セキュリティ監査、脅威の追跡、緊急対応は、集中ログ管理と効果的な分析に大きく依存しています。ログ分析機能は、ホストログ (ログイン、プロセス、ネットワーク接続ログなど) と Security Center のセキュリティログ (アラート、脆弱性、ベースラインチェックなど) を一元的に収集します。これにより、ログの散在、クエリの困難さ、相関分析の欠如といった一般的な問題を解決し、セキュリティイベントに関するインサイトを迅速に得て、コンプライアンス監査の要件を満たすことができます。
ログレポートの表示
Security Center でログ分析を有効にすると、ホストログとセキュリティログのデータを表示するためのダッシュボードが自動的に作成されます。
注意事項
次の表に、サポートされているレポートタイプを示します。レポートの詳細については、「付録:ログレポートの詳細」をご参照ください。
ログタイプ | ログレポート | 説明 |
ホストログ | ログインセンター | サーバーのログインアクティビティを分析し、異常なログインを特定します。 |
プロセスセンター | ご利用のサーバーでのプロセス起動を監査し、不審なプログラムを検出します。 | |
ネットワーク接続センター | ネットワーク接続を監視し、不審なアウトバウンドまたはインバウンドトラフィックを特定します。 | |
セキュリティログ | ベースラインセンター | ご利用のアセットの構成リスク分布と修復傾向を表示します。 |
脆弱性センター | ご利用のアセットの脆弱性分布、タイプ、修復ステータスを表示します。 | |
アラートセンター | すべてのセキュリティイベントのアラートレベル、タイプ、処理ステータスを表示します。 |
操作手順
コンソールへのログイン
Security Center コンソール > [リスクガバナンス] > [ログ分析] ページに移動します。ページの左上隅で、アセットのリージョンとして Chinese Mainland または Outside Chinese Mainland を選択します。
ログ配信の有効化
ログ分析 ページで、Enable スイッチをオンにします。
レポートタブをクリックして、ダッシュボードを表示します。
クエリの時間範囲の設定
レポートタブの右上隅にある 時間範囲セレクター をクリックし、時間範囲を指定します。
説明この設定は一時的なもので、現在のページにのみ適用されます。次回レポートページを開くと、ダッシュボードはデフォルトの時間範囲に戻ります。
更新頻度の設定 (オプション)
レポートタブの右上隅にある 更新 をクリックし、更新頻度を選択します。
[1回]:ダッシュボードをすぐに更新します。
Automatic Refresh:15 秒、60 秒、5 分、15 分など、指定した間隔でダッシュボードを自動的に更新します。
ログのエクスポート
Security Center コンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。コンソールの左上隅で、アセットのリージョンとして Chinese Mainland または Outside Chinese Mainland を選択します。
左上隅のドロップダウンリストからログタイプを選択し、クエリを実行します。ログのクエリ方法の詳細については、「ログのクエリと分析のカスタマイズ」をご参照ください。
[生ログ] タブのログリストの上にある
アイコンをクリックし、[ログのダウンロード] を選択します。[ログのダウンロード] ダイアログボックスで、パラメーターを設定し、OK をクリックします。
重要標準クエリでは、最大 2,000 万件のログエントリをダウンロードできます。
時間範囲 (読み取り専用):ログのエクスポート対象となる時間範囲。
検索文 (読み取り専用):ログのエクスポートに使用するクエリ文。
タスク名:タスクを識別するためのカスタム名。
ログ数:すべてのログ (最大 2,000 万件) をエクスポートするか、カスタム数のログをエクスポートするかを指定します。
データ形式:
CSV(表形式データ用) またはjson(構造化データ用) を選択します。引用符:CSV 形式のみ。解析エラーを防ぐためにフィールドを囲むために使用される文字。
"または'を選択できます。不正確な結果を許可:結果の精度よりもエクスポート速度を優先するかどうかを指定します。
はい:エクスポートはより速く完了しますが、結果は概算になる場合があります。
いいえ:結果は正確ですが、エクスポートに時間がかかったり、失敗したりする場合があります。
