ログ監査は、ワンクリックでクロスアカウントのクラウド製品ログを収集し、一元的に保存できる機能です。デフォルトで、条件を満たすすべてのクラウド製品のログを収集します。収集ポリシーを使用すると、アカウント、リージョン、またはインスタンス単位でスコープを絞り込むことで、きめ細かい制御が可能になります。
サポート対象製品
収集ポリシーは、RDS、PolarDB-X 1.0、PolarDB、SLB、ALB、DNS、Kubernetes に対応しています。
|
クラウド製品 |
収集対象 |
パラメーター |
説明 |
|
RDS |
RDS インスタンス |
アカウント: account.id |
RDS インスタンスを所有する Alibaba Cloud アカウントの ID。 |
|
リージョン: region |
RDS インスタンスが存在するリージョン。 例: cn-shanghai。 |
||
|
インスタンス ID: instance.id |
RDS インスタンスの ID。 |
||
|
インスタンス名: instance.name |
RDS インスタンスの名前。 |
||
|
DB タイプ: instance.db_type |
データベースエンジンのタイプ。 有効値: mysql、pgsql、および mssql。 |
||
|
DB バージョン: instance.db_version |
データベースエンジンのバージョン。 例: 8.0。 |
||
|
タグ: tag.* |
ユーザー定義のタグキー。 tag.* のアスタリスク (*) をカスタムタグキーに置き換えてください。 |
||
|
PolarDB |
PolarDB クラスター |
アカウント: account.id |
PolarDB クラスターを所有する Alibaba Cloud アカウントの ID。 |
|
リージョン: region |
PolarDB クラスターが存在するリージョン。 例: cn-shanghai。 |
||
|
クラスター ID: cluster.id |
PolarDB クラスターの ID。 |
||
|
クラスター名: cluster.name |
PolarDB クラスターの名前。 |
||
|
クラスター互換 DB タイプ: cluster.db_type |
PolarDB クラスターと互換性のあるデータベースエンジンのタイプ。 現在、サポートされているのは MySQL のみです。 |
||
|
クラスター互換 DB バージョン: cluster.db_version |
クラスターと互換性のあるデータベースエンジンのバージョン。 有効値: 8.0、5.7、および 5.6。 |
||
|
タグ: tag.* |
ユーザー定義のタグキー。 tag.* のアスタリスク (*) をカスタムタグキーに置き換えてください。 |
||
|
PolarDB-X 1.0 |
PolarDB-X 1.0 インスタンス |
アカウント: account.id |
PolarDB-X 1.0 インスタンスを所有する Alibaba Cloud アカウントの ID。 |
|
リージョン: region |
PolarDB-X 1.0 インスタンスが存在するリージョン。 例: cn-shanghai。 |
||
|
インスタンス ID: instance.id |
PolarDB-X 1.0 インスタンスの ID。 |
||
|
インスタンス名: instance.name |
PolarDB-X 1.0 インスタンスの名前。 |
||
|
SLB |
SLB インスタンス |
アカウント: account.id |
SLB インスタンスを所有する Alibaba Cloud アカウントの ID。 |
|
リージョン: region |
SLB インスタンスが存在するリージョン。 例: cn-shanghai。 |
||
|
インスタンス ID: instance.id |
SLB インスタンスの ID。 |
||
|
インスタンス名: instance.name |
SLB インスタンスの名前。 |
||
|
ネットワークタイプ: instance.network_type |
SLB インスタンスのネットワークタイプ。 有効値:Virtual Private Cloud (VPC) およびクラシックネットワーク。 |
||
|
VPC ID: instance.vpc_id |
SLB インスタンスが属する VPC の ID。 |
||
|
アドレスタイプ: instance.address_type |
SLB インスタンスのアドレスタイプ。 有効値: intranet および internet。 |
||
|
タグ: tag.* |
ユーザー定義のタグキー。 tag.* のアスタリスク (*) をカスタムタグキーに置き換えてください。 |
||
|
ALB |
ALB インスタンス |
アカウント: account.id |
