すべてのプロダクト
Search

このプロダクト

    Simple Log Service:ログ監査サービスの概要

    ドキュメントセンター

    Simple Log Service:ログ監査サービスの概要

    最終更新日:Nov 07, 2024

    このトピックでは、Log Audit Serviceの機能、背景情報、シナリオ、および利点について説明します。 このトピックでは、Log Audit ServiceでサポートされているAlibaba Cloudサービスについても説明します。

    特徴

    Log Audit Serviceは、Simple Log Serviceのすべての機能をサポートしています。 Log Audit Serviceは、Alibaba cloudアカウント全体のクラウドサービスからの自動化された集中ログ収集もリアルタイムでサポートしています。 これにより、収集したログを監査できます。 Log Audit Serviceは、監査に必要なデータも保存し、データをクエリおよび集計できます。 Log Audit Serviceを使用して、以下のAlibaba Cloudサービスから収集されたログを監査できます。ActionTrail、Container Service for Kubernetes (ACK) 、Object Storage Service (OSS) 、Apsara File Storage NAS (NAS) 、Server Load Balancer (SLB) 、Application Load Balancer (ALB) 、API Gateway、Virtual Private Cloud (VPC) 、ApsaraDB RDS、PolarDB-X、1.0 web Application Firewall (WAF) 、Anti-DDoS、Cloud Firewall、およびセキュリティセンター。 ログ監査サービスを使用して、サードパーティのクラウドサービスおよび自己管理型セキュリティオペレーションセンター (SOC) から収集されたログを監査することもできます。

    image

    背景情報

    • ログ監査は法律で義務付けられています。

      ログ監査は、規制要件を満たすために世界中の企業で必要です。 中華人民共和国のサイバーセキュリティ法は、2017年に中国本土で施行されました。 さらに、2019年12月にマルチレベル保護スキーム (MLPS) 2.0が発効しました。日志审计-001

    • ログ監査は、企業のデータセキュリティコンプライアンスの基盤です。

      多くの企業には、デバイスの操作、ネットワークの動作、およびログを監査できるコンプライアンスおよび監査チームがあります。 Log Audit Serviceを使用して、生ログ、監査ログを消費し、コンプライアンス監査レポートを生成できます。 自己管理型SOCまたはAlibaba Cloud Security Centerを使用して、ログ監査サービスのログを消費できます。

      image

    • ログ監査は、データのセキュリティと保護にとって非常に重要です。

      FireEyeが発行したM-Trends 2018レポートによると、ほとんどの企業、特にアジア太平洋地域の企業はサイバーセキュリティ攻撃に対して脆弱です。 世界の滞留時間の中央値は101日でした。 アジア太平洋地域では、滞留時間の中央値は498日でした。 ドウェル時間は、攻撃が発生してから攻撃が検出されるまでの期間を示す。 滞留時間を短縮するために、企業は信頼できるログデータ、耐久性のあるストレージ、および監査サービスを必要とします。

    シナリオ

    • シンプルなLog Serviceベースの監査

      Simple Log Serviceを使用すると、ログをエンドツーエンドで収集、クレンジング、分析、視覚化できます。 ログのアラートを設定することもできます。 Simple Log Serviceは、DevOps、操作、セキュリティ、および監査のシナリオで使用できます。

      image

    • 典型的なログ監査

      ログ監査の次の要件は、4つのレベルに分類されます。日志审计-004

      • 基本要件: ほとんどの中小企業では、自動ログ収集と保存が必要です。 これらの企業は、MLPS 2.0で指定されている基本要件を満たし、自動メンテナンスを実装する必要があります。

      • 中間要件: 多国籍企業、大企業、および一部の中規模企業には、異なるAlibaba Cloudアカウントを使用し、個別に請求書を支払う複数の部門があります。 ただし、監査に必要なログは集中的に自動的に収集する必要があります。 基本的な要件に加えて、これらの企業はログを収集し、一元的にアカウントを管理する必要があります。 ほとんどの場合、これらの企業には監査システムがあり、監査システムをLog audit Serviceとリアルタイムで同期する必要があります。

