このトピックでは、ログアプリケーションの制限について説明します。

Log Audit Service

  • ストレージ方法とリージョン
    重要 集中ストレージまたはリージョナルストレージにLog Audit Serviceを使用する前に、ログを保存するリージョンが関連する法規制のセキュリティ要件を満たしているかどうかを評価する必要があります。
    • 集中ストレージ
      異なるリージョンにまたがる複数のAlibaba Cloudアカウントから収集されたログは、中央のAlibaba Cloudアカウントの中央プロジェクトに保存されます。 中央プロジェクトは、次のリージョンに存在できます。
      説明 中央Alibaba Cloudアカウント内の中央プロジェクトのリージョンを変更すると、Log Serviceは新しいリージョンに中央プロジェクトを作成します。 元のプロジェクトは削除されません。
      • 中国本土: 中国 (青島) 、中国 (北京) 、中国 (フフホト) 、中国 (杭州) 、中国 (上海) 、中国 (深セン) 、中国 (香港)
      • 中国本土以外: シンガポール、日本 (東京) 、ドイツ (フランクフルト) 、インドネシア (ジャカルタ)
    • 地域ストレージ

      Server Load Balancer (SLB) 、Application Load Balancer (ALB) 、Object Storage Service (OSS) 、PolarDB-X 1.0、Virtual Private Cloud (VPC) 、Alibaba Cloud DNS (DNS) の場合、ログが複数のAlibaba Cloudアカウントから収集される場合、log Audit Serviceは、収集したログをAlibaba Cloudの中央アカウントに属し、クラウドサービスと同じリージョンにあるプロジェクトに保存します。 たとえば、アクセスログが中国 (杭州) リージョンにあるOSSバケットから収集された場合、アクセスログは中国 (杭州) リージョンにあるプロジェクトに保存されます。

    • 中央プロジェクトへの同期

      SLB、ALB、OSS、PolarDB-X 1.0、VPC、およびDNSの場合、リージョナルストレージが使用されている場合、リージョナルプロジェクトのログストアから中央プロジェクトのログストアにログを同期できます。 これにより、ログをより効率的にクエリ、分析、視覚化できます。 ログのアラートを設定し、セカンダリ開発を実行することもできます。

