Alibaba Cloudユーザー様、
2024年8月1日より、Alibaba Cloud Security CenterはV1.0ログ辞書をV2.0にアップグレードし、Alibaba Cloudセキュリティサービスの使用時に一貫したデータ分析エクスペリエンスを確保します。 ログディクショナリは、ログ分析機能によって収集および格納のためにサポートされるフィールドの構造、意味、および標準を定義する。 V2.0ログ辞書を使用すると、同じフィールドを使用して、security CenterやCloud Firewallなどの複数のAlibaba Cloudセキュリティサービス間の関連付け分析用のデータを照会できます。 これにより、ログクエリの効率が向上します。
V1.0とV2.0ログ辞書の違い
ログデータの収集に使用されるV1.0ログ辞書は、2024年8月1日までSecurity Centerのログ分析機能でサポートされています。 詳細については、「V1.0ログ辞書のログタイプとログフィールド」をご参照ください。
2024年8月1日、Security Centerは、ログデータを収集するためにV1.0からアップグレードされたV2.0ログ辞書をリリースします。 V2.0ログ辞書では、ログフィールドの数が増え、特定のログフィールドの名前が最適化されます (フィールドの意味は変わりません) 。 V2.0ログ辞書を使用すると、複数のAlibaba Cloudセキュリティサービスでより多くのログデータを収集できます。 V2.0ログ辞書でサポートされている特定のフィールドと説明については、「V2.0ログ辞書のログタイプとログフィールド」をご参照ください。
V1.0とV2.0のログ辞書の違いは次のとおりです。 以下にリストされていないフィールドは、両方のバージョンで同じです。
ネットワークログ
V1.0とV2.0ログ辞書の違い
ログタイプ | 変更タイプ | フィールド名V1.0 | フィールド名V2.0 |
Webアクセスログ | フィールド名の変更 | content_length | response_content_length |
method | request_method |
referer | http_referer |
ret_code | status |
rqs_content_type | content_type |
rsp_content_type | response_content_type |
ウリ | request_uri |
user_agent | http_user_agent |
x_forward_for | http_x_forward_for |
DNSログ | フィールド名の変更 | in_out | net_connect_dir |
qname | query_name |
qtype | query_type |
ネットワークセッションログ | フィールド名の変更 | in_out | net_connect_dir |
proto | l4_proto |
ローカルDNSログ | フィールド名の変更 | dest_ip | dst_ip |
dest_port | dst_port |
hostname | host |
time | start_time |
ホストログ
V1.0とV2.0ログ辞書の違い
ログタイプ | 変更タイプ | フィールド名V1.0 | フィールド名V2.0 |
ログインログ | フィールド名の変更 | ip | host_ip |
warn_ip | src_ip |
warn_port | dst_port |
warn_type | login_type |
warn_user | username |
warn_count | login_count |
新しいフィールド | なし | start_time |
ネットワーク接続ログ | フィールド名の変更 | dir | net_connect_dir |
ip | host_ip |
parent_proc_file_name | parent_proc_name |
proc_stime | proc_start_time |
proto | connection_type |
新しいフィールド | なし | start_time |
起動ログの処理 | フィールド名の変更 | containerhostname | container_hostname |
containerid | container_id |
containerimageid | container_image_id |
containerigename | container_image_name |
containername | container_name |
containerpid | container_pid |
filename | proc_name |
ファイルパス | proc_path |
ip | host_ip |
pfilename | parent_proc_name |
pfilepath | parent_proc_path |
stime | proc_start_time |
pstime | parent_proc_start_time |
新しいフィールド | なし | start_time |
ブルートフォース攻撃ログ | フィールド名の変更 | ip | host_ip |
warn_count | login_count |
warn_ip | src_ip |
warn_type | login_type |
warn_port | dst_port |
warn_user | username |
新しいフィールド | なし | start_time |
アカウントスナップショットログ | フィールド名の変更 | ip | host_ip |
user | username |
新しいフィールド | なし | start_time |
ネットワークスナップショットログ | フィールド名の変更 | dir | net_connect_dir |
ip | host_ip |
proto | connection_type |
新しいフィールド | なし | start_time |
スナップショットログの処理 | フィールド名の変更 | ip | host_ip |
name | proc_name |
パス | proc_path |
start_time | proc_start_time |
新しいフィールド | なし | start_time |
DNSクエリログ | フィールド名の変更 | ip | host_ip |
proc_cmdline | cmdline |
