このトピックでは、新しいログ監査サービスの仕組み、制限、課金の詳細、および統合カテゴリについて説明します。
背景情報
クラウドコンピューティングは現在広く使用されており、ビジネスにおけるクラウドの採用は一般的です。多くの企業や個人ユーザーは、クエリ、監査、その他の操作のために、さまざまなログをクラウドでホストしています。
ログ監査は、中華人民共和国サイバーセキュリティ法やデータセキュリティ法などの法律や規制に基づく必須要件です。たとえば、サイバーセキュリティ法第 21 条第 3 項には、「ネットワークの状態とサイバーセキュリティイベントを監視および記録するための技術的措置を講じ、関連するネットワークログを要件に従って少なくとも 6 か月間保持しなければならない」と記載されています。運用中、企業や組織はサイバーセキュリティ法やデータセキュリティ法などの法律や規制を遵守する必要があります。このコンプライアンスは、インフラストラクチャのセキュリティを維持し、ユーザー情報の権利を保護し、ネットワークデータのセキュリティを確保するのに役立ちます。実際には、企業は「サイバーセキュリティの分類保護に関する基本要件」に基づいてシステムを分類し、結果を提出し、修正を行い、評価を実施する必要があります。また、自己検査を実施し、関連する業界当局からの監督と評価を受け入れる必要があります。
データコンプライアンス管理は、多くの企業や組織にとって、もう 1 つの複雑で専門的な問題です。今日のグローバル化された世界では、企業のデータは世界中のさまざまなリージョンや組織に保存される場合があります。このデータは、データのセキュリティを確保し、個人情報を保護し、国家の安全と公共の利益を保護するために、法的および規制上の要件に従って管理する必要があります。同時に、その価値を最大化するために、実際のビジネス目的のためにデータが自由かつ秩序正しく流れる必要があります。
このような背景から、私たちは新しいログ監査サービスを開始しました。これにより、データ統合機能が強化され、クラウドプロダクトデータだけでなくランタイムデータもサポートされます。複数プロジェクトのログセンターを使用して、ログデータを一元管理できます。これにより、クラウドプロダクトのログとランタイムログを一元化、クエリ、分析できます。また、特定のリージョンのデータコンプライアンス要件を満たし、法的かつ秩序ある方法でデータフローを管理するのにも役立ちます。
基本機能
Alibaba Cloud Simple Log Service プラットフォームは、自動化されたログ管理をサポートします。ログのクエリ、分析、ストレージ、変換、配信、消費、アラート、可視化などの機能を提供します。Simple Log Service プラットフォーム上に構築されたログ監査サービスは、次の機能もサポートしています。
クラウドプロダクトからのログ収集
クラウドプロダクトのカバレッジ: ログ監査サービスは、多くの主流の Alibaba Cloud プロダクトとそのログタイプをカバーしています。現在、ストレージ (SLS, OSS)、ネットワーク (CLB, ALB, VPC, DNS)、データベース (RDS, PolarDB)、セキュリティ (セキュリティセンター, Cloud Firewall, Web Application Firewall, Anti-DDoS)、監査 (ActionTrail, Cloud Config) などのカテゴリのプロダクトと、それらに関連するログタイプをサポートしています。
自動ログ収集: ログ監査サービスは、自動ログ収集をサポートしています。クラウドプロダクトを新しいログ監査サービスと統合すると、新しいログは自動的にターゲット Logstore に書き込まれます。Alibaba Cloud アカウントで新しいインスタンスが追加されたり、そのプロパティが変更されたりした場合、サービスは構成された収集ルールに基づいてクラウドプロダクトのログを自動的に収集して書き込みます。
オーケストレーション可能な収集ルール: ログ監査サービスは、クラウドプロダクトに対して 3 つのリソースフィルタリングモードを提供します: すべてのリソース、インスタンスによるフィルター、プロパティによるフィルター。ニーズに最も適したモードを選択できます。
クロスリージョンデータ集約: ログ監査サービスは、データ変換機能を使用して、リージョンをまたいでログデータを集約します。Simple Log Service は、収集ルールで構成されたデフォルトのターゲット Logstore と集中管理されたターゲット Logstore 間の配信関係に基づいて、データ変換タスクを自動的に作成します。