      同期プロセスは、Log Serviceのデータ変換機能に基づいています。

  • Resources
    • 中央Alibaba Cloudアカウントには、機能する中央プロジェクトが1つだけあります。 中央プロジェクトの名前は、slsaudit-center- Alibaba CloudアカウントID-中央プロジェクトに指定されたリージョンの形式です。 例: slsaudit-center-117938634953 ****-cn-beijing。 Log Serviceコンソールで中央プロジェクトを削除することはできません。 中央プロジェクトを削除する場合は、Alibaba Cloud CLIを使用するか、API操作を呼び出します。
    • SLB、ALB、OSS、PolarDB-X 1.0、VPC、DNSの場合、ログは複数の地域プロジェクトに保存できます。 リージョナルプロジェクトの名前は、slsaudit-region- Alibaba CloudアカウントID-収集元リージョンの形式です。 例: slsaudit-region-117938634953 ****-cn-beijing。 Log Serviceコンソールでリージョナルプロジェクトを削除することはできません。 リージョナルプロジェクトを削除する場合は、Alibaba Cloud CLIを使用するか、API操作を呼び出します。
    • クラウドサービスのログ収集を有効にすると、log Audit serviceは専用のLogstoreを作成します。 専用のLogstoreは、他のLogstoreと同じ方法で管理できます。 専用のLogstoreには次の制限があります。
      • データの改ざんを防ぐために、Log Serviceは指定されたサービスのみが専用のLogstoreにログを書き込むことを許可します。 Logstoreのインデックスを変更または削除することはできません。
      • ログの保持期間を変更したり、専用のログストアを削除したりできるのは、Log Audit Serviceの [グローバル設定] ページまたはAPI操作でのみです。
      • SLB、ALB、OSS、PolarDB-X 1.0、VPC、およびDNSの場合、中央プロジェクトへの同期が有効になっている場合、データ変換ジョブは地域プロジェクトで生成されます。
        • OSSログ用に生成されるデータ変換ジョブは、Internal job: SLS Audit Service data Sync for OSS Accessという名前です。 SLBログ用に生成されるデータ変換ジョブは、Internal job: SLS Audit Service data Sync for SLBという名前です。 ALBログ用に生成されるデータ変換ジョブは、Internal job: SLS Audit Service data Sync for ALBという名前です。 PolarDB-X 1.0ログ用に生成されるデータ変換ジョブは、Internal job: SLS Audit Service data Sync for DRDSという名前です。 VPCログ用に生成されるデータ変換ジョブの名前は、Internal job: SLS Audit Service data Sync for VPCです。 DNSログ用に生成されるデータ変換ジョブは、Internal job: SLS Audit Service data Sync for DNSという名前です。
        • データ変換ジョブは、Log Audit Serviceの [グローバル設定] ページでのみ停止するか、API操作を呼び出して停止できます。
        • [中央プロジェクトへの同期] をオンにすると、リージョナルプロジェクトのログストアのログが中央プロジェクトの専用ログストアと同期されます。 リージョナルプロジェクトのLogstoreを管理できなくなりました。 ただし、中央プロジェクトのLogstoreでクエリなどの操作を実行できます。
  • アクセス許可
    Log Audit Serviceを使用してKubernetesクラスターの監査ログ、K8s Event Centerのイベント、およびIngressアクセスログを収集する場合は、次の権限制限を可視化する必要があります。
    • Log Audit Serviceでは、中央のAlibaba CloudアカウントからのみKubernetesログを収集できます。 マルチアカウント収集が設定されている場合、中央のAlibaba Cloudアカウントとは異なるAlibaba CloudアカウントからKubernetesログを収集することはできません。
    • Log Audit Serviceは、データ変換機能に基づいてKubernetesログを収集します。 Log Audit Serviceを使用してKubernetesログを収集する場合は、次の表に基づいてAlibaba Cloudの中央アカウントに権限を付与する必要があります。
      項目中央Alibaba Cloudアカウント: アップグレードされていません中央Alibaba Cloudアカウント: アップグレード
      現在の中央Alibaba Cloudアカウントの役割sls-audit-service-monitorAliyunServiceRoleForSLSAudit
      追加の権限sls-audit-service-monitorロールには、AliyunLogAuditServiceMonitorAccess権限と次のカスタム権限AliyunLogAuditServiceK8sAccessが必要です。 
      {
    "Version": "1",
    "Statement": [
        {
            "Action": "log:*",
            "リソース":[
                "acs:log:*:*:project/k8s-log-*"
            ],
            "Effect": "Allow"
        }
    ]
}
      		AliyunServiceRoleForSLSAuditロールの権限のみが必要です。 追加の権限は必要ありません。
  • データ保持期間 (日数)
    • Log Audit Serviceでは、ApsaraDB RDSインスタンスの監査ログ、スロークエリログ、およびエラーログは、rds_logという名前の同じLogstoreに保存されます。 すべての種類のログでログ収集が有効で、データ保持期間が異なる場合は、データ保持期間の最大値が使用されます。
    • Log Audit Serviceでは、PolarDB for MySQLクラスターの監査ログ、スロークエリログ、およびエラーログは、polardb_logという名前の同じLogstoreに保存されます。 すべての種類のログでログ収集が有効で、データ保持期間が異なる場合は、データ保持期間の最大値が使用されます。
    • Log Audit Serviceでは、クラウドファイアウォールのインターネットファイアウォールとVPCファイアウォールのトラフィックログは、cloudfirewall_logという名前の同じLogstoreに保存されます。 両方のタイプのトラフィックログでログ収集が有効になっているが、データ保持期間が異なる場合は、データ保持期間の大きい方の値が使用されます。
    • ログ監査サービスでは、Anti-DDoS Pro、Anti-DDoS Premium、およびAnti-DDoS Originのアクセスログは、ddos_logという名前の同じログストアに保存されます。 すべての種類のアクセスログに対してログ収集が有効で、データ保持期間が異なる場合は、データ保持期間の最大値が使用されます。
    • Log Audit Serviceでは、Kubernetesクラスターの監査ログとK8s Event Centerのイベントは、k8s_logという名前の同じLogstoreに保存されます。 監査ログおよびイベントのログ収集が有効で、データ保持期間が異なる場合は、データ保持期間の大きい方の値が使用されます。
    • Log Audit Serviceでは、Cloud Configの変更ログとリソース不適合ログは、cloudconfig_logという名前の同じLogstoreに保存されます。 両方のタイプのログでログ収集が有効で、データ保持期間が異なる場合は、データ保持期間の大きい方の値が使用されます。
    説明 上記のリストは、データ保持期間が相互に影響を受けるログの種類を示しています。 これらのタイプのログに対して、ログ収集とホットおよびコールド階層ストレージの両方を有効にした場合、ログのホット保持期間は、これらのタイプのログのホット保持期間の最大値になります。 これらすべての種類のログに対してログ収集を有効にし、一部の種類のログに対してのみホットおよびコールド階層ストレージを有効にすると、すべてのログに対してホットおよびコールド階層ストレージが自動的に無効になります。

