Security Center のログ分析からログ管理へ移行します。この移行では、並行書き込み、検証、切り替えのプロセスを使用し、アップグレード中に増分ログデータが失われないようにします。
ログ管理へ移行する理由
[ログ管理]は、[ログ分析]のストレージ、リージョン間配信、および分析の制限に対処します。
機能 | ログ分析 | ログ管理 |
コア機能 | 基本的なログ収集、クエリ、およびアラート。 | フル機能:複雑なクエリや統計分析のための標準 SQL (SQL-92) に加え、インテリジェントクラスタリングなどの高度な機能。 |
配信リージョン | システム定義のデフォルトリージョン。カスタマイズはできません。 | カスタム配信リージョン。 |
マルチアカウント | サポートされていません。 | サポートされています。 |
保持期間 | 180 日に固定。 | カスタム TTL:1 日から 3,650 日、または永続ストレージ。 |
移行計画
移行プロセス
両方のサービスにログを並行して書き込みます。新しいサービスが安定して信頼性が高いことを確認した後、古いサービスへの書き込みを停止します。
並行書き込み:[ログ管理]と[ログ分析]の両方を有効にすると、増分ログが両方のサービスに同時に書き込まれます。
データ検証:[ログ管理]のデータを[ログ分析]と比較し、[ログ管理]のデータが完全かつ正確であることを確認します。
切り替え:データの一貫性を確認した後、[ログ分析]の配信スイッチをオフにします。これにより、すべての増分ログは[ログ管理]にのみ書き込まれます。
履歴データの処理:[ログ分析]の履歴データを OSS にアーカイブするか、自動的に期限切れになるのを待ちます。
リソースのクリーンアップ:[ログ分析]を解約して課金を停止し、移行を完了します。
主要なリスクと互換性
開始する前に、データバックアップと必要なコード修正を評価し、実装してください。
コスト評価
並行書き込みフェーズ中のコスト:両方のサービスでデータ書き込みとストレージの料金が発生します。
履歴データ処理のコスト:
OSS へのエクスポートには、OSS のストレージ料金が発生します。
データが自然に期限切れになるのを待つ場合、最大 180 日間、ログ分析のストレージ料金が継続して発生します。
操作手順
ステップ 1:ログ管理の有効化と設定
コンソールへのログイン
Security Center コンソールにログインします。 左側のナビゲーションペインで、 を選択します。左上隅で、アセットのリージョンを選択します:[Chinese Mainland]または[Outside Chinese Mainland]。
説明[脅威の分析と応答] を有効にしている場合は、 に移動します。
サービスの有効化
ログ管理 ページで、課金方法 (Activate Subscription または Activate Pay-as-you-go) を選択し、画面の指示に従います。詳細については、「ログ管理サービスの有効化または無効化」をご参照ください。
サブスクリプション:
[脅威の分析と応答] の 購入するかどうか オプションを [Yes] に設定します。
必要に応じてログストレージ容量を入力し、Order Now をクリックして支払いを完了します。容量を見積もるには、「Agentic SOC 購入ガイド」をご参照ください。
従量課金:ストレージリージョンを選択し、Activate and Authorize をクリックします。
配信スイッチの有効化
ログ管理 ページで、ログ設定 をクリックします。
Security Center Logs タブの Log Storage管理 エリアで、各ログタイプの配信ステータスを設定します。
説明Agentic SOC は、デフォルトで 30 分以内にすべての Security Center のログ配信スイッチを自動的にオンにします。
アプリケーション保護や悪意のあるファイルの検出などの付加価値サービスを購入していない場合、それらの配信スイッチはデフォルトで無効になっています。
ステップ 2:ログ管理でのデータ検証
ログのクエリ
ログ管理 ページで、[Log Type] ドロップダウンリストから [Security Center Logs] の下のログタイプを選択し、[Search & Analyze] をクリックします。
重要ログがクエリ可能になるまで約 1 分かかる場合があります。
データの検証
少なくとも以下の点を確認してください:
適時性:最新のログのタイムスタンプが現在時刻に近いこと。
完全性:両方のサービスのログをスポットチェックし、すべてのフィールドが存在し、データが欠落していないことを確認すること。
ボリューム:特定の期間におけるログのボリュームが、ログ分析の増分ボリュームとほぼ一致していること。
ステップ 3:ログ分析へのデータ書き込み停止
このステップは、ステップ 2 を完了し、ログ管理が正しく機能していることを確認した後にのみ実行してください。
Log Analysis サービスページで、ログ配信スイッチを見つけて [Off] にします。
ログ配信スイッチは、ページ右上の [Enable All] ボタンの左側にある緑色のトグルです。
このスイッチをオフにすると、新しい増分ログはログ管理にのみ書き込まれます。
ステップ 4:履歴データの処理
ログ分析にまだ残っている履歴データ (180 日の保持期間内) については、次のいずれかのオプションを選択します:
オプション 1:履歴データを OSS にエクスポートしてアーカイブする
コンプライアンスや将来の分析のために履歴データを長期間保持する必要がある場合に適しています。
手順:
ログ分析 ページで、Log Service の詳細管理 をクリックして、Simple Log Service (SLS) コンソールに移動します。
sas-log Logstore の詳細ページで、左側のナビゲーションペインで を選択します。
[+] をクリックしてデータ転送ジョブを作成します。ジョブの設定方法の詳細については、「OSS データ転送ジョブの作成 (新しいバージョン)」をご参照ください。
履歴データが保存された後、ログ分析 ページで クリア をクリックします。
警告この操作は元に戻せません。ログ管理が正しくデータを受信していること、およびすべての履歴データがバックアップされていることを確認してください。
注:データを永続的に保存できます。必要に応じて、MaxCompute や Data Lake Analytics などのツールを使用して分析します。
オプション 2:履歴データが自然に期限切れになるのを待つ
履歴データを長期間アーカイブする必要がない場合に適しています。
手順:操作は不要です。増分データの移行後もログ分析を有効にしておきます。システムは、180 日のライフサイクルの後にログデータを自動的に削除します。
注:すべてのデータが期限切れになるまで、ログ分析のストレージ料金が継続して発生します。
ステップ 5:ログ分析サービスの解約
履歴データを処理し、ストレージをクリアした後、ログ分析をダウングレードして解約し、課金を停止します。
よくある質問
ログ管理を有効化した後、クエリページにログが表示されないのはなぜですか?
以下を確認してください:
配信スイッチの確認:[Log Settings] で、必要なログタイプの配信スイッチがオンになっていることを確認します。
データ反映までの待機:新しく書き込まれたログがクエリ可能になるまで約 1 分かかる場合があります。待ってから更新してください。
認可の確認:有効化の際に、関連するクラウドサービスに必要な権限を付与したことを確認します。
同じ期間で新旧サービスのログに差異があるのはなぜですか?
以下の理由により、わずかな差異 (通常 1% 以内) は正常です:
クエリ時間ウィンドウ:2 つのクエリの正確な開始時刻と終了時刻がミリ秒単位で異なる場合があります。
データ遅延:2 つのパイプラインは遅延が異なるため、クエリ時の境界でわずかな差が生じます。