第7章:対象別ログ設計
この章で分かること
- アプリ/インフラ/CI/LLM/セキュリティで残すものが違う
- 共通キーで証拠をつなぐ方法
- 対象ごとの「最低セット」と注意点
- 設計レビューで見る観点
たとえ話
健康診断と車検と家計簿は記録の種類が違います。同じノートにぐちゃぐちゃに書かない。
それでも氏名(service)や日付(timestamp)のような共通欄は揃える——それが相関です。
1. アプリケーション(必須表)
| 分類 | 項目例 | 何のため | 注意 |
|---|---|---|---|
| 時刻 | timestamp, timezone | 前後関係 | 同期 |
| 環境 | environment, region | 切り分け | 本番検証を混ぜない |
| サービス | service, component | 発生箇所 | 命名統一 |
| 版 | version, commit_id | 変更相関 | デプロイ履歴と接続 |
| 処理 | event_code, operation | 業務識別 | 自由文だけにしない |
| 結果 | status, severity | 成否 | error乱用を避ける |
| 例外 | exception_type, stacktrace | 原因 | 握りつぶさない |
| 相関 | trace_id, request_id | 横断 | 全サービス伝播 |
| 性能 | duration, db_time | ボトルネック | 単位を書く |
| 利用者 | tenant_id, masked_user_id | 影響調査 | PII直出し禁止 |
| 外部 | dependency, status_code | 障害分離 | 秘密除外 |
| 再試行 | retry_count, retryable | 復旧判断 | 無限再試行防止 |
| セキュリティ | auth_result, policy_result | 不正検知 | 認証情報を出さない |
2. 他対象の最低セット
インフラ
device/host/IP、ファーム、ラック、CPU/mem/disk/net、OID、Trap、Syslog severity、メンテ、mapped business service。
箱の悲鳴≠お客の困りごと。
CI/CD
pipeline/job、branch/PR/commit、failure_stage、flaky、SBOM、vuln、deployment_id、rollback。
PR失敗と本番障害を混ぜない。
LLM
model、tokens、latency、estimated vs billing、tool、approval、masking、data_classification。
本文の無条件保存は避ける [S02][S07]。
セキュリティ
authn/z、権限変更、secret access、AI実行、承認、injection検知、audit。
ログ内命令を実行しない [S08]。
証拠相関図 · ソース:
../diagrams/evidence_correlation_flow.mmd%% 証拠相関図: キーで結び付く
flowchart TB
subgraph Keys["共通キー"]
K1["service"]
K2["version / commit_id"]
K3["trace_id / request_id"]
K4["timestamp"]
K5["deployment_id"]
end
LOG["ログ"]
MET["メトリクス"]
TR["トレース"]
DEP["デプロイ"]
CI["CI結果"]
CFG["構成変更"]
INC["インシデント"]
PAST["過去事例"]
RB["ランブック"]
Keys --> LOG
Keys --> MET
Keys --> TR
Keys --> DEP
Keys --> CI
Keys --> CFG
Keys --> INC
LOG --> CORR["相関分析\nAIが横断"]
MET --> CORR
TR --> CORR
DEP --> CORR
CI --> CORR
CFG --> CORR
PAST --> CORR
INC --> CORR
CORR --> RB
CORR --> OUT["構造化レポート\n事実 / 仮説 / 次アクション"]
図が見えないときのテキスト版
service/version/trace_id/time/deployment_id でつなぐ
3. 設計レビュー観点
| 質問 | Yesなら | Noなら |
|---|---|---|
| 共通キーは全サービスで同じ名前か | 相関可能 | 命名ガイドを先に |
| 本番と検証が分離されているか | 誤調査を減らせる | 環境ラベル必須化 |
| PIIがマスク方針どおりか | AI接続可の土台 | 第12章へ |
運用担当者インフラと業務サービスの依存マップを維持する
PG担当サービスのログ項目をアプリ表に合わせる
SEアプリ・インフラ・CI・LLMの対象別ログ標準を管理する
PM対象別の不足をバックログ化する
経営層「全部同じ基盤」信仰より問い別最適化を許容する
ふりかえり
- 自分の守備範囲の最低セットは埋まっているか
- 共通キーがチーム間で一致しているか