Simple Log Service (SLS) は、ログをセキュリティ情報およびイベント管理 (SIEM) システムに転送します。これにより、Alibaba Cloud のすべての規制、監査、およびその他の関連ログを、お客様のセキュリティオペレーションセンター (SOC) にインポートできます。
用語
-
SIEM:Splunk や IBM QRadar などのセキュリティ情報およびイベント管理システム。
-
Splunk HEC:Splunk HTTP Event Collector。HTTP または HTTPS 経由でログを受信するインターフェイス。
デプロイに関する推奨事項
-
OS:Linux (Ubuntu x64 など)。
-
ハードウェア:
-
CPU:8 コア、2.0 GHz 以上。
-
メモリ:16 GB (32 GB 推奨)。
-
ネットワーク:1 Gbps のネットワークインターフェイスコントローラー (NIC)。
-
ディスク容量:最小 2 GB (10 GB 以上推奨)。
-
-
ネットワークパラメーター:
お客様の環境から Alibaba Cloud への帯域幅は、ログ生成レートを上回る必要があります。そうでない場合、ログをリアルタイムで消費できません。例:1 日あたり 1 TB の生ログが均一なレートで生成され、ピークが 2 倍、圧縮率が 5:1 の場合、約 4 MB/s (32 Mbps) が必要です。
-
Python:このガイドでは Python を使用します。Java の場合は、「コンシューマーグループを使用したログの消費」をご参照ください。
Python SDK
-
標準の CPython インタープリターを使用してください。
-
SLS SDK for Python をインストールしてください: python3 -m pip install aliyun-log-python-sdk -U。
-
使用方法の詳細については、ユーザーガイドをご参照ください。
コンシューマーライブラリ
コンシューマーライブラリは、コンシューマーグループを使用してコンシューマーを抽象化および管理する、高度なログ消費方法です。負荷分散とフェイルオーバーを自動的に処理するため、お客様はビジネスロジックに集中できます。
Logstore には複数のシャードが含まれています。コンシューマーライブラリは、以下の原則に基づいてシャードをコンシューマーに割り当てます:
-
各シャードは、1 つのコンシューマーにのみ割り当てられます。
-
1 つのコンシューマーに複数のシャードを割り当てることができます。
新しいコンシューマーがコンシューマーグループに参加すると、シャードの割り当てが自動的にリバランスされます。割り当ての原則は同じままで、このプロセスはユーザーには透過的です。
コンシューマーライブラリはチェックポイントを保存するため、プログラムは障害発生後に最後の位置から再開でき、重複して消費することはありません。
Spark Streaming、Storm、および Flink Connector はすべて、コンシューマーライブラリに基づいて構築されています。
転送方法
SLS のコンシューマーグループを使用してリアルタイムで消費し、HTTPS または Syslog 経由で SIEM にログを送信するプログラムを構築します。
-
HTTPS:SIEM へのログ転送。
-
Syslog:Syslog 経由での SIEM へのログ転送。