圧縮方式:エクスポートされたファイルの圧縮形式。オプション:なし、
gzip、zstd。ソート順:ログの時間ベースのソート順。オプション:昇順 (asc) または降順 (desc)。
ファイルのダウンロード
[生ログ] タブのログリストの上にある
アイコンをクリックし、[ダウンロードタスク] を選択します。Advanced Download ダイアログボックスで、エクスポートタスクのステータスを表示します。タスクのステータスが [成功] になったら、ダウンロード をクリックします。
Cloud Shell やコマンドラインを使用するなど、他のダウンロード方法については、Simple Log Service (SLS) コンソールに移動してください。詳細な手順については、「ログのダウンロード」をご参照ください。
Simple Log Service の高度な管理
Security Center のログ分析機能により、Simple Log Service の高度な管理が可能になります。SLS コンソールから、アラートの設定、通知方法の定義、リアルタイムデータのサブスクライブと消費、データ転送を行うことができます。
Security Center コンソール > [リスクガバナンス] > [ログ分析] ページに移動します。ページの左上隅で、アセットが配置されているリージョンとして Chinese Mainland または Outside Chinese Mainland を選択します。
ログ分析 ページの右上隅にある Log Service の詳細管理 をクリックします。
SLS コンソールにリダイレクトされます。詳細については、「アラートの設定」、「通知方法」、および「データ転送」をご参照ください。
説明SLS API を使用して、ログデータの書き込みとクエリ、プロジェクトと Logstore の管理を行うこともできます。詳細については、「Simple Log Service API」をご参照ください。
付録:ログレポート
ホストログ
ログインセンター
チャート名 | タイプ | デフォルトの時間範囲 | 説明 | 例 |
ログイン数 | 単一値比較 | 1 時間 (相対)/前日比 | 総ログイン数と前日の同期間からの変化率を表示します。 | 10.0、10% |
ログインしたデバイス数 | 単一値比較 | 今日 (1時間ごと)/前日比 | ログインイベントがあった ユニークなホストデバイス の数と、前日全体からの変化率を表示します。 | 10、-10% |
ユニークなログイン元 IP の数 | 単一値比較 | 今日 (1時間ごと)/前日比 | デバイスログインのユニークなソース IP の数と、前日全体からの変化率を表示します。 | 10、10% |
ユニークなログインユーザー名の数 | 単一値比較 | 今日 (1時間ごと)/前日比 | デバイスログインのユニークなユーザー名の数と、前日全体からの変化率を表示します。 | 10、10% |
エンドポイントログイン監視の傾向 | 折れ線グラフと縦棒グラフ | 今日(時間単位) | ログインイベントがあったデバイス数と総ログイン数の時間ごとの傾向を表示します。 | なし |
ログイン方法の傾向 | 積み上げ面グラフ | 今日 (現在時刻) | RDP や SSH などのログイン方法別のログイン数の時間ごとの傾向を表示します。単位:件/時間。 | なし |
ログイン方法の分布 | 円グラフ | 4 時間 (相対) | RDP や SSH などのログイン方法の分布を表示します。 | なし |
デバイスの分布 | マップ (グローバル) | 4 時間 (相対) | ログインイベントがあったパブリックデバイスの地理的分布を表示します。 | なし |
ログイン元の分布 | マップ (グローバル) | 4 時間 (相対) | パブリックデバイスのログイン数によるログイン元の地理的分布を表示します。 | なし |
ユニークなログイン元の分布 | マップ (グローバル) | 4 時間 (相対) | パブリックデバイスのユニークなログイン元の地理的分布を表示します。 | なし |
ログイン数上位 10 ユーザー | 円グラフ | 4 時間 (相対) | ログイン数によるユーザー名の上位 10 件を表示します。 | なし |
ログイン数上位 10 ポート | 円グラフ | 4 時間 (相対) | ログイン数による宛先ポートの上位 10 件を表示します。 | なし |
アクティブユーザーリスト | テーブル | 4 時間 (相対) | アクティベーション時刻が最も早い 30 のユーザーアカウントをリスト表示します。 | なし |
