SimplePDFの監査ログでチームの活動を監視する方法
規制対象のワークフローでは、何が変更されたかの記録が必要です。SimplePDFの監査ログは、誰が、いつ、どのIPアドレスから、どのドキュメントに対して何をしたかを、アカウント全体にわたって記録します。 これは、監査人、コンプライアンス担当者、社内調査担当者が、何が起きたかを再構築する必要があるときに参照する場所です。
監査ログはPremiumプランで利用できます
チームが監査ログを有効にする理由
監査ログは、社内監査、顧客のセキュリティレビュー、コンプライアンスプログラム(HIPAA、GDPRおよび類似のフレームワーク)が問うことになる質問に答えます。
- 誰が何をしましたか? ダッシュボードへのサインイン、設定変更、ドキュメントや提出の変更、メンバー、Webhook、ストレージ、APIキーのあらゆる変更は、特定のユーザー、APIキー、またはシステムアクターに紐づけられます。
- いつ何が変更されましたか? 設定変更、ロール変更、ストレージの更新、Webhookの更新、ドキュメントの編集は、それぞれ正確なタイムスタンプと、変更前後の値の構造化された差分を持ちます。
- どこから? すべてのイベントはアクターのIPアドレスとユーザーエージェントを記録するため、見慣れない場所や不明なクライアントが一目で目立ちます。
- エクスポートできますか? ログはサーバー側にあり、アーカイブやコンプライアンスレビューのためにCSVとしてエクスポートできます。
各行に含まれる内容
各エントリは、フォレンジックな詳細として5つの要素を持ちます。
- いつ: アクションが発生した瞬間に取得されるタイムスタンプ。バックグラウンド処理の遅延によって記録時刻がずれることはありません。
- 誰: アクションを実行したアクター。次の4つのタイプのいずれかです。
- メンバー: この会社のチームメンバー。表示名は読み取り時に解決されるため、名前の変更は履歴行に反映されます。後でメンバーが削除された場合でも、メールアドレスが安定したフォールバックとして残ります。
- APIキー: REST APIキー。キーIDで記録されます。
- 外部関係者: チーム外の人物。匿名のフォーム送信者や認証前のアクション(サインインコードのリクエストなど)はこのカテゴリに該当します。IPとユーザーエージェントは行のメタデータに格納されます。アクターフィルターは「外部関係者」を1つのカテゴリとして提供します。特定の送信者を詳しく調べるには、CSVエクスポートのIP列を並べ替えるか検索してください。
- システム: SimplePDF自体。人間のアクターがいないアクション(たとえばStripeのWebhookから発行されるプラン移行など)に使用されます。
- アクション: 正規のアクション名(
document.deleted、company_user.updatedなど)。 - 対象: アクションが実行されたリソース(ドキュメント、提出、メンバー、Webhook、ストレージ設定、APIキー、セッション、招待、または会社)。
- 変更内容(該当する場合): 状態を変更するアクションに対する、変更前 / 変更後の構造化された差分。ページの完全なスナップショットやフォームフィールドの完全な配列のような重いペイロードは、完全にシリアル化されるのではなく変更フラグとして記録されるため、監査行はコンパクトに保たれます。
- リクエストコンテキスト: イベントを発生させたリクエストのIPアドレスとユーザーエージェント。
SimplePDFが記録するすべてのイベント
監査ログは、アカウント全体にわたって状態を変更するアクションの全集合を、面ごとにグループ化してキャプチャします。以下の各イベントは、アクター、タイムスタンプ、対象、IP、ユーザーエージェントとともに記録されます。REST API経由で実行される状態変更アクションは、APIキーアクターとして記録され、ダッシュボードの活動と並んで表示されます。
| 監査イベント | ダッシュボードのラベル | 記録される内容 |
|---|---|---|
session.created | ログインしました | チームメンバーがダッシュボードにサインインします。 |
session.deleted | ログアウトしました | チームメンバーがサインアウトするか、セッションが無効化されます。 |
otp.created | サインインコードをリクエストしました | ユーザーのメールアドレスに対してワンタイムのサインインコードが発行されます。 |
invitation.created | メンバーを招待しました | 管理者が新しいメンバーをメールで招待します。招待された人のメールアドレスが対象です。招待された人がまだ受諾していないため、招待にはまだユーザーIDがありません。 |
company_user.created | チームに参加しました | 招待された人が招待を受諾し、チームメンバーになります。 |
company_user.updated | メンバーを更新しました | メンバーのロールまたは表示名が変更されます。実際に変更された各フィールドについて、行には変更前 / 変更後の差分が含まれます。 |
company_user.deleted | メンバーを削除しました | メンバーがチームから削除されます。行には削除時点でそのメンバーが持っていたロールが記録されるため、後のレビューで「この人物が離れた時点で、どのようなアクセス権を持っていたか」という質問に答えられます。 |
