フォーム読み込み中
【2025年3月27日変更】SecurityCenterネットワークログ機能での一部ログ出力停止について
クラウドエンジニア
佐藤 慎悟
2024年よりクラウドエンジニアとして従事。
AlibabaCloudやクラウド関連の技術情報を発信していきます。
2025年3月27日掲載
ご覧いただきありがとうございます。クラウドエンジニアの佐藤です。
Alibaba Cloud の Security Center ネットワークログ機能において、一部ログ機能の出力が停止されることがアナウンスされました。
本記事では、具体的にどのログが出力されなくなるのか、出力されなくなった時の代替策と代替策を使った時に取れるログについて詳しく紹介します。
Security Centerとは
Security Center(セキュリティセンター)は、Alibaba Cloudが提供する総合的なセキュリティ管理サービスです。リアルタイムのセキュリティモニタリングとセキュリティ保護対策を提供します。クラウド環境におけるセキュリティリスクの検出、評価、修復を支援し、システムのセキュリティを強化するためのツールと機能を提供します。
ログ分析機能とCTDRについて
セキュリティセンターの機能の中にログ分析機能とCTDR(Cloud Threat Detection and Response)があります。各機能のそれぞれの役割や特徴は以下の通りです。
ログ分析機能
セキュリティセンターのログ分析機能は、クラウド環境内のさまざまなログデータを収集、解析し、セキュリティインシデントの検出と対応を支援します。以下に主な特徴と機能を説明します。
特徴 | 説明 |
|---|---|
ログ収集 | 多様なログが自動的に収集され、ログデータはSimple Log Service(SLS)に保存される |
リアルタイム分析 | ログデータをリアルタイムで解析し、異常を検出する |
アラートと通知 | 異常が検出された場合にアラートを即座に発し、管理者に通知する |
詳細なログ分析 | 過去のログデータを詳細に分析し、セキュリティインシデントの原因を特定する ログデータの可視化やフィルタリング機能を提供し、特定のイベントやパターンを簡単に確認できる |
レポート生成 | 定期的にセキュリティレポートを生成し、システムのセキュリティ状態を可視化する 検出された脅威、対応状況、ログの概要などが含まれる |
CTDR(Cloud Threat Detection and Response)
CTDR(Cloud Threat Detection and Response)は、クラウド環境における脅威検出と対応を強化するための機能です。複数のクラウド サービス プロバイダーのさまざまなアカウントとクラウド サービスからログを収集、クラウドリソースを監視し、異常な行動や潜在的なセキュリティ脅威を検出します。以下にCTDRの主な特徴と機能を説明します。
特徴 | 説明 |
|---|---|
ログ収集と監査 | クラウド環境、アカウント、サービス全体のログ データを一元的に収集し、データを表示および監査されます |
脅威インテリジェンス | 最新の脅威情報を活用し、潜在的な脅威を特定します |
行動分析 | 異常な行動を検出します |
自動対応 | 検出された脅威に対して自動的な対応策を実行します |
インシデント管理 | セキュリティインシデントの管理と追跡を支援します |
統合されたセキュリティビュー | 全体のセキュリティ状態を一元的に監視します |
ネットワークログ機能出力停止について
セキュリティセンターは、2025年3月27日にログ分析機能とCTDR 機能が更新されることがアナウンスされ、一部ログの出力および追加がサポートされなくなります。
ログ分析機能の変更点
セキュリティセンターのログはログ分析機能を有効にすると、Simple Log Service(SLS)に自動的に格納されます。sas-logという名前のLogstoreに保存され、Logstoreの中には、ネットワークログ、ホストログ、セキュリティログの3種類のログが含まれます。2025年3月27日以降は3種類のうちのネットワークログがSLS上に格納されなくなります。この更新は、セキュリティセンターの Enterprise および Ultimate にのみ適用されます。
2025年3月27日以前にLogstoreに格納されているネットワークログは削除されることはなく、クエリに使用することができます。Logstore内のネットワークログに含まれるログは以下の4種類です。
- Web アクセス ログ
- DNS ログ
- ネットワーク セッション ログ
- ローカル DNS ログ
CTDR機能の変更点
①CTDR 機能のログ管理機能を有効にすると、先述のログ分析機能同様にSimple Log Service(SLS)に格納されますが、2025年3月27日以降は一部ログがSLS上に格納されなくなります。対象のログが2025年3月27日以前にLogstoreに格納されている場合、格納済みのログが削除されることはなく、クエリに使用することは可能です。対象のログは以下の4種類となります。
