すべてのプロダクト
Search

このプロダクト

    Cloud Firewall:ログ管理

    ドキュメントセンター

    Cloud Firewall:ログ管理

    最終更新日:Mar 28, 2026

    ログデータをリアルタイムでクエリおよび分析することで、ネットワークアクティビティを把握し、トラフィックの異常を特定できます。これにより、セキュリティ監視が強化され、セキュリティイベントへの応答効率が向上します。このトピックでは、ログ分析のためのクエリ文と分析文の使用方法、および結果の解釈方法について説明します。

    前提条件

    アセットからのトラフィックが収集されていることを確認してください。詳細については、「アクセス管理」をご参照ください。

    ログ配信の有効化

    1. Agentic NDR コンソールにログインします。

    2. ナビゲーションウィンドウで、Logs を選択します。

    3. Log Analysis ページの右上隅にある Log Settings をクリックします。

    4. Log Settings パネルの Log Delivery タブで、[基本設定] を表示し、Log Delivery を有効にします。

      • [基本設定]Region for Log Delivery[ログ保持期間] を表示します。Region for Log Delivery[ログ保持期間] を変更するには、Cloud Firewall コンソールに移動します。詳細については、「ログストレージ設定の変更」をご参照ください。

      • Log Delivery: Alert Logs および Protocol Log の両方を有効にする必要があります。

    フィルター ルールと配信フィールドの設定

    1. Log Analysis ページの右上隅にある Log Settings をクリックします。

    2. [カスタムフィルター ルール] タブと [カスタム配信フィールド] タブで設定を行います。

      • [カスタムフィルター ルール]

        • フィルター ルールの作成

          1. [カスタムフィルター ルール] タブで、[ルールの作成] をクリックします。

          2. [プロトコルログフィルター ルール] パネルで、Filter LogicStream Information を設定し、OK をクリックします。

            重要

            複数のログフィルター ルールを使用する場合は、次の点にご注意ください:

            1. ホワイトリストまたはブラックリスト内の複数のルールは、OR ロジックで結合されます。

            2. ブラックリストのルールは、ホワイトリストのルールよりも優先度が高くなります。競合が発生した場合は、ブラックリストのルールが適用されます。

        • フィルター ルールの編集

          1. 対象のフィルター ルールの [操作] 列で、Edit をクリックします

          2. [プロトコルログフィルター ルール] パネルでフィルター ルールを変更し、OK をクリックします。

        • フィルター ルールの削除

          1. 対象のフィルター ルールの Actions 列で、Delete をクリックします

          2. 警告メッセージを確認し、OK をクリックします

            重要

            フィルター ルールを削除すると、以前そのルールに一致していたログはフィルターされなくなります。

      • [カスタム配信フィールド]

        [カスタム配信フィールド] タブで、配信するフィールドを選択し、OK をクリックします。

    ログのクエリ

    1. ナビゲーションウィンドウで、Logs を選択します。

      デフォルトでは、[ログ分析] ページを開くと、デフォルトのクエリが自動的に実行され、その結果が表示されます。

    2. 検索ボックスに、クエリ文と分析文を入力します。

      • クエリ文を使用すると、ログデータを表示、検索、フィルターできます。時間範囲、リクエストタイプ、キーワードなどの特定の条件を持つクエリ文を使用して、データをフィルターできます。クエリ文は単独で使用できます。構文の詳細については、「クエリ構文と機能」をご参照ください。

      • 分析文は、ログデータのフィルター、変換、カウント、集計に使用されます。たとえば、特定の期間のデータの平均値を計算したり、前年比 (YoY) や前月比 (MoM) の結果を取得したりするために使用できます。分析文は、クエリ文|分析文 の形式でクエリ文と組み合わせて使用する必要があります。構文の詳細については、「集計関数」をご参照ください。

      • 検索ボックスの右側にある image アイコンをクリックして、対話型クエリ分析モードに切り替えます。Data Explorer を使用すると、SQL コードを記述することなく、クエリと分析文を迅速かつ簡単に構築できます。詳細については、「高パフォーマンスかつ完全な精度のクエリと分析 (専用 SQL 版)」をご参照ください。

      ログ分析文は、クエリ文と分析文で構成され、縦棒 (|) で区切られます。

      クエリ文 | 分析文

      • クエリ文は、Simple Log Service 固有の構文を使用して、指定された条件を満たすログを検索します。単独で使用できます。クエリ文には、キーワード、数値、数値範囲、スペース、アスタリスク (*) を含めることができます。スペースまたはアスタリスク (*) は、フィルター条件が適用されないことを示します。

