request @action:accessed

Application Performance Monitoring (APM) イベント

名前監査イベントの説明監査エクスプローラーのクエリ
Retention filterA user created, modified, or deleted a retention filter and the previous and/or new values for the retention filter configuration.@evt.name:APM @asset.type:retention_filter
Span-based metricA user created, modified, or deleted a span-based metric and the previous and/or new values for the metric configuration.@evt.name:APM @asset.type:custom_metrics
ファセットA user created, modified, or deleted a facet and the previous and/or new values for the facet configuration.@evt.name:APM @asset.type:facet
Primary operation nameA user created, modified, or deleted the primary operation name of a service and the previous and/or new values for the configuration.@evt.name:APM @asset.type:service_operation_name
Second Primary tagA user added, modified, or deleted the second primary tag and the previous and/or new values for the configuration.@evt.name:APM @asset.type:second_primary_tag
Sampling rates remotely configuredユーザーがリモートで APM のサンプリングレートを構成した。@evt.name:APM @asset.type:samplerconfig

Application Security Management

NameDescription of audit eventQuery in audit explorer
One-click ActivationA user activated or de-activated ASM on a service.@evt.name:"Application Security" @asset.type:compatible_services
ProtectionA user enabled or disabled the ASM protection.@evt.name:"Application Security" @asset.type:blocking_configuration
DenylistA user blocked, unblocked, or extended the blocking duration of an IP address or a user ID.@evt.name:"Application Security" @asset.type:ip_user_denylist
PasslistA user added, modified, or deleted an entry to the passlist.@evt.name:"Application Security" @asset.type:passlist_entry
In-App WAF PolicyA user created, modified, or deleted an In-App WAF policy.@evt.name:"Application Security" @asset.type:policy_entry
In-App WAF Custom RuleA user validated, created, modified, or deleted an In-App WAF custom rule.@evt.name:"Application Security" @asset.type:waf_custom_rule

監査証跡イベント

名前監査イベントの説明監査エクスプローラーのクエリ
Download as CSVユーザーが監査イベントのリストを CSV でエクスポートする@evt.name:Audit Trail @asset.type:audit_events_csv

認証イベント

名前監査イベントの説明監査エクスプローラーのクエリ
API key (Org settings)API キーが、組織設定ページでアクセス、一覧化、作成、または削除された。@evt.name:Authentication @asset.type:api_key
Application key (Org settings)アプリケーションキーが、組織設定ページでアクセス、一覧化、作成、または削除された。@evt.name:Authentication @asset.type:application_key
Public API key (Org settings)公開 API キーが、組織設定ページでアクセス、一覧化、作成、または削除された。@evt.name:Authentication @asset.type:public_api_key
User loginユーザーが Datadog にログインし、使用された認証方法。@evt.name:Authentication @action:login

CI Visibility イベント

名前監査イベントの説明監査エクスプローラーのクエリ
Repository default branchユーザーがリポジトリのデフォルトブランチを変更した。@evt.name:"CI Visibility" @asset.type:ci_app_repository @action:modified
Test service settingsユーザーがテストサービスの設定を作成または変更した。@evt.name:"CI Visibility" @asset.type:ci_app_test_service_settings (@action:created OR @action:modified)
GitHub account settingsユーザーが GitHub アカウント設定を変更した。@evt.name:"CI Visibility" @asset.type:github_opt_ins (@action:modified OR @action:deleted)
Exclusion filters除外フィルターが変更された。@evt.name:"CI Visibility" @asset.type:ci_app_exclusion_filters @action:modified
Quality gates ruleユーザーが Quality Gates ルールを作成、修正、または削除した。@evt.name:"CI Visibility" @asset.type:ci_app_quality_gates (@action:created OR @action:modified OR @action:deleted)

クラウドセキュリティプラットフォームのイベント

NameDescription of audit eventQuery in audit explorer
CWS agent ruleA user accessed (fetched) a CWS agent rule in the Cloud Security Platform.@evt.name:"Cloud Security Platform" @asset.type:cws_agent_rule @action:accessed
Notification profileA user created, updated, or deleted a notification profile in the Cloud Security Platform.@evt.name:"Cloud Security Platform" @asset.type:notification_profile
Security ruleA user validated, updated, deleted, or created a security rule and the previous and new values for the rule.@evt.name:"Cloud Security Platform" @asset.type:security_rule
Security signalA user modified the state of a signal or assigned the signal to a user, and the previous and new values for the signal.@evt.name:"Cloud Security Platform" @asset.type:security_signal @action:modified
Report subscriptionA user subscribed or unsubscribed from a K9 email report.@evt.name:"Cloud Security Platform" @asset.type:report_subscription

