ログ監査サービス (旧バージョン) - Simple Log Service - Alibaba Cloud ドキュメントセンター

このトピックでは、ログ監査サービスの機能、背景情報、シナリオ、および利点について説明します。また、ログ監査サービスでサポートされている Alibaba Cloud サービスについても説明します。

重要

ログ監査サービスコンソールの旧バージョンへのエントリは、2025 年 1 月 21 日に削除されます。ただし、既存のユーザー (この日付より前にサービスの利用を開始したユーザー) は引き続きエントリにアクセスできます。旧バージョンを使用したい新規ユーザーは、新バージョンのログ監査サービスにアクセスし、[旧バージョンに戻る] をクリックして旧バージョンに戻ることができます。

機能

ログ監査サービスは、Simple Log Service のすべての機能をサポートしています。また、Alibaba Cloud アカウント全体のクラウドサービスからリアルタイムでログを自動的かつ一元的に収集することもサポートしています。これにより、収集されたログを監査できます。ログ監査サービスは、監査に必要なデータを保存し、データのクエリと集計を可能にします。ログ監査サービスを使用して、以下の Alibaba Cloud サービスから収集されたログを監査できます。ActionTrail、Container Service for Kubernetes (ACK)、Object Storage Service (OSS)、NAS ファイルシステム (NAS)、Server Load Balancer (SLB)、Application Load Balancer (ALB)、API Gateway、Virtual Private Cloud (VPC)、ApsaraDB RDS、PolarDB-X 1.0、PolarDB、Web Application Firewall (WAF)、Anti-DDoS、Cloud Firewall、およびセキュリティセンター。また、ログ監査サービスを使用して、サードパーティのクラウドサービスおよび自己管理のセキュリティオペレーションセンター (SOC) から収集されたログを監査することもできます。

背景情報

ログ監査は法律で義務付けられています。
ログ監査は、規制要件を満たすために世界中の企業で必要とされています。中華人民共和国サイバーセキュリティ法は、2017 年に中国本土で施行されました。さらに、多層防御スキーム (MLPS) 2.0 は 2019 年 12 月に施行されました。
ログ監査は、企業のデータセキュリティコンプライアンスの基盤となります。
多くの企業には、デバイスの操作、ネットワークの動作、およびログを監査できるコンプライアンスおよび監査チームがあります。ログ監査サービスを使用して、生のログ、監査ログを使用し、コンプライアンス監査レポートを生成できます。自己管理の SOC または Alibaba Cloud セキュリティセンターを使用して、ログ監査サービスのログを使用できます。
ログ監査は、データセキュリティと保護にとって非常に重要です。
FireEye が発行した M-Trends 2018 レポートによると、ほとんどの企業、特にアジア太平洋地域の企業は、サイバーセキュリティ攻撃に対して脆弱です。世界の平均滞留時間は 101 日でした。アジア太平洋地域では、平均滞留時間は 498 日でした。滞留時間は、攻撃が発生してから攻撃が検出されるまでの期間を示します。滞留時間を短縮するには、企業は信頼できるログデータ、永続ストレージ、および監査サービスを必要とします。

シナリオ

Simple Log Service ベースの監査
Simple Log Service を使用すると、エンドツーエンドでログを収集、クレンジング、分析、および可視化できます。ログのアラートを設定することもできます。Simple Log Service は、DevOps、運用、セキュリティ、および監査のシナリオで使用できます。
一般的なログ監査
ログ監査の以下の要件は、4 つのレベルに分類されます。
- 基本要件: ほとんどの中小企業は、ログの自動収集と保存を必要としています。これらの企業は、MLPS 2.0 で規定されている基本要件を満たし、自動メンテナンスを実装する必要があります。
- 中間要件: 多国籍企業、大企業、および一部の中堅企業には、異なる Alibaba Cloud アカウントを使用し、個別に請求を行う複数の部門があります。ただし、監査に必要なログは、一元的に自動収集する必要があります。これらの企業は、基本要件に加えて、ログを収集し、アカウントを一元的に管理する必要があります。ほとんどの場合、これらの企業は監査システムを持っており、監査システムをログ監査サービスとリアルタイムで同期させる必要があります。
- 高度な要件: 専門のコンプライアンスおよび監査チームを持つ大企業は、ログの監視、分析、およびアラートの設定を行う必要があります。特定の企業はログを収集し、さらなる処理のために監査システムに送信します。クラウド上に監査システムを構築したい他の企業は、Simple Log Service が提供する監査関連機能を使用できます。これらの機能には、クエリ、分析、アラート、および可視化が含まれます。
- 最高の要件: 専門のコンプライアンスおよび監査チームを持つほとんどの大企業は、自己管理の SOC または監査システムを持っています。これらの企業は、SOC または監査システムをログ監査サービスと同期させ、データを一元的に管理する必要があります。
Simple Log Service のログ監査サービスは、4 つのレベルすべての要件を満たしています。

