ログ分析を実施する目的として、以下のような事項があるのではないかと思います。
- 企業で定めたセキュリティポリシーへの準拠確認、および、外部監査の評価基準を満たしているかの確認
- 各種トラブル発生時のトラブルシューティング
- リソースの利用量(CPU, メモリなど)、データ量の増減などの把握
- 不正操作、データ漏洩などによるセキュリティ インシデント対応
上記の事項を実現するためには、「ログ収集」、「ログ保管」、「ログの可視化」について検討することになるかと思います。
各項目の検討すべき内容についてまとめてみます。
「ログ収集」
- 何の情報を収集するか。
- どのレベルまで情報を収集するか。(警告、エラーのみ収集など)
- どの程度、情報を収集するか。(特定の項目のみ収集など)
各種Azureリソースのログ(アクティビティログ、監査ログなど)、 Azure Monitor (Application Insight、メトリック など)、アプリケーションのカスタムログ(Apache/Tomcat、データベースログ、独自アプリケーションのログ など
「ログ保管」
- 何処にログを保管するか。
- ログをいつまで保管する必要があるか。(2年以上保管するなど)
- 複数のデータセンターにログを保管する必要があるか。
Azure Storage、Log Analytics ワークスペース、Data Lake Storage(v2)、 Azure Databricks、CosmosDB、Azure SQL Database、Azure Synapse Analytics、Azure Cache for Redis など
「ログの可視化」
- どのログを可視化する必要があるか。
- どのような用途に使用するか。
- 誰が使用するのか。
Power BI、Log Analytics、Azure Search など
自分の整理もかねて、「ログ収集」、「ログ保管」、「ログの可視化」の内、各 Azure リソースにおける 「ログ収集」すべき項目、方法について、今後ブログに書きたいと思います。