ALB インスタンスを所有する Alibaba Cloud アカウントの ID。 |
|
リージョン: region |
ALB インスタンスが存在するリージョン。 例: cn-shanghai。 |
||
|
インスタンス ID: instance.id |
ALB インスタンスの ID。 |
||
|
インスタンス名: instance.name |
ALB インスタンスの名前。 |
||
|
VPC ID: instance.vpc_id |
ALB インスタンスが属する VPC の ID。 |
||
|
アドレスタイプ: instance.address_type |
ALB インスタンスのアドレスタイプ。 有効値: intranet および internet。 |
||
|
タグ: tag.* |
ユーザー定義のタグキー。 tag.* のアスタリスク (*) をカスタムタグキーに置き換えてください。 |
||
|
Alibaba Cloud DNS PrivateZone |
VPC インスタンス |
アカウント: account.id |
VPC インスタンスを所有する Alibaba Cloud アカウントの ID。 |
|
リージョン: region |
VPC インスタンスが存在するリージョン。 |
||
|
インスタンス ID: instance.id |
VPC インスタンスの ID。 |
||
|
インスタンス名: instance.name |
VPC インスタンスの名前。 |
||
|
タグ: tag.* |
ユーザー定義のタグキー。 tag.* のアスタリスク (*) をカスタムタグキーに置き換えてください。 |
||
|
Alibaba Cloud DNS ログと Global Traffic Manager ログ |
ドメイン |
アカウント: account.id |
ドメインを所有する Alibaba Cloud アカウントの ID。 |
|
ドメイン: domain |
ドメイン名。 |
||
|
Kubernetes (Kubernetes 監査ログ) |
Kubernetes クラスター |
リージョン: region |
Kubernetes クラスターが存在するリージョン。 例: cn-shanghai。 |
|
クラスター ID: cluster.id |
Kubernetes クラスターの ID。 |
||
|
クラスター名: cluster.name |
Kubernetes クラスターの名前。 |
||
|
クラスタータイプ: cluster.type |
Kubernetes クラスターのタイプ。 有効値:Dedicated Kubernetes、Managed Kubernetes、および Serverless Kubernetes。 |
||
|
ネットワークタイプ: cluster.network_mode |
Kubernetes クラスターのネットワークタイプ。 有効値:Virtual Private Cloud (VPC) およびクラシックネットワーク。 |
||
|
タグ: tag.* |
ユーザー定義のタグキー。 tag.* のアスタリスク (*) をカスタムタグキーに置き換えてください。 |
||
|
Kubernetes (Kubernetes イベントセンター) |
Kubernetes クラスター |
リージョン: region |
Kubernetes クラスターが存在するリージョン。 例: cn-shanghai。 |
|
クラスター ID: cluster.id |
Kubernetes クラスターの ID。 |
||
|
クラスター名: cluster.name |
Kubernetes クラスターの名前。 |
||
|
クラスタータイプ: cluster.type |
Kubernetes クラスターのタイプ。 有効値:Dedicated Kubernetes、Managed Kubernetes、および Serverless Kubernetes。 |
||
|
ネットワークタイプ: cluster.network_mode |
Kubernetes クラスターのネットワークタイプ。 有効値:Virtual Private Cloud (VPC) およびクラシックネットワーク。 |
||
|
タグ: tag.* |
ユーザー定義のタグキー。 tag.* のアスタリスク (*) をカスタムタグキーに置き換えてください。 |
||
|
Kubernetes (Ingress アクセスログ) |
Kubernetes クラスター |
リージョン: region |
Kubernetes クラスターが存在するリージョン。 例: cn-shanghai。 |
|
クラスター ID: cluster.id |
Kubernetes クラスターの ID。 |
||
|
クラスター名: cluster.name |
Kubernetes クラスターの名前。 |
||
|
クラスタータイプ: cluster.type |
