すべてのプロダクト
Search

このプロダクト

    Simple Log Service:事前準備

    ドキュメントセンター

    Simple Log Service:事前準備

    最終更新日:Mar 26, 2026

    このトピックでは、ログ監査サービスの制限事項および課金について説明します。

    制限事項

    • ストレージ方法およびリージョン制限

      重要

      地域別または集中型のログストレージとしてログ監査サービスを利用する前に、選択したストレージリージョンが適用される法令、規制およびセキュリティ要件を満たしているかを評価してください。

      • 集中型ストレージ

        異なる Alibaba Cloud アカウントおよびリージョンから収集されたログは、中央アカウント下の中央プロジェクトに格納されます。集中型ストレージで利用可能なリージョンは以下のとおりです。

        説明

        中央アカウントのリージョンを変更すると、Simple Log Service (SLS) により新しい中央プロジェクトが作成されます。元のプロジェクトは削除されません。

        • 中国本土:中国 (青島)、中国 (北京)、中国 (張家口)、中国 (フフホト)、中国 (ウランチャブ)、中国 (杭州)、中国 (上海)、中国 (深セン)、中国 (香港)

        • 中国本土以外のリージョン:シンガポール、日本 (東京)、ドイツ (フランクフルト)、インドネシア (ジャカルタ)、マレーシア (クアラルンプール)

      • 地域別ストレージ

        SLB、ALB、OSS、PolarDB-X 1.0、VPC、DNS については、ログ監査サービスが地域別ストレージをサポートしています。これは、各 Alibaba Cloud アカウントから収集されたログが、中央アカウントに属し、かつソースサービスインスタンスと同じリージョンにある Simple Log Service (SLS) プロジェクトに格納されることを意味します。たとえば、中国 (杭州) リージョンの OSS バケットからのアクセスログは、中国 (杭州) リージョンのプロジェクトに格納されます。

      • 中央プロジェクトへの同期

        SLB、ALB、OSS、PolarDB-X 1.0、VPC、DNS のログについて地域別ストレージを設定した場合、複数のリージョンからログストアを中央ログストアに同期できます。これにより、集中型のクエリ、分析、アラート機能、可視化、およびカスタム開発が可能になります。

        説明

        この同期メカニズムは SLS のデータ変換機能に依存しています。同期速度への影響を回避するため、データ変換パフォーマンスガイドに基づき、地域別ログストアのシャードリソースを調整してください。

    • リソース制限

      • 中央アカウントにつき、中央プロジェクトは 1 つだけ作成できます。プロジェクト名は slsaudit-center-CentralAccountID-ConfiguredRegion(例: slsaudit-center-117938634953****-cn-beijing)となります。中央プロジェクトはコンソールから削除できません。削除する場合は、コマンドラインまたは API を使用してください。

      • SLB、ALB、OSS、PolarDB-X 1.0、VPC、DNS については、複数の地域別プロジェクトを作成できます。プロジェクト名は slsaudit-region-CentralAccountID-CollectionRegion(例: slsaudit-region-117938634953****-cn-beijing)となります。地域別プロジェクトはコンソールから削除できません。削除する場合は、コマンドラインまたは API を使用してください。

      • クラウドプロダクトのログ収集を設定すると、ログ監査サービスにより専用のログストアが自動的に作成されます。このログストアは標準的な SLS ログストアのすべての機能を提供しますが、以下の制限があります。

        • データ改ざんを防止するため、このログストアへデータを書き込んだり、インデックスを変更・削除したりすることはできません。

        • 保存期間の変更やログストアの削除を行うには、ログ監査サービスの設定ページまたは API を使用してください。

        • SLB、ALB、OSS、PolarDB-X 1.0、VPC、DNS の場合、中央プロジェクトへの同期 機能を有効化すると、対応する地域別プロジェクトに自動的にデータ変換タスクが作成されます。

          • データ変換タスクの名前は、Internal Job: SLS Audit Service Data Sync for OSS AccessInternal Job: SLS Audit Service Data Sync for SLBInternal Job: SLS Audit Service Data Sync for ALBInternal Job: SLS Audit Service Data Sync for DRDSInternal Job: SLS Audit Service Data Sync for VPC、または Internal Job: SLS Audit Service Data Sync for DNS となります。

          • このデータ変換タスクを停止するには、ログ監査サービスの設定ページまたは API を使用してください。

          • 中央プロジェクトへの同期 機能が有効化された地域別ログストアは、専用のログストアに同期されます。この専用ログストアに対しては、いかなる操作も実行できません。クエリやその他の操作を実行する場合は、中央ログストアをご利用ください。

