> ## Documentation Index
> Fetch the complete documentation index at: https://auth0.generaltranslation.app/llms.txt
> Use this file to discover all available pages before exploring further.

# インシデント対応：ログを使う

> インシデント対応計画の一部としてAuth0を使う方法を説明します。

ログをレビューして攻撃の影響を評価することは、インシデント対応計画において重要な手順の1つです。このページでは、<Tooltip data-tooltip-id="react-containers-DefinitionTooltip-0" href="/docs/ja-JP/ja-jp/glossary?term=auth0-dashboard" tip="Auth0 Dashboard: サービスを構成するためのAuth0の主製品。" cta="用語集の表示">Auth0 Dashboard</Tooltip>でどのようにログにアクセスするかを説明し、攻撃の徴候を見つけてアカウントアクティビティをレビューするためのログ検索クエリ例を示します。

<div id="check-auth0-logs">
  ## Auth0ログの確認
</div>

1. [Auth0 Dashboardにログイン](https://manage.auth0.com/#)
2. ［Logs（ログ）］ページは、左側メニューの **［Monitoring（モニタリング）］** の下にあります。
3. ［Logs（ログ）］ページには、フィルターの選択肢と日付ピッカーとともに検索バーが表示されます。

<Frame>
  <img src="https://mintcdn.com/generaltranslationinc/ABlkB6TUYafgJS-z/docs/images/ja-jp/cdy7uua7fh8z/2l9LfKEjrprVmHfWt80VX0/44fb4d1dad15f13ceb21e64d093ebf5c/2025-01-28_15-02-44.png?fit=max&auto=format&n=ABlkB6TUYafgJS-z&q=85&s=5f9e0338ff1c98b69d04ba268ca0aecb" alt="Dashboard - モニタリング - ログ" width="899" height="457" data-path="docs/images/ja-jp/cdy7uua7fh8z/2l9LfKEjrprVmHfWt80VX0/44fb4d1dad15f13ceb21e64d093ebf5c/2025-01-28_15-02-44.png" />
</Frame>

一覧からログイベントを選択して、イベントの **［Summary（概要）］** と、未加工JSONを含む **［Details（詳細）］** を表示します。

<div id="log-structure">
  ### ログ構造
</div>

各ログイベントには以下のフィールドがあります：

<table class="table">
  <thead>
    <tr>
      <th>フィールド</th>
      <th>説明</th>
    </tr>
  </thead>

  <tbody>
    <tr>
      <td>`date`</td>
      <td>イベント発生時のタイムスタンプです。</td>
    </tr>

    <tr>
      <td>`log_id`</td>
      <td>ログイベントのIDです。</td>
    </tr>

    <tr>
      <td>`type`</td>
      <td>ログイベントの種類です。</td>
    </tr>

    <tr>
      <td>`description`</td>
      <td>イベントの説明です。</td>
    </tr>

    <tr>
      <td>`connection`</td>
      <td>イベントに関連する接続名です。</td>
    </tr>

    <tr>
      <td>`connection_id`</td>
      <td>イベントに関連する接続IDです。</td>
    </tr>

    <tr>
      <td>`client_id`</td>
      <td>イベントに関連するクライアントIDです。</td>
    </tr>

    <tr>
      <td>`client_name`</td>
      <td>イベントに関連するクライアントの名前です。</td>
    </tr>

    <tr>
      <td>`ip`</td>
      <td>ログイベントを引き起こした要求の送信元のIPアドレスです。</td>
    </tr>

    <tr>
      <td>`user_agent`</td>
      <td>イベントに関連するユーザーエージェントです。</td>
    </tr>

    <tr>
      <td>`details`</td>
      <td>このログイベントについての詳細情報を含むオブジェクトです。</td>
    </tr>