      • 高度な要件: 専用のコンプライアンスおよび監査チームを持つ大企業は、ログを監視し、ログを分析し、ログのアラートを設定する必要があります。 一部の企業はログを収集し、さらに処理するためにログを監査システムに送信します。 クラウド上に監査システムを構築したい他の企業は、Simple Log Serviceが提供する監査関連の機能を使用できます。 機能には、クエリ、分析、アラート、および視覚化が含まれます。

      • 主な要件: 専門的なコンプライアンスおよび監査チームを持つほとんどの大企業は、自己管理型のSOCまたは監査システムを持っています。 これらの企業は、SOCまたは監査システムをLog audit Serviceと同期し、データを一元管理する必要があります。

      Simple Log Serviceのログ監査サービスは、4つのレベルの要件をすべて満たしています。

    メリット

    • 集中ログ収集

      • アカウント間のログ収集: 複数のAlibaba Cloudアカウントから1つのAlibaba Cloudアカウント内のプロジェクトにログを収集できます。 カスタム認証モードまたはリソースディレクトリモードでマルチアカウント収集を設定できます。 リソースディレクトリモードの使用を推奨します。 詳細については、「マルチアカウントコレクションの設定」をご参照ください。

      • 使いやすさ: 収集ポリシーは1回だけ設定する必要があります。 次に、Log Audit Serviceは、新しいリソースが検出されたときに、異なるアカウントに属するAlibaba Cloudリソースからログをリアルタイムで収集します。 新しいリソースには、新しく作成されたApsaraDB RDSインスタンス、SLBインスタンス、およびOSSバケットが含まれます。

      • 集中ストレージ: ログは収集され、リージョンの中央プロジェクトに保存されます。 これにより、収集したログをより効率的にクエリ、分析、視覚化できます。 ログのアラートを設定し、セカンダリ開発を実行することもできます。

    • 包括的な監査

      • Log Audit Serviceは、Simple Log Serviceのすべての機能をサポートしています。 たとえば、ログを照会、分析、変換、視覚化、エクスポートしたり、ログのアラートを設定したりできます。 ログ監査サービスでは、ログを一元的に監査することもできます。

      • Log Audit ServiceをAlibaba Cloudサービス、オープンソースソフトウェア、およびサードパーティ製SOCとともに使用して、データからより多くの価値を生み出すことができます。

    対応 Alibaba Cloud サービス

    Log Audit Serviceを使用すると、ActionTrail、ACK、OSS、NAS、SLB、ALB、API Gateway、VPC、ApsaraDB RDS、PolarDB-X 1.0、PolarDB、WAF、Cloud Firewall、Security Center、Anti-DDoSから収集されたログを監査できます。 Alibaba Cloudサービスから収集されたログは、LogstoreとMetricstoreに自動的に保存されます。 LogstoreとMetricstoreのダッシュボードが自動的に生成されます。 下表に詳細を示します。

    Alibaba Cloudサービス

    監査ログ

    サポート対象地域

    前提条件

    シンプルなLog Serviceリソース

    ActionTrail

    • Resource Access Management (RAM) ログインログ

    • Alibaba Cloudサービスのリソース操作ログ

    • API操作のログ

    中国 (杭州) 、中国 (上海) 、中国 (青島) 、中国 (北京) 、中国 (張家口) 、中国 (フフホト) 、中国 (ウランカブ) 、中国 (深セン) 、中国 (河源) 、中国 (広州) 、中国 (香港) 、シンガポール、オーストラリア (シドニー) (サービス終了)、マレーシア (クアラルンプール) 、インドネシア (ジャカルタ) 、日本 (東京) 、米国 (シリコンバレー) 、米国 (バージニア) 、ドイツ (フランクフルト) 、英国 (ロンドン) 、アラブ首長国連邦 (ドバイ)

