ADVERTISEMENT

【Slack】監査ログの検索が会社PCで進まない時の監査ログで原因を追う方法

【Slack】監査ログの検索が会社PCで進まない時の監査ログで原因を追う方法
🛡️ 超解決

Slackの監査ログ検索が会社PCで異常に遅くなると、セキュリティインシデントの調査やコンプライアンス対応に支障をきたします。検索操作自体が進まない場合、その原因を突き止めるために監査ログそのものを活用する方法があります。本記事では、監査ログ検索のパフォーマンス低下を切り分け、監査ログのイベントから根本原因を特定する具体的な手順を解説します。会社のIT管理者と連携するための情報整理にも役立ててください。

【要点】この記事で確認すること

  • 最初に見る場所: 管理者コンソールの監査ログ画面で、検索条件(日付範囲、フィルター)を最小限に絞り、応答速度を確認します。
  • 切り分けの軸: ブラウザやネットワークのクライアント側の問題か、Slackサーバー側の負荷やレート制限か、あるいは権限設定に起因するかを見極めます。
  • 注意点: 会社PCでブラウザのセキュリティ設定を緩めたり、個人用VPNを使用すると会社のポリシー違反になる可能性があります。必ず管理者へ確認してから対処してください。

ADVERTISEMENT

監査ログ検索が遅い原因の切り分け

監査ログの検索が進まない原因は、大きく三つに分類できます。それぞれの要因を確認することで、適切な対処が可能になります。

クライアント側の要因

会社PCのブラウザキャッシュが蓄積している、不要な拡張機能が動作している、または社内ネットワークの帯域が不足しているケースです。まずはブラウザのシークレットモードで試すか、別のブラウザ(Edge vs Chrome)で比較すると切り分けやすいです。社内プロキシ設定が影響する場合もあります。

Slack側の要因

監査ログの保存期間(Enterprise Gridでは90日、それ以外のプランでは30日)を超えて検索しようとすると、古いログの取得に時間がかかります。また、SlackのAPIにはレート制限があり、短時間に大量の検索を実行すると制限に達して遅延が発生します。特定のワークスペースに数十万件のイベントが蓄積されている場合も検索が重くなります。

権限・設定による影響

監査ログを検索できるのは、Enterprise GridのOrg OwnerまたはOrg Admin、もしくはワークスペースのOwner/Adminに限られます。権限が不足していると検索結果が制限されたり、一部のイベントが表示されないために、目的のログにたどり着けず検索を繰り返すことになります。カスタムフィールドが多い環境ではフィルター処理が負荷になることもあります。

監査ログを使って検索の遅さを特定する手順

検索が遅い原因を監査ログから突き止めるには、以下の手順を実行します。このプロセスにより、どの操作がボトルネックになっているかをイベントレベルで把握できます。

  1. 管理者コンソール(https://[ワークスペース名].enterprise.slack.com/admin)にログインし、左メニューから「監査ログ」を開きます。
  2. 検索条件を「今日」のみに絞り、何もフィルターをかけずに「検索」をクリックして応答時間を計測します。10秒以上かかる場合は何らかの異常があります。
  3. 次に「過去30日間」に拡大して同様に検索し、応答時間がどの程度増加するかを記録します。
  4. 検索が完了したら、結果の中から「event.type: search.messages」や「event.type: search.files」などの検索関連イベントを探します。これらのイベントのtimestampを確認し、自身の検索操作と照合します。
  5. もし特定のユーザーが短時間に大量の検索(例: 1分間に10回以上)を実行しているイベントがあれば、その行動がレート制限を引き起こしていないか確認します。
  6. さらに「event.type: api.rate_limit」のイベントがないか監査ログ内を検索します。このイベントが存在する場合、Slack APIのレート制限に達したことが原因です。
  7. 最後に、検索がタイムアウトした時刻付近のエラーイベント(event.type: api.error)を抽出し、error_messageフィールドを確認します。例えば「rate_limited」や「timeout_expired」が記録されていれば、Slack側の問題と断定できます。

実際の監査ログイベントと解釈方法

監査ログに記録される主なイベントタイプと、検索パフォーマンス低下の手がかりになるポイントを表にまとめました。

イベントタイプ 説明 パフォーマンス低下の兆候
search.messages メッセージ検索が実行されたことを示します。 同じユーザーが短期間に連続してこのイベントを発生させている場合、検索が遅すぎて何度も試行している可能性があります。
api.rate_limit APIレート制限に達したことを記録します。 このイベントが検索操作の前後にあれば、レート制限が原因で検索が遅延していると断定できます。
api.error API呼び出しでエラーが発生したことを示します。 error_messageに「timeout」や「rate_limited」が含まれているかを確認します。
admin.audit_log_export 監査ログのエクスポート操作を記録します。 この操作が頻発している場合、管理者が大量のデータを処理しようとして負荷が高まっている可能性があります。

