新しいログ監査サービスは、Alibaba Cloud のサービスとランタイム環境全体でログ収集を一元化し、コンプライアンス要件とデータガバナンス要件への対応を支援します。
ログ監査サービスを使用する理由
企業がクラウドへ移行するにつれて、大規模なログの管理と監査が重要になります。
-
ログ監査 は法的要件です。サイバーセキュリティ法やデータセキュリティ法などの規制では、ネットワークステータスの監視、セキュリティイベントの記録、および少なくとも 6 か月間のログ保持が義務付けられています。
-
データコンプライアンス では、現地の規制に準拠してリージョン間でデータを管理しながら、秩序だったクロスリージョンデータフローを実現する必要があります。
-
新しいログ監査サービス は、クラウドサービスとランタイムデータの両方のデータインジェストをサポートすることで、これらの課題に対処します。プロジェクト全体でログを一元化、クエリ、分析して、地域のコンプライアンス要件を満たすことができます。
基本機能
Simple Log Service (SLS) をベースに構築されたログ監査サービスは、以下の機能を提供します。
クラウドサービスログのインジェスト
-
クラウドサービスのカバレッジ:ストレージ (Simple Log Service (SLS)、Object Storage Service (OSS))、ネットワーク (Cloud Load Balancer (CLB)、Application Load Balancer (ALB)、Virtual Private Cloud (VPC)、Alibaba Cloud DNS (DNS))、データベース (ApsaraDB RDS (RDS)、PolarDB)、セキュリティ (Security Center、Cloud Firewall、Web Application Firewall (WAF)、Anti-DDoS)、および監査 (ActionTrail、Cloud Config) をサポートします。
-
自動ログ収集:クラウドサービスを接続すると、ログは自動的に宛先 Logstore に書き込まれます。新しいインスタンスとプロパティの変更は、設定したルールに基づいて検出され、収集されます。
-
オーケストレーションされた収集ルール:すべてのリソース、インスタンスによるフィルタ、プロパティによるフィルタの 3 つのリソース選択モードを使用できます。
-
クロスリージョンデータ集約:データ変換を使用してリージョン間でログを集約します。SLS は、デフォルト Logstore と集約 Logstore 間の配信関係に基づいて、変換タスクを自動的に作成します。
-
複数のログセンター:ログを 1 回インジェストし、データ変換を通じて異なるプロジェクトまたは Logstore に集約します。たとえば、中国 (北京) と中国 (杭州) のログを上海に集約したり、マレーシアとインドネシアのログをシンガポールに集約したりできます。
-
複数アカウントのサポート (Resource Directory 経由):管理者アカウントまたは委任された管理者アカウントは、すべてのメンバーアカウントからログを集約できます。
ランタイムログのインジェスト
-
ランタイムログ収集:Logtail を使用して、Tetragon や Falco などのオープンソースエージェントからランタイムログを Logstore に収集します。
-
Systemd ジャーナルログ:Logtail を使用して、Docker や Kubernetes 環境のコンテナホストを含む Systemd ジャーナルログを収集します。
仕組み
クラウドサービスログのインジェスト
-
クラウドサービスログは、まずデフォルト Logstore に保存されます。
-
クラウドサービスログとその Logstore 名は、「クラウドサービスからのログ収集に関する注意事項」に記載されています。
-
クラウドサービスインスタンスが複数の収集ルールに一致する場合、少なくとも 1 つのルールに一致すれば、そのログはデフォルト Logstore に収集されます。
-
-
ログ監査サービスは、デフォルト Logstore から関連付けられたプロジェクトにログを集約するデータ変換タスクを自動的に作成します。
-
ログタイプは、設定した収集ルールによって決定されます。
-
サービスは、各リージョンで新しいインスタンスまたは変更されたインスタンスを自動的に検出し、それに応じて収集ルールを更新します。
-
-
Resource Directory の管理者アカウントまたは委任された管理者アカウントが複数アカウント収集ルールを設定した場合、ログはまず各メンバーアカウントのデフォルト Logstore に収集され、その後、自動データ変換ジョブを通じて管理者アカウントまたは委任された管理者アカウントの集約 Logstore に集約されます。
-
収集ルール 1:リージョンプロパティに基づいてログを収集します。中国 (杭州) および中国 (深圳) リージョンからのクラウドサービスログを、
xxx_log_centerという名前の集約 Logstore に配信します。この Logstore は、集約プロジェクトcenter-A-cn-shanghaiに属しています。 -
