監査ログでイベントを確認する

ビュー:

Trend Cloud Oneは、管理イベントおよびアカウント関連のイベントをログに記録します。これらのイベントは、Trend Cloud Oneの[監査ログ] 画面で確認できます。イベントには次のものがあります。

アカウントの作成とアップデート
APIキーの作成、アップデート、および削除
ユーザの招待の作成とアップデート
ユーザのアップデートと削除

Trend Cloud Oneでは、これらの監査イベントが1年間保持されます。より長い保存期間が必要な場合は、Audit Log APIを使用して、これらのイベントを外部ストレージシステムに保存することを検討してください。

イベントを表示するには

手順

Trend Cloud Oneのメイン画面で、[監査ログ] を選択します。
イベントのリストが表示されます。イベントをクリックすると、次のような詳細が表示されます。
- [日時]: イベントのタイムスタンプ (UTC時間)
- [イベント]: イベントの説明
- [プリンシパルURN]: 使用可能な場合は、イベントに関連するオブジェクト (ユーザや招待状など) のURN
- [イベントID]: 特定のイベントの一意の識別子。イベントごとに一意の値が生成されます。
- [種類]: イベントの種類の一意の識別子
- [アカウントID]: イベントが発生したTrend Cloud OneアカウントのアカウントID
- [詳細]: イベントに関する追加の詳細

監査イベントのリスト

イベント	イベントの種類	説明
アカウントが作成されました	audit.account_created.v1
アカウントが変更されました	audit.account_updated.v1
ApiKeyの作成	audit.apiKey_created.v1
ApiKeyの変更	audit.apiKey_updated.v1
ApiKeyが削除されました	audit.apiKey_deleted.v1
招待状が作成されました	audit.invitation_created.v1
招待状が変更されました	audit.invitation_updated.v1
作成された役割	audit.role_created.v1
役割の変更	audit.role_updated.v1
ユーザ変更	audit.user_updated.v1
ユーザの削除	audit.user_deleted.v1
ユーザがログインしました	audit.user-signed-in.v1	認証トークンが作成されました。
ユーザがログアウトしました	audit.user-signed-out.v1	認証トークンが取り消されました。この問題は、 Trend Micro Cloud Oneからログアウトした場合、アカウントを切り替えた場合、またはセッションがタイムアウトになった場合に発生します。

APIガイド

前提条件

次のものが必要です。

Trend Cloud Oneアカウントの地域です。
有効なAPIキー (取得方法についてはこのガイドを参照してください)。
アプローチ1を使用している場合はPythonがインストールされます。

[Approach 1: using a premade Python script]

手順

AuditLogs.pyという新しいPythonファイルを作成します。

次のコードをコピーします。

import requests
import json
import time

# Configuration

###################################################
region = "us-1" # Options: us-1
key = "Enter your API key" # Cloud One API key
###################################################

logs = []

url = "https://audit." + region + ".cloudone.trendmicro.com/api/logs?limit=25"
extra = ""
headers = {"Api-Version": "v1", "Authorization": "ApiKey " + key,}

while True:
    r = requests.get(url + extra, headers=headers)
    
    
    if r.status_code == 429:
        time.sleep(0.5)
        r = requests.get(url + extra, headers=headers)
        if r.status_code == 429:
            time.sleep(1)
            r = requests.get(url + extra, headers=headers)
            if r.status_code == 429:
                time.sleep(2)
                r = requests.get(url + extra, headers=headers)
                
    if r.status_code == 200:
        responseObject = r.json()
        logs += responseObject["logs"]
    else:
        print("Failed to get the audit logs")
        print(r.text)
        break
        
    try:
        next = responseObject["next"]
        extra = "&cursor=" + next
    except KeyError:
        break
        
with open("AuditLogs.json", "w") as file:
    json.dump(logs, file)

region および keyの正しい設定を入力します。
このPythonファイルを作成したのと同じフォルダで、次のコマンドを実行します。
```
python AuditLogs.py
```
すべての監査ログを含む AuditLogs.json という名前のファイルが作成されているはずです。

[Approach 2: using a curl command]

手順

端末を開きます。
次のコマンドを入力して、要求の詳細を保存します。
- region=<your region>
  
  選択するリージョン: us-1
- key=<your API key>
  
  有効なAPIキー。(取得方法についてはこのガイドを参照してください)
- file=<your file path>
  
  監査ログを保存する完全なファイルパスです。推奨される形式は .jsonです。
次のコマンドを端末にコピーして、最初のcurlコマンドを作成します。
curl -X GET -H "Api-Version: v1" -H "Authorization: ApiKey $key" "https://audit.$region.cloudone.trendmicro.com/api/logs?limit=25" > $file
手順2で指定したファイルを検索して開き、監査ログを確認します。

ページネーションについて

監査APIエンドポイントに対してAPI呼び出しを行うたびに、最大25件の監査ログのページのみが取得されます。次のページの監査ログを取得するには、次のページの取得の手順に従ってください。
最後のページを受信したことを確認する方法次のページが存在する場合は、応答に next パラメータが表示されます。次のページがない場合は失われます。

次のページを取得する

手順

前の応答で next 属性を検索します。 nextが見つからない場合は、これ以上ページがないことを意味します。
次の要求のために新しい値を保存します。他のページの監査ログが上書きされないように、ファイルを変更することをお勧めします。
- cursor=<your cursor>
  
  前の応答の next 属性の値。
- file=<your file>
  
  監査ログを保存するファイルの名前。
次のコマンドを端末にコピーして、別のcurlコマンドを作成します。
curl -X GET -H "Api-Version: v1" -H "Authorization: ApiKey $key" "https://audit.$region.cloudone.trendmicro.com/api/logs?limit=25&cursor=$cursor" > $file
必要に応じて繰り返します。