検索が遅い時に確認すべき失敗パターン

多くの会社員が陥る失敗パターンを把握しておくことで、無駄な調査時間を削減できます。

  • 日付範囲を「全期間」に設定する: 保存期間外のデータまで検索しようとするため、タイムアウトや応答遅延が発生します。必ず日付を指定してください。
  • ワイルドカードや部分一致を多用する: 「*error*」のような検索はインデックスをうまく利用できず、全件スキャンに近い処理が走ります。可能な限り完全一致に近いクエリを使ってください。
  • フィルターを何も設定せずに検索する: 全イベントを取得しようとすると大量のデータ転送が発生し、ブラウザがフリーズします。ユーザー、アクション、日付など最低限の絞り込みを行いましょう。
  • 古いブラウザや互換モードで操作する: Internet Explorerや古いEdgeでは監査ログUIが正しく動作せず、検索が遅くなる原因になります。最新のChromeまたはFirefoxを使用してください。
  • Slackデスクトップアプリの監査ログ機能を使う: デスクトップアプリの監査ログビューアはブラウザ版に比べて遅い場合があります。ブラウザから管理者コンソールにアクセスするほうが安定します。

管理者に伝えるべき情報のまとめ方

監査ログ検索の遅延が解決しない場合、Slackのカスタマーサポートに問い合わせることになります。その際に必要な情報を整理しておきましょう。

  • 発生日時と再現手順: 検索が遅くなった正確な時刻(UTC推奨)、使用したブラウザとバージョン、実行した検索クエリの内容。
  • 監査ログのエビデンス: 遅延発生前後の監査ログのスクリーンショット、またはCSVエクスポート(可能なら)。
  • ネットワーク情報: 会社PCのパブリックIPアドレス、プロキシ設定の有無、VPN接続状況。
  • アカウントの権限: 自分のSlackロール(OwnerかAdminか)、所属するワークスペースのプラン(Enterprise Gridかどうか)。
  • ブラウザのコンソールログ: F12キーで開発者ツールを開き、ConsoleタブとNetworkタブの出力を保存します。特に「status 429 Too Many Requests」や「status 503 Service Unavailable」があれば重要です。

よくある質問

Q1. 全期間検索をすると必ず遅くなりますか?

はい。Slackの監査ログ保存期間(Enterprise Gridで最大90日、その他は30日)を超えたデータは存在しませんが、全期間を指定するとシステムが保存期間全てをスキャンしようとするため、負荷が高まります。必ず具体的な日付範囲を指定しましょう。

Q2. 検索結果が0件でタイムアウトしました。何が原因ですか?

タイムアウトが先に発生している可能性があります。監査ログの検索は30秒でタイムアウトします。条件を絞ってもタイムアウトする場合は、Slack側のデータベースに負荷がかかっているか、レート制限に引っかかっています。api.rate_limitイベントを確認してください。

Q3. 一般ユーザーでも自分の監査ログを検索できますか?

いいえ。監査ログの検索は管理者権限(Org Owner、Org Admin、Workspace Owner、Workspace Admin)が必要です。一般ユーザーは自分のアクティビティログを確認することはできません。

Q4. 監査ログ検索を高速化する設定変更はありますか?

Slack側で調整可能な項目はほとんどありません。ただし、Enterprise Gridの管理者であれば、監査ログの保持期間を短く設定することでデータ量を減らせます。また、不要なカスタムフィールドを削除することも効果的です。これらの変更は組織全体に影響するため、上級管理者の承認を得てから行ってください。

Q5. ブラウザのシークレットモードで高速になるのはなぜですか?

シークレットモードでは拡張機能が無効になり、キャッシュがクリアされた状態で動作するためです。もしシークレットモードで改善するなら、何らかの拡張機能(広告ブロッカー、翻訳ツールなど)が干渉している可能性があります。拡張機能を一つずつ無効にして原因を特定してください。

まとめ

監査ログの検索が遅い場合、その原因を特定するために監査ログ自体を活用する方法を解説しました。クライアント側の環境、Slackサーバーの負荷、権限設定の3軸で切り分け、検索条件を適切に絞ることで多くの問題は解決します。それでも改善しない場合は、監査ログイベントからレート制限やエラーを特定し、管理者へ正確な情報を提供しましょう。日頃から検索のベストプラクティスを守ることで、トラブル発生時の初動を速めることができます。


ADVERTISEMENT

この記事の監修者
✍️

超解決 第一編集部

疑問解決ポータル「超解決」の編集チーム。正確な検証と、現場視点での伝わりやすい解説を心がけています。

ADVERTISEMENT