พื้นฐานการเก็บ Audit Log
Audit logging คือการเก็บร่องรอยว่าใครทำอะไร ที่ไหน เมื่อไหร่ เพื่อใช้ตรวจย้อนหลัง แก้ไข incident และพิสูจน์การปฏิบัติตามข้อกำหนด.
เริ่มอ่านตรงนี้ก่อน
อธิบายแบบง่าย
พื้นฐานการเก็บ Audit Log คือเรื่องที่ช่วยให้เราใช้ป้องกันข้อมูล สิทธิ์ key token และความเสี่ยงจากการแชร์ผิดทางได้ถูกทางขึ้น
ระดับ
เหมาะกับคนที่ต้องตรวจงานหรือวางมาตรฐาน
ใช้เมื่อไหร่
เมื่อต้องดูว่า environment, DLP policy, connector หรือ connection ถูกเปลี่ยนโดยใคร.
อ่านแล้วทำอะไรต่อ
ถ้า flow เริ่มทำงานล้มเหลวหลังอัปเดตกติกา ให้ดู log กิจกรรมของผู้ดูแลว่ากติกาไหนเปลี่ยน ใครเปลี่ยน และช่วงเวลาตรงกับเหตุการณ์หรือไม่.
เห็นภาพ: ทริคนี้เป็นยังไง
- 1ใคร (Who)บัญชีไหนทำ
- 2ทำอะไร (What)การกระทำที่เกิด
- 3เมื่อไหร่ (When)เวลาที่บันทึก
- 4ที่ไหน (Where)ระบบ / ทรัพยากรใด
▶ เล่นอัตโนมัติ · ชี้เมาส์เพื่อหยุด · กดแถบด้านบนเพื่อข้ามขั้น
ใช้ตอนไหน?
- เมื่อต้องดูว่า environment, DLP policy, connector หรือ connection ถูกเปลี่ยนโดยใคร.
- เมื่อมี flow หรือแอปทำงานผิดปกติแล้วต้องไล่เหตุการณ์ย้อนหลัง.
- เมื่อต้องเตรียมหลักฐานให้ทีมความปลอดภัย ทีมกำกับการปฏิบัติตามกฎ (compliance) หรือทีมตรวจสอบ.
ความหมาย
สำหรับงาน Power Platform และทีมข้อมูล, log ที่ดีควรช่วยตอบคำถามพื้นฐานได้ เช่น ใครเปลี่ยน environment, ใครสร้าง connection, กติกาไหนถูกแก้ และช่วงเวลาที่เกิดเหตุคือเมื่อไหร่.
ชุดคำถามสำหรับการตรวจสอบ
log ที่ใช้ได้จริงต้องตอบคำถามหลักให้ครบก่อนลงรายละเอียด.
who -> did what -> to which resource -> when -> from where -> resultตัวอย่างการใช้
DLP policy ถูกเปลี่ยน
ถ้า flow เริ่มทำงานล้มเหลวหลังอัปเดตกติกา ให้ดู log กิจกรรมของผู้ดูแลว่ากติกาไหนเปลี่ยน ใครเปลี่ยน และช่วงเวลาตรงกับเหตุการณ์หรือไม่.
Connection ถูกแชร์
ถ้า connection หรือ custom connector ถูกแชร์เพิ่ม ควรตรวจว่าเป็นการแชร์ที่ตั้งใจไหม และทรัพยากรนั้นเข้าถึงข้อมูลระดับไหน.