利点

一元的なログ収集
- アカウント全体のログ収集: 複数の Alibaba Cloud アカウントから 1 つの Alibaba Cloud アカウント内のプロジェクトにログを収集できます。複数アカウント収集は、カスタム認証モードまたはリソースディレクトリモードで構成できます。リソースディレクトリモードを使用することをお勧めします。詳細については、「複数アカウント収集を構成する」をご参照ください。
- 使いやすさ: 収集ポリシーを一度だけ構成する必要があります。その後、新しいリソースが検出されると、ログ監査サービスは異なるアカウントに属する Alibaba Cloud リソースからリアルタイムでログを収集します。新しいリソースには、新しく作成された ApsaraDB RDS インスタンス、SLB インスタンス、および OSS バケットが含まれます。
- 一元ストレージ: ログは収集され、リージョンのセントラルプロジェクトに保存されます。これにより、収集されたログをより効率的にクエリ、分析、および可視化できます。ログのアラートを設定し、二次開発を実行することもできます。
包括的な監査
- ログ監査サービスは、Simple Log Service のすべての機能をサポートしています。たとえば、ログのクエリ、分析、変換、可視化、エクスポート、およびアラートの設定を行うことができます。ログ監査サービスでは、ログを一元的に監査することもできます。
- ログ監査サービスを Alibaba Cloud サービス、オープンソースソフトウェア、およびサードパーティ SOC と組み合わせて使用することで、データからより多くの価値を生み出すことができます。

サポートされている Alibaba Cloud サービス

ログ監査サービスを使用して、以下の Alibaba Cloud サービスから収集されたログを監査できます。ActionTrail、ACK、OSS、NAS、SLB、ALB、API Gateway、VPC、ApsaraDB RDS、PolarDB-X 1.0、PolarDB、WAF、Cloud Firewall、セキュリティセンター、および Anti-DDoS。Alibaba Cloud サービスから収集されたログは、ログストアとメトリックストアに自動的に保存されます。ダッシュボードは、ログストアとメトリックストアに対して自動的に生成されます。次の表に詳細を示します。