        クエリ構文は、インデックス設定に応じて、全文検索とフィールド指定検索に分かれます。詳細については、「クエリ構文と関数」をご参照ください。

        全文検索

        全文検索のキーワードを指定できます。特定のキーワードを含むログを検索するには、キーワードを二重引用符 ("") で囲みます。また、複数のキーワードをスペースまたは and で区切って、指定されたすべてのキーワードを含むログを検索することもできます。

        • 複数キーワード検索

          www.aliyun.compass の両方を含むログを検索します。

          www.aliyun.com pass

          または

          www.aliyun.com and pass

        • 条件付き検索

          www.aliyun.com を含み、かつ pass または tcp のいずれかを含むすべてのログを検索します。

          www.aliyun.com and (pass or tcp)

        • プレフィックスベースの検索

          www.aliyun.com を含み、tcp_ で始まるすべてのログを検索します。

          www.aliyun.com and tcp_*
          説明

          アスタリスク (*) は、クエリではサフィックスとしてのみサポートされます。*_not_establish のようなプレフィックスとしてはサポートされていません。

        フィールド指定検索

        フィールド名とフィールド値を指定して検索を実行できます。フィールド指定検索は、field:value または field >= value の形式で数値フィールドの比較クエリをサポートします。また、andor などの演算子を使用して、複合クエリを作成することもできます。フィールド指定検索は、全文検索と組み合わせて使用できます。

        インデックス作成をサポートする Cloud Firewall のログフィールドの詳細については、「インデックス作成をサポートするフィールド」をご参照ください。

        • 複数フィールドのクエリ

          クライアント 192.XX.XX.22 から宛先アドレス 192.XX.XX.54 へのリクエストのアクセスログをクエリします。

          src_ip: 192.XX.XX.22 and dst_ip: 192.XX.XX.54

        • フィールドの存在有無のクエリ

          • cloud_instance_id フィールドを含むクエリログ。

            cloud_instance_id: *

          • cloud_instance_id」フィールドを含まないクエリログ。

            not cloud_instance_id: *

      • 分析文は、クエリ結果または完全なデータから統計を計算して生成するために使用されます。クエリ文と組み合わせて使用する必要があります。分析文を指定しない場合、クエリ結果のみが返され、分析は実行されません。分析文の構文と関数の詳細については、「ログのクエリと分析の概要」をご参照ください。

      一般的なクエリ文

      以下のセクションでは、Cloud Firewall ログの一般的なクエリ構文と例を示します。

      トラフィック量クエリ

      • インターネットから内部アセット 1.2.*.* へのアクセスに関するネットワークレコードをクエリし、合計インバウンドトラフィック量と合計パケット数を計算します。

        log_type:internet_log and direction:"in" and dst_ip:1.2.*.* | select sum(in_packet_bytes) as flow, sum(in_packet_count) as packet

      • NAT Gateway ファイアウォールのトラフィックをクエリし、結果をソース IP、送信先 IP、および宛先ポートのフィールドでグループ化します。このクエリは、合計ボリュームに基づく上位 10 件のトラフィックフローを特定します。

        log_type:nat_firewall_log | select src_ip, dst_ip, dst_port, sum(in_packet_bytes) as in_bytes, sum(out_packet_bytes) as out_bytes, sum(total_packet_bytes) as total_bytes group by src_ip, dst_ip, dst_port order by total_bytes desc limit 10

      アクセス制御クエリ

      • インターネットから内部アセットへのアクセスで、アクセス制御ポリシーに一致したトラフィックログをクエリします。

        log_type:internet_log and direction:"in" and not acl_rule_id:00000000-0000-0000-0000-000000000000

        not acl_rule_id の値が 0 の場合はアクセス制御ポリシーに一致したことを示し、それ以外の値は一致しなかったことを示します。

      • 内部アセットからインターネットへのアクセスで、アクセス制御ポリシーによってブロックされたトラフィックログをクエリします。このクエリは、ブロックされた上位 10 の宛先 (IP とポート別) を分析します。

        log_type:internet_log and direction:out and not acl_rule_id:00000000-0000-0000-0000-000000000000 and rule_result:drop | select dst_ip, dst_port, count(*) as cnt group by dst_ip, dst_port order by cnt desc limit 10

