すべてのプロダクト
Search
ドキュメントセンター

Secure Access Service Edge:ログ分析

最終更新日:Jun 22, 2026

ログ分析機能は、Secure Access Service Edge (SASE) にアクセスするデバイスからログを収集し、保存するのに役立ちます。Simple Log Service を利用したこの機能は、クエリ、分析、統計チャート、アラート機能をサポートしています。これにより、データ管理ではなく分析に集中できます。このトピックでは、分析ログを有効にして表示する方法について説明します。

前提条件

SASE のログストレージサービスが有効化されています。

ログストレージサービスの有効化

  1. SASE コンソールにログインします。

  2. 左側のナビゲーションウィンドウで、Log Analysis > Log Analysis を選択します。

  3. Log Analysis ページで、Activate Now をクリックします。

  4. ビジネスニーズに合わせてログストレージサービスとログストレージ容量を設定します。[今すぐ購入] をクリックし、支払いを完了します。

    ログ分析サービスを購入すると、Simple Log Service は SASE のログデータを管理するために SASE 専用のプロジェクトを自動的に作成します。Simple Log Service コンソール のホームページにあるプロジェクトリストで SASE 専用のプロジェクトを表示できます。

ログ収集とストレージの有効化

  1. SASE コンソールにログインします。

  2. 左側のナビゲーションウィンドウで、Log Analysis > Log Analysis を選択します。

  3. Log Analysis ページの右上隅にある Log Status をクリックして、ログの収集とストレージを有効にします。

    SASE ログタイプ

    • プライベートアクセスログ

    • PA 機密ファイルのダウンロード検出ログ

    • エンタープライズアクセラレーションログ

    • クライアントログインログ

    • クライアントステータスログ

    • DLP ログ

    • OneData ログ

    • インターネットアクセスログ

    • 動的決定ログ

    • エンドポイント強化ログ

    • プロアクティブ防御ログ

    • ウイルススキャンログ

    • 脆弱性パッチログ

ログの表示とログ配信の有効化

  1. ページの左上隅にあるドロップダウンリストをクリックします。

  2. 表示したいログタイプを選択します。条件を指定してクエリ結果をフィルタリングできます。

  3. ログタイプの横にあるスイッチをクリックして、そのログタイプのログ配信を有効または無効にします。

    サポートされているログタイプには、プライベートアクセスログPA 機密ファイルのダウンロード検出ログエンタープライズアクセラレーションログクライアントログインログクライアントステータスログDLP ログOneData ログインターネットアクセスログ があります。

  4. ページ上部の検索ボックスに検索文を入力します。検索ボックスの右側にあるタイムピッカーで、クエリの時間範囲を設定します。

    クエリは、検索文とオプションの分析文で構成され、縦棒 (|) で区切られます。フォーマットは 検索文|分析文 です。

    文の種類

    オプション

    説明

    検索文

    必須

    検索条件を指定します。キーワード、あいまい検索、数値、数値範囲、または条件の組み合わせが可能です。

    これを空にするか、アスタリスク (*) を入力すると、指定した時間範囲内のすべてのデータが返されます。詳細については、「クエリ構文と特徴」をご参照ください。

    分析文

    オプション

    検索文によって返されたデータを処理し、計算と集約を行います。

    これを空にすると、クエリ結果のみが返され、統計分析は実行されません。詳細については、「クエリと分析の概要」をご参照ください。

    説明
    • 分析文では、標準 SQL 句 from table_name (この場合は from log) を省略できます。

    • デフォルトでは、最初の 100 件のログエントリが返されます。LIMIT 句 を使用して、返されるエントリの数を変更できます。

    ログ分析クエリ

    SASE クライアントのオンラインステータス

    以下の検索文を使用する前に、app_status フィールドのインデックスを手動で作成する必要があります。詳細については、「インデックスの作成」をご参照ください。

    • オンラインの端末デバイス数をクエリする

      * AND log_type : client_status_log | select username,app_status,COUNT(*) AS cn GROUP BY username,app_status order by cn desc limit 10000
    • オフラインの端末デバイス数をクエリする

      * AND log_type : client_status_log AND app_status:offline | select username,app_status,COUNT(*) AS cn GROUP BY username,app_status order by cn desc limit 10000

    SASE クライアントのログイン

    端末デバイスのログインアクションをクエリする

    * AND log_type : client_logon_log | select username,action,COUNT(*) AS cn GROUP BY username,action order by cn desc limit 10000

