ユーザー操作ログをLogstoreに配信する - Elastic Desktop Service

Elastic Desktop Service (Enterprise Edition) は、ユーザー操作ログをSimple Log Serviceのログストアに配信できます。管理者はログを使用してユーザー操作を監査および監視し、疑わしい操作が最も早い機会に検出された場合にアラートを送信できます。これにより、データ漏洩を防ぎ、ビジネスデータのセキュリティを確保します。このトピックでは、ユーザー操作ログの配信権限とログの配信方法について説明します。

背景

ユーザー操作ログを配信する前に、Simple Log Serviceに関連する次の情報を理解しておく必要があります。

Simple Log Serviceは、ログ、メトリック、トレースなどの複数の種類のデータを処理するための、大規模で低コストのリアルタイムサービスを提供するクラウドネイティブの監視および分析プラットフォームです。 Simple Log Serviceは、データの収集、処理、クエリ、分析、視覚化、消費、配信を行うためのワンストップソリューションを提供します。ソリューションはアラートを送信することもできます。 Simple Log Serviceを使用して、R&D、O&M、操作、およびデータセキュリティのデジタル機能を向上させることができます。詳細については、「Simple Log Serviceとは」をご参照ください。
Simple Log ServiceのLogstoreを使用して、ログを収集、保存、およびクエリできます。詳細は、「Logstore」をご参照ください。
Elastic Desktop Service (Enterprise Edition) からSimple Log Serviceのログストアにユーザー操作ログを配信しても、課金されません。ただし、ログがSimple Log Serviceのログストアに配信されると、ログの保存料が請求されます。詳細については、「課金の概要」をご参照ください。
サービスにリンクされたロールは、Alibaba Cloudサービスに関連付けられます。サービスにリンクされたロールを使用して操作を実行することで、クラウドサービスの権限を設定できます。これにより、誤操作によるリスクを防ぐことができます。詳細については、「サービスにリンクされたロール」をご参照ください。
Elastic Desktop Service (Enterprise Edition) のユーザー操作ログをSimple Log Serviceに初めて配信すると、Elastic Desktop Serviceシステムはサービスにリンクされたロールを作成し、そのロールにポリシーをアタッチしてSimple Log serviceに対する権限を付与します。詳細は以下の通りです。
- ロール: AliyunServiceRoleForGwsLogDelivery
- ポリシー: AliyunServiceRolePolicyForGwsLogDelivery
- 説明: Elastic Desktop Service (Enterprise Edition) では、AliyunServiceRoleForGwsLogDeliveryを使用してログストアにアクセスし、ログ配信を行います。
ポリシーの権限
```
{
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "log:CreateProject",
            "Resource": "acs:log:*:*:project/elastic-desktop-*"
        },
        {
            "Action": [
                "log:GetProject",
                "log:ListProject"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "log:CreateLogstore" 、
                "log:ListLogStores",
                &quot;log：PostLogStoreLogs&quot;、
                "log:GetLogstore" 、
                "log:CreateIndex",
                "log:UpdateIndex" 、
                "log:GetIndex"
            ],
            "Resource": "acs:log:*:*:project/elastic-desktop-*/logstore/elastic_desktop_*" 、
            "Effect": "Allow"
        },
        {
            "アクション": "ram:DeleteServiceLinkedRole" 、
            "Resource": "*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": "log-delivery.gws.aliyuncs.com"
                }
            }
        }
    ]
}
```
サービスにリンクされたロールが不要になった場合は、そのロールを削除できます。ただし、ロールを削除する前に、Elastic Desktop Service (Enterprise Edition) コンソールのロールに依存するクラウドコンピューターリソースを削除するか、関連するAPI操作を呼び出して削除する必要があります。詳細については、「RAMロールの削除」をご参照ください。

前提条件

Simple Log Serviceが有効化され、サービスにリンクされたロールにSimple Log serviceの権限が付与されます。詳細については、「入門」をご参照ください。

手順

EDSコンソールにログインします。
左側のナビゲーションウィンドウで、[監査] > [ログ] を選択します。
[ユーザー操作ログ] タブをクリックし、右上隅の [Logstoreに配信] をクリックします。
(条件付き) この機能を初めて使用する場合は、[Elastic Desktop Serviceにリンクされたロール] ダイアログボックスで [OK] をクリックします。
Logstoreに配信パネルで、Logstoreを指定します。 Logstoreを作成するか、既存のLogstoreを選択できます。 OKをクリックします。

トラブルシューティング

RAMユーザーを使用してログを配信するときに、Elastic Desktop ServiceシステムでAliyunServiceRoleForGwsLogDeliveryの作成に失敗するのはなぜですか。

リソースアクセス管理 (RAM) ユーザーに対してAliyunServiceRoleForGwsLogDeliveryを作成または削除できるのは、CreateServiceLinkedRoleポリシーがRAMユーザーにアタッチされている場合のみです。システムがRAMユーザー用にAliyunServiceRoleForGwsLogDeliveryを作成できない場合は、CreateServiceLinkedRoleポリシーをRAMユーザーにアタッチする必要があります。

説明

次のステートメントでは、Alibaba CloudアカウントのIDを実際のアカウントIDに置き換えます。

{
    "Statement": [
        {
            "Action": [
                "ram:CreateServiceLinkedRole"
            ],
            "Resource": "acs:ram:*: Alibaba CloudアカウントのID: role/*" 、
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": [
                        「log-delivery.gws.aliyuncs.com」
                    ]
                }
            }
        }
    ],
    "バージョン": "1"
}