目次

監査ログでイベントを確認する

Trend Micro Cloud One は、管理およびアカウント関連のイベントをログに記録します。これらのイベントは、 Trend Micro Cloud Oneの Audit Log ページで確認できます。イベントには次のものがあります。

  • アカウントの作成とアップデート
  • APIキーの作成、アップデート、および削除
  • ユーザの招待の作成とアップデート
  • ユーザのアップデートと削除

Trend Micro Cloud One は、これらの監査イベントを1年間保持します。保持期間を延長する必要がある場合は、監査ログAPIを使用してこれらのイベントを外部ストレージシステムに保存することを検討してください。

イベントを表示するには

  1. Trend Micro Cloud One コンソールのメインページで、[ Audit Log]を選択します。
  2. イベントのリストが表示されます。イベントをクリックすると、次のようなイベントの詳細が表示されます。

  3. Time:イベントのタイムスタンプ(UTC時間)

  4. イベント:イベントの説明
  5. Principal URN:使用可能な場合は、イベントに関連するオブジェクト(ユーザや招待状など)のURN
  6. イベントID:特定のイベントの一意の識別子。イベントごとに一意の値が生成されます。
  7. Type:イベントの種類の一意の識別子
  8. アカウントID:イベントが発生した Cloud One アカウントのアカウントID
  9. Details:イベントに関する追加の詳細

監査イベントのリスト

イベント イベントの種類 説明
アカウントが作成されました audit.account_created.v1
アカウントが変更されました audit.account_updated.v1
ApiKeyの作成 audit.apiKey_created.v1
ApiKeyの変更 audit.apiKey_updated.v1
ApiKeyが削除されました audit.apiKey_deleted.v1
招待状が作成されました audit.invitation_created.v1
招待状が変更されました audit.invitation_updated.v1
作成された役割 audit.role_created.v1
役割の変更 audit.role_updated.v1
ユーザ変更 audit.user_updated.v1
ユーザの削除 audit.user_deleted.v1
ユーザがログインしました audit.user-signed-in.v1 認証トークンが作成されました。
ユーザがログアウトしました audit.user-signed-out.v1 認証トークンが取り消されました。この問題は、 Trend Micro Cloud Oneからログアウトした場合、アカウントを切り替えた場合、またはセッションがタイムアウトになった場合に発生します。

APIガイド

前提条件

次のものが必要です。

  • Cloud One アカウントのリージョン
  • 有効なAPIキー(このガイド取得する)
  • アプローチ1を使用している場合は、Pythonをインストールします。

方法1:事前に作成されたPythonスクリプトを使用する

  1. AuditLogs.py という新しいPythonファイルを作成します。
  2. 以下のコードをコピーしてください

    import requests
    import json
    import time
    
    # Configuration
    
    ###################################################
    region = "us-1" # Options: us-1
    key = "Enter your API key" # Cloud One API key
    ###################################################
    
    logs = []
    
    url = "https://audit." + region + ".cloudone.trendmicro.com/api/logs?limit=25"
    extra = ""
    headers = {"Api-Version": "v1", "Authorization": "ApiKey " + key,}
    
    while True:
        r = requests.get(url + extra, headers=headers)
    
    
        if r.status_code == 429:
            time.sleep(0.5)
            r = requests.get(url + extra, headers=headers)
            if r.status_code == 429:
                time.sleep(1)
                r = requests.get(url + extra, headers=headers)
                if r.status_code == 429:
                    time.sleep(2)
                    r = requests.get(url + extra, headers=headers)
    
        if r.status_code == 200:
            responseObject = r.json()
            logs += responseObject["logs"]
        else:
            print("Failed to get the audit logs")
            print(r.text)
            break
    
        try:
            next = responseObject["next"]
            extra = "&cursor=" + next
        except KeyError:
            break
    
    with open("AuditLogs.json", "w") as file:
        json.dump(logs, file)
    
  3. regionkey の正しい設定を入力します。

  4. このPythonファイルを作成したフォルダで、次のコマンドを実行します。

    python AuditLogs.py
  5. AuditLogs.jsonという名前のファイルが作成され、すべての監査ログが含まれているはずです。

方法2:curlコマンドを使用する

  1. ターミナルを開く
  2. 次のコマンドを入力して、要求の詳細を保存します。

    • region=<your region>

      選択するリージョン: us-1

    • key=<your API key>

      有効なAPIキー。(を参照してください。このガイド取得する)

    • file=<your file path>

      監査ログを保存する完全なファイルパス。推奨される形式は次のとおりです。 .json

  3. これをターミナルにコピーして、最初のcurlコマンドを作成します。

    curl -X GET -H "Api-Version: v1" -H "Authorization: ApiKey $key" "https://audit.$region.cloudone.trendmicro.com/api/logs?limit=25" > $file
  4. 手順2で指定したファイルを見つけて開き、監査ログを表示します。

ページ区切りに関する情報

  • 監査APIエンドポイントに対してAPI呼び出しを行うたびに、最大25件の監査ログのページのみが取得されます。次のページの監査ログを取得するには、次の手順に従います。
  • 最後のページを受信したことを確認する方法次のページが存在する場合は、応答に next パラメータが表示されます。次のページがない場合は失われます。

次のページを取得する

  1. 前の応答で next 属性を探します。 nextが見つかりません。それ以上ページがないことを意味します。
  2. 次の要求のために新しい値を保存します。他のページの監査ログを上書きしないようにファイルを変更することをお勧めします。

    • cursor=<your cursor>

      前の応答の next 属性の値。

    • file=<your file>

      監査ログを保存するファイル名。

  3. これをターミナルにコピーして、別のcurlコマンドを作成します。

    curl -X GET -H "Api-Version: v1" -H "Authorization: ApiKey $key" "https://audit.$region.cloudone.trendmicro.com/api/logs?limit=25&cursor=$cursor" > $file
  4. 必要に応じて繰り返します。