ユーザーのアカウントアクティビティを調査する方法 - Support and Troubleshooting

ユーザーのアカウントアクティビティを調査する方法 Issue アクティビティのモニタリングについての最新情報は、 Monitoring user activity を参照してください。

特定のユーザーの挙動を確認する必要がある場合は、以下の推奨手順に従ってトランザクションログとイベントログを確認してください。

特定の ServiceNow ユーザーのインスタンスで成功/失敗したログインの IP アドレスを見つける 検索の期間を変更する ユーザー名で検索範囲を制限する 成功/失敗したログイン試行 手順 ユーザーアクティビティを見つける手順 アドミンとしてインスタンスにログインします。 トランザクションログを特定します。 トランザクションログは、インスタンス管理者が [syslog_transaction] テーブルのテーブルローテーションを調整していない限り、デフォルトで 49 日間保持されます。 [システムログ] > [トランザクション] に移動して、https:// .service-now.com/syslog_transaction_list.do を表示します。 調査目的を満たすようにフィルターを調整してログを絞り込みます。 必要な期間： [作成日 (Created)] フィルター ユーザー名： [作成者 (Created by)] フィルター、[次で始まる (starts with)] または [次を含む (contains)] のオプションを使用

ログの日付範囲を絞り込みます。

このリストビューから、フィルターを以下のように調整できます。 作成日 (Created on)： お客様が必要とする任意の日付または期間に調整 作成者 (Created by)： 影響を受けるユーザー名に調整

以下のようにして、ユーザーログインの IP アドレスを特定します。 テーブルの左上にある歯車をクリックして、[リスト列のカスタマイズ] を開きます。

ログインしているユーザーの IP アドレスを表示するには、[リスト列のカスタマイズ] モジュールを使用して IP アドレス列をリストビューに追加します。

成功/失敗したログイン試行を特定する この手順はローカルアカウントのみが対象です。

アドミンとしてインスタンスにログインします。 [システムログ] > [イベント] に移動します。

https:// .service-now.com/sysevent_list.do?sysparm_query=sys_created_onONToday%40javascript:gs.daysAgoStart(0)%40javascript:gs.daysAgoEnd(0)%5EGOTOnameSTARTSWITHSNC.Auth.DB

フィルターを次のように調整します。

このリストビューから、フィルターを以下のように調整できます。 作成日 (Created on)： お客様が必要とする任意の日付または期間に調整 作成者 (Created by)： 影響を受けるユーザー名に調整

懸念されるアクティビティを評価するためのその他の推奨アクション 上記の手順が完了したら、次のアクションを実行して、特定されたログに記録されていない、または設定されている現在のログ保持期間外に発生した疑わしいアクティビティがないかどうかを確認することをお勧めします。

sys_user_has_roleテーブルを確認し、該当するユーザーのエントリにフィルタリングすることで、ターゲットユーザーに割り当てられているロールを決定します。 インスタンス内で予期しない変更が行われていないか、sys_auditテーブルを確認します。詳細については、このドキュメントページを参照してください。 https://www.servicenow.com/docs/csh?topicname=c_UnderstandingTheSysAuditTable.html&version=latest 認識されない新しく作成されたユーザー (特に特権ロールを持つユーザー) がないか、sys_userテーブルを確認します。 サービスアカウントをレビューし、次の KB にリンクされているベストプラクティスに従って設定されていることを確認します: https://support.servicenow.com/kb?id=kb_article_view&sysparm_article=KB1933421 プラットフォームオーナーチームによって認識されていない、新しくスケジュールされたジョブがあるかどうかを確認します。スケジュール済みジョブのレビュー方法の詳細については、このドキュメントページを参照してください。 https://www.servicenow.com/docs/csh?topicname=view-scheduled-jobs.html&version=latest [顧客アップデート] テーブルに予期しないアクティビティがないか確認します。この表の操作方法の詳細については、リンク先のドキュメントを参照してください。 https://www.servicenow.com/docs/csh?topicname=r_CustomerUpdatesTable.html&version=latest セキュリティセンターのメトリクスダッシュボード (/now/security-center/my_security_metrics)、特に以下のメトリクスを確認します。 特権ユーザー:セキュリティセンターの MFA で保護されていない特権ユーザーのローカルログイン 特権ユーザー:新規ユーザー 特権ユーザー:ログイン成功 ユーザー:ログイン成功 ユーザー:ロックアウトされていない非アクティブなユーザー ユーザー:新規ユーザー 特権 ID:追加された管理者ユーザー 特権 ID: 管理者ログイン 認証:MFA バイパスを使用しているユーザー 認証 高特権非 MFA ユーザー エクスポート:合計エクスポート数