マシンログイン数による上位 30 ユーザーとソース | テーブル | 4 時間 (相対) | マシンログイン数による上位 30 のユーザーとソースをリスト表示します。テーブルには、ソースネットワーク、ログイン IP、ユーザー名、ログイン方法、ログインしたユニークなデバイス数、ログイン数が含まれます。 | なし |
プロセスセンター
チャート名 | タイプ | デフォルトの時間範囲 | 説明 | 例 |
プロセス起動数 | 単一値比較 | 1 時間 (相対)/前日比 | プロセス起動イベントの総数と、前日の同期間からの変化率を表示します。 | 10.0 千、0.01% |
関連デバイス数 | 単一値比較 | 今日 (1時間ごと)/前日比 | プロセス起動イベントがあった Process Report の数と、前日全体からの変化率を表示します。 | 10.0、0.01% |
ユニークな起動プロセス名の数 | 単一値比較 | 今日 (1時間ごと)/前日比 | ユニークな起動プロセス名の数と、前日全体からの変化率を表示します。 | 10.0、0.01% |
エンドポイントデバイス数 | 折れ線と縦棒グラフ | 今日(時刻単位) | プロセス起動があったデバイス数とユニークな起動プロセス名の数の時間ごとの傾向を表示します。単位:件/時間。 | なし |
プロセス起動の傾向 | 折れ線グラフ | 今日 (時間単位で) | デバイスあたりの平均プロセス起動数の時間ごとの傾向を表示します。単位:件/時間。 | なし |
パブリックデバイスの分布 | マップ (グローバル) | 本日 (時間単位) | プロセス起動イベントがあったパブリックデバイスの地理的分布を表示します。 | なし |
パブリックデバイスでのプロセス起動回数の分布 | マップ (グローバル) | 本日(正時) | パブリック IP アドレスを持つデバイスで発生したプロセスイベントの地理的分布。 | なし |
起動回数が最も多い上位 20 プロセス | テーブル | 今日 (1時間ごと) | 起動回数が上位 20 位のプロセス。プロセス名、プロセスパス、起動回数などが含まれます。 | なし |
Bash を最も多くトリガーした上位 20 プロセス | テーブル | 本日(正時) | Bash をトリガーした回数が上位 20 位のプロセス。親プロセス名、トリガー総数などが含まれます。 | なし |
最も多くのプロセスを起動した上位 30 の Java ファイル | テーブル | 本日(正時) | プロセスを起動した回数が上位 30 位の Java ファイル。Jar ファイル名、Jar ファイルパス、総起動回数などが含まれます。 | なし |
最も多くのプロセスを起動した上位 30 のクライアント | テーブル | 今日 (1時間ごと) | プロセスを起動した回数が上位 30 位のクライアント。クライアント、総起動回数、そのクライアントで最も起動回数が多いコマンドライン、対応するプロセス名、回数、割合などが含まれます。 | なし |
ネットワーク接続センター
チャート名 | チャートタイプ | デフォルトの時間範囲 | 説明 | 例 |
接続イベント数 | 単一値比較 | 1 時間 (相対)/昨日との比較 | デバイス上のネットワーク接続変更イベントの総数。また、昨日の同時刻と比較した変化率も表示します。 | 10.0、-0.01% |
関連デバイス数 | 単一値比較 | 今日 (1時間ごと)/昨日との比較 | 接続変更イベントがあった ユニークなホストデバイス の数、および前日全体と比較した変化。 | 10.0, 0.01% |
ユニークなプロセス数 | 単一値比較 | 今日 (1時間ごと)/昨日との比較 | ネットワーク接続変更イベントがあった ユニークなプロセス名 の数、および前日全体と比較した変化。 | 10.0、0.01% |
ユニークなソース IP の数 | 単一値比較 | 今日 (1時間ごと)/昨日との比較 | ネットワーク接続変更イベントがあった ユニークな接続ソース IP の数、および前日全体と比較した変化。 | 10.0、0.01% |
ユニークな宛先 IP の数 | 単一値比較 | 今日 (1時間ごと)/昨日との比較 | ネットワーク接続変更イベントがあった ユニークな接続宛先 IP の数、および前日全体と比較した変化。 | 1.0k、0.01% |
ネットワーク接続の傾向 | デュアル折れ線グラフ | 1 時間 (相対) | 1時間あたりのネットワーク接続があるデバイス数とイベント数の傾向。単位は 1 時間あたりの項目数です。 | なし |