Kubernetes クラスターのタイプ。 有効値:Dedicated Kubernetes、Managed Kubernetes、および Serverless Kubernetes。 |
||
|
ネットワークタイプ: cluster.network_mode |
Kubernetes クラスターのネットワークタイプ。 有効値:Virtual Private Cloud (VPC) およびクラシックネットワーク。 |
||
|
タグ: tag.* |
ユーザー定義のタグキー。 tag.* のアスタリスク (*) をカスタムタグキーに置き換えてください。 |
||
|
ログ内容: log.* |
ログの内容。 |
収集ポリシーの設定
Log Serviceコンソールにログインします。
-
ログ監査サービスのページに移動します。
説明2025 年 1 月 21 日以降、[ログ監査サービス] のコンソールエントリは削除されます。ただし、この日付より前にサービスを有効にしたユーザーには、引き続きエントリが表示されます。新規ユーザーでクラシックバージョンを使用したい場合は、新しいログ監査サービス に移動し、旧バージョンへ 機能を使用してください。
-
[ログアプリケーション] セクションの [監査 & セキュリティ] タブで、[新しいログ監査サービス] をクリックします。

-
[新しいバージョンのログ監査サービス] ページの右上隅にある 旧バージョンへ をクリックします。これにより、ログ監査サービスのクラシックバージョンの機能を引き続き使用できます。

-
-
に移動し、変更 をクリックします。
-
対象のクラウドサービスの右側にある Log Collection Policy をクリックします。
-
収集ポリシーを設定します。
収集ポリシーは、デフォルトモードまたは詳細編集モードで設定します。複雑なポリシーには詳細編集モードを使用してください。
説明-
複数の収集ポリシーを設定できます。
-
詳細編集モードでは、ポリシーステートメントを手動で編集できます。編集後は、デフォルトモードのUI表示に切り替えることはできません。
-
デフォルトの状態に戻すには、すべてのポリシーステートメントをクリアして保存してください。
-
デフォルト収集ポリシー
-
Policies to Add セクションで、次のパラメーターを設定し、Add Policy をクリックします。
説明デフォルト収集ポリシーの 保持 トグルがオンの場合、ポリシーの最終行は
accept "*" (default policy--accept)になります。保持 トグルがオフの場合、ポリシーの最終行はdrop "*" (default policy--drop)になります。たとえば、[アクション] に [keep] を、[属性] に [region] を、[演算子] に [完全一致] を選択します。次に、[属性値] に
cn-hangzhouを入力します。パラメーター
説明
アクション
ポリシー構文で定義されたアクション。
属性
収集対象の属性。利用可能な属性は、サポート対象製品にリストされています。
演算子
比較演算子。たとえば、Exact Match は == に対応します。すべての演算子は、ポリシー構文にリストされています。
属性値
属性値。複数の値を入力できます。
-
Added Policies セクションで、ポリシー設定を確認します。
ポリシーを変更したり、順序を調整したりできます。
-
対象の収集ポリシーの右側にある 編集 をクリックして変更してください。
-
上下の矢印をクリックして、ポリシーの順序を変更してください。
対象の収集ポリシーの右側にある [削除] をクリックして削除してください。
-
-
設定を確認し、OK をクリックします。
-
-
詳細編集モード
-
Advanced Edit Mode トグルをオンにします。
-
ルール テキストボックスで収集ポリシーを設定し、OK をクリックします。
構文リファレンス:ポリシー構文。
たとえば、[詳細編集モード] が有効で、[デフォルト収集ポリシー] が [保持] に設定されている場合、ルールは
keep region == "cn-shanghai"、keep region == "cn-hangzhou"、accept "*"のようになります。
-
-
-
グローバル設定 ページで、OK をクリックします。
ポリシー構文
-
アクション
-
keep:対象が一致する場合、次のポリシーの評価が続行されます。一致しない場合、ログは破棄されます。 -
drop:対象が一致する場合、ログは破棄されます。一致しない場合、次のポリシーの評価が続行されます。 -
accept:対象が一致する場合、ログが収集されます。一致しない場合、次のポリシーの評価が続行されます。
-
-
マッチモード
マッチモード
説明
完全一致
文字列の完全一致。
-
演算子:
== -