ダッシュボードイベント

名前監査イベントの説明監査エクスプローラーのクエリ
Dashboard createdダッシュボードが作成され、そのダッシュボードの新しい JSON 値。@evt.name:Dashboard @asset.type:dashboard @action:created
Dashboard deletedダッシュボードが削除され、そのダッシュボードの前の JSON 値。@evt.name:Dashboard @asset.type:dashboard @action:deleted
Dashboard embedded (Roadie)A Datadog dashboard is embedded into a third party and a user views the dashboard.@evt.name:Dashboard @asset.type:embed @action:accessed
Dashboard modifiedダッシュボードが変更され、そのダッシュボードの前の JSON 値と新しい JSON 値。@evt.name:Dashboard @asset.type:dashboard @action:modified
Dashboard user(s) addedユーザーがダッシュボードにアクセスできるユーザー ID を追加し、新規ユーザー ID の一覧。@evt.name:Dashboard @asset.type:dashboard_share_acl @action:created
Dashboard user(s) deletedユーザーがダッシュボードにアクセスできるユーザー ID を削除し、削除されたユーザー ID の一覧。@evt.name:Dashboard @asset.type:dashboard_share_acl @action:deleted
Public URL accessed公開されているダッシュボードの URL がアクセスされた。@evt.name:Dashboard @asset.type:dashboard @action:accessed
Public URL generated or deletedダッシュボードを閲覧するための公開 URL が生成または削除された。@evt.name:Dashboard @asset.type:dashboard_share_link

Dynamic Instrumentation events

名前監査イベントの説明監査エクスプローラーのクエリ
Logs ProbeA user has successfully created, modified or deleted a logs probe with Dynamic Instrumentation.@evt.name:"Dynamic Instrumentation" @action:(created OR modified OR deleted) @asset.type:log_probe
Metrics ProbeA user has successfully created, modified or deleted a metrics probe with Dynamic Instrumentation.@evt.name:"Dynamic Instrumentation" @action:(created OR modified OR deleted) @asset.type:span_probe
Spans ProbeA user has successfully created, modified or deleted a spans probe with Dynamic Instrumentation.@evt.name:"Dynamic Instrumentation" @action:(created OR modified OR deleted) @asset.type:metric_probe

Error Tracking events

名前監査イベントの説明監査エクスプローラーのクエリ
Error Tracking for Logs activationA user has enabled or disabled Error Tracking for Logs product.@evt.name:"Error Tracking" @action:(created OR deleted) @asset.type:error_tracking_logs
Create or Modify inclusion filterA user has added or modified an inclusion filter.@evt.name:"Error Tracking" @asset.type:error_tracking_inclusion_filter

インテグレーションイベント

名前監査イベントの説明監査エクスプローラーのクエリ
Resourceインテグレーションにリソース (チャンネル、サービス、Webhook、アカウント、インスタンスなど) が追加、変更、削除されたとき、およびその構成の以前の値と新しい値。@evt.name:Integration @asset.type:integration

ログ管理イベント

名前監査イベントの説明監査エクスプローラーのクエリ
Archive configurationユーザーがアーカイブの構成を作成、変更、または削除し、その構成の以前の値と新しい値。@evt.name:"Log Management" @asset.type:archive
Custom metricユーザーがログのカスタムメトリクスを作成、変更、または削除し、そのカスタムメトリクスの構成の以前の値と新しい値。@evt.name:"Log Management" @asset.type:"custom metric"
Exclusion filter configurationユーザーが除外フィルターの構成を作成、変更、または削除し、その構成の以前の値と新しい値。@evt.name:"Log Management" @asset.type:"exclusion filter"
Facetユーザーがログエクスプローラーでファセットを作成、変更、または削除し、そのファセット構成の以前の値と新しい値。@evt.name:"Log Management" @asset.type:facet
Historical viewユーザーがログの履歴ビューを作成、変更、中止、または削除し、その履歴ビューの構成の以前の値と新しい値。@evt.name:"Log Management" @asset.type:historical_view
Index configurationユーザーがインデックスの構成を作成、変更、または削除し、その構成の以前の値と新しい値。@evt.name:"Log Management" @asset.type:index
Log pipelineユーザーがログパイプラインまたはネストされたパイプラインを作成、変更、または削除し、その構成の以前の値と新しい値。@evt.name:"Log Management" @asset.type:pipeline
Processorユーザーがパイプライン内のプロセッサーを作成、変更、または削除し、その構成の以前の値と新しい値。@evt.name:"Log Management" @asset.type:pipeline_processor
Query (Public Beta)ユーザーがログエクスプローラー、ダッシュボード、または公開 API を介してログ管理リストクエリを実行した。@evt.name:"Log Management" @asset.type:logs_query
Restriction query configurationユーザーがログの制限クエリの構成を作成、変更、または削除し、その構成の以前の値と新しい値。@evt.name:"Log Management" @asset.type:restriction_query
Standard attribute configurationユーザーがログの標準属性の構成を作成、変更、または削除し、その構成の以前の値と新しい値。@evt.name:"Log Management" @asset.type:standard_attribute
Download as CSVユーザーがログのリストを CSV でエクスポートする@evt.name:"Log Management" @asset.type:logs_csv