    なし

    • ログストア

      actiontrail_log

    • ダッシュボード

      • ActionTrail監査センター

      • ActionTrailコア構成センター

      • ActionTrailログインセンター

    Cloud Config

    • 設定変更ログ

    • リソース非準拠イベント

    Cloud Configでサポートされているすべてのリージョン

    Log Audit ServiceでCloud Configのログを収集、保存、またはクエリする場合は、Cloud Configに記録されたログを抽出する権限をSimple Log Serviceに付与する必要があります。承認が完了すると、Cloud Configのログが自動的にSimple Log Serviceにプッシュされます。

    • ログストア

      cloudconfig_log

    • ダッシュボード

      なし

    SLB

    HTTPまたはHTTPSリスナーのレイヤー7ネットワークログ

    中国 (杭州) 、中国 (上海) 、中国 (青島) 、中国 (北京) 、中国 (張家口) 、中国 (フフホト) 、中国 (ウランカブ) 、中国 (深セン) 、中国 (河源) 、中国 (広州) 、中国 (成都) 、中国 (香港) 、シンガポール、日本 (東京) 、マレーシア (クアラルンプール) 、インドネシア (ジャカルタ) 、フィリピン (マニラ) 、英国 (ロンドン) 、UAE (ドバイ) 、オーストラリア (シドニー) (サービス終了)、米国 (シリコンバレー) 、米国 (バージニア) 、ドイツ (フランクフルト)

    なし

    • ログストア

      slb_log

    • ダッシュボード

      • SLB監査センター

      • SLBアクセスセンター

      • SLB全体のデータ表示

    ALB

    HTTPまたはHTTPSリスナーのレイヤー7ネットワークログ

    中国 (杭州) 、中国 (上海) 、中国 (青島) 、中国 (北京) 、中国 (張家口) 、中国 (ウランカブ) 、中国 (深セン) 、中国 (広州) 、中国 (成都) 、中国 (香港) 、日本 (東京) 、シンガポール、オーストラリア (シドニー) (サービス終了)、マレーシア (クアラルンプール) 、インドネシア (ジャカルタ) 、ドイツ (フランクフルト) 、米国 (シリコンバレー) 、米国 (バージニア)

    なし

    • ログストア

      alb_log

    • ダッシュボード

      • ALBオペレーションセンター

      • ALBアクセスセンター

    API Gateway

    アクセスログ

    サポートされているすべてのリージョン

    なし

    • ログストア

      apigateway_log

    • ダッシュボード

      API Gateway監査センター

    VPC

    フローログ

    中国 (杭州) 、中国 (上海) 、中国 (青島) 、中国 (北京) 、中国 (張家口) 、中国 (フフホト) 、中国 (ウランカブ) 、中国 (深セン) 、中国 (河源) 、中国 (広州) 、中国 (成都) 、中国 (香港) 、シンガポール、オーストラリア (シドニー) (サービス終了)、マレーシア (クアラルンプール) 、インドネシア (ジャカルタ) 、日本 (東京) 、米国 (シリコンバレー) 、米国 (バージニア) 、アラブ首長国連邦 (ドバイ) 、ドイツ (フランクフルト) 、英国 (ロンドン)

    • VPCまたはvSwitchでフローログ機能を有効にすると、VPCまたはvSwitch内の次のインスタンスファミリーに属するECSインスタンスに関する情報を取得できません。 この機能は、要件を満たす他のECSインスタンスに関する情報のみをキャプチャできます。

    • ECSインスタンスが次のインスタンスファミリーに属している場合、ECSインスタンスにバインドされているelastic network Interface (ENI) に対してこの機能を有効にすることはできません。

    ecs.c1、ecs.c2、ecs.c4、ecs.ce4、ecs.cm4、ecs.d1、ecs.e3、ecs.e4、ecs.ga1、ecs.gn4、ecs.gn5、ecs.i1、ecs.m1、ecs.m2、ecs.n1、ecs. ecs.n2、ecs. ecs. ecs.s3、ecs.se1、ecs.sn1、ecs.sn2、ecs.t1、およびecs.xn4