収集ルール 2:リージョンプロパティに基づいてログを収集します。シンガポールリージョンからのクラウドサービスログを、
xxx_log_centerという名前の集約 Logstore に配信します。この Logstore は、集約プロジェクトcenter-A-ap-southeast-1に属しています。
-
ランタイムログのインジェスト
Docker および Kubernetes 環境では、Tetragon と Falco を使用してコンテナランタイムログをディレクトリファイルまたは標準出力に収集し、Logtail を通じて SLS Logstore に配信します。
アプリケーションの比較
新しいログ監査サービスと旧ログ監査サービスの比較
「バージョン比較」をご参照ください。
新しいログ監査サービスと CloudLens for XX シリーズの比較
ログ監査サービスと CloudLens for PolarDB はどちらも PolarDB 監査ログを有効にできます。次の表は、これらのソリューションをシナリオ別に比較したものです。
|
シナリオ |
推奨ソリューション |
利点 |
|
ログ収集の手動制御 |
CloudLens for PolarDB を使用します。 |
シンプルな操作と柔軟な設定。 |
|
クラウドサービスログの自動収集 |
Simple Log Service API を使用して、クラウドサービスログの収集を自動化します。 |
バッチ設定。 |
|
クロスリージョンの一元配信 |
新しいログ監査サービスコンソールで関連するルールを有効にします。 |
リアルタイムのクロスリージョンログ同期が、データコンプライアンス要件への対応を支援します。 |
|
クロスアカウントの一元ログ配信 (Resource Directory ベース) |
新しいログ監査サービスコンソールで関連するルールを有効にします。 |
複数のアカウントからのログの統合管理が、エンタープライズレベルのデータガバナンスニーズへの対応を支援します。 |
新しいログ監査サービスとクラウドサービスコンソールの比較
次の表は、Security Center と WAF のログ収集方法を比較したものです。
|
クラウドサービス |
クラウドサービスコンソール |
新しいログ監査サービス |
|
[Security Center] |
「Security Center コンソールで Simple Log Service を有効にしてログオンログを収集」します。 |
ログ監査サービスは一元配信にのみ使用されます。次のシナリオでは、ログ監査サービスコンソールを使用します。
|
|
[WAF] |
制限事項
-
ログ監査サービスは、現在パブリッククラウドでのみ利用可能です。
-
新しいログ監査サービスはパブリックプレビュー中です。問題が発生した場合は、チケットを送信してください。
課金
ログ監査サービス自体は無料です。有効にすると、ログストレージとトラフィックに対して課金されます。料金には以下が含まれます。
|
料金タイプ |
説明 |
|
クラウドサービスログのデフォルト Logstore の料金 |
|
|
データ変換料金 |
|
|
ログ監査サービスに関連付けられた Logstore の料金 |
|
|
クラウドサービス機能料金 |
一部のログでは、最初にクラウドサービス機能を有効にする必要があります (たとえば、VPC フローログのフローログ機能や、RDS 監査ログの SQL Explorer 機能)。これにより、そのサービスから追加料金が発生します。「クラウドサービスからのログ収集に関する注意事項」をご参照ください。 |
|
ランタイムログ料金 |
標準 Logstore と同じで、追加料金はありません。課金対象項目:「機能別課金方式の課金対象項目」、「取り込みデータ量課金方式の課金対象項目」。コスト削減方法:「ログストレージコストを削減するには?」をご参照ください。 |
クラウドサービスインジェストタイプ
ログ監査サービスは、クラウドサービスインジェストを次のタイプに分類します。具体的な制限事項については、「クラウドサービスからのログ収集に関する注意事項」に記載されています。
|
クラウドサービスインジェストタイプ |
分類基準 |
制限事項と説明 |
該当するクラウドサービスとログタイプ |
|
インスタンスクラス |
インスタンス ID、リージョン、またはタグによってインスタンスレベルで設定されたルール。 |
ログは、インスタンスが存在するリージョンの Logstore に配信されます。 |
|
|
グローバルログ |
グローバルレベルでのみ設定されたルール。 |
ログは、固定リージョンの Logstore に配信されます。 |
|
|
セキュリティ |
リソースプロパティモードを使用してデフォルト配信リージョンを取得するルール。 |
最初にクラウドサービスコンソールでログ収集を有効にする必要があります。ログ監査サービスは、これらのログを一元化して処理するのみです。 |
|
|
ActionTrail と Cloud Config |
収集ルールは不要です。Logstore 名を通じて関連付けが確立されます。 |
クラウドサービスコンソールでトレイルまたは配信ルールを設定し、現在のプロジェクトに関連付けます。 |
|