メトリクスイベント

名前監査イベントの説明監査エクスプローラーのクエリ
Custom metric createdユーザーがカスタムメトリクスを作成し、そのカスタムメトリクス構成の新しい値。@evt.name:Metrics @asset.type:metric @action:created
Custom metric deletedユーザーがカスタムメトリクスを削除し、そのカスタムメトリクス構成の以前の値。@evt.name:Metrics @asset.type:metric @action:deleted
Custom metric modifiedユーザーがカスタムメトリクスを変更し、そのカスタムメトリクス構成の以前の値と新しい値。@evt.name:Metrics @asset.type:metric @action:modified

モニターイベント

名前監査イベントの説明監査エクスプローラーのクエリ
Monitor createdモニターが作成され、そのモニターの新しい JSON 値。@evt.name:Monitor @asset.type:monitor @action:created
Monitor deletedモニターが削除され、そのモニターの前の JSON 値。@evt.name:Monitor @asset.type:monitor @action:deleted
Monitor modifiedモニターが変更され、そのモニターの前の JSON 値と新しい JSON 値。@evt.name:Monitor @asset.type:monitor @action:modified
Monitor resolvedモニターが解決された。@evt.name:Monitor @asset.type:monitor @action:resolved

ノートブックイベント

名前監査イベントの説明監査エクスプローラーのクエリ
Notebook createdノートブックが作成され、そのノートブックの新しい JSON 値。@evt.name:Notebook @asset.type:notebook @action:created
Notebook deletedノートブックが削除され、そのノートブックの前の JSON 値。@evt.name:Notebook @asset.type:notebook @action:deleted
Notebook modifiedノートブックが変更され、そのノートブックの前の JSON 値と新しい JSON 値。@evt.name:Notebook @asset.type:notebook @action:modified

OAuth イベント

名前監査イベントの説明監査エクスプローラーのクエリ
OAuth clientユーザーが OAuth クライアントを作成、変更、または削除し、その OAuth クライアントの以前の値と新しい値。@evt.name:OAuth @asset.type:oauth_client

組織管理イベント

名前監査イベントの説明監査エクスプローラーのクエリ
Audit Trail settingsユーザーが監査証跡設定を変更し、変更前と変更後の設定内容。@evt.name:"Organization Management" @asset.type:audit_logs_settings
Child org createdユーザーが既存の Datadog 組織に新しい子組織を作成した。@evt.name:"Organization Management" @asset.type:organization @action:created

リアルユーザーモニタリングイベント

名前監査イベントの説明監査エクスプローラーのクエリ
RUM application createdユーザーが RUM でアプリケーションを作成または削除し、そのアプリケーションの種類 (Browser、Flutter、iOS、React Native、Android)。@evt.name:"Real User Monitoring" @asset.type:real_user_monitoring_application @action:(created OR deleted)
RUM application modifiedユーザーが RUM でアプリケーションを変更し、そのアプリケーションの新しい値、およびアプリケーションの種類 (Browser、Flutter、iOS、React Native、Android)。@evt.name:"Real User Monitoring" @asset.type:real_user_monitoring_application @action:modified
Session replay viewedA user viewed a session replay.@evt.name:"Real User Monitoring" @asset.type:session_replay @action:accessed

