Tablestore コンソールで監査ログを表示する - Tablestore - Alibaba Cloud ドキュメントセンター

このトピックでは、Tablestore コンソールで監査ログをクエリおよび分析する方法について説明します。

使用上の注意

Tablestore コンソールは、CreateIndex API 操作を使用して、セカンダリインデックスがサポートされているかどうかを確認します。そのため、監査ログには、名前が無効なインデックスを作成するための検証エラーメッセージが含まれています。エラーメッセージでは、API は CreateIndex、HttpStatus は 400、TableName は $$ です。これらのログは無視してかまいません。ログをクエリおよび分析する場合は、TableName != '$$' 条件でフィルタリングすることにより、これらの検出ログを除外します。

検出ログの例

API: CreateIndex
AccessKeyID: TMP.3Kg4WjY7BqkMbJNwSMgzk47************************
HttpStatus: 400
InstanceName: exampleinstance
InvokerUid: 13**************
RequestID: 00060883-c926-0eff-24f1-*********
SourceIP: 10.10.XX.XX
TableName: $$
Time: 1698211968716557
UserAgent: ots-java-sdk 5.16.0

手順

Tablestore コンソールの監査ログ機能を初めて使用するときは、監査ログ機能を有効にする必要があります。監査ログ機能をすでに有効にしている場合は、ログを直接クエリできます。

監査ログ機能を有効にする

Tablestore コンソールにログオンします。
上部のナビゲーションバーで、リソースグループとリージョンを選択します。次に、左側のナビゲーションウィンドウで、[監査ログ] をクリックします。
説明
監査ログ機能を初めて使用するときは、画面の指示に従って Simple Log Service が Tablestore にアクセスすることを承認する必要があります。 Simple Log Service をアクティブ化していない場合は、画面の指示に従って Simple Log Service をアクティブ化します。
[監査ログ] ページで、[監査ログのアクティブ化] をクリックします。
[監査ログのアクティブ化] メッセージで、[OK] をクリックします。
Tablestore の監査ログ機能を有効にすると、同じリージョンの Simple Log Service にプロジェクトとログストアが自動的に作成され、Tablestore 監査ログが保存されます。次の図を参照してください。
説明
Simple Log Service で自動生成されたプロジェクトとログストアを削除しないでください。削除すると、Tablestore 監査ログが異常になります。

ログのクエリと分析

Tablestore 監査ログ機能は、Simple Log Service のクエリおよび分析機能を統合して、数十億から数百億のログの秒単位のクエリをサポートし、SQL 文を実行することでクエリ結果の統計分析を可能にします。

Tablestore コンソールにログオンします。
上部のナビゲーションバーで、リソースグループとリージョンを選択します。次に、左側のナビゲーションウィンドウで、[監査ログ] をクリックします。
[監査ログ] ページで、時間範囲を選択するか、クエリ文を入力し、[検索と分析] をクリックします。

検索および分析文は、検索文と分析文で構成され、search statement|analytic statement の形式です。検索文は単独で実行できます。分析文は、検索文と一緒に実行する必要があります。

検索文: ログデータの表示、検索、フィルタリングに使用されます。検索文に条件を指定してデータをフィルタリングできます。たとえば、時間範囲、リクエストタイプ、キーワードを指定してデータセットをフィルタリングできます。検索文は単独で実行できます。詳細については、「検索構文と関数」をご参照ください。
分析文: ログデータのフィルタリング、変換、統計の収集、集計に使用されます。たとえば、一定期間のデータの平均値を計算したり、ログデータの前年比や前月比の結果を取得したりできます。分析文は、検索文と一緒に search statement|analytic statement の形式で使用する必要があります。構文の説明については、「SQL 構文と関数」をご参照ください。

Tablestore 監査ログのクエリ文の例

最も頻繁に使用される上位 5 つの API 操作をクエリする

* | SELECT API,COUNT(API) as count where TableName != '$$' group by API order by count desc limit 5

テーブルを削除した呼び出し元と削除されたテーブルの情報をクエリする
```
* | SELECT TableName,InvokerUid,time where API = 'DeleteTable' 
```
exampleinstance インスタンスの exampletable テーブルで行操作を実行したすべての呼び出し元と、実行された操作をクエリする
```
* | SELECT API,InvokerUid,from_unixtime(time/1000000,'Asia/shanghai') as time where InstanceName = 'exampleinstance' and TableName = 'exampletable'
```

ページ機能の説明

ヒストグラム

緑色の四角形の上にポインタを移動すると、四角形で表される期間と、その期間内に返されたログの数を確認できます。
緑色の四角形をダブルクリックすると、より細かい粒度でログの分布を表示できます。また、[未処理ログ] タブで、指定した期間内に返されたログを表示することもできます。

未処理ログ

ログの詳細

ログフィールドの詳細

次の表は、Tablestore でサポートされている操作ログフィールドについて説明しています。

説明

ログフィールドには、Simple Log Service の次の予約済みフィールドも含まれています。

__source__: ログのソース。固定値は log_service で、ログが Simple Log Service から来ていることを示します。
__topic__: ログトピック。Tablestore ログのログストア名を格納するために使用されます。固定値は table_store_audit_log です。