クラウドサービス	監査対象ログ	収集でサポートされているリージョン	前提条件	Simple Log Service リソース
ActionTrail	Resource Access Management (RAM) ログインログ Alibaba Cloud サービスのリソース操作ログ API 操作のログ	中国 (杭州)、中国 (上海)、中国 (青島)、中国 (北京)、中国 (張家口)、中国 (フフホト)、中国 (ウランチャブ)、中国 (深セン)、中国 (河源)、中国 (広州)、中国 (香港)、シンガポール、マレーシア (クアラルンプール)、インドネシア (ジャカルタ)、日本 (東京)、米国 (シリコンバレー)、米国 (バージニア)、ドイツ (フランクフルト)、英国 (ロンドン)、および UAE (ドバイ)	なし	ログストア actiontrail_log ダッシュボード ActionTrail 監査センター ActionTrail コア構成センター ActionTrail ログインセンター
Cloud Config	構成変更ログリソース非準拠イベント	Cloud Config でサポートされているすべてのリージョン	ログ監査サービスで Cloud Config のログを収集、保存、またはクエリする場合、Cloud Config に記録されているログを抽出する権限を Simple Log Service に付与する必要があります。認証が完了すると、Cloud Config のログは Simple Log Service に自動的にプッシュされます。	ログストア cloudconfig_log ダッシュボードなし
SLB	HTTP または HTTPS リスナーのレイヤー 7 ネットワークログ	中国 (杭州)、中国 (上海)、中国 (青島)、中国 (北京)、中国 (張家口)、中国 (フフホト)、中国 (ウランチャブ)、中国 (深セン)、中国 (河源)、中国 (広州)、中国 (成都)、中国 (香港)、シンガポール、日本 (東京)、マレーシア (クアラルンプール)、インドネシア (ジャカルタ)、フィリピン (マニラ)、英国 (ロンドン)、UAE (ドバイ)、米国 (シリコンバレー)、米国 (バージニア)、およびドイツ (フランクフルト)	なし	ログストア slb_log ダッシュボード SLB 監査センター SLB アクセスセンター SLB 全体データビュー
ALB	HTTP または HTTPS リスナーのレイヤー 7 ネットワークログ	中国 (杭州)、中国 (上海)、中国 (青島)、中国 (北京)、中国 (張家口)、中国 (ウランチャブ)、中国 (深セン)、中国 (広州)、中国 (成都)、中国 (香港)、日本 (東京)、シンガポール、マレーシア (クアラルンプール)、インドネシア (ジャカルタ)、ドイツ (フランクフルト)、米国 (シリコンバレー)、および米国 (バージニア)	なし	ログストア alb_log ダッシュボード ALB オペレーションセンター ALB アクセスセンター
API Gateway	アクセスログ	サポートされているすべてのリージョン	なし	ログストア apigateway_log ダッシュボード API Gateway 監査センター
VPC	フローログ	中国 (杭州)、中国 (上海)、中国 (青島)、中国 (北京)、中国 (張家口)、中国 (フフホト)、中国 (ウランチャブ)、中国 (深セン)、中国 (河源)、中国 (広州)、中国 (成都)、中国 (香港)、シンガポール、マレーシア (クアラルンプール)、インドネシア (ジャカルタ)、日本 (東京)、米国 (シリコンバレー)、米国 (バージニア)、UAE (ドバイ)、ドイツ (フランクフルト)、および英国 (ロンドン)	VPC または vSwitch でフローログ機能が有効になっている場合、この機能は、VPC または vSwitch 内の以下のインスタンスファミリに属する ECS インスタンスに関する情報をキャプチャできません。この機能は、要件を満たす他の ECS インスタンスに関する情報のみをキャプチャできます。 ECS インスタンスが以下のインスタンスファミリに属する場合、ECS インスタンスにバインドされているエラスティックネットワークインターフェース (ENI) に対してこの機能を有効にすることはできません。 ecs.c1、ecs.c2、ecs.c4、ecs.ce4、ecs.cm4、ecs.d1、ecs.e3、ecs.e4、ecs.ga1、ecs.gn4、ecs.gn5、ecs.i1、ecs.m1、ecs.m2、ecs.mn4、ecs.n1、ecs.n2、ecs.n4、ecs.s1、ecs.s2、ecs.s3、ecs.se1、ecs.sn1、ecs.sn2、ecs.t1、および ecs.xn4	ログストア vpc_log ダッシュボード VPC フローログの概要 VPC フローログ拒否センター VPC フローログトラフィックセンター
DNS	イントラネット DNS ログ	中国 (杭州)、中国 (上海)、中国 (青島)、中国 (北京)、中国 (張家口)、中国 (深セン)、中国 (広州)、中国 (香港)、中国 (成都)、シンガポール、および米国 (シリコンバレー)	新バージョンの Alibaba Cloud DNS コンソールに移動して、Alibaba Cloud DNS PrivateZone をアクティブにします。	ログストア dns_log ダッシュボードなし
	パブリック DNS 解決ログ	N/A	Alibaba Cloud DNS コンソールの権限のある DNS 解決ページに移動して、DNS トラフィック分析機能を有効にし、必要なドメイン名に対して機能を有効にします。中国のドメイン名関連のログは保存できません。	ログストア dns_log ダッシュボードなし
	Global Traffic Manager ログ	N/A	Alibaba Cloud DNS コンソールの Global Traffic Manager 3.0 ページに移動して、Global Traffic Manager (GTM) をアクティブにし、GTM インスタンスを購入します。中国のドメイン名関連のログは保存できません。 Global Traffic Manager は、必要なホワイトリストに登録されているユーザーのみが使用できます。ホワイトリストにユーザーを追加するには、Alibaba Cloud DNS エンジニアにチケットを送信する必要があります。	ログストア dns_log ダッシュボードなし
