Alibaba Cloud Simple Log ServiceとSecurity Centerは、リスクデータをリアルタイムで収集、クエリ、分析、変換、および消費できるログ分析機能を共同で起動します。 ログ分析機能を使用して、サーバーの潜在的なリスクを監視および処理し、クラウドリソースの集中管理を実装できます。 このトピックでは、ログ分析機能のアセット、課金、および制限について説明します。
制限事項
専用のLogstoreに書き込むことができるのは、Security Centerログのみです。 ログの保存期間など、Logstoreの属性を変更することはできません。
中華人民共和国のサイバーセキュリティ法に準拠するには、セキュリティセンターのログを少なくとも180日間保持する必要があります。 各サーバーに40 GBのログストレージ容量を割り当てることを推奨します。
Security Center Basic Editionはログ分析機能をサポートしていません。 Security Center Ultimate EditionおよびEnterprise Editionは、ネットワークログ、セキュリティログ、およびホストログのクエリをサポートしています。 Security Center Advanced EditionおよびAnti-virus Editionは、セキュリティログおよびホストログのクエリをサポートしています。 これらのエディションの課金の詳細については、「課金の概要」をご参照ください。
アセット
専用プロジェクトとLogstore
ログ分析機能を有効にすると、Simple log Serviceはデフォルトでsas-Log-Alibaba CloudアカウントID-リージョンIDという名前のプロジェクトとsas-logという名前の専用ログストアを作成します。 次の表に、リージョンを示します。
セキュリティセンターのリージョン
Simple Log Serviceプロジェクトのリージョン
中国
中国 (杭州)
中国国外
シンガポール
重要Security Centerログに関連するプロジェクトまたはLogstoreは削除しないでください。 それ以外の場合、Security CenterのログをSimple Log Serviceに送信できません。
専用のLogstoreを誤って削除した場合は、sas-log Logstoreが存在せず、Logstore内のすべてのログデータが削除されることを確認します。 この場合は、 ticket を使用してLogstoreを復元します。 Logstoreの復元後にログ分析機能を再度有効にすると、失われたログは復元できません。
データ取り込み課金モードを有効にした場合、Simple Log Serviceは、デフォルトでデータ取り込み課金モードを使用する専用のLogstoreを作成します。 課金モードを従量課金データから従量課金機能に切り替える場合は、Logstoreの設定を変更できます。 詳細については、「Logstoreの設定の変更」をご参照ください。
専用ダッシュボード
セキュリティセンターのログは3つのタイプに分類されます。 Security Centerのログ分析機能を有効にすると、Simple log Serviceはデフォルトで9つのダッシュボードを生成します。
重要ダッシュボードはいつでもアップグレードまたは更新される可能性があるため、専用ダッシュボードを変更しないことをお勧めします。 クエリ結果を表示するカスタムダッシュボードを作成できます。 詳細については、「データベースの作成」をご参照ください。
サポートされているログタイプ
Security Center Enterprise EditionおよびUltimate Editionは、ホスト、セキュリティ、およびネットワークログタイプに属する16のサブタイプのログをサポートしています。 Security Center Anti-virus EditionおよびAdvanced Editionは、ホストおよびセキュリティログタイプに属する12のサブタイプのログをサポートしています。
ネットワークログの種類
ログタイプ | __topic__ | 説明 | 収集サイクル |
sas-log-http | ユーザーのIPアドレス、要求時間、要求方法、要求URL、HTTPステータスコード、および応答サイズを含む、webサーバーへのユーザー要求およびwebサーバーからの応答のログ。 Webアクセスログは、webトラフィックとユーザーの行動を分析し、アクセスパターンと例外を特定し、Webサイトのパフォーマンスを最適化するために使用されます。 | ほとんどの場合、ログはログが生成されてから1〜12時間後に収集されます。 | |