      • 内部アセットからインターネットへのアクセスで、宛先ポートが 443、パケット数が 3 を超え (TCP 3 ウェイハンドシェイクが完了)、ドメイン名情報が検出されなかったトラフィックログをクエリします。結果を宛先 IP セグメントとアプリケーションでグループ化し、上位 10 の送信元 IP、宛先 IP、アプリケーションを分析します。

        log_type:internet_log and direction:out and dst_port:443 and total_packet_count>3 and domain:""| select array_agg(distinct src_ip) as srcip, array_agg(distinct dst_ip) as dstip, slice(split(dst_ip,'.' ,4),1,3) as dstip_c, app_name, COUNT(1) as cnt GROUP by dstip_c,app_name order by cnt desc limit 10

      攻撃防御クエリ

      • インターネットから内部アセットへのアクセスで、攻撃防御ポリシーに一致したトラフィックログをクエリします。

        log_type:internet_log and direction:"in" and not ips_rule_id:00000000-0000-0000-0000-000000000000

        not ips_rule_id の値が 0 の場合は攻撃防御ポリシーに一致したことを示し、それ以外の値は一致しなかったことを示します。

      • このクエリは、内部アセットからインターネットへのアクセスで、攻撃防御ポリシーに一致したトラフィックログを検索します。IP アドレス、ポート、アプリケーション、ドメイン名、IPS ポリシーの結果などの詳細を表示できます。

        log_type:internet_log and direction:out and not ips_rule_id:00000000-0000-0000-0000-000000000000 | select src_ip, dst_ip, dst_port,app_name, domain,ips_rule_id, ips_rule_name, rule_result

    3. [クエリ/分析] をクリックしてクエリを実行し、結果を表示します。詳細については、「クエリと分析結果の表示」をご参照ください。

    クエリ結果の分析

    ヒストグラムや生ログなどのモジュールで、ログのクエリと分析の結果を表示できます。

    ヒストグラム

    ヒストグラムには、ログの時間的な分布が表示されます。

    image

    • 緑色のバーにカーソルを合わせると、対応する時間範囲とログのヒット数が表示されます。

    • 緑色のバーをダブルクリックすると、より細かい時間の粒度でログの分布が表示されます。[生ログ] タブが更新され、指定した時間範囲のクエリ結果が表示されます。

    生ログ

    [生ログ] タブには、クエリと分析の結果が表示されます。結果は生フォーマットまたはテーブルフォーマットで表示できます。

    image

    番号

    説明

    ログの表示形式、ソート順、その他の設定を切り替えます。

    image アイコンをクリックしてログをダウンロードしたり、ダウンロード履歴を表示したりします。詳細については、「ログのエクスポート」をご参照ください。

    [表示フィールド]、[インデックス付きフィールド]、およびシステムフィールドを表示します。

    • [インデックス付きフィールド] エリアで、フィールドの横にある image アイコンをクリックして、表示フィールドに追加します。フィールドは右側のログ情報に表示されます。

    • [表示フィールド] エリアで、フィールドの横にある image アイコンをクリックして削除します。フィールドは右側のログ情報に表示されなくなります。

      説明

      [表示フィールド] にフィールドが追加されていない場合、デフォルトのフィールドが表示されます。

    • フィールドの横にある image アイコンをクリックすると、そのフィールドの [基本分布][統計]、その他の情報を表示できます。詳細については、「フィールド設定」をご参照ください。

    • ログの詳細を表示します。ログフィールドの詳細な説明については、「ログフィールド」をご参照ください。

      • image アイコンをクリックして、ログの内容をコピーします。

      • image アイコンをクリックして SLS Copilot を使用し、ログの内容に基づいて情報の要約、エラーの検索、その他のタスクを実行します。

    • ログエントリ内のフィールドをクリックして、Logstore を開く、クイッククエリを実行する、ダッシュボードに移動する、カスタム HTTP リンクを開くなど、詳細な分析のためのコンテキストアクションを実行できます。詳細については、「イベント設定」をご参照ください。

      image

    関連トピック

    • ログフィールドの詳細な説明については、「ログフィールド」をご参照ください。

    • ログのクエリと分析の結果をローカルマシンにエクスポートして保存できます。詳細については、「ログのエクスポート」をご参照ください。

    • 大量のログがあり、長期保存が必要な場合は、ログを OSS バケットに転送して保存および分析できます。詳細については、「OSS 転送タスクの作成 (新規)」をご参照ください。