WAF	アクセスログ攻撃ログ	サポートされているすべてのリージョン	WAF インスタンスは、Enterprise エディションまたは Business エディションである必要があります。 WAF コンソールで [WAF 用 Simple Log Service] 機能を有効にする必要があります。詳細については、「WAF 用 Simple Log Service 機能の概要」をご参照ください。	ログストア waf_log ダッシュボード WAF 監査センター WAF セキュリティセンター WAF アクセスセンター
セキュリティセンター	9 種類のホストログ 7 種類のセキュリティログ 4 種類のネットワークログ重要 2025 年 3 月 27 日以降、ネットワークログの配信はサポートされなくなりますが、以前に配信されたデータは保持され、クエリに使用できます。詳細については、「[お知らせ] ログ分析と CTDR 機能の更新」をご参照ください。	中国 (杭州) およびシンガポール	セキュリティセンターは Enterprise エディションである必要があります。セキュリティセンターコンソールで [ログ分析] 機能を有効にする必要があります。詳細については、「ログ分析機能を有効にする」をご参照ください。	ログストア sas_log ダッシュボード SAS アラームセンター SAS 接続センター SAS DNS アクセスセンター SAS ベースラインセンター SAS ログインセンター SAS プロセスセンター SAS ネットワークセッションセンター SAS 脆弱性センター SAS Web アクセスセンター
Cloud Firewall	インターネットファイアウォールと VPC ファイアウォールのトラフィックログ	N/A	Cloud Firewall は Premium Edition 以上である必要があります。 Cloud Firewall コンソールで [ログ分析] 機能を有効にする必要があります。詳細については、「ログ分析機能を有効にする」をご参照ください。	ログストア cloudfirewall_log ダッシュボード Cloud Firewall 監査センター
Bastionhost	操作ログ	サポートされているすべてのリージョン	Bastionhost は V3.2 以降である必要があります。	ログストア bastion_log ダッシュボードなし
OSS	リソース操作ログデータ操作ログデータアクセスログとメータリングログ期限切れファイルの削除ログ CDN back-to-origin トラフィックログ	中国 (杭州)、中国 (上海)、中国 (青島)、中国 (北京)、中国 (張家口)、中国 (フフホト)、中国 (ウランチャブ)、中国 (深セン)、中国 (河源)、中国 (広州)、中国 (成都)、中国 (香港)、シンガポール、マレーシア (クアラルンプール)、インドネシア (ジャカルタ)、フィリピン (マニラ)、日本 (東京)、韓国 (ソウル)、タイ (バンコク)、ドイツ (フランクフルト)、UAE (ドバイ)、英国 (ロンドン)、米国 (バージニア)、および米国 (シリコンバレー)	なし	ログストア oss_log ダッシュボード OSS 監査センター OSS アクセスセンター OSS オペレーションセンター OSS パフォーマンスセンター OSS 全体データビュー
ApsaraDB RDS	ApsaraDB RDS for MySQL インスタンスの監査ログ ApsaraDB RDS for MySQL インスタンスのスロークエリログ ApsaraDB RDS for MySQL インスタンスのパフォーマンスログ ApsaraDB RDS for MySQL インスタンスのエラーログ ApsaraDB RDS for PostgreSQL インスタンスの監査ログ ApsaraDB RDS for PostgreSQL インスタンスのスロークエリログ ApsaraDB RDS for PostgreSQL インスタンスのエラーログ	ApsaraDB RDS for MySQL インスタンスの監査ログ: 中国 (南京 - ローカルリージョン)、中国 (福州 - ローカルリージョン)、中国 (河源)、およびフィリピン (マニラ) を除くすべてのサポートされているリージョン ApsaraDB RDS for MySQL インスタンスのスロークエリログ、パフォーマンスログ、およびエラーログ: 中国 (南京 - ローカルリージョン)、中国 (福州 - ローカルリージョン)、およびフィリピン (マニラ) を除くすべてのサポートされているリージョン ApsaraDB RDS for PostgreSQL インスタンスの監査ログ: 中国 (杭州)、中国 (上海)、中国 (青島)、中国 (北京)、中国 (張家口)、中国 (フフホト)、中国 (深セン)、中国 (河源)、中国 (広州)、中国 (香港)、シンガポール、マレーシア (クアラルンプール)、インドネシア (ジャカルタ)、ドイツ (フランクフルト)、および米国 (バージニア) ApsaraDB RDS for PostgreSQL インスタンスのスロークエリログとエラーログ: 中国 (杭州)、中国 (上海)、中国 (青島)、中国 (北京)、中国 (張家口)、中国 (フフホト)、中国 (ウランチャブ)、中国 (深セン)、中国 (河源)、中国 (広州)、中国 (成都)、中国 (香港)、シンガポール、マレーシア (クアラルンプール)、インドネシア (ジャカルタ)、フィリピン (マニラ)、ドイツ (フランクフルト)、英国 (ロンドン)、および米国 (バージニア)	監査ログ RDS Basic Edition を実行しているインスタンスを除き、ApsaraDB RDS for MySQL インスタンスがサポートされています。 RDS High-availability Edition を実行している ApsaraDB RDS for PostgreSQL インスタンスがサポートされています。 