複数のログセンターのサポート: ログを一度統合するだけで済みます。ルール構成に基づいて、データ変換を使用して、ログをさまざまなプロジェクトや Logstore に集約できます。たとえば、中国 (杭州) および中国 (北京) リージョンのログを中国 (上海) のセンターに集約し、マレーシアおよびインドネシアリージョンのログをシンガポールのセンターに集約できます。
リソースディレクトリのマルチアカウント機能のサポート: 管理者または委任された管理者は、マルチアカウント収集を構成して、すべてのメンバーアカウントからすべてのログを集約できます。
ランタイムログの収集
ランタイムログの収集: ログ監査サービスは、Tetragon や Falco などのオープンソースエージェントから Logtail を使用して Logstore にランタイムログを収集することをサポートしています。
Systemd Journal ログの収集: ログ監査サービスは、Logtail を使用して Systemd Journal ログを収集することをサポートしています。コンテナ化された方法でホストから Journal ログを収集できます。これは Docker および Kubernetes シナリオに適用されます。
仕組み
クラウドプロダクトからのログ収集
クラウドプロダクトからのログは、まずそれぞれのデフォルト Logstore に保存されます。これらのログには、操作や実行ステータスなどの情報が含まれます。
詳細については、「クラウドプロダクトからのログ収集に関する注意事項」をご参照ください。
クラウドプロダクトインスタンスが 1 つ以上の収集ルールに一致する場合、そのログはデフォルトの Logstore に収集されます。
ログ監査サービスは、データ変換タスクを自動的に作成し、デフォルトの Logstore から関連付けたプロジェクトにログを集約します。
収集されるクラウドプロダクトログのタイプは、ログ監査サービス用に構成した収集ルールによって決まります。
ログ監査サービスは、Alibaba Cloud アカウントの各リージョンで新規または変更されたクラウドプロダクトインスタンスを自動的に検出し、変更を収集ルールと同期します。
リソースディレクトリの管理者アカウントまたは委任された管理者アカウントがマルチアカウント収集ルールを構成する場合、クラウドプロダクトログはまずメンバーアカウントのデフォルトのターゲット Logstore に収集されます。その後、自動的に作成されたデータ変換タスクを通じて、ログは管理者または委任された管理者アカウントの中央 Logstore に集約されます。
収集ルール 1: リージョンプロパティに基づいてログを収集します。中国 (杭州) および中国 (深圳) リージョンからのクラウドプロダクトログを、集中管理 Logstore (
xxx_log_center) に配信します。この Logstore は、集中管理プロジェクト (center-A-cn-shanghai) に属します。収集ルール 2: リージョンプロパティに基づいてログを収集します。シンガポールリージョンからのクラウドプロダクトログを、集中管理 Logstore (
xxx_log_center) に配信します。この Logstore は、集中管理プロジェクト (center-A-ap-southeast-1) に属します。
ランタイムログの収集
Docker および Kubernetes シナリオでは、Tetragon と Falco がコンテナーランタイムログを収集し、それらをディレクトリファイルまたは標準出力に書き込みます。その後、Logtail がコンテナーランタイムログを Simple Log Service の Logstore に配信します。
アプリケーションの比較
新しいログ監査サービスと古いログ監査サービスの比較
詳細については、「バージョン比較」をご参照ください。
新しいログ監査サービスと CloudLens for XX シリーズの比較
CloudLens for PolarDB を例にとります。ログ監査サービスと CloudLens for PolarDB の両方を使用して、PolarDB の監査ログを有効にできます。さまざまなシナリオに適したソリューションを選択するには、次の表をご参照ください。
シナリオ | 推奨ソリューション | メリット |
ログ収集スイッチを手動で制御する | CloudLens for PolarDB を使用します。 | 簡単な操作と柔軟な構成。 |