接続タイプの傾向 | デュアル折れ線グラフ | 1 時間 (相対) | 1時間あたりのネットワーク接続変更イベントの接続タイプ (アウトバウンド、インバウンド) の分布の傾向。単位は 1 時間あたりの項目数です。 | なし |
接続タイプの分布 | 円グラフ | 1 時間 (相対) | ネットワーク接続変更イベントの接続タイプ (アウトバウンド、インバウンド) の分布。 | なし |
プロトコルタイプの分布 | 円グラフ | 1 時間 (相対) | ネットワーク接続変更イベントの TCP や UDP などの接続プロトコルの分布。 | なし |
パブリックデバイスの分布 | マップ (グローバル) | 1 時間 (相対) | ネットワーク接続変更イベントが発生したデバイス数の地理的分布。 | なし |
パブリックデバイスのイベント分布 | マップ (グローバル) | 1 時間 (相対) | パブリック IP アドレスを持つデバイス上のネットワーク接続変更イベント数の地理的分布。 | なし |
アウトバウンド接続の宛先分布 | マップ (グローバル) | 1 時間 (相対) | ネットワーク接続変更イベントに関連するアウトバウンド接続の宛先の地理的分布。 | なし |
インバウンド接続のソース分布 | マップ (グローバル) | 1 時間 (相対) | ネットワーク接続変更イベントに関連するインバウンド接続のソースの地理的分布。 | なし |
アウトバウンド接続が最も多い上位 30 デバイス | テーブル | 1 時間 (相対) | アウトバウンドネットワーク接続変更イベントが最も多い上位 30 デバイス。テーブルには、デバイス、アウトバウンド接続イベント数、ユニークな接続先数、および例が含まれます。 | なし |
インバウンド接続が最も多い上位 30 デバイス | テーブル | 1 時間 (相対) | インバウンドネットワーク接続変更イベントが最も多い上位 30 デバイス。テーブルには、デバイス、リスニング IP、インバウンド接続イベント数、リスニングポート数、および例が含まれます。 | なし |
アウトバウンド接続先が最も多い上位 30 デバイス | テーブル | 1 時間 (相対) | ネットワーク接続変更イベントでアウトバウンド接続先が最も多い上位 30 デバイス。テーブルには、デバイス、アウトバウンド接続イベント数、ユニークな接続先数、および例が含まれます。 | なし |
インバウンド接続が最も多い上位 30 のリスニングポート | テーブル | 1 時間 (相対) | インバウンドネットワーク接続変更イベントが最も多い上位 30 のリスニングポート。テーブルには、リスニングポート、インバウンド接続イベント数、および例が含まれます。 | なし |
アウトバウンド接続が最も多い上位 30 プロセス | テーブル | 1 時間 (相対) | アウトバウンドネットワーク接続変更イベントが最も多い上位 30 プロセス。テーブルには、プロセス名、アウトバウンド接続イベント数、関連デバイス数、およびパスの例が含まれます。 | なし |
インバウンド接続が最も多い上位 30 プロセス | テーブル | 1 時間 (相対) | インバウンドネットワーク接続変更イベントが最も多い上位 30 プロセス。テーブルには、プロセス名、インバウンド接続イベント数、関連デバイス数、およびパスの例が含まれます。 | なし |
セキュリティログ
ベースラインセンター
チャート名 | チャートタイプ | デフォルトの時間範囲 | 説明 | 例 |
影響を受けるクライアント数 | 単一値比較 | 今日 (1時間ごと)/前日比 | ベースラインの問題がある ユニークなホストデバイス の数、および前日と比較した増減。 | 10.0、0.01% |
新規ベースライン数 | 単一値比較 | 今日 (1時間ごと)/前日比 | 新規ベースラインイベントの数、および前日と比較した増減。 | 10.0、-0.01% |
検証済みベースライン数 | 単一値比較 | 今日 (1時間ごと)/前日比 | ベースラインイベントの数を確認します、および前日と比較した増減。 | 10.0、-0.01% |
高優先度ベースライン数 | 単一値比較 | 今日 (1時間ごと)/前日比 | 高優先度のベースラインイベントの数、および前日と比較した増減。 | 10.0, 0.01% |
ベースライン操作の傾向 | フローチャート | 今日(現在の時刻まで) | 1時間あたりのさまざまなベースライン操作 (新規や検証済みなど) の傾向チャートを表示します。単位:件数。 | なし |