SQL Explorer または SQL 監査機能を有効にする必要があります。これらの機能は、ログ監査サービスによって自動的に有効になります。スロークエリログとエラーログ RDS Basic Edition を実行しているインスタンスを除き、ApsaraDB RDS for MySQL インスタンスがサポートされています。 RDS High-availability Edition を実行している ApsaraDB RDS for PostgreSQL インスタンスがサポートされています。パフォーマンスログ RDS Basic Edition を実行しているインスタンスを除き、ApsaraDB RDS for MySQL インスタンスがサポートされています。	監査ログログストア rds_log ダッシュボード RDS 監査センター RDS セキュリティセンター RDS パフォーマンスセンター RDS 全体データビュースロークエリログとエラーログログストア rds_log ダッシュボードなしパフォーマンスログメトリックストア rds_metrics ダッシュボード RDS パフォーマンスモニタリング
PolarDB for MySQL	PolarDB for MySQL クラスタの監査ログ PolarDB for MySQL クラスタのスロークエリログ PolarDB for MySQL クラスタのパフォーマンスログ PolarDB for MySQL クラスタのエラーログ	サポートされているすべてのリージョン	監査ログ PolarDB for MySQL クラスタがサポートされています。 SQL Explorer または SQL 監査機能を有効にする必要があります。これらの機能は、ログ監査サービスによって自動的に有効になります。スロークエリログ、パフォーマンスログ、およびエラーログ PolarDB for MySQL クラスタのみがサポートされています。	スロークエリログ、監査ログ、およびエラーログログストア polardb_log ダッシュボードなしパフォーマンスログメトリックストア polardb_metrics ダッシュボード PolarDB パフォーマンスモニター
PolarDB-X 1.0	PolarDB-X 1.0 監査ログ	中国 (青島)、中国 (深セン)、中国 (上海)、中国 (北京)、中国 (杭州)、中国 (張家口)、中国 (成都)、および中国 (香港)	なし	ログストア drds_log ダッシュボード DRDS オペレーションセンター DRDS セキュリティセンター DRDS パフォーマンスセンター
NAS	アクセスログ	サポートされているすべてのリージョン	なし	ログストア nas_log ダッシュボード NAS 概要 NAS 監査センター NAS オペレーションセンター
ACK	Kubernetes 監査ログ Kubernetes イベントセンター Ingress アクセスログ	中国 (上海)、中国 (北京)、中国 (杭州)、中国 (深セン)、中国 (フフホト)、中国 (張家口)、中国 (成都)、および中国 (香港)	Kubernetes ログのログ収集機能を手動で有効にする必要があります。説明 k8s-log-{ClusterID} 形式で自動的に作成および命名されたプロジェクトを使用する必要があります。手動で作成されたプロジェクトはサポートされていません。 Kubernetes ログの収集は、データ変換機能に基づいています。Kubernetes ログを収集すると、データ変換機能に対して課金されます。詳細については、「従量課金制の課金対象項目」をご参照ください。アカウント全体で Kubernetes ログを収集することはできません。 Kubernetes 監査ログを使用する前の前提条件の詳細については、「DaemonSet モードで Kubernetes コンテナーからテキストログを収集する」をご参照ください。 Kubernetes イベントセンターを使用する前の前提条件の詳細については、「イベントセンターを作成して使用する」をご参照ください。 Ingress アクセスログを使用する前の前提条件の詳細については、「nginx-ingress-controller のアクセスログを分析および監視する」をご参照ください。	ログストア k8s_log k8s_ingress_log ダッシュボード Kubernetes 監査センターの概要 Kubernetes イベントセンター Kubernetes リソース操作の概要 Ingress の概要 Ingress アクセスセンター
Anti-DDoS	Anti-DDoS Proxy (中国本土) アクセスログ Anti-DDoS Proxy (中国本土以外) アクセスログ Anti-DDoS Origin アクセスログ	N/A	Anti-DDoS Proxy (中国本土): Anti-DDoS Proxy (中国本土) コンソールでログ分析機能を有効にする必要があります。詳細については、「ログ分析機能を使用する」をご参照ください。 Anti-DDoS Proxy (中国本土以外): Anti-DDoS Proxy (中国本土以外) コンソールでログ分析機能を有効にする必要があります。詳細については、「ログ分析機能を使用する」をご参照ください。 Anti-DDoS Origin: Anti-DDoS Origin コンソールでログ分析機能を有効にする必要があります。詳細については、「ログ分析機能を有効にする」をご参照ください。	ログストア ddos_log ダッシュボード Anti-DDoS Proxy (中国本土以外) アクセスセンター Anti-DDoS Proxy (中国本土以外) オペレーションセンター Anti-DDoS Proxy (中国本土) アクセスセンター Anti-DDoS Proxy (中国本土) オペレーションセンター Anti-DDoS Origin イベントレポート Anti-DDoS Origin スクラビング分析レポート

説明

ApsaraDB RDS インスタンスまたは PolarDB for MySQL クラスタを再起動すると、ログ監査サービスは再起動後 5 分以内に生成された一部のログを収集できない場合があります。