    <tr>
      <td>`user_id`</td>
      <td>イベントに関連するユーザーIDです。</td>
    </tr>

    <tr>
      <td>`user_name`</td>
      <td>イベントに関連するユーザー名です。</td>
    </tr>

    <tr>
      <td>`strategy`</td>
      <td>イベントに関連する接続ストラテジーです。</td>
    </tr>

    <tr>
      <td>`strategy_type`</td>
      <td>イベントに関連する接続ストラテジーの種類です。</td>
    </tr>
  </tbody>
</table>

<div id="example-of-failed-login-log-event">
  ### 失敗したログインのログイベント例
</div>

間違ったパスワードを入力したことでログインに失敗したログイベントの例：

```json lines theme={null}
{
  "date": "2020-10-27T19:39:54.699Z",
  "type": "fp",
  "description": "Wrong email or password.",
  "connection": "Username-Password-Authentication",
  "connection_id": "con_ABC123",
  "client_id": "ABCDEFG123456789",
  "client_name": "All Applications",
  "ip": "99.xxx.xxx.xxx",
  "user_agent": "Chrome 86.0.4240 / Mac OS X 10.15.6",
  "details": {
    "error": {
      "message": "Wrong email or password."
    }
  },
  "user_id": "auth0|ABC123",
  "user_name": "test@test.com",
  "strategy": "auth0",
  "strategy_type": "database",
  "log_id": "123456789",
  "_id": "123456789",
  "isMobile": false
}
```

<div id="indicators-of-an-attack">
  ## 攻撃の徴候
</div>

初期の段階で攻撃を識別するのは困難かもしれませんが、ログで注意すべきことと、検索クエリ例を以下に示します：

* 無効なユーザー名を使ってログインに失敗した回数が多い、または存在しないユーザーが何度もログインを試した。

  * `type:"fu"`
  * `description:"missing username parameter"`
  * `description:"Wrong email or password"`
* ログイン失敗回数の上限に達したアカウント数が多い。

  * `type:"limit_wc"`
* 漏洩したパスワードを使ってログインを試みた回数が多い。

  * `type:"pwd_leak"`

調査時にはIPアドレス、標的とされたアプリケーション、使用された接続またはIDプロバイダーをメモします。

<Callout icon="file-lines" color="#0EA5E9" iconType="regular">
  「[ログ検索クエリ構文](/docs/ja-JP/ja-jp/deploy-monitor/logs/log-search-query-syntax)」ページに、Auth0のログクエリ構文に関する詳細やクエリの例があります。
</Callout>

<div id="identify-compromised-user-accounts">
  ## 不正使用されたユーザーアカウントの識別
</div>

不正使用された可能性のあるユーザーアカウントを識別するには、以下を検索します：

* 疑わしいIPアドレスから試みて成功したログインイベント：

  * `type:"s" AND ip:"99.xxx.xxx.xxx"`

<div id="check-compromised-user-account-activity">
  ## 不正使用されたユーザーアカウントのアクティビティをチェック
</div>

不正使用されたユーザーアカウントが識別できたら、そのアカウントのアクティビティをチェックします。

* 同じ`user_id`を使って他のログイベントを検索します：`user_id:"auth0|ABC123"`
* `client_name`または`client_id`のログイベントフィールドをチェックして、どのアプリケーションにアクセスしたかを確認します。アクセスがいつ発生したかをメモします。
* 管理アクセスまたはAuth0の構成変更がないかチェックします。
* 最近の<Tooltip data-tooltip-id="react-containers-DefinitionTooltip-0" href="/docs/ja-JP/ja-jp/glossary?term=management-api" tip="Management API: 顧客が管理タスクを実行できるようにするための製品。" cta="用語集の表示">Management API</Tooltip>呼び出しを検索：`type:"sapi"`

<div id="delete-or-block-users-from-the-dashboard">
  ## Dashboardからユーザーを削除またはブロック
</div>

1. [［Dashboard］>［User Management（ユーザー管理）］>［Users（ユーザー）］](https://manage.auth0.com/#/users)に移動します。
2. 削除またはブロックするユーザーを検索します。
3. ユーザーの右端に表示される **［...］** ボタンをクリックします。
4. **［Block（ブロック）］** または **［Delete（削除）］** を選択して確定します。