・Web アクセス ログ
・DNS ログ
・ネットワーク セッション ログ
・失敗した MySQL/FTP ログオン ログ
②CTDR 機能では、どのログをSLSに追加するのかService Integration機能で選択することができますが、上記4種類のログがSLS上に格納されなくなることに伴い、上記ログの追加がサポートされなくなります。2025年3月27 日以降では下記画面の各種ログ(赤線)を選択することができなくなります。
出力停止となるログの代替策とログ一覧
2025年3月27日をもってネットワークログの出力が終了します。出力されなくなる各ログをこれからも使う場合の代替策としては、以下の方法が提供されています。
各ログの代替策とそれぞれで取得できるログの一覧をご紹介します。
・DNSログ、ローカルDNSログ
SLSに格納されるホストログの中にある、DNSリクエストログをご活用ください。
DNSリクエストログの出力一覧
| フィールド名 | 説明 | 例 |
|---|---|---|
domain | DNS リクエストに含まれるドメイン名 | example.aliyundoc.com |
instance_id | インスタンス ID | i-2zeg4zldn8zypsfg**** |
host_ip | DNS リクエストを開始したサーバーの IP アドレス | 192.168.XX.XX |
pid | DNS リクエストを開始したプロセスの ID | 3544 |
ppid | DNS リクエストを開始した親プロセスの ID | 3408 |
cmd_chain | DNS リクエストを開始したプロセスのチェーン | "3544":"\"C:\\Program Files (x86)\\Alibaba\\Aegis\\AliDetect\\AliDetect.exe\"" |
cmdline | DNS リクエストを開始したプロセスのコマンドライン | C:\Program Files (x86)\Alibaba\Aegis\AliDetect\AliDetect.exe |
proc_path | DNS リクエストを開始したプロセスへのパス | C:/Program Files (x86)/Alibaba/Aegis/AliDetect/AliDetect.exe |
sas_group_name | セキュリティセンターにおいてサーバーが属するアセットグループ | default |
time | DNS リクエストがキャプチャされた時刻。ほとんどの場合、値は DNS リクエストが開始された時点です | 2023/8/17 20:05 |
uuid | DNS リクエストを開始したサーバーの UUID | 5d83b26b-b7ca-4a0a-9267-12**** |
start_time | 開始タイムスタンプ。イベントが発生した時刻を示します。単位: 秒 | 1719472214 |
・Webアクセスログ
クラウドファイアウォール(Cloud Firewall)やWebアプリケーションファイアウォール (WAF) をご利用ください。
Cloud Firewall
Cloud Firewallのログ分析機能を有効にして、Web サーバーリクエストログを収集および保存できます。取得できるログ詳細については、「NAT ファイアウォール」をご参照ください。
WAF
WAFのログ分析機能を有効にして、Web サーバーレスポンスログを収集および保存できます。取得できるログ詳細については、「ログフィールド」をご参照ください。
・ネットワークセッションログ
SLSに格納されるホストログの中にある、ネットワーク接続ログとネットワークスナップショットログをご活用ください。
ネットワーク接続ログの出力一覧
フィールド名 | 説明 | 例 |
|---|---|---|
cmd_chain | プロセスチェーン | [ {"9883":"bash -c kill -0 -- -'6274'"}...... ] |
cmd_chain_index | プロセスチェーンのインデックス。インデックスを使用してプロセスチェーンを検索できます。 | B184 |
container_hostname | コンテナ内のサーバーの名前 | nginx-ingress-controller-765f67fd4d-**** |
container_id | コンテナ ID | 4181de1e2b20c3397f1c409266dbd563**** |
container_image_id | イメージ ID | registry-cn-beijing-vpc.ack.aliyuncs.com/acs/aliyun-ingress-controller@sha**** |
