すべてのプロダクト
Search
ドキュメントセンター

Security Center:[お知らせ] ログ辞書がアップグレードされる

最終更新日:Aug 23, 2024

Alibaba Cloudユーザー様、

2024年8月1日より、Alibaba Cloud Security CenterはV1.0ログ辞書をV2.0にアップグレードし、Alibaba Cloudセキュリティサービスの使用時に一貫したデータ分析エクスペリエンスを確保します。 ログディクショナリは、ログ分析機能によって収集および格納のためにサポートされるフィールドの構造、意味、および標準を定義する。 V2.0ログ辞書を使用すると、同じフィールドを使用して、security CenterやCloud Firewallなどの複数のAlibaba Cloudセキュリティサービス間の関連付け分析用のデータを照会できます。 これにより、ログクエリの効率が向上します。

V1.0とV2.0ログ辞書違い

  • ログデータの収集に使用されるV1.0ログ辞書は、2024年8月1日までSecurity Centerのログ分析機能でサポートされています。 詳細については、「V1.0ログ辞書のログタイプとログフィールド」をご参照ください。

  • 2024年8月1日、Security Centerは、ログデータを収集するためにV1.0からアップグレードされたV2.0ログ辞書をリリースします。 V2.0ログ辞書では、ログフィールドの数が増え、特定のログフィールドの名前が最適化されます (フィールドの意味は変わりません) 。 V2.0ログ辞書を使用すると、複数のAlibaba Cloudセキュリティサービスでより多くのログデータを収集できます。 V2.0ログ辞書でサポートされている特定のフィールドと説明については、「V2.0ログ辞書のログタイプとログフィールド」をご参照ください。