    たとえば、ApsaraDB RDSインスタンスの監査ログとエラーログのログ収集とホットおよびコールド階層ストレージを有効にした場合、監査ログとエラーログのホット保持期間の大きい方の値が使用されます。 ApsaraDB RDSインスタンスの監査ログとエラーログに対してログ収集を有効にし、監査ログに対してのみホットおよびコールド階層ストレージを有効にした場合、ログが保存されているrds_log Logstoreに対してホットおよびコールド階層ストレージは無効になります。

  • Cloud Config
    • Log Audit Serviceには、Cloud Configによって提供される設定情報が必要です。Cloud Config コンソールでCloud Configを有効にし、すべてのリソースのモニタリングを有効にする必要があります。
    • Log Audit ServiceでCloud Configログを収集、保存、またはクエリする場合は、Cloud Configに記録されたログを抽出する権限をLog Serviceに付与する必要があります。Log Serviceに権限が付与されると、Cloud Configログは自動的にLog Serviceにプッシュされます。
    • リソースディレクトリモードで複数のアカウントからログを収集する場合、Log Audit Serviceは、リソースディレクトリで設定されたすべてのメンバーのCloud Configを自動的にアクティブ化し、中央アカウントに必要な権限が付与された後にCloud ConfigをLog Serviceに統合します。 カスタム認証モードで複数のアカウントからログを収集する場合、中央アカウントに必要な権限が付与された後、他のメンバーに必要な権限を付与する必要があります。 詳細については、「t1885859.html#task_2485328」をご参照ください。
  • ホットとコールドティアードストレージ
    Log Audit Serviceの専用ログストアは、ホットおよびコールド階層ストレージ機能をサポートしています。 コールドストレージのコストはホットストレージよりも低くなりますが、クエリと分析のパフォーマンスは低下します。 ただし、アラート、視覚化、変換、出荷などの他の操作のパフォーマンスは低下しません。 詳細については、「t2092727.html#concept_2092727」をご参照ください。
    説明 Log Audit Serviceを使用すると、中国 (青島) 、中国 (北京) 、中国 (フフホト) 、中国 (杭州) 、中国 (上海) 、中国 (深セン) 、中国 (香港) 、シンガポールの各リージョンでホットおよびコールド階層ストレージ機能を有効にできます。

    ホットおよびコールド階層ストレージ機能は、Log Audit Serviceの [グローバル設定] ページで有効にできます。 ホットデータの保持期間は30日以上である必要がありますが、現在のデータ保持期間を超えることはできません。 たとえば、中央プロジェクトのデータ保持期間が180日で、ホットデータ保持期間が30日の場合、ホットデータは30日後にコールドストレージに移動されます。

  • データ暗号化

    Log Audit Serviceは、Bring Your Own Key (BYOK) キーの代わりにLog serviceの組み込みサービスキーを使用してデータ暗号化をサポートします。 Log serviceの組み込みサービスキーは、Advanced Encryption Standard (AES) およびSM4暗号化アルゴリズムをサポートしています。 詳細については、「データ暗号化」をご参照ください。

    データ暗号化を有効にすると、Log Serviceは、ログ収集が有効になっているクラウドサービスの専用ログストアを自動的に暗号化します。 中央プロジェクトと地域プロジェクトの専用ログストアが含まれています。 詳細については、「Enable encryption」をご参照ください。

  • インデックス

    Log Audit Serviceは、インデックスの自動更新をサポートしています。 インデックスを手動で変更することもできます。 詳細については、インデックスの自動更新を有効にするをご参照ください。

    インデックスを手動で変更すると、このログストアがLog Audit Serviceアプリケーション専用であることがシステムに表示されます。 Logstoreのインデックス属性を変更したり、インデックス作成を無効にすることはできません。、ログ監査サービスを再構成することを推奨します。 ログ監査サービスの [グローバル設定] ページで [変更] をクリックし、ログ監査サービスを再設定し、[OK] をクリックします。

    重要 インデックスを手動で変更すると、関連する組み込みダッシュボードと組み込みアラートが利用できない場合があります。 操作は慎重に行ってください。