    • 権限制限

      Kubernetes 監査ログ、Kubernetes イベントセンターのログ、Ingress のアクセスログなど、Kubernetes ログをログ監査サービスで収集する場合、以下の権限制限にご注意ください。

      • ログ監査サービスは、中央アカウントからのみ Kubernetes ログを収集できます。マルチアカウント構成における他のメンバーアカウントからの Kubernetes ログ収集はサポートされていません。

      • ログ監査サービスは Kubernetes ログの収集にデータ変換機能に依存しています。そのため、中央アカウントには以下の権限を付与する必要があります。

        項目

        アップグレード前

        アップグレード後

        中央アカウントの現在のロール

        sls-audit-service-monitor

        AliyunServiceRoleForSLSAudit

        追加権限

        sls-audit-service-monitor ロールには、AliyunLogAuditServiceMonitorAccess 権限および以下のカスタム権限(AliyunLogAuditServiceK8sAccess)が必要です。

        {
    "Version": "1",
    "Statement": [
        {
            "Action": "log:*",
            "Resource": [
                "acs:log:*:*:project/k8s-log-*"
            ],
            "Effect": "Allow"
        }
    ]
}

        AliyunServiceRoleForSLSAudit ロールのみが必要です。追加権限は不要です。

    • 保存期間の依存関係

      • ログ監査サービスでは、内部 DNS ログ(集中型)、パブリック DNS 解析ログ、Global Traffic Manager ログが dns_log ログストアを共有します。これらのログタイプの保存期間を異なる値で有効化した場合、最も長い期間がこのログストア全体に適用されます。

      • ログ監査サービスでは、ApsaraDB RDS の監査ログ、スロークエリログ、エラーログが rds_log ログストアを共有します。これらのログタイプの保存期間を異なる値で有効化した場合、最も長い期間がこのログストア全体に適用されます。

      • ログ監査サービスでは、PolarDB for MySQL の監査ログ、スロークエリログ、エラーログが polardb_log ログストアを共有します。これらのログタイプの保存期間を異なる値で有効化した場合、最も長い期間がこのログストア全体に適用されます。

      • ログ監査サービスでは、Cloud Firewall のインターネット境界ファイアウォールトラフィックログおよび VPC 境界ファイアウォールトラフィックログが cloudfirewall_log ログストアを共有します。これらのログタイプの保存期間を異なる値で有効化した場合、最も長い期間がこのログストア全体に適用されます。

      • ログ監査サービスでは、Anti-DDoS Proxy (中国本土)、Anti-DDoS Proxy (中国本土以外)、Anti-DDoS Origin のアクセスログが ddos_log ログストアを共有します。これらのログタイプの保存期間を異なる値で有効化した場合、最も長い期間がこのログストア全体に適用されます。

      • ログ監査サービスでは、Kubernetes 監査ログおよび Kubernetes イベントセンターのログが k8s_log ログストアを共有します。これらのログタイプの保存期間を異なる値で有効化した場合、最も長い期間がこのログストア全体に適用されます。

      • ログ監査サービスでは、Cloud Config の変更ログおよびリソース非準拠ログが cloudconfig_log ログストアを共有します。これらのログタイプの保存期間を異なる値で有効化した場合、最も長い期間がこのログストア全体に適用されます。

      説明

      保存期間に依存関係があるログタイプの場合、ログ収集とインテリジェント階層ストレージの両方を有効化した場合、最も長いホットストレージ期間が適用されます。さらに、1 つのログストアを共有する複数のログタイプのログ収集を有効化する場合、すべてのログタイプに対してインテリジェント階層ストレージを有効化する必要があります。そうでない場合、当該ログストアではこの機能はデフォルトで無効化されます。

      たとえば、ApsaraDB RDS の監査ログとエラーログの収集を有効化した場合、両方にインテリジェント階層ストレージを有効化すれば、より長い方のホットストレージ期間が適用されます。一方、ApsaraDB RDS の監査ログのみにインテリジェント階層ストレージを有効化し、エラーログには有効化しなかった場合、共有ログストア(rds_log)ではインテリジェント階層ストレージ機能が無効化されます。

    • Cloud Config

      • ログ監査サービスは Cloud Config の構成情報を使用します。Cloud Config サービスを有効化し、Cloud Config コンソール で全リソースのモニタリングを設定する必要があります。

      • ログ監査サービスで Cloud Config ログの収集、保存、またはクエリを実行するには、SLS が Cloud Config からログを取得できるよう権限付与を行う必要があります。権限付与後、Cloud Config ログは自動的に SLS に送信されます。