セキュリティ通知イベント

名前監査イベントの説明監査エクスプローラーのクエリ
Token leakedDatadog は、失効させるべき Datadog API またはアプリケーションキーのリークを検出しました。@evt.name:"Security Notification" @asset.type:(api_key OR application_key) @action:notification
Login method overrideDatadog は、組織に設定されたデフォルトのログイン方法とは異なる、ユーザーのログイン方法のオーバーライドを検出しました。@evt.name:"Security Notification" @asset.type:user @action:notification
Unusual loginDatadog が異常なログインイベントを検出した。@evt.name:"Security Notification" @asset.type:unusual_login @action:notification
User invited with throwaway emailDatadog has detected that a user with an email from a free or disposable email provider was invited to the organization.@evt.name:"Security Notification" @asset.type:user_invite @action:notification

機密データスキャナーイベント

名前監査イベントの説明監査エクスプローラーのクエリ
Scanning groupユーザーが機密データスキャナーのスキャングループを作成、変更、または削除し、その構成の以前の値と新しい値。@evt.name:"Sensitive Data Scanner" @asset.type:sensitive_data_scanner_scanning_group
Scanning ruleユーザーが機密データスキャナーのスキャングループ内のスキャンルールを作成、変更、または削除し、その構成の以前の値と新しい値。@evt.name:"Sensitive Data Scanner" @asset.type:sensitive_data_scanner_scanning_rule

サービスレベル目標 (SLO) イベント

名前監査イベントの説明監査エクスプローラーのクエリ
SLOユーザーが SLO を作成、変更、または削除し、その SLO の以前の値と新しい値。@evt.name:SLO @asset.type:slo
SLO correctionユーザーが SLO 補正を作成、変更、または削除し、その SLO 補正の以前の値と新しい値。@evt.name:SLO @asset.type:slo_correction

Synthetic モニタリングイベント

名前監査イベントの説明監査エクスプローラーのクエリ
Private locationユーザーが Synthetic テスト用のプライベートロケーションを作成または削除した。@evt.name:"Synthetics Monitoring" @asset.type:synthetics_private_location
Synthetic test created or deletedユーザーが Synthetic テストを作成または削除した。@evt.name:"Synthetics Monitoring" @asset.type:synthetics_test @action:(created OR deleted)
Synthetic test modifiedユーザーが Synthetic テストを修正し、その構成の以前の値と新しい値。@evt.name:"Synthetics Monitoring" @asset.type:synthetics_test @action:modified
Synthetic variableユーザーが Synthetic 変数を作成、変更、または削除した。@evt.name:"Synthetics Monitoring" @asset.type:synthetics_variable
Synthetic settingsユーザーが Synthetic 設定 (クォータ、PL アクセス) を変更し、変更前と変更後の設定値。@evt.name:"Synthetics Monitoring" @asset.type:synthetics_settings @action:modified

リファレンステーブルのイベント

名前監査イベントの説明監査エクスプローラーのクエリ
Reference Tableユーザーがリファレンステーブルを作成、削除、または変更した。@evt.name:"Reference Tables" @asset.type:reference_table @action:(created OR deleted OR modified)
Reference Table Fileユーザーがクラウドプロバイダーにファイルをアップロードまたはインポートして、リファレンステーブルを作成した。@evt.name:"Reference Tables" @asset.type:reference_table_file @action:(uploaded OR imported)

Teams Management events

名前監査イベントの説明監査エクスプローラーのクエリ
Teams ManagementA user created, deleted, or modified a team or team association.@evt.name:"Teams Management" @action:(created OR deleted OR modified)

ワークフローイベント

名前監査イベントの説明監査エクスプローラーのクエリ
Workflowユーザーがワークフローを作成、削除、修正した、またはワークフローが実行された。@evt.name:"Workflows" @asset.type:workflow @action:(created OR deleted OR modified OR executed)
Workflow Scheduleユーザーがワークフローのスケジュールを作成、削除、または変更した。@evt.name:"Workflows" @asset.type:workflow_schedule @action:(created OR deleted OR modified)
Workflow Actionワークフローの実行中に、ユーザーが Slack のプロンプトに応答した。@evt.name:"Workflows" @asset.type:workflow_action @action:(responded)
Custom Connectionユーザが接続を作成、削除、または変更した。@evt.name:"Custom Connections" @asset.type:custom_connection @action:(created OR deleted OR modified)

その他の参考資料

お役に立つドキュメント、リンクや記事:

監査証跡についてドキュメント more more
PREVIEWING: evan.li/clarify-agentless