    • ログストア

      vpc_log

    • ダッシュボード

      • VPCフローログの概要

      • VPCフローログ拒否センター

      • VPCフローログトラフィックセンター

    DNS

    イントラネットプライベートDNSログ

    中国 (杭州) 、中国 (上海) 、中国 (青島) 、中国 (北京) 、中国 (張家口) 、中国 (深セン) 、中国 (広州) 、中国 (香港) 、シンガポール

    新しいバージョンのAlibaba Cloud DNSコンソールに移動し、Alibaba Cloud DNS PrivateZoneを有効化します。

    • ログストア

      dns_log

    • ダッシュボード

      なし

    パブリックDNS解決ログ

    非該当

    • ログストア

      dns_log

    • ダッシュボード

      なし

    Global Traffic Managerログ

    非該当

    • 新しいバージョンのAlibaba Cloud DNSコンソールに移動してGlobal Traffic Managerを有効化し、Global Traffic Managerインスタンスを購入します。

    • 中国のドメイン名関連のログは保存できません。

    • Global Traffic Managerは、必要なホワイトリストのユーザーのみが使用できます。 ユーザーをホワイトリストに追加するには、 Alibaba Cloud DNSエンジニアにチケットを起票してください。

    • ログストア

      dns_log

    • ダッシュボード

      なし

    WAF

    • アクセスログ

    • 攻撃ログ

    サポートされているすべてのリージョン

    • WAFインスタンスは、EnterpriseまたはBusinessエディションである必要があります。

    • WAFコンソールでSimple Log Service for WAF機能を有効にする必要があります。 詳細については、「Simple Log Service For WAF機能の使用を開始する」をご参照ください。

    • ログストア

      waf_log

    • ダッシュボード

      • WAF監査センター

      • WAFセキュリティセンター

      • WAFアクセスセンター

    Security Center

    • 9種類のホストログ

    • 4種類のネットワークログ

    • 7種類のセキュリティログ

    中国 (杭州) とシンガポール

    • セキュリティセンターはEnterpriseエディションである必要があります。

    • ログ分析機能は、Security Centerコンソールで有効にする必要があります。 詳細については、「ログ分析機能の有効化」をご参照ください。

    • ログストア

      sas_log

    • ダッシュボード

      • SASアラームセンター

      • SAS接続センター

      • SAS DNSアクセスセンター

      • SASベースラインセンター

      • SASログインセンター

      • SASプロセスセンター

      • SASネットワークセッションセンター

      • SAS脆弱性センター

      • SAS Webアクセスセンター

    Cloud Firewall

    インターネットファイアウォールとVPCファイアウォールのトラフィックログ

    非該当

    • Cloud FirewallはPremium Edition以上である必要があります。

    • Cloud Firewallコンソールでログ分析機能を有効にする必要があります。 詳細については、「ログ分析機能の有効化」をご参照ください。

    • ログストア

      cloudfirewall_log

    • ダッシュボード

      Cloud Firewall監査センター

    Bastionhost

    操作ログ

    サポートされているすべてのリージョン

    BastionhostはV3.2以降である必要があります。

    • ログストア

      bastion_log

    • ダッシュボード

      なし

    OSS

    • リソース操作ログ

    • データ操作ログ

    • データアクセスログと計測ログ

    • 期限切れファイルのログを削除する

    • CDN back-to-originトラフィックログ

    中国 (杭州) 、中国 (上海) 、中国 (青島) 、中国 (北京) 、中国 (張家口) 、中国 (フフホト) 、中国 (ウランカブ) 、中国 (深セン) 、中国 (河源) 、中国 (広州) 、中国 (成都) 、中国 (香港) 、シンガポール、オーストラリア (シドニー) (サービス終了)、マレーシア (クアラルンプール) 、インドネシア (ジャカルタ) 、フィリピン (マニラ) 、日本 (東京) 、韓国 (ソウル) 、タイ (バンコク) 、ドイツ (フランクフルト) 、アラブ首長国連邦 (ドバイ) 、英国 (ロンドン) 、米国 (バージニア) 、米国 (シリコンバレー)