proc_cmd_chain | cmd_chain |
新しいフィールド | なし | start_time |
クライアントイベントログ | フィールド名の変更 | client_ip | host_ip |
新しいフィールド | なし | start_time |
セキュリティログ
V1.0とV2.0ログ辞書の違い
ログタイプ | 変更タイプ | フィールド名V1.0 | フィールド名V2.0 |
脆弱性ログ | フィールド名の変更 | alias_name | vul_alias_name |
必要性 | risk_level |
machine_name | instance_name |
name | vul_name |
op | operation |
新しいフィールド | なし | start_time |
ベースラインログ | フィールド名の変更 | check_item | check_item_name |
check_level | check_item_level |
level | risk_level |
op | operation |
sub_type_alias | sub_type_alias_name |
type_alias | type_alias_name |
新しいフィールド | なし | start_time |
アラートログ | フィールド名の変更 | op | operation |
新しいフィールド | なし | start_time |
構成評価ログ | フィールド名の変更 | check_show_name | check_item_name |
新しいフィールド | なし | start_time |
ネットワーク防御ログ | フィールド名の変更 | dest_ip | dst_ip |
dest_port | dst_port |
モデル | final_action |
新しいフィールド | なし | start_time |
アプリケーション保護ログ | フィールド名の変更 | 自信 | コンフィデンスレベル |
content | request_body |
content_length | request_content_length |
ip | host_ip |
jdk | jdk_version |
method | request_method |
os | platform |
os_arch | アーチ |
os_version | kernel_version |
リモート | src_ip |
result | final_action |
rule_result | rule_action |
severity | risk_level |
新しいフィールド | なし | start_time |
自動アップグレード時間
2024年8月1日以降、Security Centerのログ分析機能を購入してLogstoreを作成すると、V2.0ログ辞書が自動的に適用されます。
2024年8月1日より前に作成されたログストアの場合、Security CenterはV2.0ログ辞書を自動的に使用して、2024年10月30日以降に配信されるログのフィールドを記録する予定です。 2024年10月30日までは、引き続きV1.0ログ辞書を使用するか、辞書を手動でV2.0にアップグレードできます。 アップグレードはストレージ内のデータには影響せず、履歴データの整合性と可用性を保証します。
アップグレード中に問題が発生したり、サポートが必要な場合は、 チケット .
アップグレードの影響
説明 2024年10月30日までに二次開発を完了できない場合は、Security Centerコンソールに移動して3か月の延長をリクエストしてください。 このようにして、システムは2025年1月30日にログ辞書を自動的にアップグレードします。 この場合、2025年1月30日までに二次開発を完了する必要があります。 自動アップグレードの前に、ログ辞書を手動でV2.0にアップグレードできます。
シナリオ | 解決策 |
Simple Log Serviceを使用したデータの照会 | アップグレード後、V2.0ログ辞書に記録されているフィールドを使用してデータを照会する必要があります。 |
Simple Log Serviceに保存されたデータを関連性分析のために他のデータベースに配信する | Simple Log Service (SLS) に保存されているデータと他のデータベースとの間のフィールドマッピングを変更します。 詳細については、「データ配布ジョブの管理」をご参照ください。 変更されたフィールド名と新しく追加されたフィールドの間にマッピングを追加して、辞書V2.0を使用したログが配信され、V1.0に格納された配信データが影響を受けないようにすることをお勧めします。 ログ辞書をV2.0に手動でアップグレードする。 詳細については、「ログ辞書をV2.0に手動でアップグレードする」をご参照ください。 ログ配信タスクが正常に完了し、データベースに配信されるデータが期待どおりかどうかを確認します。
|
Simple log Serviceのログフィールドに基づいてカスタムアラートルールを設定する | V2.0ログ辞書の適用後にルールが有効になるように、2024 10月30日までにカスタムアラートルールを変更する必要があります。 アラートルールを変更する方法の詳細については、「アラートモニタリングルールの管理」をご参照ください。 ログ辞書をV2.0に手動でアップグレードする。 詳細については、「ログ辞書をV2.0に手動でアップグレードする」をご参照ください。
|
Simple Log Serviceに保存されたデータを他のデータベースに配信して二次開発を実行し、統計レポートを生成する | V2.0ログ辞書に基づいて、2024年10月30日までに二次開発を完了してください。 ログ辞書をV2.0に手動でアップグレードする。 具体的な操作については、「ログ辞書をV2.0に手動でアップグレードする」をご参照ください。 ログが配信されるかどうか、およびデータベースに配信されるデータが期待どおりかどうかを確認します。
|
ログ辞書をV2.0に手動でアップグレード
Security Center コンソールにログインします。 上部のナビゲーションバーで、管理するアセットのリージョンを選択します。 中国 または 全世界 (中国を除く) を選択できます。
左側のナビゲーションウィンドウで、.
ログ分析ページの右上隅にある [Dictionary Version: V1.0] にポインターを移動し、[今すぐアップグレード] をクリックします。
[ノートのアップグレード] メッセージで、[今すぐアップグレード] をクリックします。