本日はTreasure Data CDP導入初期のお客様に向けた、「Premium Audit Log」の活用についてご紹介をさせて頂きます。
Audit Logとは
まずは、「Audit Log=監査ログ」ですが、Account単位でTreasure Data CDPの操作履歴ログを確認できるものとなり、現在、ご契約プランに応じて「Standard Audit Log」と「Premium Audit Log」の2種類を提供しております。
「Standard Audit Log」については、直近24時間以内の特定の操作履歴を確認頂けるもので、簡易的なものとなります。所謂、監査ログ的に利用する場合は「Premium Audit Log」をご利用頂き、「Premium Audit Log」利用開始以降の操作履歴ログを、Treasure Data CDP内に作成される監査ログ用のDB/Tableにてご確認頂けます。
「Premium Audit Log」の格納DB/Table
「Premium Audit Log」の格納データ
以上、「Premium Audit Log」がどのようなものかをご説明させていただきましたが、本題であるどのような活用があるかについてご紹介させていただきます。
「Premium Audit Log」データの活用
「Premium Audit Log」データの活用ですが、Account毎にTreasure Data CDPへの操作履歴の各種イベントが生データとして蓄積されているので、監査ログとして、事故等が発生したタイミングにてログを確認する使い方はありますが、上記以外にも、以前こちらの記事にて紹介された「Premium Audit Log」データに対してQueryにて集計を行いTreasure Data CDPの利用状況を可視化、把握するという活用もあります。
今回、ご紹介するユースケースは、「個々のAccountが想定外の操作を行なった事をすぐに把握したい/リアルタイムに把握したい」という事に対応する方法となります。
Treasure Data CDPでは、Accountのユーザー権限(Owner/Administrators/Restricted Users)によって機能の制限があり、また「Policy Based Permission」機能を利用し、より柔軟で効率的な権限管理を行っていただく事も可能ですが、Administrators権限は幅広い操作が可能であり、「Policy Based Permission」機能が無い、まだ「Policy Based Permission」機能で意図した制御が出来ないというケースはあるかと思います。そのような場合に、「Premium Audit Log」データと「Treasure Workflow」機能を使う事、対応を行う事が可能となります。
例えば、特定のDB/TABLEに対してQueryを実施した場合に、アラートメールを特定アドレスに送信する
整理を行う要素としては、下記2つのステップとなります。
STEP1
「Premium Audit Log」データを対象として、どのようなEventの発生を把握したいかを整理。
※「Premium Audit Log」にて補足可能なEventを元に検討
STEP2
「Treasure Workflow」機能を利用して、監査ログに対して
- Queryを発行しEventを検知
- Eventを検知し、どのようなアクションを行うかを設定。
例:特定アドレスにメール送信/Slackに通知を送る/Eventデータを別Tableに書き出す等
上記2つのSTEP及び要素を検討、整理を行う事で、「個々のAccountが想定外の操作を行なった事をすぐに把握したい/リアルタイムに把握したい」を実現する事が可能となります。「Premium Audit Log」のEvent項目については随時、取得可能なEvent項目の追加対応を行っており、具体的にどのようなEventを検知出来るか、また「Treasure Workflow」を利用したQuery及びアクションの設定方法のサンプル等については、担当のCS/SEにご相談を頂ければと思います。
以上、概要となりましたが「Premium Audit Log」データの活用について、Treasure Data CDP導入初期のユーザー様向けにご説明させて頂きました。
