Azure PostgreSQLサーバーのログ保持期間の設定
このブログシリーズ 「クラウドセキュリティ 実践集」 では、一般的なセキュリティ課題を取り上げ、「なぜ危険なのか?」 というリスクの解説から、 「どうやって直すのか?」 という具体的な修復手順(コンソール、Azure CLI、Terraformなど)まで、分かりやすく解説します。
この記事では、Azure Database for PostgreSQLサーバーでログ保持期間を適切に設定し、セキュリティ監査とコンプライアンスを確保する方法を解説します。
ポリシーの説明
Azure Database for PostgreSQLサーバーにおいて、ログの保持期間(log_retention_days)が3日以下に設定されている場合、インシデント調査やセキュリティ分析に必要なログ情報が十分に保持されません。Azureではサーバーレベルのログ保持期間の最大値は7日間であり、長期保存にはAzure Monitorとの統合が必須です。
修復方法
コンソールでの修復手順
Azure ポータルを使用して、PostgreSQL サーバーのログ保持期間を設定します。
- Azure ポータルにログイン
- Azure ポータルにアクセスしてログインします
- Azure Database for PostgreSQL サーバーに移動
- 「すべてのサービス」から「Azure Database for PostgreSQL サーバー」を選択
- 対象のPostgreSQLサーバーを選択します
- サーバーパラメーターの設定
- 左側のメニューから「設定」セクションの「サーバーパラメーター」を選択
- ログ保持期間パラメーターの検索
- 検索ボックスに「logfiles.retention_days」と入力
- 保持期間の設定
- パラメーターの値を確認し、3以下の場合は4以上の値に変更します
- 推奨値:7(最大値)
- 最大値:7日間(Azureの制限)
- 画面上部の「保存」ボタンをクリックします
- Azure Monitor診断設定の確認
- 左側のメニューから「診断設定」を選択
- 長期保存用の診断設定が構成されていることを確認
- 未設定の場合は「診断設定を追加」から設定
最後に
この記事では、Azure Database for PostgreSQLサーバーのログ保持期間設定について、リスクと対策を解説しました。Azureのサーバーレベルのログ保持期間は最大7日間に制限されているため、コンプライアンス要件を満たすためにはAzure MonitorおよびStorage Accountとの統合が不可欠です。適切な多層アーカイブ戦略により、コスト効率的に長期ログ保存を実現できます。
この問題の検出は弊社が提供するSecurifyのCSPM機能で簡単に検出及び管理する事が可能です。 運用が非常に楽に出来る製品になっていますので、ぜひ興味がある方はお問い合わせお待ちしております。 最後までお読みいただきありがとうございました。この記事が皆さんの役に立てば幸いです。