すべてのプロダクト
Search

このプロダクト

    Secure Access Service Edge:ログ分析

    ドキュメントセンター

    Secure Access Service Edge:ログ分析

    最終更新日:Nov 09, 2025

    ログ分析機能は、Secure Access Service Edge (SASE) にアクセスするデバイスからログを収集して保存します。Alibaba Cloud Simple Log Service に基づいて、この機能はクエリ分析、統計チャート、およびアラートをサポートします。これにより、面倒なクエリやデータ整理タスクではなく、分析に集中できます。このトピックでは、分析ログを有効にして表示する方法について説明します。

    前提条件

    SASE のログストレージサービスが有効になっています。

    ログストレージサービスを有効にする

    1. SASE コンソールにログインします。

    2. 左側のナビゲーションウィンドウで、Log Analysis > Log Analysis を選択します。

    3. Log Analysis ページで、Activate Now をクリックします。

    4. 要件に基づいてログストレージサービスとログストレージ容量を設定します。[今すぐ購入] をクリックして支払いを完了します。

      ログ分析機能を購入すると、Simple Log Service は SASE ログデータを管理するために SASE 専用のプロジェクトを自動的に作成します。Simple Log Service コンソールのホームページのプロジェクトリストで、専用の SASE プロジェクトを表示できます。

    ログの収集と保存を有効にする

    1. SASE コンソールにログインします。

    2. 左側のナビゲーションウィンドウで、Log Analysis > Log Analysis を選択します。

    3. Log Analysis ページの右上隅にある Log Status をクリックして、ログの収集と保存を有効にします。

      image

      SASE が保存できるログの種類

      • イントラネットアクセスログ

      • PA 機密ファイルダウンロード検出ログ

      • エンタープライズアクセラレーションログ

      • クライアントログインログ

      • クライアントステータスログ

      • DLP ログ

      • OneData ログ

      • インターネットアクセス監査ログ

      • 動的決定ログ

      • エンドポイント強化ログ

      • プロアクティブ防御ログ

      • ウイルススキャンログ

      • 脆弱性修正ログ

    ログの表示とログ配信の有効化

    1. ページの左上隅にあるドロップダウンリストをクリックします。

    2. 表示したいログの種類を選択します。条件を指定してクエリ結果をフィルタリングできます。

    3. ログの種類の横にあるスイッチをクリックして、そのログの種類のログ配信を有効または無効にします。

      image

    4. 検索ボックスに検索文を入力し、時間範囲を設定します。

      image

      クエリ分析文は、検索文と分析文で構成され、縦棒 (|) で区切られます。フォーマットは 検索文|分析文 です。

      文の種類

      任意

      説明

      検索文

      必須

      検索条件。キーワード、あいまい検索、数値、数値範囲、または条件の組み合わせが可能です。

      空のままにするか、アスタリスク (*) に設定すると、現在の時間範囲内のデータにフィルター条件は適用されず、すべてのデータが返されます。詳細については、「クエリ構文と特徴」をご参照ください。

      分析文

      任意

      クエリ結果または完全データを計算および集計します。

      空のままにすると、クエリ結果のみが返され、統計分析は実行されません。詳細については、「クエリと分析の概要」をご参照ください。

      説明

      • 標準 SQL 構文で指定されているように、分析文から from table_name 句 (from log) を省略できます。

      • デフォルトでは、最初の 100 件のログエントリが返されます。LIMIT 句を使用して、返されるエントリの数を変更できます。

      一般的なログ分析検索文

      SASE クライアントのオンラインステータス

      次の検索文を使用する前に、app_status フィールドのインデックスを手動で追加する必要があります。詳細については、「インデックスの作成」をご参照ください。

      • オンラインデバイスの数をクエリする

        * AND log_type : client_status_log | select username,app_status,COUNT(*) AS cn GROUP BY username,app_status order by cn desc limit 10000

      • オフラインデバイスの数をクエリする

        * AND log_type : client_status_log AND app_status:offline | select username,app_status,COUNT(*) AS cn GROUP BY username,app_status order by cn desc limit 10000

      SASE クライアントのログイン

      デバイスのログイン操作をクエリする

      * AND log_type : client_logon_log | select username,action,COUNT(*) AS cn GROUP BY username,action order by cn desc limit 10000