sas-log-dns | 要求されたドメイン名、クエリタイプ、クライアントのIPアドレス、応答値など、DNS解決の詳細のログ。 DNS解決の要求と応答プロセスを監視し、DNSログに基づいて異常な解決動作、DNSハイジャック、DNSポイズニングを特定できます。 | ||
local-dns | リクエストされたドメイン名、クエリタイプ、クライアントのIPアドレス、レスポンス値など、ローカルDNSサーバー上のDNSクエリとレスポンスのログ。 ネットワーク内のDNSクエリに関する情報を取得し、内部DNSログに基づいて、異常なクエリ動作、ドメインハイジャック、DNSポイズニングなどの問題を特定できます。 | ||
sas-log-session | ネットワークセッションの詳細を含む、ネットワーク接続とデータ送信のログ。 詳細には、セッション開始時刻、送信元IPアドレス、宛先IPアドレス、プロトコル、およびポートが含まれます。 ネットワークセッションログは、一般に、ネットワークトラフィックの監視、潜在的な脅威の特定、およびネットワークパフォーマンスの最適化に使用されます。 |
ホストログの種類
ログタイプ | __topic__ | 説明 | 収集サイクル |
aegis-log-login | サーバーへのユーザーログオンのログ (ログオン時間、ログオンユーザー、ログオン方法、ログオンIPアドレスなど) 。 ログオンログは、ユーザーのアクティビティを監視し、異常な動作を早期に特定して対応するのに役立ちます。 これにより、システムのセキュリティが確保されます。 説明 セキュリティセンターは、Windows Server 2008を実行しているサーバーへのログオンのログを収集しません。 | ログはリアルタイムで収集されます。 | |
aegis-log-network | サーバーへの接続の5タプル、接続時間、接続ステータスなど、ネットワーク接続のログ。 ネットワーク接続ログは、疑わしい接続の検出、潜在的なネットワーク攻撃の特定、およびネットワークパフォーマンスの最適化に役立ちます。 説明
| ログはリアルタイムで収集されます。 | |
aegis-log-process | 起動時間、起動コマンド、パラメーターなど、サーバープロセスの起動ログ。 サーバープロセスの起動状態と構成を取得し、プロセスの起動ログに基づいて異常プロセス、マルウェアの侵入、脅威などの問題を特定できます。 | ログはリアルタイムで収集されます。 プロセスが開始されると、ログはすぐに収集されます。 | |
aegis-log-crack | ブルートフォース攻撃のログ (ログオン試行、システム、アプリケーション、またはアカウントのクラック試行に関する情報など) 。 システムまたはアプリケーションに対するブルートフォース攻撃に関する情報を取得し、ブルートフォース攻撃ログに基づいて、異常なログオン試行、弱いパスワード、および資格情報の漏洩を特定できます。 また、ブルートフォース攻撃ログを使用して悪意のあるユーザーを追跡し、証拠を収集して、セキュリティチームのインシデント対応と調査を支援することもできます。 | ログはリアルタイムで収集されます。 | |
aegis-snapshot-host | アカウントに関する基本情報を含む、システムまたはアプリケーションのアカウントのログ。 基本情報には、アカウントのユーザー名、パスワードポリシー、およびログオン履歴が含まれます。 さまざまな時点でのアカウントのスナップショットログを比較することで、アカウントの変更を取得し、潜在的なリスクを最も早い機会に特定できます。 リスクには、不正なアカウントからのアクセスや異常なアカウントステータスが含まれます。 |
| |
aegis-snapshot-port | 5タプルの接続、接続ステータス、および関連するプロセスを含む、ネットワーク接続のログ。 システム内のネットワークソケットに関する情報を取得し、異常な接続と潜在的なネットワーク攻撃を特定し、ネットワークスナップショットログに基づいてネットワークパフォーマンスを最適化できます。 | ||
aegis-snapshot-process | プロセスID、プロセス名、プロセス開始時刻など、システム内のプロセスのログ。 システム内のプロセスおよびプロセスのリソース使用量に関する情報を取得し、プロセスのスナップショットログに基づいて、異常プロセス、過剰なCPU使用率、メモリリークなどの問題を特定できます。 | ||