クラウドプロダクトログを自動的に収集する | Simple Log Service API を使用して、クラウドプロダクトログを自動的に収集します。(集中ストレージを有効にする必要はありません。) | 一括構成。 |
クロスリージョン集中ストレージ | 新しいログ監査サービスコンソールで関連するルールを有効にします。 | リアルタイムのクロスリージョンログ同期により、データコンプライアンス要件を満たします。 |
クロスアカウント集中ストレージ (リソースディレクトリに基づく) | 新しいログ監査サービスコンソールで関連するルールを有効にします。 | マルチアカウントログの統合管理により、エンタープライズレベルのデータガバナンスのニーズを満たします。 |
新しいログ監査サービスとクラウドプロダクトコンソールでの有効化の比較
Security Center、WAF 2.0、および WAF 3.0 を例にとります。ログシナリオに基づいて、対応するコンソールでログ収集を有効にすることを選択できます。
クラウドプロダクト | クラウドプロダクトコンソール | 新しいログ監査サービス |
[セキュリティセンター] | 新しいログ監査サービスは、集中ストレージ転送のみを実行します。次のシナリオでは、新しいログ監査サービスコンソールで有効にすることをお勧めします:
| |
[WAF] |
制限
ログ監査サービスは現在、パブリッククラウドでのみ利用可能です。
新しいログ監査サービスはパブリックプレビュー中です。問題が発生した場合は、チケットを送信してください。
課金
ログ監査サービス機能は無料です。ただし、有効にすると、ログストレージとログトラフィックに対して料金が発生します。これらの料金には、次の項目が含まれます。
料金タイプ | 説明 |
クラウドプロダクトログのデフォルト Logstore の料金 |
|
データ変換の料金 |
|
ログ監査サービスに関連付けられた Logstore の料金 |
|
クラウドプロダクト機能の料金 | 一部のクラウドプロダクトログでは、ログ収集を有効にする前に、対応するクラウドプロダクト機能を有効にする必要があります。たとえば、VPC フローログではフローログ機能を有効にする必要があり、RDS 監査ログでは SQL Explorer と監査機能を有効にする必要があります。これらの機能は、対応するクラウドプロダクトに追加料金が発生します。料金体系の詳細については、「クラウドプロダクトからのログ収集に関する注意事項」をご参照ください。 |
ランタイムログの料金 | 課金は標準の Logstore と同じで、追加料金はかかりません。課金項目の詳細については、「機能ごとの課金方法の課金項目」および「取り込みデータ量ごとの課金方法の課金項目」をご参照ください。Logstore のストレージ料金を削減する方法、または Logstore の課金を停止する方法については、「ログストレージコストを削減するにはどうすればよいですか?」をご参照ください。 |
クラウドプロダクト統合カテゴリ
ログ監査サービスは現在、次のタイプのクラウドプロダクト統合をサポートしています。具体的な制限については、「クラウドプロダクトからのログ収集に関する注意事項」をご参照ください。
クラウドプロダクト統合タイプ | 分類基準 | 制限と説明 | 適用可能なクラウドプロダクトとログタイプ |
インスタンスクラス | インスタンスの粒度 (インスタンス ID、インスタンスリージョン、インスタンスのタグなどのプロパティに基づく) で収集ルールを構成することをサポートします。 | クラウドプロダクトインスタンスからのログは、デフォルトでインスタンスが存在するリージョンの Logstore に配信されます。 |
|
グローバルログ | 収集ルールはグローバルな粒度でのみ構成できます。 | クラウドプロダクトからのグローバルログは、デフォルトで固定リージョンの Logstore に配信されます。 |
|
セキュリティ | ルール構成は、クラウドプロダクトのデフォルト配信リージョンのリストを取得するために、リソースプロパティモードに依存します。 | クラウドプロダクトコンソールで手動で収集を有効にする必要があります。ログ監査サービスは、集中データ変換と集約のみを実行します。 |
|
ActionTrail と Cloud Config | この統合タイプは収集ルールに依存しません。代わりに、Logstore 名によってログ監査サービスに関連付けられます。 | クラウドプロダクトコンソールで手動でトレイルまたは配信タスクを構成し、ターゲットを現在の監査に関連付けられたプロジェクトに設定する必要があります。 |
|