V1.0とV2.0のログ辞書の違いは次のとおりです。 以下にリストされていないフィールドは、両方のバージョンで同じです。

  • ネットワークログ

    V1.0とV2.0ログ辞書の違い

    ログタイプ

    変更タイプ

    フィールド名V1.0

    フィールド名V2.0

    Webアクセスログ

    フィールド名の変更

    content_length

    response_content_length

    method

    request_method

    referer

    http_referer

    ret_code

    status

    rqs_content_type

    content_type

    rsp_content_type

    response_content_type

    ウリ

    request_uri

    user_agent

    http_user_agent

    x_forward_for

    http_x_forward_for

    DNSログ

    フィールド名の変更

    in_out

    net_connect_dir

    qname

    query_name

    qtype

    query_type

    ネットワークセッションログ

    フィールド名の変更

    in_out

    net_connect_dir

    proto

    l4_proto

    ローカルDNSログ

    フィールド名の変更

    dest_ip

    dst_ip

    dest_port

    dst_port

    hostname

    host

    time

    start_time

  • ホストログ

    V1.0とV2.0ログ辞書の違い

    ログタイプ

    変更タイプ

    フィールド名V1.0

    フィールド名V2.0

    ログインログ

    フィールド名の変更

    ip

    host_ip

    warn_ip

    src_ip

    warn_port

    dst_port

    warn_type

    login_type

    warn_user

    username

    warn_count

    login_count

    新しいフィールド

    なし

    start_time

    ネットワーク接続ログ

    フィールド名の変更

    dir

    net_connect_dir

    ip

    host_ip

    parent_proc_file_name

    parent_proc_name

    proc_stime

    proc_start_time

    proto

    connection_type

    新しいフィールド

    なし

    start_time

    起動ログの処理

    フィールド名の変更

    containerhostname

    container_hostname

    containerid

    container_id

    containerimageid

    container_image_id

    containerigename

    container_image_name

    containername

    container_name

    containerpid

    container_pid

    filename

    proc_name

    ファイルパス

    proc_path

    ip

    host_ip

    pfilename

    parent_proc_name

    pfilepath

    parent_proc_path

    stime

    proc_start_time

    pstime

    parent_proc_start_time

    新しいフィールド

    なし

    start_time

    ブルートフォース攻撃ログ

    フィールド名の変更

    ip

    host_ip

    warn_count

    login_count

    warn_ip

    src_ip

    warn_type

    login_type

    warn_port

    dst_port

    warn_user

    username

    新しいフィールド

    なし

    start_time

    アカウントスナップショットログ

    フィールド名の変更

    ip

    host_ip

    user

    username

    新しいフィールド

    なし

    start_time

    ネットワークスナップショットログ

    フィールド名の変更

    dir

    net_connect_dir

    ip

    host_ip

    proto

    connection_type

    新しいフィールド

    なし

    start_time

    スナップショットログの処理

    フィールド名の変更

    ip

    host_ip

    name

    proc_name

    パス

    proc_path

    start_time

    proc_start_time

    新しいフィールド

    なし

    start_time

    DNSクエリログ

    フィールド名の変更

    ip

    host_ip

    proc_cmdline

    cmdline

    proc_cmd_chain

    cmd_chain

    新しいフィールド

    なし

    start_time

    クライアントイベントログ

    フィールド名の変更

    client_ip

    host_ip

    新しいフィールド

    なし

    start_time

  • セキュリティログ

    V1.0とV2.0ログ辞書の違い

    ログタイプ

    変更タイプ

    フィールド名V1.0

    フィールド名V2.0

    脆弱性ログ

    フィールド名の変更

    alias_name

    vul_alias_name

    必要性

    risk_level

    machine_name

    instance_name

    name

    vul_name

    op

    operation

    新しいフィールド

    なし

    start_time

    ベースラインログ

    フィールド名の変更

    check_item

    check_item_name

    check_level

    check_item_level

    level

    risk_level

    op

    operation

    sub_type_alias

    sub_type_alias_name

    type_alias

    type_alias_name

    新しいフィールド

    なし

    start_time

    アラートログ

    フィールド名の変更

    op

    operation

    新しいフィールド

    なし

    start_time

    構成評価ログ

    フィールド名の変更

    check_show_name

    check_item_name

    新しいフィールド

    なし

    start_time

    ネットワーク防御ログ

    フィールド名の変更

    dest_ip

    dst_ip

    dest_port

    dst_port

    モデル

    final_action

    新しいフィールド

    なし

    start_time

    アプリケーション保護ログ

    フィールド名の変更

    自信

    コンフィデンスレベル

    content

    request_body

    content_length

    request_content_length

    ip

    host_ip

    jdk

    jdk_version

    method

    request_method

    os

    platform

    os_arch

    アーチ

    os_version

    kernel_version

    リモート

    src_ip

    result

    final_action

    rule_result

    rule_action

    severity

    risk_level

    新しいフィールド

    なし

    start_time

自動アップグレード時間

  • 2024年8月1日以降、Security Centerのログ分析機能を購入してLogstoreを作成すると、V2.0ログ辞書が自動的に適用されます。

  • 2024年8月1日より前に作成されたログストアの場合、Security CenterはV2.0ログ辞書を自動的に使用して、2024年10月30日以降に配信されるログのフィールドを記録する予定です。 2024年10月30日までは、引き続きV1.0ログ辞書を使用するか、辞書を手動でV2.0にアップグレードできます。 アップグレードはストレージ内のデータには影響せず、履歴データの整合性と可用性を保証します。

アップグレード中に問題が発生したり、サポートが必要な場合は、 チケット .

アップグレードの影響

  • Security Centerのログ分析機能を購入しなかった場合、アップグレードの影響は受けません。

  • 2024年8月1日より前にSecurity Centerのログ分析機能を購入し、次のシナリオでログを消費またはアラートをカスタマイズした場合は、この変更に注意する必要があります。 ログデータを消費するアプリケーションを使用する場合、ログ辞書を手動でV2.0にアップグレードできます。

説明

2024年10月30日までに二次開発を完了できない場合は、Security Centerコンソールに移動して3か月の延長をリクエストしてください。 このようにして、システムは2025年1月30日にログ辞書を自動的にアップグレードします。 この場合、2025年1月30日までに二次開発を完了する必要があります。 自動アップグレードの前に、ログ辞書を手動でV2.0にアップグレードできます。

シナリオ

解決策

Simple Log Serviceを使用したデータの照会

アップグレード後、V2.0ログ辞書に記録されているフィールドを使用してデータを照会する必要があります。

Simple Log Serviceに保存されたデータを関連性分析のために他のデータベースに配信する

  1. Simple Log Service (SLS) に保存されているデータと他のデータベースとの間のフィールドマッピングを変更します。 詳細については、「データ配布ジョブの管理」をご参照ください。

    変更されたフィールド名と新しく追加されたフィールドの間にマッピングを追加して、辞書V2.0を使用したログが配信され、V1.0に格納された配信データが影響を受けないようにすることをお勧めします。

  2. ログ辞書をV2.0に手動でアップグレードする。 詳細については、「ログ辞書をV2.0に手動でアップグレードする」をご参照ください。

  3. ログ配信タスクが正常に完了し、データベースに配信されるデータが期待どおりかどうかを確認します。

Simple log Serviceのログフィールドに基づいてカスタムアラートルールを設定する

  1. V2.0ログ辞書の適用後にルールが有効になるように、2024 10月30日までにカスタムアラートルールを変更する必要があります。 アラートルールを変更する方法の詳細については、「アラートモニタリングルールの管理」をご参照ください。

  2. ログ辞書をV2.0に手動でアップグレードする。 詳細については、「ログ辞書をV2.0に手動でアップグレードする」をご参照ください。

Simple Log Serviceに保存されたデータを他のデータベースに配信して二次開発を実行し、統計レポートを生成する

  1. V2.0ログ辞書に基づいて、2024年10月30日までに二次開発を完了してください。

  2. ログ辞書をV2.0に手動でアップグレードする。 具体的な操作については、「ログ辞書をV2.0に手動でアップグレードする」をご参照ください。

  3. ログが配信されるかどうか、およびデータベースに配信されるデータが期待どおりかどうかを確認します。

ログ辞書をV2.0に手動でアップグレード

  1. Security Center コンソールにログインします。 上部のナビゲーションバーで、管理するアセットのリージョンを選択します。 中国 または 全世界 (中国を除く) を選択できます。

  2. 左側のナビゲーションウィンドウで、リスクガバナンス > ログ分析.

  3. ログ分析ページの右上隅にある [Dictionary Version: V1.0] にポインターを移動し、[今すぐアップグレード] をクリックします。

  4. [ノートのアップグレード] メッセージで、[今すぐアップグレード] をクリックします。