aegis-log-dns-query | 要求されたドメイン名、クエリタイプ、およびクエリソースを含む、サーバーによって送信されたDNS要求のログ。 ネットワーク内のDNSクエリに関する情報を取得し、DNSリクエストログに基づいて、異常なクエリ、ドメインハイジャック、DNSポイズニングなどの問題を特定できます。 | ログはリアルタイムで収集されます。 | |
aegis-log-client | Security Centerエージェントのオンラインおよびオフラインイベントのログ。 | ログはリアルタイムで収集されます。 |
セキュリティログの種類
ログタイプ | __topic__ | 説明 | 収集サイクル |
sas-vul-log | 脆弱性名、脆弱性ステータス、処理アクションなど、システムまたはアプリケーションで検出された脆弱性のログ。 システムの脆弱性、セキュリティリスク、攻撃傾向に関する情報を取得し、脆弱性ログに基づいて早期に適切な対策を講じることができます。 | ログはリアルタイムで収集されます。 | |
sas-hc-log | ベースラインの重大度、ベースラインの種類、リスクレベルなど、ベースラインチェック結果のログ。 ベースラインログに基づいて、システムのベースラインセキュリティステータスと潜在的なリスクを取得できます。 説明 ログには、最初にチェックに失敗したチェック項目のデータと、以前のチェックに合格したが新しいチェックに失敗したチェック項目のデータのみが記録されます。 | ||
sas-security-log | アラートデータソース、アラートの詳細、アラートレベルなど、システムとアプリケーションで生成されたセキュリティイベントとアラートのログ。 システム内のセキュリティイベントや脅威を取得し、アラートログを基にした早い機会に適切な対策を講じることができます。 | ||
sas-cspm-log | 構成評価のチェック結果やホワイトリストにリスク項目を追加する操作など、構成評価に関連するログ。 設定評価ログに基づいて、クラウドサービスの設定のエラーと潜在的なリスクに関する情報を取得できます。 | ||
sas-net-block | 攻撃タイプ、送信元IPアドレス、宛先IPアドレスなどの重要な情報を含む、ネットワーク攻撃イベントのログ。 ネットワークセキュリティイベントを取得し、適切な対応と防御策を実装して、ネットワーク防御ログに基づいてネットワークのセキュリティと信頼性を向上させることができます。 | ||
sas-rasp-log | 攻撃タイプ、攻撃パターン、攻撃者IPアドレスなどの重要な情報を含む、アプリケーションに対する攻撃のログ。 アプリケーションで発生したセキュリティイベントに関する情報を取得し、適切な対応と防御策を実装して、アプリケーション保護ログに基づいてアプリケーションのセキュリティと信頼性を向上させることができます。 | ||
sas-filedetect-log | ファイル情報、検出シナリオ、検出結果など、悪意のあるファイル検出のログ。 オフラインファイルやObject Storage Service (OSS) オブジェクトのランサムウェアやマイニングプログラムなどの一般的なウイルスを特定し、ログに基づいて悪意のあるファイルの拡散や実行を防ぐために、最も早い機会にウイルスを処理できます。 |
課金
専用ログストアで機能課金モードが使用されている場合、専用ログストアでの読み書きトラフィック、インデックストラフィック、ストレージ、シャードの数、または読み書き操作の数に対して課金されません。 インターネットトラフィック、データ変換、およびデータ転送に対して課金されます。 料金はSimple Log Serviceの請求書に含まれています。 詳細については、「機能課金の課金項目」をご参照ください。
専用のLogstoreでデータ課金課金モードを使用している場合、読み取りおよび書き込みトラフィック、インデックストラフィック、ストレージ、シャード数、読み取りおよび書き込み操作の数、データ変換、または専用のLogstoreでのデータ転送に対して課金されません。 インターネット経由の読み取りトラフィックに対してのみ課金されます。 料金はSimple Log Serviceの請求書に含まれています。 詳細については、「従量課金データの課金項目」をご参照ください。
ログ分析機能で発生する料金は、セキュリティセンターの請求書に含まれています。 詳細については、「課金の概要」をご参照ください。
関連ドキュメント
Security Centerのログ分析機能を有効にする方法の詳細については、「ログ分析機能の有効化」をご参照ください。
Security Centerログのフィールドの詳細については、「ログフィールド」をご参照ください。