例: keep instance.db_type == "mysql" は、MySQL タイプの RDS インスタンスがこのチェックを通過することを意味します。
ワイルドカードマッチ
ワイルドカードによる一致。アスタリスク (*) は 0 個以上の文字に一致し、疑問符 (?) は 1 文字に一致します。
-
演算子:
== -
例:
-
keep instance.name == "backend*" は、名前が backend で始まるインスタンスがこの条件を満たすことを意味します。
-
keep instance.name == "active?" は、名前が active で始まり、その後に任意の 1 文字が続くインスタンスに一致します。
-
正規表現マッチ
正規表現による一致。
-
演算子:
~= -
例: keep instance.name ~= "^\d+$" は、数字のみで構成されるインスタンス名がこのチェックを通過することを意味します。
説明デフォルトでは部分一致です。完全一致させるには、
^と$を使用してください。数値比較
数値の比較。
-
演算子:
-
直接比較:
>、>=、==、<=、< -
閉区間比較: : [*, 100]。アスタリスク (*) を使用して、境界のない側を示すことができます。
-
-
例:
-
keep tag.level >= 2 は、tag.level が 2 以上のインスタンスがこのチェックを通過することを意味します。
-
keep tag.level : [*, 10] は、tag.level が 10 以下のインスタンスが現在のチェックを通過することを意味します。
-
keep tag.level : [1, 10] は、tag.level が範囲 [1, 10] 内のインスタンスが現在のチェックを通過することを意味します。
-
論理関係
-
キーワード:
-
AND:大文字と小文字を区別しないキーワード and および && を使用します。
-
OR:大文字と小文字を区別しないキーワード or を使用します。
-
NOT:大文字と小文字を区別しないキーワード not および ! を使用します。
-
-
例:
-
keep (tag.level > 10) and (region == "cn-shanghai") は、tag.level が 10 より大きく、上海リージョンにあるインスタンスがこのチェックを通過することを意味します。
-
keep (tag.level > 10) or (region == "cn-shanghai") は、tag.level が 10 より大きいか、上海リージョンにあるインスタンスが現在のチェックを通過することを意味します。
-
keep not region == "cn-shanghai" は、上海以外のリージョンを指定して、現在のチェックを通過する例です。
-
グローバルマッチ
属性名を指定しないポリシーは、グローバル一致を意味します。
-
keep "abc" は、文字列 abc を含むすべての収集項目が現在のチェックを通過できることを意味します。
-
accept "*" は、すべての収集項目を受け入れます。
説明-
グローバル一致は、二重引用符 ("") で囲む必要があります。
-
グローバル一致は、詳細編集モードでのみ使用できます。
-
-
文字のエスケープ
収集ポリシーでは、アスタリスク (*) やバックスラッシュ (\) などの特殊文字をエスケープします。例えば、keep instance.name == "abc\*" は、名前が abc* であるインスタンスに一致します。
ユースケース
-
リージョン別のインスタンスログの収集
中国本土のリージョンからのインスタンスログのみを収集するには、次のポリシーを使用します。
# 中国リージョン内のインスタンスからのログのみを収集 keep region == "cn-*" # フィルターを通過したものを accept accept "*" -
タグ別のインスタンスログの収集
タグキー
typeと値production(大文字と小文字を区別しない) を持つインスタンスからのログのみを収集するには、次のポリシーを使用します。# 本番インスタンスからログを収集 keep tag.type ~= "(?i)^production$" # フィルターを通過したものを accept accept "*" -
高度なユースケース
RDS MySQL インスタンスからのログに加え、データベースタイプ (MySQL、SQL Server、PostgreSQL) に関係なくlevel: high のタグが付いた任意のインスタンスからログを収集するには、次のポリシーを使用します。
# high レベルのタグが付いたインスタンスを accept accept tag.level == "high" # MySQL データベースタイプでフィルタリング keep instance.db_type == "mysql" # フィルターを通過したものを accept accept "*"