【Slack】監査ログの検索で困った時の通知設定とポリシー確認

Slackの監査ログは、セキュリティ管理やコンプライアンス対応に欠かせない機能です。しかし、実際に検索しようとすると「ログが表示されない」「必要なイベントが探せない」といったトラブルに遭遇することがあります。その原因は、権限設定、通知設定、ポリシーの構成など多岐にわたります。本記事では、監査ログの検索で困った際に、どこを確認すればよいのかを具体的に解説します。通知設定とポリシーの確認手順を中心に、原因の切り分け方や管理者への伝えるべき情報もまとめましたので、ぜひ参考にしてください。

監査ログが検索できない原因を切り分ける

まず、監査ログにアクセスできない、または検索結果が期待通りでない場合の原因を大きく3つに分類します。それぞれの特徴と確認方法を表にまとめました。

原因カテゴリ	具体的事象	確認方法
権限不足	管理画面に「監査ログ」メニューが表示されない	組織設定で自分に「監査ログの表示」権限が付与されているか確認する
ログ保持期間の超過	過去30日より前のログが見つからない	監査ログの保持期間は標準で30日間。長期保存が必要な場合は別途設定
検索フィルターの誤設定	該当するイベントがフィルターで除外されている	フィルターをリセットし、日付範囲やイベントタイプを絞り込みすぎていないか確認する

権限設定の確認手順

1. Slack管理画面(https://[ワークスペース名].enterprise.slack.com/admin)にログインします。
2. 左側メニューから「セキュリティ」→「監査ログ」を選択します。
3. 画面上部に「監査ログを表示する権限がありません」と表示される場合は、自分に権限が不足しています。
4. 権限を確認するには、同じく管理画面の「メンバー」→「メンバー管理」で自分のアカウントを開き、「ロール」が「組織管理者」または「監査ログ管理者」である必要があります。
5. 権限が不足している場合、管理者に連絡して適切なロールを付与してもらってください。

監査ログの通知設定を確認する

監査ログの通知設定は、特定のイベント(例:ログイン失敗、権限変更)が発生した際にSlack内やメールでアラートを受け取るための機能です。しかし、この設定が適切でないと、重要なイベントを見逃したり、逆に過剰な通知に悩まされたりします。通知設定は管理者権限で変更できますが、会社PCで勝手に変更するとセキュリティポリシーに反する場合があるため注意が必要です。

通知設定の確認手順

1. 管理画面左側の「セキュリティ」→「監査ログの設定」を開きます。
2. 「通知」タブをクリックします。
3. 現在有効になっている通知ルールの一覧が表示されます。ルールがない場合は、右側の「通知ルールを追加」ボタンで新規作成できます。
4. 各ルールでは、トリガーとなるイベントタイプ(例:ユーザー削除、APIキー作成)と通知先(Slackチャンネル、メール)を設定します。
5. 設定が意図通りか確認するには、テストイベントを発生させるのが確実です。例えば、自分のパスワードを変更して該当の通知が届くかどうか試してください。

監査ログポリシーを確認する

監査ログポリシーは、より詳細な監査要件を満たすために、カスタムのルールを定義できる機能です。特定のイベントを自動的に記録したり、アラートを発生させたりできます。検索で困る原因として、ポリシーが未設定だったり、ポリシーのスコープが狭すぎたりすることがあります。ポリシーの設定は組織のセキュリティレベルに直結するため、管理者もしくは上位権限者しか操作できません。

ポリシー設定の確認ポイント

• ポリシーの存在確認: 管理画面「セキュリティ」→「監査ログポリシー」で、現在有効なポリシーが一覧表示されます。何も表示されない場合はポリシーが未作成です。
• ポリシーの条件: 各ポリシーには「イベントタイプ」「ユーザー」「ワークスペース」「時間帯」などの条件が設定できます。例えば「深夜0時から6時の間の管理者権限変更」を監視するポリシーを作成できます。
• ポリシーの優先順位: 複数のポリシーが競合した場合、最も制限の厳しいルールが適用されます。意図しないイベントが検索結果に含まれない場合、ポリシーが除外条件として機能している可能性があります。

実際の検索手順と失敗パターン

監査ログの検索画面では、日付、イベントタイプ、ユーザー、IPアドレスなどでフィルタリングできます。しかし、初心者がよく陥る失敗パターンがいくつかあります。ここでは代表的な失敗とその対処法を紹介します。