      • リソースディレクトリモードでは、中央アカウントの権限付与後に、ログ監査サービスがリソースディレクトリ内のすべてのアカウントについて Cloud Config を自動的に有効化し、SLS と統合します。カスタム権限付与モードでは、メンバーアカウントごとに個別に権限付与を行う必要があります。詳細については、「カスタム権限付与によるログの収集および同期」をご参照ください。

    • インテリジェント階層ストレージ

      ログ監査サービスの専用ログストアは、インテリジェント階層ストレージをサポートしています。ホットストレージと比較して、IA ストレージはコスト効率が高く、ただしクエリおよび分析のパフォーマンスは低くなります。アラート機能、可視化、データ変換、データ転送などのその他の機能には影響しません。詳細については、「インテリジェント階層ストレージの管理」をご参照ください。

      説明

      インテリジェント階層ストレージは、以下の監査センターのリージョンでサポートされています:中国 (青島)、中国 (北京)、中国 (フフホト)、中国 (杭州)、中国 (上海)、中国 (深セン)、中国 (香港)、シンガポール。

      ログ監査サービスの グローバル設定 ページからインテリジェント階層ストレージを有効化できます。ホットストレージ期間は 7 日以上である必要があり、総保存期間を超えることはできません。たとえば、総保存期間が 180 日で、ホットストレージ期間を 30 日に設定した場合、ログは 30 日経過後に IA ストレージに移行されます。

      説明

      ログ監査サービス(従来版)では、グローバル設定 ページからアーカイブストレージを有効化することはできません。この機能を有効化するには、チケットを送信 して、アカウントを許可リストに登録する必要があります。アカウントが許可リストに登録された後、グローバル設定で指定した保存期間は、ログストアの初回作成時のみ適用されます。その後の実際の保存期間は、ログストアコンソールでの設定によって決定されます。

    • データ暗号化

      ログ監査サービスでは、SLS が管理するキーを使用したデータ暗号化をサポートしています。Bring Your Own Key (BYOK) はサポートされていません。SLS が管理するキーによる暗号化では、AES アルゴリズム(デフォルト)および SM4 アルゴリズムが使用可能です。詳細については、「データ暗号化」をご参照ください。

      ログ暗号化を有効化すると、SLS はログ収集が有効な専用ログストア(中央プロジェクトおよび地域別プロジェクトの両方)を自動的に暗号化します。詳細については、「暗号化の有効化」をご参照ください。

    • インデックス制限

      ログ監査サービスでは、インデックスの自動更新および手動によるインデックス変更をサポートしています。詳細については、「インデックスの作成」をご参照ください。

      インデックスを変更する際に、システムから「このログストアは SLS アプリ「ログ監査サービス」の専用ログストアです。インデックス属性の変更およびインデックスの無効化はサポートされていません。」というメッセージが表示された場合、ログ監査サービスの グローバル設定 ページで 変更 をクリックし、次に OK をクリックして、ログ監査サービスの構成を再構築してください。

      重要

      インデックスを手動で変更すると、組み込みのダッシュボード、アラート、およびその他の機能が利用できなくなる可能性があります。この機能は慎重にご利用ください。

    課金

    • Simple Log Service (SLS)

      他の Alibaba Cloud アカウントからのログ収集を行うには、中央アカウントで Simple Log Service (SLS) およびログ監査サービスアプリケーションを有効化する必要があります。ほとんどの場合、これらの他のアカウントでは SLS を有効化する必要はなく、SLS 関連の料金も発生しませんが、一部のクラウドプロダクトには特定の依存関係がある場合があります。ログ監査サービス自体は現時点で無料ですが、使用する基盤となる SLS リソース(データストレージ、読み書きトラフィック、データ変換など)については従量課金となります。詳細については、「従量課金の課金項目」をご参照ください。

      重要

      • SLB、ALB、OSS、PolarDB-X 1.0、VPC、DNS、Container Service for Kubernetes のログについて 中央プロジェクトへの同期 機能を有効化すると、データ変換機能を用いてデータが同期されます。データ変換およびクロスネットワークトラフィックについては、従量課金となります。詳細については、「従量課金の課金項目」をご参照ください。

      • クラウドプロダクトのログ収集には、ログ監査サービスまたは標準的な SLS 収集方法のいずれかを使用できます。それぞれの課金は別々に計算され、両方の方法を使用すると、SLS 内にデータのコピーが 2 つ保存されることになります。両者の用途は異なります:

