ログ管理機能は、ログの保存とクエリを通じて、アラートの正確な特定、攻撃元の追跡、およびインシデント対応速度の向上を支援します。本トピックでは、ログ管理サービスの概要と利用方法について説明します。
ログタイプ
ログタイプ | 前提条件 | データソース | サポートされるカテゴリとフィールドの説明 |
Security Center ログ | ログ管理機能を有効にします。 | Alibaba Cloud Security Center の様々な機能モジュールによって生成されたログを保存します。例:脆弱性ログ、セキュリティアラートログ、クライアントイベントログなど。 | |
標準化ログ | ログ管理機能と Agentic SOC 機能を有効にします。 |
| Security Center コンソールで、 に移動します。Standardized Rule タブで [標準フィールドの表示] をクリックし、[標準フィールド] パネルで標準化ログのカテゴリとフィールドの説明を表示します。 |
課金
サブスクリプション:購入したログストレージ容量とサブスクリプション期間に基づいて課金されます。価格は 1,000 GB/月あたり 100 USD です。最小購入単位は 1,000 GB で、購入増分は 1,000 GB です。
従量課金:ログ管理の従量課金方法を有効にすると、システムは暦日ごとの 1 日の合計ストレージ使用量を GB 単位で計算し、1,000 GB あたり 7.2 USD を毎日請求します。
重要ログ管理の従量課金方法は 1,000 GB 単位で請求されます。1 単位に満たない使用量は、次の 1,000 GB に切り上げられます。たとえば、1 日の使用量が 1,900 GB の場合、2,000 GB 分が請求されます。
Security Center コンソールでのログのクエリとエクスポートは課金されません。ログ管理機能が Simple Log Service にログを配信した後、Simple Log Service コンソールでデータ変換またはデータ転送を実行すると、追加料金が発生する場合があります。
Logstore が機能別の課金方法を使用している場合、ログの変換または転送時に課金されます。また、インターネット経由でストリームモードでログを読み取る場合にも読み取りトラフィックに対して課金されます。これらの料金は Simple Log Service の請求書に含まれます。詳細については、「機能別の課金モードにおける課金項目」をご参照ください。
Logstore が取り込みデータ量別の課金方法を使用している場合、データ変換やデータ転送は課金されません。インターネットからの読み取りトラフィックのみが課金されます。これらの料金は Simple Log Service の請求書に含まれます。詳細については、「取り込みデータ量別の課金モードにおける課金項目」をご参照ください。
ログストレージ
ログ管理サービスを有効にすると、システムは自動的に aliyun-cloudsiem-data-Alibaba Cloud アカウント ID-リージョン ID という名前の専用プロジェクトと Logstore を Simple Log Service に作成し、Security Center ログと標準化ログを保存します。ログストレージのリージョンは、Security Center コンソールの左上で選択したリージョンによって決まります。
Chinese Mainland を選択した場合、ログはデフォルトで中国 (上海) リージョンに保存されます。
Outside Chinese Mainland を選択した場合、ログはシンガポールリージョンに保存されます。
ログストレージのリージョンは、ログ管理の従量課金方法を有効にする際に表示されるダイアログボックスでのみ変更できます。サブスクリプションベースでログストレージ容量を購入した場合、ログストレージのリージョンは変更できません。
Simple Log Service コンソールにログインして、専用のプロジェクトと Logstore を表示できます。プロジェクトや Logstore は削除しないでください。
誤って Logstore を削除すると、対応するログデータは失われます。この場合、システムをリセットするためにチケットを起票する必要があります。失われたログデータは回復できません。
データ転送ジョブが有効になると、Security Center は自動的に対応する Logstore にログを配信します。システムは指定された保存期間が終了するまでログを保持し、期間が終了するとログは自動的に削除されます。サブスクリプションベースでサービスを購入し、ログストレージ容量が上限に達した場合、新しいログの配信は停止します。ログストレージの使用量が購入容量の 80% を超えると、Security Center は通知を送信します。通知設定の詳細については、「通知設定」をご参照ください。
ログ管理サービスの有効化と無効化
ログ管理サービスの有効化
ログ管理サービスは、サブスクリプションまたは従量課金のいずれかの課金方法で有効にできます。
Security Center コンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。コンソールの左上で、アセットが配置されているリージョン (Chinese Mainland または Outside Chinese Mainland) を選択します。
Agentic SOC のログ収集トラフィックをサブスクリプションベースで購入した場合、または Agentic SOC の従量課金方法を有効にした場合、左側のナビゲーションウィンドウのエントリは に変わります。
ログ管理 ページで、Activate Subscription または Activate Pay-as-you-go をクリックします。
