ログを後回しにすると起きること
ログは「できれば欲しい機能」ではなく、トラブル時に「何が起きたか」を追えるための基盤です。後から追加すると、記録の形式が業務と合わず、過去の操作を遡れないことがあります。
後から追加
最初から設計
最初から決めるログの3種類
全部を一度に詳細化する必要はありません。次の3種類を「何を残すか」レベルで先に決めておくと、設計がぶれにくくなります。
認証ログ
ログイン・ログアウト・失敗
操作ログ
データの閲覧・作成・変更・削除
管理ログ
権限変更・設定変更
- 誰の操作を記録するか決まっている
- ログの保存期間の目安がある
- ログを閲覧できる担当者が限られている
- 本番と検証でログの扱いが分かれている
RAG・業務システムで共通の確認
RAG(社内資料を検索して回答する仕組み)でも、通常の業務システムでも、「誰が何にアクセスしたか」は同じくらい重要です。導入前に境界を決めておきましょう。
業務システム
- 画面・データの操作
- エクスポート・印刷
- 管理者の権限変更
RAG・LLM統合
- 質問内容と参照資料
- 回答の出典
- 社外APIへの送信有無
よくある質問
ログとは何を記録するものですか?
「誰が・いつ・何をしたか」を残す記録です。ログイン、データの閲覧・変更、管理者の操作などが典型です。トラブル時の原因調査や、不正アクセスの検知に使います。
小さなMVPでもログは必要ですか?
本番で動かすなら、最低限のアクセスログは最初から入れることをおすすめします。後から追加すると、設計変更とデータ移行の手間が増えます。
RAG導入でもログは関係しますか?
はい。誰がどの資料に質問したか、どの回答が返ったかを残すと、情報漏洩の調査や運用改善に役立ちます。RAGのセキュリティチェックリストもあわせてご覧ください。