company.updated | 会社設定を更新しました | 会社名、識別子、ロゴ、読み込み画面、または請求プランへの変更。StripeのWebhookから発行されるプラン移行は、systemアクターとともにこのイベントにまとめられるため、アップグレードとダウングレードは、設定履歴の残りと同じ監査ストリームに表示されます。 |
byos.created | ストレージを設定しました | S3、Scaleway Object Storage、Azure Blob Storage、またはSharePointが、ドキュメントと提出の宛先として接続されます。 |
byos.updated | ストレージを更新しました | ストレージ設定が変更されます(バケットの切り替え、リージョンの変更、認証情報のローテーション、コンテナまたはライブラリの移動)。 |
byos.deleted | ストレージを削除しました | BYOS設定が削除され、提出はSimplePDFのデフォルトストレージに戻ります。 |
api_key.created | APIキーを作成しました | 新しいREST APIキーが生成されます。 |
api_key.deleted | APIキーを無効化しました | REST APIキーが無効化されます。 |
webhook.created | Webhookを作成しました | 提出イベント用に新しいWebhookエンドポイントが追加されます。 |
webhook.updated | Webhookを更新しました | Webhookの宛先URLが変更されます。 |
webhook.deleted | Webhookを削除しました | Webhookエンドポイントが削除されます。 |
document.created | ドキュメントを作成しました | ダッシュボードまたはAPI経由でドキュメントがアップロードまたは作成されます。 |
document.updated | ドキュメントを更新しました | ドキュメントの名前、種類、ページ、またはフィールドが変更されます。名前の変更と種類の変更は変更前 / 変更後の差分を持ち、ページとフィールドの変更は存在フラグとして記録されるため、集中的な編集の下でも監査行はコンパクトに保たれます。 |
document.deleted | ドキュメントを削除しました | ダッシュボードまたはAPI経由でドキュメントが削除されます。 |
submission.created | 入力済みのドキュメントを提出しました | 送信者がPDFの入力を完了し、完成した提出がダッシュボードに到着します。送信者がこの会社のチームメンバー(ダッシュボードにサインイン済み)の場合、アクターはmemberです。それ以外の場合、アクターはexternal_partyです。送信者のIPアドレスとユーザーエージェントは、フォレンジックな詳細のために常に行のメタデータに記録されます。 |
submission.deleted | 提出を削除しました | 提出されたPDFが削除されます。 |
行に含まれる内容について知っておくべきいくつかの詳細です。
- ストレージ設定のスナップショットは、ストレージタイプと非秘密フィールド(S3のバケットとリージョン、Azureのコンテナ、SharePointのサイトとドキュメントライブラリ)をキャプチャします。アクセスキー、クライアントシークレット、トークンなどの秘密情報は、監査ログに決して書き込まれません。
- WebhookのURLは行とともに記録され、URLに埋め込まれた認証情報は保存前に削除されます。
- プランの変更は、
systemアクターを持つcompany.updatedイベントとして記録されるため、アップグレードとダウングレードは監査ストリームに表示されます。
活動の確認とフィルタリング
監査ログは /account/audit-logs にあり、Premiumプランの管理者に表示されます。
- 期間: プリセットを選択します(過去24時間、過去7 / 14 / 30 / 60 / 90日)。過去24時間のウィンドウは30秒ごとに自動更新されるため、アクティブな調査中もリストがライブのように感じられます。
- アクター: 特定のユーザー、APIキー、または
systemアクションでフィルタリングします。 - アクション: 1つまたは複数のイベントタイプでフィルタリングします。たとえば、データ削除活動を確認する際は、
document.deletedとsubmission.deletedのみを選択します。
フィルターはURLにエンコードされるため、フィルタリングされたビューへのリンクはチーム内で共有可能です。ページを更新したり、チケットからリンクを開いたりすると、同じフィルタリングされた範囲に到達します。
コンプライアンスレビューのためのエクスポート
選択をエクスポートをクリックすると、現在のフィルターをCSVとしてダウンロードできます。CSVはフォレンジック項目ごとに1つの列を持ちます。タイムスタンプ、アクターのタイプ / ID / メール / 名前、アクション、対象のタイプ / ID / メール / 名前、構造化された変更ペイロード、IPアドレス、ユーザーエージェントです。コンプライアンスアーカイブへの取り込みに対応しています。
エクスポートの一例です。
audit-events.csv
1つのユーザーセッション:サインイン、ドキュメントの編集、チームメイトの招待、会社名の変更
