> ## Documentation Index > Fetch the complete documentation index at: https://docs-dev-actions-triggers-prototype.mintlify.site/llms.txt > Use this file to discover all available pages before exploring further. # インシデント対応：ログを使う > インシデント対応計画の一部としてAuth0を使う方法を説明します。ログをレビューして攻撃の影響を評価することは、インシデント対応計画において重要な手順の1つです。このページでは、Auth0 Dashboardでどのようにログにアクセスするかを説明し、攻撃の徴候を見つけてアカウントアクティビティをレビューするためのログ検索クエリ例を示します。 ## Auth0ログの確認 1. [Auth0 Dashboardにログイン](https://manage.auth0.com/#) 2. ［Logs（ログ）］ページは、左側メニューの **［Monitoring（モニタリング）］** の下にあります。 3. ［Logs（ログ）］ページには、フィルターの選択肢と日付ピッカーとともに検索バーが表示されます。 Dashboard - モニタリング - ログ

一覧からログイベントを選択して、イベントの **［Summary（概要）］** と、未加工JSONを含む **［Details（詳細）］** を表示します。 ### ログ構造各ログイベントには以下のフィールドがあります： | フィールド | 説明 | | --------------- | ----------------------------- | | `date` | イベント発生時のタイムスタンプです。 | | `log_id` | ログイベントのIDです。 | | `type` | ログイベントの種類です。 | | `description` | イベントの説明です。 | | `connection` | イベントに関連する接続名です。 | | `connection_id` | イベントに関連する接続IDです。 | | `client_id` | イベントに関連するクライアントIDです。 | | `client_name` | イベントに関連するクライアントの名前です。 | | `ip` | ログイベントを引き起こした要求の送信元のIPアドレスです。 | | `user_agent` | イベントに関連するユーザーエージェントです。 | | `details` | このログイベントについての詳細情報を含むオブジェクトです。 | | `user_id` | イベントに関連するユーザーIDです。 | | `user_name` | イベントに関連するユーザー名です。 | | `strategy` | イベントに関連する接続ストラテジーです。 | | `strategy_type` | イベントに関連する接続ストラテジーの種類です。 | ### 失敗したログインのログイベント例間違ったパスワードを入力したことでログインに失敗したログイベントの例： ```json lines theme={null} { "date": "2020-10-27T19:39:54.699Z", "type": "fp", "description": "Wrong email or password.", "connection": "Username-Password-Authentication", "connection_id": "con_ABC123", "client_id": "ABCDEFG123456789", "client_name": "All Applications", "ip": "99.xxx.xxx.xxx", "user_agent": "Chrome 86.0.4240 / Mac OS X 10.15.6", "details": { "error": { "message": "Wrong email or password." } }, "user_id": "auth0|ABC123", "user_name": "test@test.com", "strategy": "auth0", "strategy_type": "database", "log_id": "123456789", "_id": "123456789", "isMobile": false } ``` ## 攻撃の徴候初期の段階で攻撃を識別するのは困難かもしれませんが、ログで注意すべきことと、検索クエリ例を以下に示します： * 無効なユーザー名を使ってログインに失敗した回数が多い、または存在しないユーザーが何度もログインを試した。 * `type:"fu"` * `description:"missing username parameter"` * `description:"Wrong email or password"` * ログイン失敗回数の上限に達したアカウント数が多い。 * `type:"limit_wc"` * 漏洩したパスワードを使ってログインを試みた回数が多い。 * `type:"pwd_leak"` 調査時にはIPアドレス、標的とされたアプリケーション、使用された接続またはIDプロバイダーをメモします。「[ログ検索クエリ構文](/docs/ja-jp/deploy-monitor/logs/log-search-query-syntax)」ページに、Auth0のログクエリ構文に関する詳細やクエリの例があります。 ## 不正使用されたユーザーアカウントの識別不正使用された可能性のあるユーザーアカウントを識別するには、以下を検索します： * 疑わしいIPアドレスから試みて成功したログインイベント： * `type:"s" AND ip:"99.xxx.xxx.xxx"` ## 不正使用されたユーザーアカウントのアクティビティをチェック不正使用されたユーザーアカウントが識別できたら、そのアカウントのアクティビティをチェックします。 * 同じ`user_id`を使って他のログイベントを検索します：`user_id:"auth0|ABC123"` * `client_name`または`client_id`のログイベントフィールドをチェックして、どのアプリケーションにアクセスしたかを確認します。アクセスがいつ発生したかをメモします。 * 管理アクセスまたはAuth0の構成変更がないかチェックします。 * 最近のManagement API呼び出しを検索：`type:"sapi"` ## Dashboardからユーザーを削除またはブロック 1. [［Dashboard］>［User Management（ユーザー管理）］>［Users（ユーザー）］](https://manage.auth0.com/#/users)に移動します。 2. 削除またはブロックするユーザーを検索します。 3. ユーザーの右端に表示される **［...］** ボタンをクリックします。 4. **［Block（ブロック）］** または **［Delete（削除）］** を選択して確定します。