説明Agentic SOC 機能のログ収集トラフィックをサブスクリプションベースで購入した場合、またはこの機能の従量課金方法を有効にした場合は、ページの右上隅にある Enable Pay-as-you-go for Log Management をクリックするか、サービスをアップグレードして Agentic SOC 機能のログストレージ容量を購入する必要があります。詳細については、「スペックアップとスペックダウン」をご参照ください。
サブスクリプション:購入ページで、Agentic SOC の 購入するかどうか を [はい] に設定し、必要なログストレージ容量を選択して Order Now をクリックし、支払いを完了します。
必要に応じて、Security Center の他の機能を購入できます。詳細については、「Security Center の購入」をご参照ください。
従量課金:表示されるダイアログボックスで、課金ルールを読み、ストレージリージョンを選択し、Activate and Authorize をクリックします。
ログ管理サービスの無効化
Security Center コンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。コンソールの左上で、アセットが配置されているリージョン (Chinese Mainland または Outside Chinese Mainland) を選択します。
ログ管理 ページで、Log Usage が 0 GB であることを確認します。
ログ使用量が 0 でない場合は、ページの右上隅にある クリア をクリックし、ログがクリアされるのを待ってから次のステップに進みます。
ログ管理サービスは、次のいずれかの方法で無効にできます:
サブスクリプション
方法 1:スペックダウン
概要 ページで、 をクリックします。
Order Downgrade タブで、Agentic SOC セクションの Log Storage Capacity を [0 GB] に設定します。
Security Center サービス規約を読み、同意して、Order Now をクリックします。
方法 2:購入した Security Center インスタンスのサブスクリプションを解約する
サブスクリプションの解約に関する詳細については、チケットを起票してください。
従量課金:Security Center コンソールの 概要 ページの Pay-as-you-go セクションで、ログ管理 スイッチをオフにします。
重要ログ管理スイッチをオフにすると、ログ配信は自動的に無効になり、対応する Logstore は削除されます。削除されたログデータは回復できません。操作には十分ご注意ください。
Agentic SOC 機能のログ収集トラフィックのみを購入した場合、または従量課金方法を有効にした場合の説明
Agentic SOC のログ収集トラフィックをサブスクリプションベースで購入した場合、または Agentic SOC の従量課金方法を有効にし、ログストレージ容量を購入していない場合、ログ管理 ページで一部の標準化ログをクエリできます。Standardization Method が Scan Query に設定されているアクセスポリシーに関連するログを表示できます。
このシナリオでは、Security Center ログの配信や表示はできず、Standardization Method が Real-time Consumption に設定されているアクセスポリシーによって生成された標準化ログも配信できません。異なる課金項目でサポートされる機能の詳細については、「Agentic SOC 機能の購入と有効化」をご参照ください。
Security Center ログ
ログ配信の有効化
ログストレージ容量を購入すると、Agentic SOC 機能はデフォルトですべてのタイプの Security Center ログを配信します。アプリケーション保護や悪意のあるファイル検出など、対応する Security Center の付加価値サービスを購入していない場合、対応するログタイプの配信スイッチは無効のままです。
ログ管理 ページで、[ログ設定] をクリックして、各ログタイプの配信ステータスを表示および設定できます。
クエリログ
左側のナビゲーションウィンドウで、 を選択します。コンソールの左上で、アセットが配置されているリージョン (Chinese Mainland または Outside Chinese Mainland) を選択します。
ログ管理 ページの左上で、Security Center Logs をクリックし、表示したいログタイプを選択します。
クエリの時間範囲を指定し、検索文を使用してログを取得し、ログ分析統計を表示します。
ログ管理機能でのログのクエリ方法は、Security Center のログ分析機能と同じです。詳細については、「カスタムログのクエリと分析」をご参照ください。
標準化ログ
配信の説明
標準化ログは、Agentic SOC 機能が取り込んだログを処理・分析した後に生成される、カテゴリと構造が標準化されたログです。標準化ログの配信は手動で有効または無効にすることはできません。標準化ログの配信は、次のシナリオで有効になります:
アクセスポリシーの Standardization Method が Real-time Consumption に設定されている場合、Agentic SOC は標準化されたカテゴリに基づいて、標準化ログを対応する Logstore にデフォルトで配信します。アクセスポリシーを作成すると、同時にログ配信タスクが作成されます。