    なし

    • ログストア

      oss_log

    • ダッシュボード

      • OSS監査センター

      • OSSアクセスセンター

      • OSSオペレーションセンター

      • OSSパフォーマンスセンター

      • OSS全体のデータビュー

    ApsaraDB RDS

    • ApsaraDB RDS for MySQLインスタンスの監査ログ

    • ApsaraDB RDS for MySQLインスタンスの低速クエリログ

    • ApsaraDB RDS for MySQLインスタンスのパフォーマンスログ

    • ApsaraDB RDS for MySQLインスタンスのエラーログ

    • ApsaraDB RDS for PostgreSQLインスタンスの監査ログ

    • ApsaraDB RDS for PostgreSQLインスタンスの低速クエリログ

    • ApsaraDB RDS for PostgreSQLインスタンスのエラーログ

    • ApsaraDB RDS for MySQLインスタンスの監査ログ: 中国 (南京-ローカルリージョン) 、中国 (福州-ローカルリージョン) 、中国 (河源) 、フィリピン (マニラ) を除くすべてのサポート対象リージョン

    • ApsaraDB RDS for MySQLインスタンスの低速クエリログ、パフォーマンスログ、エラーログ: 中国 (南京-ローカルリージョン) 、中国 (福州-ローカルリージョン) 、フィリピン (マニラ) を除くすべてのサポート対象リージョン

    • ApsaraDB RDS for PostgreSQLインスタンスの監査ログ: 中国 (杭州) 、中国 (上海) 、中国 (青島) 、中国 (北京) 、中国 (張家口) 、中国 (フフホト) 、中国 (深セン) 、中国 (河源) 、中国 (広州) 、中国 (香港) 、シンガポール、オーストラリア (シドニー)(サービス終了) 、マレーシア (クアラルンプール) 、インドネシア (ジャカルタ) 、ドイツ (フランクフルト) 、アメリカ (バージニア)

    • ApsaraDB RDS for PostgreSQLインスタンスのスロークエリログとエラーログ: 中国 (杭州) 、中国 (上海) 、中国 (青島) 、中国 (北京) 、中国 (張家口) 、中国 (フフホト) 、中国 (ウランカブ) 、中国 (深セン) 、中国 (河原) 、中国 (広州) 、中国 (成都) 、中国 (香港) 、シンガポールオーストラリア (シドニー)(サービス終了) 、マレーシア (クアラルンプール) 、インドネシア (ジャカルタ) 、フィリピン (マニラ) 、ドイツ (フランクフルト) 、英国 (ロンドン) 、米国 (バージニア)

    • 監査ログ

      • RDS Basic Editionを実行しているインスタンスを除き、ApsaraDB RDS for MySQLインスタンスがサポートされています。

      • RDS High-availability Editionを実行するApsaraDB RDS for PostgreSQLインスタンスがサポートされています。

      • SQL ExplorerまたはSQL監査機能を有効にする必要があります。 機能はログ監査サービスによって自動的に有効になります。

    • 低速クエリログとエラーログ

      • RDS Basic Editionを実行しているインスタンスを除き、ApsaraDB RDS for MySQLインスタンスがサポートされています。

      • RDS High-availability Editionを実行するApsaraDB RDS for PostgreSQLインスタンスがサポートされています。

