クラウドサービスのログを統合した後、ログ管理機能を使用してログを一元的に保存およびクエリできます。これにより、アラートの特定、攻撃ソースの追跡、インシデント対応の迅速化、および複雑なマルチリソース環境でのログ管理の簡素化が可能になり、セキュリティ体制を強化できます。このログストレージソリューションは、中国のサイバーセキュリティ法および Multi-Level Protection Scheme (MLPS) 2.0 の要件に準拠しています。
仕組み
ログ管理機能は、クラウド脅威検出と対応 (CTDR) と SLS が共同で提供する、マルチクラウド、マルチアカウント、マルチサービス環境向けの一元的なログストレージおよび分析機能です。
CTDR のログストレージ容量を購入すると、サービスは自動的に専用のプロジェクト (aliyun-cloudsiem-data-ご利用の Alibaba Cloud アカウント ID-リージョン ID) と専用の Logstore (cloud_siem) を SLS に作成します。このプロジェクトと Logstore は、CTDR によって収集されたすべてのログデータを保存するために使用されます。CTDR ログのストレージリージョンは、Security Center コンソール左上で選択したサービスリージョンによって決まります。
中国 を選択した場合、CTDR によって収集されたログは中国 (上海) リージョンに保存されます。
「全世界 (中国を除く)」を選択すると、CTDR によって収集されたログはシンガポール リージョンに保存されます。
SLS コンソールにログインして、CTDR 専用のプロジェクトと Logstore を表示できます。このプロジェクトや Logstore は削除しないでください。
特定のログタイプに対してログ配信を有効にすると、CTDR は自動的にログを cloud_siem Logstore に配信します。配信されたログは、設定された保存期間保持された後、自動的に削除されます。ログストレージ容量が上限に達した場合、新しいログ配信は停止します。Security Center は、使用済みログ容量が総容量の 80% を超えた場合に通知を送信できます。通知の設定方法については、「通知設定」をご参照ください。
課金
この機能は、購入したログストレージ容量とサブスクリプション期間に基づくサブスクリプション課金モデルを採用しています。Security Center コンソールでのログのクエリやエクスポートなどの操作に追加料金は発生しません。
ログ管理機能がログを SLS に配信した後、SLS コンソールでのデータ変換やデータ転送などの操作に対して追加料金が発生する場合があります。
Logstore が
機能別課金モデルを使用している場合、データ変換、データ配信、およびパブリックエンドポイントからの読み取りトラフィックに対して SLS から課金されます。詳細については、「機能別課金モデルの課金項目」をご参照ください。Logstore が
取り込みデータ量課金モデルを使用している場合、データ変換やデータ配信などの操作は無料です。パブリックエンドポイントからのデータ読み取りに対してのみ、標準の SLS レートに従って課金されます。詳細については、「取り込みデータ量課金モデルの課金項目」をご参照ください。
マルチアカウント管理
マルチアカウント管理設定では、グローバル管理者アカウントを使用して Security Center コンソールにログインした場合、ログ管理 ページでログを管理する前にビューを切り替える必要があります。ビューの説明は以下のとおりです:
現在のアカウントビュー: 現在のアカウントに保存されているログデータを表示および管理します。
グローバルアカウントビュー: CTDR 管理範囲内の Alibaba Cloud アカウントから、現在のアカウントにストレージ用に配信されたログを表示および管理します。
現在のアカウントビュー と グローバルアカウントビュー の両方で有効化されたログ配信は、グローバル管理者アカウントによって購入されたログストレージ容量を消費します。保存されたログデータは、グローバル管理者アカウントに帰属します。
CTDR グローバル管理者アカウントによって管理される Alibaba Cloud アカウントが自身のログを管理する必要がある場合、アカウント所有者は、CTDR 用に別途ログストレージ容量を購入し、Security Center コンソールの ページで log delivery を有効にする必要があります。
前提条件
SLS が有効化されていること。詳細については、「LoongCollector を使用した ECS テキストログの収集と分析」をご参照ください。
クラウドサービスのログが接続されていること。詳細については、「クラウドサービスログの接続」をご参照ください。
ステップ 1:ログ配信の有効化
Security Center コンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。左上隅で、資産が配置されているリージョンを選択します:Chinese Mainland または Outside Chinese Mainland。
[プロダクトアクセス]ページで、右上隅の[ログ設定]をクリックします。
「Log Delivery Management」セクションで、目的のログタイプに対応する「Deliver Log to Hot Data/Enabled and Disabled At」列のスイッチをオンにします。
また、複数のログタイプを選択して、Batch Deliver Log To をクリックすることもできます。
あるいは、Log Management ページで、ログタイプの横にある [スイッチ] をオンにすることで、そのログタイプの配信を有効化できます。
(省略可) 左側のナビゲーションウィンドウで、 を選択します。左上隅で、アセットが配置されているリージョン (Chinese Mainland または Outside Chinese Mainland) を選択します。 ログ管理 ページで、右上隅の すべての配信 をクリックして、統合されたすべてのデータソースのログ配信を有効化します。
特定の種類のログを保存する必要がなくなった場合は、その配信スイッチをオフにすることができます。ログ管理は、その種類の新しいログの受信を停止します。
ステップ 2:ログのクエリ
左側のナビゲーションウィンドウで、 を選択します。左上隅で、資産が配置されているリージョンを選択します。「Chinese Mainland」または「Outside Chinese Mainland」のいずれかを選択します。
「ログ管理」ページの左上隅で、「すべてのデータソース」をクリックします。「すべてのデータソース」ドロップダウンリストから、表示するデータソース(クラウドサービスおよびログタイプ)を選択します。
時間範囲を設定し、クエリ文を入力してログを検索し、分析結果を表示します。
CTDR でのログクエリ方法は、Security Center のログ分析機能と同じです。詳細については、「カスタムログのクエリと分析」をご参照ください。
その他の操作
ログ保存期間の変更
デフォルトでは、クラウドサービスから配信されたログは 180 日間保存されます。必要に応じて保存日数を変更できます。
左側のナビゲーションウィンドウで、 を選択します。左上隅で、資産が配置されているリージョンを選択します:Chinese Mainland または Outside Chinese Mainland。
「プロダクトアクセス」ページで、右上隅の「ログ設定」をクリックします。
ログ管理 パネルで、変更 列にある 保存日数 をクリックして、ログ保持期間を変更します。
ログストレージ管理
[]ページで、現在のログ使用量と合計容量を表示でき、必要に応じてストレージ領域をスケールアウトまたはクリアできます。
「スケールアウト」をクリックして、ログストレージ容量を追加で購入します。
ストレージが満杯になると新しいログを書き込めなくなるため、十分なログストレージ容量を確保してください。
ストレージ領域をクリアするには、クリア をクリックします。
警告クリアされたログデータは復元できません。この機能は注意して使用してください。まずログをエクスポートしてローカルに保存することを推奨します。
関連トピック
コンソール、Cloud Shell、またはコマンドラインインターフェイス (CLI) を使用して、ログまたはクエリ結果をダウンロードできます。詳細については、「ログのエクスポート」をご参照ください。
OSS データ転送ジョブを作成して、ログを OSS に保存できます。詳細については、「OSS データ転送ジョブの作成 (新規)」をご参照ください。
ログストレージ容量が満杯になると、新しいログを書き込むことができません。CTDR ログの超過アラート通知を有効にすることで、ログストレージ容量をタイムリーにスケールアウトできます。詳細については、「通知設定」をご参照ください。