      イントラネットアクセス

      • イントラネットにアクセスするデバイスとユーザーをクエリする

        * AND log_type : pa_access_log | select username,device_type,COUNT(*) AS cn GROUP BY username,device_type order by cn desc limit 10000

      • アクセスがブロックされた理由をクエリする

        * AND log_type : pa_access_log AND action:block | select username,block_info,COUNT(*) AS cn GROUP BY username,block_info order by cn desc limit 10000

      機密ファイルの検出

      機密ファイルポリシーが一致した回数をクエリする

      * AND log_type : dlp_log | select username,matched_policy,COUNT(*) AS cn GROUP BY username,matched_policy order by cn desc limit 10000

    5. [クエリ/分析] をクリックして、分析結果を表示します。

      SLS ログ機能は、ログ分布ヒストグラムや [生ログ] などのフォーマットでクエリ分析結果を提供します。また、アラートの設定、クイック検索の作成、リフレッシュ、共有などの操作もサポートしています。詳細については、「クエリ/分析ページの説明」をご参照ください。

    データレポートの表示

    [OneData ログ]Data Report[データレポート] を表示できます。

    1. ドロップダウンリストから OneData ログまたは インターネットアクセス監査ログを選択し、Data Report タブをクリックします。

      image

    2. Data Report タブで、ログデータを表示します。

      • [時間範囲]: リストの右上隅で、その期間のレポートデータを表示する時間範囲を選択します。

      • [ドリルダウン]: レポートの右上隅にある image をクリックします。[ドリルダウン] ダイアログボックスで、さまざまなデータソースのデータを表示できます。

        image

    ログフィールドの説明

    フィールド名

    意味と説明

    __time__

    操作時間。

    2018-02-27 11:58:15

    aliuid

    Alibaba Cloud アカウント ID。

    141681795035****

    username

    企業従業員の名前。

    John Doe

    department

    企業従業員の部署。

    テスト部門

    action

    このフィールドの値は、クエリするログの種類によって異なります。このフィールドは、イントラネットアクセスログとクライアントログインログのログの種類でサポートされています。

    イントラネットアクセスログの場合、有効な値は次のとおりです。

    • allow: 現在のポリシーでは、ユーザーまたはデバイスが指定されたアプリケーションにアクセスすることを許可します。

    • block: 現在のポリシーでは、ユーザーまたはデバイスが指定されたアプリケーションにアクセスすることを拒否します。

    クライアントログインログの場合、有効な値は次のとおりです。

    • logon: デバイスが SASE クライアントにログインします。

    • logout: デバイスが SASE クライアントからログアウトします。

    • exit: デバイスで SASE クライアントが閉じられます。

    block

    device_type

    デバイスの種類。有効な値:

    • Windows

    • macOS

    • Linux

    • Android

    • iOS

    Windows

    device_tag

    デバイスの一意の ID。

    ccabaebc-77b3-a877-23f1-31b89b59****

    domain

    イントラネットでアクセスされた Web サイトのドメイン名。

    www.aliyundoc.com

    dst_addr

    イントラネットアクセスの宛先アドレス。

    10.2.XX.XX

    dst_port

    イントラネットアクセスの宛先ポート。

    80

    ソースアドレス

    イントラネットアクセスのソースアドレス。

    10.4.XX.XX

    src_port

    イントラネットアクセスのソースポート。

    30001

    in_bytes

    受信トラフィック。単位: バイト。

    234

    out_bytes

    送信トラフィック。単位: バイト。

    567

    log_type

    ログの種類。有効な値:

    • pa_access_log: イントラネットアクセスログ

    • client_logon_log: クライアントログインログ

    • dlp_log: 検出された機密ファイルの漏洩ログ

    • client_status_log: クライアントオンラインステータスログ

    ia_access_log

    policy_name

    ポリシー名。

    test

    protocol

    プロトコル。有効な値:

    • All

    • tcp

    • udp

    tcp

    request_uri

    リクエスト URI。

    /test.php

    app_status

    デバイスのステータス。有効な値:

    • オンライン

    • オフライン

    オンライン

    event_time

    イベントが発生した時間。これは UNIX タイムスタンプです。単位: 秒。

    1675278754

    unixtime

    イベントが記録された時間。これは UNIX タイムスタンプです。単位: 秒。

    1675278754