Security Center:ログ分析からログ管理への移行ガイド

移行フロー

移行計画の核心は、並列のログデータストリームを確立することです。新しいデータストリームが安定かつ信頼できることを確認した後、トラフィックを切り替え、古いデータストリームを無効にすることができます。

1. 並列書き込み: ログ管理 サービスと ログ分析 サービスの両方が、増分ログを両方のサービスに並列で書き込めるようにします。

2. データ検証: ログ管理 サービスと ログ分析 サービスのデータを比較し、ログ管理 が受信したデータが完全かつ正確であることを確認します。

3. シングルライトへの切り替え: データ整合性を確認した後、ログ分析 の配信スイッチをオフにします。その後、増分ログは ログ管理 サービスにのみ書き込まれます。

4. 既存データの処理: 必要に応じて ログ分析 で既存データを処理します。データを OSS にアーカイブするか、有効期限切れにして削除することができます。

5. リソースのクリーンアップ: ログ分析 サービスのサブスクライブを解除して、課金を停止し、移行を完了します。

主なリスクと互換性に関する注意事項

• 既存データ損失のリスク: 既存データをバックアップしないままデータを消去し、ログ分析 サービスからサブスクライブを解除すると、データは永久に失われます。

• SQL クエリの非互換性：ログ分析 (Topic 別) と ログ管理 (Logstore 別) の SQL 検索文は、サービスによって使用されるストレージ構造が異なるため、互換性がありません。

• 管理 API の非互換性: ログ分析 と ログ管理 では、配信スイッチの変更や専用機能など、一部の管理 API において、API フィールドと返される結果に互換性がないため、個別に対応する必要があります。詳細については、「ログ管理 API」および「ログ分析 API」をご参照ください。

費用評価

• 並列書き込み中の費用：並列書き込みフェーズでは、書き込みトラフィックとストレージに対して二重の料金が発生します。

• 既存データ処理の費用：

  • データを OSS にエクスポートする場合、OSS ストレージ料金が発生します。

  • データが自然に有効期限切れになるのを待つ場合、最大 180 日間、ログ分析サービスのストレージ料金を引き続き支払う必要があります。

ステップ 1：ログ管理の有効化と設定

1. コンソールへのログイン

   Security Center コンソールにログインします。 左側のナビゲーションウィンドウで、レスポンス検出 > ログ管理 を選択します。 コンソールの左上隅で、資産が配置されているリージョンを選択します: Chinese Mainland または Outside Chinese Mainland。

   説明

   脅威の分析と応答 を有効にしている場合、脅威の分析と応答 > ログ管理 に移動します。

2. サービスの有効化

   ログ管理 ページで、Activate Subscription または Activate Pay-as-you-go を選択し、画面の指示に従ってサービスを有効にします。 詳細については、「ログ管理サービスを有効または無効にする」をご参照ください。

   • サブスクリプション：

     • 脅威の分析と応答 の 購入するかどうか 設定項目を [はい] に設定します。

     • 必要に応じてロギング容量を入力し、Order Now をクリックして、支払いを完了します。 容量の見積もり方法については、Agentic SOC の購入手順をご参照ください。

   • 従量課金: ストレージリージョンを選択し、Activate and Authorize をクリックします。

3. 配信スイッチの有効化

   1. ログ管理 ページで、右上の ログ設定 ボタンをクリックします。

   2. Log Storage管理 セクションの Security Center Logs タブで、各ログタイプの配信ステータスを表示および設定できます。

      説明

      • デフォルトでは、Agentic SOC は 30 分以内にすべての Security Center ログタイプの配信スイッチを自動的に有効にします。

      • Application Protection や Malicious File Detection などの付加価値サービス (VAS) を購入していない場合、対応するログタイプの配信スイッチはデフォルトで無効になっています。

ステップ 2：ログ管理のデータ書き込み検証

1. クエリログ

   ログ管理 ページで、左上隅にある [ログタイプ] ドロップダウンリストから、[Security Center ログ] の下のプロダクトログを選択し、[検索 & 分析] をクリックします。

   重要

   ログの書き込みには約 1 分のデータ遅延が発生する場合があります。データが利用可能になるまでお待ちください。

2. データの確認

   クエリされたデータについて、少なくとも以下の情報を検証します。

   • リアルタイムデータ：最新ログのタイムスタンプが現在時刻に近いことを確認します。

   • 完全性：ログ管理とログ分析のログをサンプリングして比較します。すべてのフィールドが存在し、データが欠落していないことを確認します。

   • データ量：単位時間あたりのログ量を観察します。ログ分析サービスの増分量とほぼ同じである必要があります。

ステップ 3：ログ分析のデータ書き込み停止

1. Log Analysis サービスページで、対応するログ配信スイッチを見つけてオフにします。

   

2. スイッチをオフにすると、増分ログはログ分析サービスには書き込まれなくなり、ログ管理サービスにのみ書き込まれます。

ステップ 4：既存データの処理

ログ分析サービスにまだ存在し、180 日の保存期間を超えていない既存データについては、次のいずれかの方法で処理できます。

• 方法 1：既存データを Object Storage Service (OSS) にエクスポートしてアーカイブする

  この方法は、コンプライアンス監査や将来の遡及分析の要件を満たすために、既存データを長期間保持する必要があるシナリオに適しています。

  • 手順：

    1. ログ分析 ページで、Log Service の詳細管理 をクリックして Simple Log Service (SLS) コンソールに移動します。

    2. sas-log Logstore の詳細ページの左側にあるナビゲーションウィンドウで、[データ処理] > [エクスポート] > [Object Storage Service] をクリックします。

    3. + をクリックして OSS データシッピングジョブを作成します。ジョブの設定方法の詳細については、「OSS データシッピングジョブの作成 (新規)」をご参照ください。

    4. 既存データが保存された後、ログ分析 ページで クリア をクリックします。

       警告

       この操作は元に戻せません。データがログ管理に期待どおりに書き込まれ、すべての既存データが保存されていることを確認してください。

  • 注：データは永続的に保存できます。必要に応じて、MaxCompute や Data Lake Analytics などのツールを使用してデータを分析できます。

• 方法 2：既存データが自然に有効期限切れになるのを待つ

  この方法はシンプルで、既存データを長期間アーカイブする必要がないシナリオに適しています。

  • 手順：操作は不要です。増分データ移行を完了した後、ログ分析サービスを有効のままにしておきます。保存されているログデータが 180 日のライフサイクルの終わりに達するのを待ち、その後システムが自動的に削除します。

  • 注：この期間中、データが完全にクリアされるまで、ログ分析サービスに保存されているデータのストレージ料金を引き続き支払う必要があります。

ステップ 5：ログ分析サービスのサブスクリプション解除

既存データを処理してストレージをクリアした後、ログ分析サービスのサブスクリプションを解除して課金を停止できます。詳細については、「ダウングレード」をご参照ください。