データベース監査ログ - ClickHouse Documentation

ClickHouse では、デフォルトでデータベース監査ログを利用できます。このページでは、セキュリティ関連のログに焦点を当てます。システムによって記録されるデータについて詳しくは、システムテーブルのドキュメントを参照してください。

ログ保持情報はシステムテーブルに直接記録され、デフォルトで最大 30 日間保持されます。この保持期間は、システム内でのマージの頻度によって長くも短くもなります。必要に応じて、ログをより長期間保存するための追加対策を講じたり、長期保管のためにログを security information and event management (SIEM) システムにエクスポートしたりできます。詳細は以下を参照してください。

セキュリティ関連のログ

ClickHouse では、セキュリティ関連のデータベースイベントは主にセッションログとクエリログに記録されます。 system.session_log には、ログインの成功・失敗の試行に加え、認証試行元の場所も記録されます。この情報は、ClickHouse インスタンスに対するクレデンシャルスタッフィング攻撃やブルートフォース攻撃の特定に役立ちます。ログイン失敗を示すサンプルクエリ

select event_time
    ,type
    ,user
    ,auth_type
    ,client_address 
FROM clusterAllReplicas('default',system.session_log) 
WHERE type='LoginFailure' 
LIMIT 100

system.query_log には、ClickHouse インスタンスで実行されたクエリのアクティビティが記録されます。この情報は、脅威アクターがどのようなクエリを実行したかを特定する際に役立ちます。 “compromised_account” ユーザーのアクティビティを検索するためのサンプルクエリ

SELECT event_time
    ,address
    ,initial_user
    ,initial_address
    ,forwarded_for
    ,query 
FROM clusterAllReplicas('default', system.query_log) 
WHERE user=’compromised_account’

サービス内でログデータを保持する

より長期間の保持やログの耐久性が必要な場合は、materialized view を使用してこれらの要件を満たすことができます。materialized view の詳細、概要、利点、実装方法については、materialized view のビデオとドキュメントをご覧ください。

ログのエクスポート

システムログは、SIEM システムと互換性のあるさまざまなフォーマットでストレージに書き込んだり、エクスポートしたりできます。詳細については、テーブル関数のドキュメントを参照してください。最も一般的な方法は次のとおりです。

最終更新日 2026年6月10日

BYOC セキュリティプレイブックこのページでは、お客様が潜在的なセキュリティイベントを特定するために利用できる方法を紹介します

​セキュリティ関連のログ

​サービス内でログデータを保持する

​ログのエクスポート

セキュリティ関連のログ

サービス内でログデータを保持する

ログのエクスポート