    • パフォーマンスログ

      RDS Basic Editionを実行しているインスタンスを除き、ApsaraDB RDS for MySQLインスタンスがサポートされています。

    • 監査ログ

      • ログストア

        rds_log

      • ダッシュボード

        • RDS監査センター

        • RDSセキュリティセンター

        • RDSパフォーマンスセンター

        • RDS全体のデータビュー

    • 低速クエリログとエラーログ

      • ログストア

        rds_log

      • ダッシュボード

        なし

    • パフォーマンスログ

      • メトリクスストア

        rds_metrics

      • ダッシュボード

        RDSパフォーマンスモニター

    PolarDB

    • PolarDB for MySQLクラスターの監査ログ

    • PolarDB for MySQLクラスターの低速クエリログ

    • PolarDB for MySQLクラスターのパフォーマンスログ

    • PolarDB for MySQLクラスターのエラーログ

    サポートされているすべてのリージョン

    • 監査ログ

      • PolarDB for MySQLクラスターがサポートされています。

      • SQL ExplorerまたはSQL監査機能を有効にする必要があります。 機能はログ監査サービスによって自動的に有効になります。

    • 低速クエリログ、パフォーマンスログ、およびエラーログ

      PolarDB for MySQLクラスターのみがサポートされています。

    • スロークエリログ、監査ログ、およびエラーログ

      • ログストア

        polardb_log

      • ダッシュボード

        なし

    • パフォーマンスログ

      • メトリクスストア

        polardb_metrics

      • ダッシュボード

        PolarDBパフォーマンスモニタ

    PolarDB-X 1.0

    PolarDB-X 1.0監査ログ

    中国 (青島) 、中国 (深セン) 、中国 (上海) 、中国 (北京) 、中国 (杭州) 、中国 (張家口) 、中国 (成都) 、中国 (香港)

    なし

    • ログストア

      drds_log

    • ダッシュボード

      • DRDSオペレーションセンター

      • DRDSセキュリティセンター

      • DRDSパフォーマンスセンター

    NAS

    アクセスログ

    サポートされているすべてのリージョン

    なし

    • ログストア

      nas_log

    • ダッシュボード

      • NASの概要

      • NAS監査センター

      • NASオペレーションセンター

    ACK

    • Kubernetes監査ログ

    • Kubernetesイベントセンター

    • Ingressアクセスログ

    中国 (上海) 、中国 (北京) 、中国 (杭州) 、中国 (深セン) 、中国 (フフホト) 、中国 (張家口) 、中国 (成都) 、中国 (香港)

    Kubernetesログのログ収集機能を手動で有効にする必要があります。

    説明

    • 自動的に作成され、k8s-log-{ClusterID} 形式で名前が付けられたプロジェクトを使用する必要があります。 手動で作成されたプロジェクトはサポートされていません。

    • Kubernetesログの収集は、データ変換機能に基づいています。 Kubernetesログを収集すると、データ変換機能に対して課金されます。 詳細については、「機能課金の課金項目」をご参照ください。

    • アカウント間でKubernetesログを収集することはできません。

    • ログストア

      • k8s_log

      • k8s_ingress_log

    • ダッシュボード

      • Kubernetes監査センターの概要

      • Kubernetesイベントセンター

      • Kubernetesリソース操作の概要

      • Ingressの概要

      • Ingress アクセスセンター

    Anti-DDoS

    • Anti-DDoS Proxy (中国本土) アクセスログ

    • Anti-DDoSプロキシ (中国本土以外) アクセスログ

    • Anti-DDoS Originアクセスログ

    非該当

    • Anti-DDoS Proxy (中国本土): Anti-DDoS Proxy (中国本土) コンソールでログ分析機能を有効にする必要があります。 詳細については、「ログ分析機能の使用」をご参照ください。

    • Anti-DDoS Proxy (Outside Chinese Mainland): Anti-DDoS Proxy (Outside Chinese Mainland) コンソールでログ分析機能を有効にする必要があります。 詳細については、「ログ分析機能の使用」をご参照ください。

    • Anti-DDoS Origin: Anti-DDoS Originコンソールでログ分析機能を有効にする必要があります。 詳細については、「ログ分析機能の有効化」をご参照ください。

    • ログストア

      ddos_log

    • ダッシュボード

      • Anti-DDoSプレミアムアクセスセンター

      • Anti-DDoSプレミアムオペレーションセンター

      • Anti-DDoS Proアクセスセンター

      • Anti-DDoS Proオペレーションセンター

      • Anti-DDoSオリジンイベントレポート

      • Anti-DDoS Originの軽減レポート

    クラウドサービスバス (CSB) アプリの接続

    操作ログ

    非該当

    なし

    • ログストア

      appconnect_log

    • ダッシュボード

      なし

    説明

    ApsaraDB RDSインスタンスまたはPolarDB for MySQLクラスターが再起動された場合、再起動後5分以内に生成されたログの収集に失敗することがあります。