第7章:対象別ログ設計

この章で分かること

  • アプリ/インフラ/CI/LLM/セキュリティで残すものが違う
  • 共通キーで証拠をつなぐ方法
  • 対象ごとの「最低セット」と注意点
  • 設計レビューで見る観点
たとえ話

健康診断と車検と家計簿は記録の種類が違います。同じノートにぐちゃぐちゃに書かない。
それでも氏名(service)や日付(timestamp)のような共通欄は揃える——それが相関です。

1. アプリケーション(必須表)

分類項目例何のため注意
時刻timestamp, timezone前後関係同期
環境environment, region切り分け本番検証を混ぜない
サービスservice, component発生箇所命名統一
version, commit_id変更相関デプロイ履歴と接続
処理event_code, operation業務識別自由文だけにしない
結果status, severity成否error乱用を避ける
例外exception_type, stacktrace原因握りつぶさない
相関trace_id, request_id横断全サービス伝播
性能duration, db_timeボトルネック単位を書く
利用者tenant_id, masked_user_id影響調査PII直出し禁止
外部dependency, status_code障害分離秘密除外
再試行retry_count, retryable復旧判断無限再試行防止
セキュリティauth_result, policy_result不正検知認証情報を出さない

2. 他対象の最低セット

インフラ

device/host/IP、ファーム、ラック、CPU/mem/disk/net、OID、Trap、Syslog severity、メンテ、mapped business service。
箱の悲鳴≠お客の困りごと。

CI/CD

pipeline/job、branch/PR/commit、failure_stage、flaky、SBOM、vuln、deployment_id、rollback。
PR失敗と本番障害を混ぜない。

LLM

model、tokens、latency、estimated vs billing、tool、approval、masking、data_classification。
本文の無条件保存は避ける [S02][S07]

セキュリティ

authn/z、権限変更、secret access、AI実行、承認、injection検知、audit。
ログ内命令を実行しない [S08]

証拠相関図 · ソース: ../diagrams/evidence_correlation_flow.mmd
%% 証拠相関図: キーで結び付く
flowchart TB
  subgraph Keys["共通キー"]
    K1["service"]
    K2["version / commit_id"]
    K3["trace_id / request_id"]
    K4["timestamp"]
    K5["deployment_id"]
  end

  LOG["ログ"]
  MET["メトリクス"]
  TR["トレース"]
  DEP["デプロイ"]
  CI["CI結果"]
  CFG["構成変更"]
  INC["インシデント"]
  PAST["過去事例"]
  RB["ランブック"]

  Keys --> LOG
  Keys --> MET
  Keys --> TR
  Keys --> DEP
  Keys --> CI
  Keys --> CFG
  Keys --> INC

  LOG --> CORR["相関分析\nAIが横断"]
  MET --> CORR
  TR --> CORR
  DEP --> CORR
  CI --> CORR
  CFG --> CORR
  PAST --> CORR
  INC --> CORR
  CORR --> RB
  CORR --> OUT["構造化レポート\n事実 / 仮説 / 次アクション"]
図が見えないときのテキスト版
service/version/trace_id/time/deployment_id でつなぐ

3. 設計レビュー観点

質問YesならNoなら
共通キーは全サービスで同じ名前か相関可能命名ガイドを先に
本番と検証が分離されているか誤調査を減らせる環境ラベル必須化
PIIがマスク方針どおりかAI接続可の土台第12章へ
運用担当者インフラと業務サービスの依存マップを維持する
PG担当サービスのログ項目をアプリ表に合わせる
SEアプリ・インフラ・CI・LLMの対象別ログ標準を管理する
PM対象別の不足をバックログ化する
経営層「全部同じ基盤」信仰より問い別最適化を許容する

ふりかえり

  • 自分の守備範囲の最低セットは埋まっているか
  • 共通キーがチーム間で一致しているか