container_image_name | イメージ名 | registry-cn-beijing-vpc.ack.aliyuncs.com/acs/aliyun-ingress-**** |
container_name | コンテナの名前 | nginx-ingress-**** |
container_pid | コンテナ内のプロセスの ID | 0 |
net_connect_dir | ネットワーク接続の方向。 有効な値:in,out | in |
dst_ip | 宛先 IP アドレス | 192.168.XX.XX |
dst_port | 宛先ポート | 443 |
instance_id | インスタンス ID | i-2zeg4zldn8zypsfg**** |
host_ip | サーバーの IP アドレス | 192.168.XX.XX |
parent_proc_name | 親プロセスファイルの名前 | /usr/bin/bash |
pid | プロセスの ID | 14275 |
ppid | 親プロセス ID | 14268 |
proc_name | プロセスの名前 | nginx |
proc_path | プロセスへのパス | /usr/local/nginx/sbin/nginx |
proc_start_time | プロセスが開始された時刻 | N/A |
connection_type | プロトコル | tcp |
sas_group_name | セキュリティセンターにおいてサーバーが属するアセットグループ | default |
src_ip | 送信元 IP アドレス | 100.127.XX.XX |
src_port | 送信元ポート | 41897 |
srv_comm | 親プロセスの親プロセスに関連付けられたコマンド名 | containerd-shim |
status | ネットワーク接続のステータス | 5 |
type | リアルタイムネットワーク接続のタイプ | listen |
uid | プロセスを開始したユーザーの ID | 101 |
username | プロセスを開始したユーザーの名前 | root |
uuid | サーバーの UUID | 5d83b26b-b7ca-4a0a-9267-12**** |
start_time | 開始タイムスタンプ 単位: 秒 | 1719472214 |
ネットワークスナップショットログの出力一覧
フィールド名 | 説明 | 例 |
|---|---|---|
net_connect_dir | ネットワーク接続の方向 | in |
dst_ip | 宛先 IP アドレス | 192.168.XX.XX |
dst_port | 宛先ポート | 443 |
instance_id | インスタンス ID | i-2zeg4zldn8zypsfg**** |
host_ip | サーバーの IP アドレス | 192.168.XX.XX |
pid | プロセスの ID | 14275 |
proc_name | プロセスの名前 | nginx |
connection_type | プロトコル | tcp4 |
sas_group_name | セキュリティセンターにおいてサーバーが属するアセットグループ | default |
src_ip | 送信元 IP アドレス | 100.127.XX.XX |
src_port | 送信元ポート | 41897 |
status | ネットワーク接続のステータス | 5 |
uuid | サーバーの UUID | 5d83b26b-b7ca-4a0a-9267-12**** |
start_time | 開始タイムスタンプ 単位: 秒 | 1719472214 |
・失敗したMySQL/FTPログオンログ
現時点(2025/3/27)では代替案が提供されていません。
さいごに
本記事では、SecurityCenterのネットワークログ機能の一部ログ出力停止と代替策について紹介しました。
2025年3月27日から本ルール変更は実施されますので、今回紹介したネットワークログ機能を利用されている方は、ぜひ参考にしてみてください。
関連サービス
Alibaba Cloudは中国国内でのクラウド利用はもちろん、日本-中国間のネットワークの不安定さの解消、中国サイバーセキュリティ法への対策など、中国進出に際する課題を解消できるパブリッククラウドサービスです。
MSP(Managed Service Provider)サービスは、お客さまのパブリッククラウドの導入から運用までをトータルでご提供するマネージドサービスです。
\ 業務課題をデジタルで支援 /
デジタルツールの選定から導入の手引きまで、中小規模のお客さまへわかりやすくお伝えします。
メールマガジン登録(無料)
ビジネスに役立つ記事やウェビナー情報をお届けします。
おすすめの記事
条件に該当するページがございません