ベースラインサブタイプの傾向 | フローチャート | 今日(現在時刻まで) | 1時間あたりのさまざまなベースラインサブタイプ (システムアカウントのセキュリティやレジストリなど) の傾向チャートを表示します。単位:件数。 | なし |
ベースラインステータスの傾向 | フローチャート | 今日(現在時刻まで) | 1時間あたりのさまざまなベースラインステータス (未修復や修復済みなど) の傾向チャートを表示します。単位:件数。 | なし |
ベースライン操作の分布 | ドーナツチャート | 今日(現在時刻まで) | さまざまなベースライン操作 (新規や検証済みなど) の分布を表示します。 | なし |
ベースラインサブタイプの分布 | ドーナツチャート | 今日 (時間まで) | さまざまなベースラインサブタイプ (システムアカウントのセキュリティやレジストリなど) の分布を表示します。 | なし |
ベースラインステータスの分布 | ドーナツチャート | 今日(現在の時刻まで) | 最新のベースラインステータス (未修復、修復済み、修復失敗など) の分布を表示します。 重要 ホスト上のベースラインのステータスが複数回変更された場合、このチャートは最新のステータスを使用します。 | なし |
新規ベースライン上位 10 件 | ドーナツチャート | 今日 (現在時刻まで) | すべてのデバイスで最も多く新規発生したベースライン 10 件を表示します。 | なし |
検証済みベースライン上位 10 件 | ドーナツチャート | 今日 (時間まで) | すべてのデバイスで最も多く検証されたベースライン 10 件を表示します。 | なし |
ベースラインイベント数による上位 20 クライアント | テーブル | 今日 (現在まで) | ベースラインイベントが最も多い上位 20 クライアントをリスト表示します。リストには、クライアント、ベースラインイベントの総数、新規ベースライン数、修復済みベースライン数、高または中優先度のベースライン数が含まれます。 | なし |
脆弱性センター
チャート名 | チャートタイプ | デフォルトの時間範囲 | 説明 | 例 |
影響を受けるクライアント数 | 単一値比較 | 今日 (1時間ごと)/前日比 | Vulnerable Servers の数、および前日と比較した増減。 | 10.0、0.01% |
新規脆弱性数 | 単一値比較 | 今日 (1時間ごと)/前日比 | 新規セキュリティ脆弱性イベントの数、および前日と比較した増減。 | 10.0、0.01% |
検証済み脆弱性数 | 単一値比較 | 今日 (1時間ごと)/前日比 | セキュリティ脆弱性イベント数を確認します、および前日比の変化。 | 10.0、-0.01% |
修復済み脆弱性数 | 単一値比較 | 今日 (1時間ごと)/前日比 | 修復されたセキュリティ脆弱性の数、および前日と比較した変化。 | 10.0、-0.01% |
脆弱性操作の傾向 | フローチャート | 本日 (時間単位) | 1時間あたりのさまざまな脆弱性操作 (新規や検証済みなど) の傾向チャートを表示します。単位:件数。 | なし |
脆弱性タイプの傾向 | フローチャート | 本日(現在) | 1時間あたりのさまざまな脆弱性タイプ (Windows 脆弱性、Linux 脆弱性、Web-CMS の脆弱性など) の傾向チャートを表示します。単位:件数。 | なし |
脆弱性ステータスの傾向 | フローチャート | 今日 (現在時刻まで) | 1時間あたりのさまざまな脆弱性ステータス (未修復や修復済みなど) の傾向チャートを表示します。単位:件数。 | なし |
脆弱性操作の分布 | ドーナツチャート | 今日(現在時刻まで) | さまざまな脆弱性操作 (新規や検証済みなど) の分布を表示します。 | なし |
脆弱性タイプの分布 | ドーナツチャート | 今日(現在時刻まで) | さまざまな脆弱性タイプ (Windows 脆弱性、Linux 脆弱性、Web-CMS の脆弱性など) の分布を表示します。 | なし |
脆弱性ステータスの分布 | ドーナツチャート | 今日 (現時点まで) | 最新の脆弱性ステータス (未修復、修復済み、修復失敗など) の分布を表示します。 重要 ホスト上の脆弱性のステータスが複数回変更された場合、このチャートは最新のステータスを使用します。 | なし |
新規脆弱性上位 10 件 | ドーナツチャート | 今日(現在時刻まで) | すべてのデバイスで最も多く新規発生した脆弱性 10 件を表示します。 | なし |