    プライベートアクセス

    • 内部ネットワークにアクセスするデバイスとユーザーをクエリする

      * AND log_type : pa_access_log | select username,device_type,COUNT(*) AS cn GROUP BY username,device_type order by cn desc limit 10000
    • アクセスがブロックされた理由を検索する

      * AND log_type : pa_access_log AND action:block | select username,block_info,COUNT(*) AS cn GROUP BY username,block_info order by cn desc limit 10000

    機密ファイルの検出

    機密ファイルポリシーに一致した回数を照会します。

    * AND log_type : dlp_log | select username,matched_policy,COUNT(*) AS cn GROUP BY username,matched_policy order by cn desc limit 10000
  5. [検索と分析] をクリックして分析結果を表示します。

    SLS ログ機能は、ログ分布ヒストグラムや [生ログ] などの形式でクエリと分析の結果を提供します。また、アラートの設定、クイック検索の作成、更新、共有などの操作もサポートしています。詳細については、「「検索と分析」ページの説明」をご参照ください。

データレポートの表示

[OneData ログ][インターネットアクセスログ]Data Report を表示できます。

  1. ドロップダウンリストから [OneData ログ] または [インターネットアクセスログ] を選択し、Data Report タブをクリックします。

  2. Data Report タブで、ログ関連のデータを表示します。

    • [時間範囲]:右上隅で時間範囲をクリックして、レポートの期間を指定します。

    • [ドリルダウン分析]:レポートの右上隅にある image アイコンをクリックします。[ドリルダウン分析] ダイアログボックスで、さまざまなデータソースのデータを表示できます。

      ダイアログボックスの左上隅で、[データソースタイプ] ドロップダウンリストから Prometheus を選択し、時間範囲を設定し、メトリクスクエリ条件 ([メトリクスエクスプローラー][リージョン][インスタンス] を含む) を設定してから、[クエリの実行] をクリックします。右側では、テーブル、線、棒、統計、円、ゲージ、メーターなどの可視化タイプを切り替えることができます。

ログフィールド

フィールド名

説明

__time__

Simple Log Service がログを受信した時間。

2018-02-27 11:58:15

aliuid

Alibaba Cloud アカウント ID。

141681795035****

username

従業員のユーザー名。

田中太郎

department

企業の従業員の部署。

テスト部署

action

このフィールドの値はログタイプによって異なります。このフィールドは private access logclient logon log でサポートされています。

private access log の場合、有効な値は次のとおりです:

  • allow:現在のポリシーでは、ユーザーまたはデバイスが指定されたアプリケーションにアクセスすることを許可します。

  • block:現在のポリシーでは、ユーザーまたはデバイスが指定されたアプリケーションにアクセスすることを拒否します。

client logon log の場合、有効な値は次のとおりです:

  • logon:ユーザーが SASE クライアントにログインします。

  • logout:ユーザーが SASE クライアントからログアウトします。

  • exit:ユーザーが SASE クライアントを終了します。

block

device_type

エンドポイントデバイスタイプ。有効な値:

  • Windows

  • macOS

  • Linux

  • Android

  • iOS

Windows

device_tag

デバイスの一意の識別子。

ccabaebc-77b3-a877-23f1-31b89b59****

domain

プライベートネットワークでアクセスされたウェブサイトのドメイン名。

www.aliyundoc.com

dst_addr

非公開アクセス用の送信先アドレス。

10.2.XX.XX

dst_port

非公開アクセス用の宛先ポート。

80

src_addr

非公開アクセス用のソースアドレス

10.4.XX.XX

src_port

非公開アクセス用の送信元ポート。

30001

in_bytes

インバウンドトラフィック。単位:バイト。

234

out_bytes

アウトバウンドトラフィック。単位:バイト。

567

log_type

ログタイプ。例:

  • pa_access_log:プライベートアクセスログ

  • client_logon_log:クライアントログインログ

  • dlp_log:DLP ログ

  • client_status_log:クライアントステータスログ

ia_access_log

policy_name

ポリシー名。

test

protocol

プロトコル。有効な値:

  • All

  • tcp

  • udp

tcp

request_uri

リクエスト URI。

/test.php

app_status

クライアントステータス。有効な値:

  • Online

  • Offline

Online

event_time

イベントが発生した時間。この値は UNIX タイムスタンプです。単位:秒。

1675278754

unixtime

イベントが記録された時間。この値は UNIX タイムスタンプです。単位:秒。

1675278754