カスタムルールを作成した後、カスタムルールによって生成される標準化アラートログ (エンドポイント検出・応答アラートログやファイアウォールアラートログなど)。
ログ管理 ページで、ログ設定 をクリックします。ログ設定 パネルの Standardized Log タブで、標準化構造の参照数を確認できます。この数は、対応する標準化カテゴリと構造のアクセスポリシーのうち、Standardization Method が Real-time Consumption であるものの数量を表します。
ログのクエリ
Agentic SOC 機能では、標準化されたログ構造でログを検索し、データセット (StoreView) を使用して複数の Logstore のデータをクエリできます。Logstore のクエリと分析の詳細については、「一般的なクエリ/分析結果の例」をご参照ください。
ログストレージ管理
ログ保存期間の変更
配信されたログのデフォルトの保存期間は 180 日です。必要に応じてログの保存期間を変更できます。
左側のナビゲーションウィンドウで、 を選択します。コンソールの左上で、アセットが配置されているリージョン (Chinese Mainland または Outside Chinese Mainland) を選択します。
ログ管理 ページの右上隅で、ログ設定 をクリックします。
ログ設定 パネルの Security Center Logs タブまたは Standardized Log タブで、[ログ保存期間] 列の
アイコンをクリックして、ログの保存期間を変更します。
ストレージ容量の追加またはクリア
ページで、現在のログ使用量と合計容量を確認できます。必要に応じて、ログストレージ容量を追加したり、保存されているログをクリアしたりできます。
スケールアウト をクリックして、より多くのログストレージ容量を購入します。
十分なログストレージ容量を確保してください。容量が不足している場合、新しいログは保存できません。
クリア をクリックして、保存されているすべてのログを削除します。削除プロセスには約 0~24 時間かかります。
警告クリアされたログは復元できません。操作には十分ご注意ください。ログをクリアする前に、ログをエクスポートしてバックアップすることを推奨します。
よくある質問
ログ管理の従量課金方法を有効にできないのはなぜですか?
ログ管理の従量課金方法を有効にできない理由は、次のいずれかである可能性があります:
理由 1:Agentic SOC 機能のログストレージ容量またはログ分析をサブスクリプションベースで購入している。
ソリューション:
理由 2:ご利用の Agentic SOC 機能が 1.0 アーキテクチャを使用している。
ソリューション:
説明Agentic SOC 機能の 2.0 アーキテクチャへのアップグレードを行わず、ログ管理機能を使用する必要がある場合は、サブスクリプションベースで Agentic SOC 機能のログストレージ容量を購入できます。
理由 3:2024 年 4 月 26 日以前に、関連機能を使用するためにサブスクリプションベースで Agentic SOC 機能のログストレージ容量を購入した。
Agentic SOC 機能の 2.0 アーキテクチャにアップグレードした後も、元々購入したのと同じ量のログストレージ容量をサブスクリプションベースで保持し、ログ管理機能を通常どおり使用できます。サブスクリプション課金方法から従量課金方法に切り替えたい場合は、理由 1 のソリューションをご参照ください。Agentic SOC 機能のアーキテクチャアップグレードの詳細については、「[お知らせ] Agentic SOC 機能のアップグレード」をご参照ください。
Security Center のログ分析機能とログ管理機能の違いは何ですか?
ログ分析機能とログ管理機能はどちらも、Security Center でセキュリティログのクエリおよび分析機能を提供します。ログ分析機能と比較して、ログ管理機能は、脆弱性、セキュリティアラート、クライアントイベントなど、さまざまな Security Center モジュールからのログの配信と分析を可能にするだけでなく、Agentic SOC 機能によって標準化されたログの配信と保存もサポートします。等級保護コンプライアンスの要件がある場合や、他のセキュリティログの保存および分析機能が必要な場合は、ログ管理機能の使用を推奨します。
次の表に、2 つの機能の違いを示します:
機能 | サポートされるログタイプ | 課金方法 | ストレージリージョン管理 | ログ保存期間管理 |
ログ管理 (推奨) |
|
| デフォルトのリージョンは中国 (上海) です。 ストレージリージョンは、従量課金方法を有効にする際に表示されるダイアログボックスでのみ変更できます。 | ログ設定 パネルでログの保存期間を設定できます。 |
Security Center ログ | サブスクリプション | デフォルトのリージョンは中国 (杭州) です。リージョンは変更できません。 | デフォルトの保存期間は 180 日です。期間は変更できません。 |
関連ドキュメント
Security Center コンソール、Cloud Shell、またはコマンドラインインターフェイスから、ログまたはクエリおよび分析結果をローカルコンピューターにダウンロードできます。詳細については、「ログのエクスポート」をご参照ください。
ログを OSS に配信して保存できます。詳細については、「OSS データ転送ジョブの作成 (新バージョン)」をご参照ください。
ログストレージ容量が不足している場合、新しいログは保存できません。Agentic SOC 機能のログストレージ容量不足の通知を有効にできます。通知を受け取ったら、ログストレージ容量を追加できます。詳細については、「通知設定」をご参照ください。