検証済み脆弱性上位 10 件 | ドーナツチャート | 今日(現在の時刻まで) | すべてのデバイスで最も多く検証された脆弱性 10 件を表示します。 | なし |
修復済み脆弱性上位 10 件 | ドーナツチャート | 本日(時間単位) | すべてのデバイスで最も多く修復された脆弱性 10 件を表示します。 | なし |
脆弱性イベント数による上位 20 クライアント | テーブル | 今日 (時間まで) | 脆弱性イベントが最も多い上位 20 クライアントをリスト表示します。リストには、クライアント、脆弱性イベントの総数、新規脆弱性数、検証済み脆弱性数、修復済み脆弱性数、および脆弱性タイプ別の内訳が含まれます。 | なし |
アラートセンター
チャート名 | チャートタイプ | デフォルトの時間範囲 | 説明 | 例 |
影響を受けるクライアント数 | 単一値比較 | 今日 (1時間ごと)/前日比 | セキュリティアラートがある Host Log の数、および前日と比較した増減。 | 10.0、0.01% |
新規アラート数 | 単一値比較 | 今日 (1時間ごと)/前日比 | 新規セキュリティアラートイベントの数、および前日と比較した増減。 | 10.0、-0.01% |
固定アラートの数 | 単一値比較 | 今日 (1時間ごと)/前日比 | これは処理済みのセキュリティアラートイベントの数です、および前日と比較した変化。 | 10.0、0.01% |
高優先度アラート数 | 単一値比較 | 今日 (1時間ごと)/前日比 | 重大なセキュリティアラートの数、および前日と比較した増減。 | 10.0、-0.01% |
アラート操作の傾向 | フローチャート | 本日(現在時刻まで) | 1時間あたりのさまざまなアラート操作 (新規や修復済みなど) の傾向チャートを表示します。単位:件数。 | なし |
アラートレベルの傾向 | フローチャート | 今日(現在時刻まで) | 1時間あたりのさまざまなアラートレベル (重大、不審、参考など) の傾向チャートを表示します。単位:件数。 | なし |
アラートステータスの傾向 | フローチャート | 本日 (時間単位) | 1時間あたりのさまざまなアラートステータス (未修復や修復済みなど) の傾向チャートを表示します。単位:件数。 | なし |
アラート操作の分布 | ドーナツチャート | 本日(時刻単位) | さまざまなアラート操作 (新規や修復済みなど) の分布を表示します。 | なし |
アラートレベルの分布 | ドーナツチャート | 今日(現在の時刻まで) | さまざまなアラートレベル (重大、不審、参考など) の分布を表示します。 | なし |
アラートステータスの分布 | ドーナツチャート | 今日 (1時間ごと) | 最新のアラートステータス (未修復、修復済み、修復失敗など) の分布を表示します。 重要 ホスト上のアラートのステータスが複数回変更された場合、このチャートは最新のステータスを使用します。 | なし |
新規アラート上位 10 件 | ドーナツチャート | 今日(現在時刻まで) | すべてのデバイスで最も多く新規発生したアラート 10 件を表示します。 | なし |
修復済みアラート上位 10 件 | ドーナツチャート | 本日(現在の時刻まで) | すべてのデバイスで最も多く修復されたアラート 10 件を表示します。 | なし |
アラートイベント数による上位 20 クライアント | テーブル | 本日 (時間単位) | アラートイベントが最も多い上位 20 クライアントをリスト表示します。リストには、クライアント、アラートイベントの総数、新規または修復済みイベントの数、重大または不審なイベントの数、およびアラートタイプ別の内訳が含まれます。 | なし |
よくある質問
ログのエクスポートタスクが失敗したのはなぜですか?
考えられる原因と解決策は次のとおりです:
クエリ対象のログ数が 2,000 万件の制限を超えています。
クエリ文が複雑すぎて計算タイムアウトが発生しました。時間範囲を狭めるか、クエリ文を簡略化して、再度お試しください。
レポートにデータが表示されないのはなぜですか?
この問題をトラブルシューティングするには、次の手順に従ってください:
[ログ分析] ページで [有効化] スイッチがオンになっていることを確認します。
正しい時間範囲を選択したことを確認します。
この機能を有効にしたばかりの場合は、データ配信と処理のために 5〜10 分お待ちください。