        • ログ監査サービス:主にコンプライアンス監査を目的として、複数のアカウントから自動的かつリアルタイムで集中型のログ収集を提供します。

        • 標準的な SLS 方法:主にデータ分析を目的として、地域別収集および分散型管理をサポートします。詳細については、「クラウドサービスログの概要」をご参照ください。

      無料枠が提供されています。また、購入済みのリソースプランを課金の相殺に使用することもできます。

    • クラウドプロダクト

      特定のクラウドプロダクトでログ監査サービスを有効化すると、以下に示すように、当該プロダクトから追加の料金が発生する場合があります。

      クラウドプロダクト

      追加料金

      Web Application Firewall (WAF)

      WAF コンソールで Log Service モジュールを購入してください。課金に関する詳細については、「課金方法」をご参照ください。

      Security Center

      Security Center コンソールで ログ分析 機能を有効化してください。課金に関する詳細については、「課金」をご参照ください。

      Cloud Firewall

      Cloud Firewall コンソールで ログ分析 モジュールを購入してください。課金に関する詳細については、「ログ分析機能の課金」をご参照ください。

      ApsaraDB RDS

      ApsaraDB RDS の監査ログ収集を有効化すると、対象インスタンス(MySQL 向け RDS の非ベーシックエディション、PostgreSQL 向け RDS の高可用性エディション)に対して、有料の SQL Explorer および監査機能が自動的に有効化されます。課金に関する詳細については、「課金項目」をご参照ください。

      説明

      • RDS インスタンスで SQL Explorer および監査機能のトライアル版を既に有効化している場合、ログ収集を有効化すると、ログ監査サービスが自動的にトライアル版を無効化し、有料版を有効化します。

      • SQL Explorer および監査機能のデフォルト保存期間は 30 日です。期間を変更するには、ApsaraDB RDS コンソールにアクセスしてください。詳細については、「SQL ログの保存期間の変更」をご参照ください。この期間は、ログ監査サービスで設定したログ保持期間とは独立しています。

        ApsaraDB RDS コンソールで保存期間を 30 日未満に設定した場合、ログ配布要件を満たさず、ログ監査サービスが自動的に期間を 30 日にリセットします。

      • RDS 監査ログの収集を停止し、SQL Explorer および監査機能を無効化したい場合は、RDS コンソールで手動で無効化できます。詳細については、「SQL Explorer および監査機能の無効化」をご参照ください。

      PolarDB

      PolarDB の監査ログ収集を有効化すると、MySQL クラスター向けに有料の SQL Explorer および監査機能が自動的に有効化されます。課金に関する詳細については、「課金概要」をご参照ください。

      説明

      • PolarDB インスタンスで SQL Explorer および監査機能のトライアル版を既に有効化している場合、ログ収集を有効化すると、ログ監査サービスが自動的にトライアル版を無効化し、有料版を有効化します。

      • SQL Explorer および監査機能のデフォルト保存期間は 30 日です。期間を変更するには、PolarDB コンソールにアクセスしてください。詳細については、「SQL ログの保存期間の変更」をご参照ください。この期間は、ログ監査サービスで設定したログ保持期間とは独立しています。

        PolarDB コンソールで保存期間を 30 日未満に設定した場合、ログ配布要件を満たさず、ログ監査サービスが自動的に期間を 30 日にリセットします。

      • PolarDB 監査ログの収集を停止した後、SQL Explorer および監査機能が不要になった場合は、PolarDB コンソールで手動で無効化する必要があります。詳細については、「SQL Explorer および監査機能の無効化」をご参照ください。

      Anti-DDoS

      Anti-DDoS Proxy (中国本土) コンソールで ログ分析 モジュールを購入してください。課金に関する詳細については、「概要」をご参照ください。

      VPC

      フローログの料金には、フローログ生成料金および SLS サービス料金が含まれます。詳細については、「フローログの課金」をご参照ください。

      説明

      • VPC フローログの収集は、ログ監査サービスコンソールまたは VPC コンソールのいずれかで独立して有効化できます。片方のコンソールで収集を有効化または無効化しても、もう片方のコンソールには影響しません。フローログの料金(フローログ生成料金および SLS サービス料金)は、それぞれの方法で別々に計算されます。

      • ログ監査サービスに関連するプロジェクトを削除する前に、まず VPC フローログの収集を無効化する必要があります。そうしないと、対応する VPC インスタンスのフローログ機能は引き続き有効化されたままになります。

      DNS

      トラフィック分析に対して課金されます。詳細については、「DNS」をご参照ください。