よくある失敗パターン

• 日付範囲が短すぎる: 「過去1時間」などに設定していると、目的のイベントが範囲外になります。まずは「過去30日間」に設定して結果を確認しましょう。
• イベントタイプの誤選択: 「ファイルのダウンロード」を探しているのに「ファイルのアップロード」を選んでしまうケース。イベントタイプはプルダウンで分類されているので、目的のアクションに合ったカテゴリを選んでください。
• キーワード検索の誤字: 監査ログは部分一致検索に対応していますが、スペルミスや余計なスペースがあるとヒットしません。検索ワードを簡略化して試してみるとよいでしょう。

効率的な検索のコツ

目的のログに素早くたどり着くには、以下の手順を試してください。

1. まずはフィルターを一切使わず、直近のログを全件表示します。これでシステムが正常にログを取得しているか確認できます。
2. 次に、日付範囲を「今日」に絞り込み、その中から目的のイベントがないかざっと見ます。
3. 該当がない場合は、イベントタイプを「すべて」にして再度検索します。特定のイベントが記録されていない可能性もあります。
4. さらに、ユーザー名やIPアドレスが分かっている場合はそれでフィルターをかけます。ただし、ユーザー名はSlackの表示名ではなくユーザーIDであることに注意してください。
5. それでも見つからない場合は、ログの保持期間や権限、ポリシーに問題がある可能性が高いです。管理者に連絡して設定を確認してもらいましょう。

管理者に確認すべき設定項目

自分では解決できない場合、管理者に以下の情報を伝えるとスムーズです。管理者は組織全体の設定を把握しているため、問題の原因を特定しやすくなります。

• 自分のロールと権限: 自分がどのロールを持っているか。組織設定のメンバー一覧から確認できます。
• 検索しようとした条件: いつ、どのようなフィルターで検索したのか。画面キャプチャを添付するとより正確です。
• 発生している問題: 「監査ログがまったく表示されない」「特定のイベントだけ出てこない」「エラーメッセージが表示される」など具体的に伝えてください。
• 期待するログ: どのユーザーがいつ何をしたのか、目的のイベントが何かを明確にします。
• 通知設定やポリシーの変更履歴: 最近管理者が設定を変更したかどうか。変更が原因でログの記録条件が変わった可能性もあります。

よくある質問とトラブルシューティング

Q1: 監査ログがまったく表示されません。

A: まずは自分のロールが「組織管理者」または「監査ログ管理者」であることを確認してください。権限がない場合は管理者に依頼します。また、Enterprise Gridプランでないと監査ログ機能自体が存在しません。プランを確認するには、管理画面の「設定」→「組織の詳細」でプラン情報を確認できます。

Q2: 特定のユーザーのログだけが見つかりません。

A: そのユーザーがワークスペースから削除されていると、古いログも見えなくなる場合があります。検索時に「削除されたユーザー」のチェックボックスをオンにしてみてください。また、ユーザーのアクション自体がポリシーで除外されている可能性も考えられます。

Q3: 通知が届きません。設定してもメールが来ません。

A: 通知先に正しいメールアドレスやSlackチャンネルが設定されているか確認します。特にSlackチャンネルは公開チャンネルである必要があります。また、監査ログの通知は一部のイベントにしか対応していないため、通知したいイベントが対象になっているかポリシーの設定を見直してください。

Q4: 検索結果が多すぎて目的のログが見つかりません。

A: フィルターを活用して絞り込みましょう。日付範囲を特定の日に限定する、イベントタイプを「ログイン」や「権限変更」に絞る、ユーザー名を指定するなどです。また、CSVエクスポート機能を使えば、Excelなどで後からフィルターできます。ただし、大量のデータをエクスポートする際はブラウザのメモリに負荷がかかるため、一度にエクスポートする日数を短くしてください。

まとめ

Slackの監査ログ検索で悩んだ場合は、まず権限、保持期間、フィルターの3点を確認してください。通知設定やポリシーは、管理者にしか変更できないため、問題が解決しない場合は素直に管理者へ連絡しましょう。管理者に伝える際は、自分のロール、検索条件、起こっている現象を整理して伝えると、素早く対応してもらえます。監査ログはセキュリティ監査やトラブルシューティングに不可欠なツールです。適切な設定と運用で、日々の業務に役立ててください。