メインコンテンツへスキップ
W&B 監査ログを使用すると、組織内のユーザーアクティビティをトラッキングし、エンタープライズ ガバナンス要件への準拠に役立てることができます。このページは、W&B の各デプロイメントタイプで監査ログデータにアクセスし、取得して分析する必要がある組織レベルの管理者向けです。監査ログは JSON 形式で利用できます。監査ログスキーマ を参照してください。 監査ログへのアクセス方法は、W&B プラットフォームのデプロイメントタイプによって異なります。 監査ログを取得した後は、PandasAmazon RedshiftGoogle BigQueryMicrosoft Fabric などのツールで分析できます。一部の監査ログ分析ツールは JSON をサポートしていません。分析前に JSON 形式の監査ログを変換するためのガイドラインや要件については、使用する分析ツールのドキュメントを参照してください。 ログ形式の詳細については、監査ログスキーマアクション を参照してください。

監査ログの保持

以下の推奨事項は、組織のガバナンスおよびコンプライアンス上の義務を満たすために監査ログを保持する際に役立ちます。
  • 監査ログを一定期間保持する必要がある場合、W&B では、storage buckets または Audit Logging API を使用して、ログを長期ストレージに定期的に転送することを推奨します。
  • 1996年医療保険の携行性と責任に関する法律 (HIPAA) の適用対象である場合、監査ログは、法令で義務付けられた保持期間が終了するまで、社内外のいかなる関係者も削除または変更できない環境で、少なくとも 6 年間保持する必要があります。BYOB を使用する HIPAA 準拠の専用クラウドインスタンスでは、長期保持用ストレージを含む管理対象ストレージに対するガードレールを設定する必要があります。

監査ログスキーマ

各監査ログエントリで返されるフィールドを解釈するには、このスキーマを使用してください。この表は、監査ログのエントリに含まれる可能性があるすべてのキーを、アルファベット順に示しています。アクションや状況によっては、個々のログエントリに含まれるのは、これらのフィールドの一部だけの場合があります。

個人を特定できる情報 (PII)

メールアドレスや プロジェクト、Teams、Reports の名前などの個人を特定できる情報 (PII) は、API endpoint オプションでのみ利用できます:

始める前に

監査ログを取得する前に、デプロイメントタイプに応じて次の前提条件を満たしていることを確認してください。
  • 組織レベルの管理者は監査ログを取得できます。403 エラーが返される場合は、ご自身またはサービスアカウントに十分な権限があることを確認してください。
  • Multi-tenant Cloud: 複数の Multi-tenant Cloud 組織に所属している場合、監査ログ API 呼び出しの送信先を決定する Default API organization必ず 設定する必要があります。設定しないと、次のエラーが表示されます。
    デフォルトの API 組織を指定するには、次の手順を実行します。
    1. プロフィール画像をクリックし、User Settings をクリックします。
    2. Default API organization で、組織を選択します。
    これは、1 つの Multi-tenant Cloud 組織にしか所属できないサービスアカウントには適用されません。

監査ログを取得する

W&B Audit Logging API から監査ログを取得するには、次の手順に従います。この手順を完了すると、任意のツールで分析できる改行区切りの JSON オブジェクト一式が得られます。
  1. ご利用のインスタンスに対応する正しい API endpoint を確認します。 以下の手順では、[API-ENDPOINT] を実際の API endpoint に置き換えてください。
  2. 任意: エンドポイントに追加するクエリパラメーターを作成します。以下の手順では、[PARAMETERS] をその結果の文字列に置き換えてください。
    • anonymize: URL に anonymize=true パラメーターが含まれている場合は、PII を削除します。含まれていない場合は、PII も含まれます。監査ログ取得時に PII を除外する を参照してください。Multi-tenant Cloud では、PII を含むすべてのフィールドが含まれるため、サポートされていません。
    • numDaysstartDate を組み合わせて、取得するログの日付範囲を設定します。各パラメーターは任意で、相互に影響します。
      • どちらのパラメーターも含まれない場合は、当日のログのみが取得されます。
      • numDays: startDate からさかのぼって何日分のログを取得するかを示す整数です。省略した場合、または 0 に設定した場合は、startDate のログのみが取得されます。Multi-tenant Cloud では、numDays にそれより大きい値を設定しても、取得できる監査ログは最大 7 日分です。
      • startDate: 任意です。startDate=YYYY-MM-DD を使用して、範囲内の最新の暦日を設定します。省略した場合、または当日の日付に設定した場合、範囲は当日で終わり、numDays はその日からさかのぼって数えられます。
        • Multi-tenant Cloud では、Enterprise ライセンスがある場合にのみサポートされます。
        • 専用クラウド および セルフマネージド v0.80.0 以降でサポートされます。
  3. [API-ENDPOINT]?[PARAMETERS] の形式で完全修飾エンドポイント URL を作成します。
  4. Web ブラウザーまたは PostmanHTTPie、cURL などのツールを使用して、完全修飾 API endpoint に HTTP GET リクエストを送信します。
API レスポンスには、改行区切りの JSON オブジェクトが含まれます。これらのオブジェクトには、監査ログがインスタンスレベルのバケットに同期される場合と同様に、スキーマ に記載されたフィールドが含まれます。その場合、監査ログはバケット内の /wandb-audit-logs ディレクトリーに保存されます。

基本認証を使用する

監査ログ API への各リクエストは認証する必要があります。APIキーを使用して基本認証で 監査ログ API にアクセスするには、HTTP リクエストの Authorization ヘッダーに、文字列 Basic、半角スペース 1 つ、続けて [USERNAME]:[API-KEY] 形式の文字列をbase64エンコードした値を設定します。つまり、usernameAPI-KEY: で区切った実際の値に置き換え、その結果をbase64エンコードします。たとえば、demo:p@55w0rd として認証する場合、ヘッダーを Authorization: Basic ZGVtbzpwQDU1dzByZA== に設定します。

監査ログ取得時に PII を除外する

セルフマネージド専用クラウド では、W&B の組織またはインスタンス管理者は、監査ログの取得時に PII を除外できます。Multi-tenant Cloud では、API endpoint は常に PII を含む監査ログの関連フィールドを返します。これは設定できません。 PII を除外するには、URL パラメーター anonymize=true を指定します。たとえば、過去 1 週間のユーザーアクティビティに関する監査ログを取得し、PII を除外するには、W&B インスタンスの URL が https://mycompany.wandb.io の場合、次のような API endpoint を使用します。

アクション

各監査ログのエントリには、以下のいずれかのアクションが記録されます。ログエントリの action フィールドを解釈する際は、このリファレンスを参照してください。この表では、W&B が記録できるアクションをアルファベット順に示します。 1: Multi-tenant Cloud では、次の対象については 監査ログ は収集されません。
  • Open または Public のプロジェクト。
  • report:read アクション。
  • 特定の組織に紐付いていない User アクション。