timestamp,actor_type,actor_id,actor_email,actor_name,action,target_type,target_id,target_email,target_name,changes,ip_address,user_agent
2026-05-13T16:05:51.300Z,company_user,c5be85d7-1958-413f-bd1d-27d776655d84,bob@simplepdf.com,Bob,invitation.created,invitation,,john@simplepdf.com,,,192.0.2.42,Mozilla/5.0
2026-05-13T16:05:27.508Z,company_user,c5be85d7-1958-413f-bd1d-27d776655d84,bob@simplepdf.com,Bob,document.created,document,23f64565-0ab3-47f6-803b-1c0ea43b6125,,Weir_Egg.pdf,,192.0.2.42,Mozilla/5.0
2026-05-13T16:04:53.092Z,company_user,c5be85d7-1958-413f-bd1d-27d776655d84,bob@simplepdf.com,Bob,document.updated,document,1b38331b-4136-48b3-b752-ad2472e6a40d,,acme-meeting-minutes.pdf,"{""name"":{""to"":""acme-meeting-minutes.pdf"",""from"":""meeting-minutes.pdf""}}",192.0.2.42,Mozilla/5.0
2026-05-13T16:03:57.857Z,company_user,c5be85d7-1958-413f-bd1d-27d776655d84,bob@simplepdf.com,Bob,company.updated,company,1a2a7f1d-285a-4335-a283-a768800b3f7e,,Acme Corp,"{""name"":{""to"":""Acme Corp"",""from"":""Acme""}}",192.0.2.42,Mozilla/5.0
2026-05-13T16:01:33.003Z,company_user,c5be85d7-1958-413f-bd1d-27d776655d84,bob@simplepdf.com,Bob,session.created,session,b30eb244-77fc-4f51-9f90-b518b053a48c,,,,192.0.2.42,Mozilla/5.0
2026-05-13T16:01:24.424Z,external_party,,,,otp.created,company_user,c5be85d7-1958-413f-bd1d-27d776655d84,bob@simplepdf.com,,,192.0.2.42,Mozilla/5.0保持期間
監査行は、イベントのタイムスタンプから365日間保持されます。コンプライアンスプログラムでより長い保持期間が必要な場合は、お問い合わせください。ポリシーに合った保持期間を一緒に検討します。
監査ログへのアクセス方法
- Premiumプランの管理者ユーザーでSimplePDFアカウントにサインインします。
- アカウントメニューを開き、監査ログをクリックするか、
/account/audit-logsに直接アクセスします。 - ツールバーの期間、アクター、アクションフィルターを使用して、ビューを絞り込みます。
- 選択をエクスポートをクリックして、フィルタリングされたイベントのCSVをダウンロードします。
チームがFree、Basic、またはProプランで、監査ログを有効にしたい場合は、Premiumプランの概要をご覧いただくか、デモを予約して、コンプライアンス設定についてご相談ください。
これで完了です!SimplePDFアカウント全体の重要なアクションが、コンプライアンスレビューのために記録され、フィルタリング可能で、エクスポート可能になりました。
ご不明な点がございましたら、お気軽にsupport@simplepdf.comまでお問い合わせください
あなたが興味を持つかもしれない
- PDFフォームに必須フィールドを追加する
- エディターのカスタマイズとブランド追加方法
- 送信確認のカスタマイズ方法
- 編集済みPDFの送信内容をSupabaseに保存する方法
- PDFフォームの送信に対するメール通知の取得方法
- タグでドキュメントを整理する
- PDF送信用のストレージとしてSharePointを接続する
- SharePointにPDFエディターを埋め込む
- PDFフォームの送信に自分のS3バケットを設定する方法
- PDFフォーム送信のために独自のAzure Blob Storageを設定する
- 新しいPDFフォームの送信通知を取得するためのWebhooksの設定方法
- Bubbleのワークフローを使用してPDFの送信内容をBubbleデータベースに保存する方法
- PDFフォームの処理を自動化するためにSimplePDFをActivepiecesに接続する方法
- IDPワークフローでAIを活用するためのRobocorp統合の使用方法
- Next.jsアプリに埋め込みPDFエディターを追加する方法
- ExcalidrawでPDFを表示・編集する方法
- SimplePDF Copilotをセルフホストする方法