フィールド	例	説明
API	CreateTable	API 操作の名前。
AccessKeyID	LTAI********************	Alibaba Cloud アカウントまたは Resource Access Management (RAM) ユーザーの AccessKey ID。
HttpStatus	200	HTTP ステータスコード。
IndexName	exampleindex	操作が実行されるインデックスの名前。
InstanceName	exampleinstance	Tablestore インスタンス名。
InvokerUid	13**************	API 操作を呼び出した Alibaba Cloud アカウント ID。
RequestID	000607f9-2465-7617-a0cb-************	リクエスト ID。リクエストを一意に識別します。
SourceIP	10.10.10.10	リクエスト元の IP アドレス。
TableName	exampletable	操作が実行されるテーブルの名前。
Time	1697616499144229	操作のタイムスタンプ。単位はマイクロ秒 (μs) です。
UserAgent	ots-java-sdk 5.16.1	クライアントの SDK バージョン。

[テーブル] または [未処理データ] をクリックして、ログ形式を切り替えます。
> [ログのダウンロード]: ログをローカルコンピュータにダウンロードできます。詳細については、「ログのダウンロード」をご参照ください。
> [JSON 設定]: JSON 表示形式と JSON 展開レベルを指定します。
> [イベント設定]: 未処理ログのイベントを設定します。
: ログの内容をコピーします。
: Simple Log Service Copilot。ログの内容に基づいて情報を要約し、エラーメッセージを見つけます。

表示フィールド
- [表示フィールド] セクションで、対象フィールドの横にあるをクリックして、インデックス付きフィールドを [表示フィールド] セクションから削除します。フィールドは、右側のログ情報に表示されなくなります。
- : ビューをお気に入りに追加します。 [表示フィールド] セクションにフィールドを追加した後、現在のビューをお気に入りに追加できます。 [ビュー] ドロップダウンリストからビューを選択できます。
  > [タグ設定]: フィールドをタグフィールドに設定します。
インデックス付きフィールド
- [インデックス付きフィールド] セクションで、対象フィールドの横にあるをクリックして、フィールドを [表示フィールド] セクションに追加します。フィールドは、右側のログ情報に表示されます。
- : フィールドの [基本分布] や [統計メトリック] などの情報を表示します。詳細については、「フィールド設定」をご参照ください。

統計チャート

チャートは、クエリおよび分析文に基づいて Simple Log Service によってレンダリングされた結果です。 Simple Log Service は、テーブル、折れ線グラフ、縦棒グラフなど、さまざまなチャートタイプを提供します。クエリおよび分析文を実行した後、[グラフ] タブで、視覚化されたクエリと分析結果を表示できます。

[グラフ] タブのその他の機能の説明:

[新しいダッシュボードに追加]: ダッシュボードは、Simple Log Service によって提供されるリアルタイムデータ分析パネルです。 [新しいダッシュボードに追加] をクリックして、クエリと分析結果をチャートとしてダッシュボードに保存できます。詳細については、「可視化の概要」をご参照ください。
[スケジュール済み SQL ジョブとして保存]: Simple Log Service は、データを定期的に分析し、集計データを保存し、データを投影およびフィルタリングするためのスケジュール済み SQL 機能を提供します。詳細については、「スケジュール済み SQL のしくみ」をご参照ください。
[対話発生]: 対話発生はデータ分析に不可欠な機能であり、データディメンションの階層を変更し、分析の粒度を変換して、データからより詳細な情報を取得できます。詳細については、「ドリルダウン分析を実行するためのダッシュボードの対話発生の設定」をご参照ください。

LogReduce

[LogReduce] タブで、[LogReduce の有効化] をクリックして、ログが収集されるときに類似性の高いログを集計します。詳細については、「LogReduce」をご参照ください。

SQL 拡張

アイコンをクリックし、[SQL 拡張] または [完全な正確性] を選択して、専用 SQL 機能を有効にします。標準 SQL 機能を使用して一定期間に生成された大量のデータを分析する場合、Simple Log Service は 1 つのクエリリクエストですべてのデータを分析できません。専用 SQL 機能を有効にすると、計算リソースと、1 つのクエリリクエストで分析できるデータ量を増やすことができます。専用 SQL をデフォルトで有効にする方法については、「専用 SQL: 兆レベルのログクエリ最適化ソリューション」をご参照ください。

アラート

右上隅にある另存为告警アイコンをクリックして、クエリと分析結果をアラートとして保存します。詳細については、「Simple Log Service でのアラートルールの設定」をご参照ください。

請求

Tablestore 監査ログ機能を使用すると、Simple Log Service にログストアが作成され、ログが保存されます。また、Simple Log Service を使用してログのクエリと分析を行います。ストレージの使用量とその他のリソースの使用量に対して Simple Log Service によって課金されます。詳細については、「請求の概要」をご参照ください。