Après avoir récupéré les journaux d’audit, vous pouvez les analyser avec des outils comme Pandas, Amazon Redshift, Google BigQuery ou Microsoft Fabric. Certains outils d’analyse des journaux d’audit ne prennent pas en charge le format JSON. Reportez-vous à la documentation de votre outil d’analyse pour connaître les recommandations et les exigences relatives à la transformation des journaux d’audit au format JSON avant l’analyse.
Pour plus de détails sur le format des journaux, voir Schéma du journal d’audit et Actions.
Conservation des journaux d’audit
- Si vous devez conserver les journaux d’audit pendant une durée déterminée, W&B recommande de les transférer régulièrement vers un stockage à long terme, soit à l’aide de buckets de stockage, soit via l’API Audit Logging.
- Si vous êtes soumis au Health Insurance Portability and Accountability Act of 1996 (HIPAA), vous devez conserver les journaux d’audit pendant au moins 6 ans dans un environnement où ils ne peuvent être ni supprimés ni modifiés par un acteur interne ou externe avant la fin de la période de conservation obligatoire. Pour les instances Cloud dédié conformes à HIPAA avec BYOB, vous devez configurer des garde-fous pour votre stockage géré, y compris tout stockage de conservation à long terme.
Schéma du journal d’audit
Informations personnelles identifiables (PII)
- Pour Autogéré et Cloud dédié, un administrateur d’organisation peut exclure les PII lors de la récupération des journaux d’audit.
- Pour Cloud mutualisé, le point de terminaison d’API renvoie toujours les champs pertinents pour les journaux d’audit, y compris les PII. Cela n’est pas configurable.
Avant de commencer
-
Les administrateurs de l’organisation peuvent récupérer les journaux d’audit. Si vous recevez une erreur
403, assurez-vous que vous ou votre compte de service disposez des autorisations nécessaires. -
Cloud mutualisé : Si vous êtes membre de plusieurs organisations en Cloud mutualisé, vous devez configurer l’organisation API par défaut, qui détermine vers quelle organisation sont acheminés les appels à l’API des journaux d’audit. Sinon, vous recevrez l’erreur suivante :
Pour définir votre organisation API par défaut :
- Cliquez sur votre image de profil, puis sur Paramètres utilisateur.
- Pour l’organisation API par défaut, sélectionnez une organisation.
Récupérer les journaux d’audit
-
Déterminez le point de terminaison d’API approprié pour votre instance :
- Autogéré:
[WANDB-PLATFORM-URL]/admin/audit_logs - Cloud dédié:
[INSTANCE-NAME].wandb.io/admin/audit_logs - Cloud mutualisé (Enterprise requis):
https://api.wandb.ai/audit_logs
[API-ENDPOINT]par votre point de terminaison d’API. - Autogéré:
-
Facultatif : construisez les paramètres de requête à ajouter à l’point de terminaison. Dans les étapes suivantes, remplacez
[PARAMETERS]par la chaîne obtenue.anonymize: si l’URL inclut le paramètreanonymize=true, W&B supprime toute PII. Sinon, la PII est incluse. Référez-vous à Exclure la PII lors de la récupération des journaux d’audit. Non pris en charge pour le Cloud mutualisé, où tous les champs sont inclus, y compris la PII.- Configurez la plage de dates des journaux à récupérer à l’aide d’une combinaison de
numDaysetstartDate. Chaque paramètre est facultatif, et ils interagissent entre eux.- Si aucun des deux paramètres n’est inclus, seuls les journaux du jour sont récupérés.
numDays: entier indiquant le nombre de jours à remonter à partir destartDatepour récupérer les journaux. S’il est omis ou défini sur0, les journaux ne sont récupérés que pourstartDate. Sur Multi-tenant Cloud, vous pouvez récupérer au maximum 7 jours de journaux d’audit, même si vous définisseznumDayssur une valeur supérieure.startDate: facultatif. UtilisezstartDate=YYYY-MM-DDpour définir le jour calendaire le plus récent de l’intervalle. Si vous l’omettez ou le définissez sur la date du jour, l’intervalle se termine aujourd’hui etnumDayscompte à rebours à partir de ce jour.- Pris en charge dans Multi-tenant Cloud uniquement avec une Enterprise license.
- Pris en charge dans Cloud dédié et Autogéré v0.80.0 et versions ultérieures.
-
Construisez l’URL complète du point de terminaison au format
[API-ENDPOINT]?[PARAMETERS]. -
Exécutez une requête HTTP
GETsur le point de terminaison d’API complet à l’aide d’un navigateur web ou d’un outil comme Postman, HTTPie, ou cURL.
/wandb-audit-logs de votre bucket.
Utiliser l’authentification de base
Authorization de la requête HTTP sur la chaîne Basic, suivie d’un espace, puis de la chaîne encodée en base64 au format [USERNAME]:[API-KEY]. En d’autres termes, remplacez le nom d’utilisateur et la clé API par vos valeurs, séparées par le caractère :, puis encodez le résultat en base64. Par exemple, pour vous authentifier en tant que demo:p@55w0rd, définissez l’en-tête sur Authorization: Basic ZGVtbzpwQDU1dzByZA==.
Exclure les PII lors de la récupération des journaux d’audit
Pour Autogéré et Cloud dédié, un administrateur d’organisation ou d’instance W&B peut exclure les PII lors de la récupération des journaux d’audit. Pour Cloud mutualisé, le point de terminaison d’API renvoie toujours les champs pertinents des journaux d’audit, y compris les PII. Ce comportement n’est pas configurable. Pour exclure les PII, passez le paramètre d’URLanonymize=true. Par exemple, pour obtenir les journaux d’audit de l’activité des utilisateurs sur la dernière semaine tout en excluant les PII, si l’URL de votre instance W&B est https://mycompany.wandb.io, utilisez un point de terminaison d’API comme :
Actions
action dans une entrée de journal. Le tableau suivant décrit les actions que W&B peut enregistrer, classées par ordre alphabétique.
1: Sur Cloud mutualisé, les journaux d’audit ne sont pas collectés pour :
- Les projets Open ou Public.
- L’action
report:read. - Les actions
Usersqui ne sont pas liées à une organisation spécifique.