Cloudflareのログ保管機能 Logpush と Log Explorer を比較

Cloudflareは標準ではrawログ(生ログ)を保存していません。
ダッシュボードのAnalyticsで見られるのは集計・サンプリングされたデータであり、個々のリクエストを後から詳細に調べることはできないのです。

rawログを残すための手段として、Cloudflareには LogpushLog Explorer という2つの製品がありますが、Logpushには「Enterpriseプラン限定」です。

本記事では、Enterpriseプランでなくても使えるLog Explorerがどこまで実用になるのか、という視点で両者を比較します。

目次

Logpushとは

Logpushは、Cloudflareのログを外部のストレージや分析ツールに自動転送する機能です。
転送先としてAmazon S3、Cloudflare R2、Google Cloud Storage、Splunk、Datadog、New Relicなど幅広い宛先を選べます。

  • HTTPリクエスト、ファイアウォールイベント、DNS、Workers、Zero Trustなど多数のデータセットに対応
  • 転送するフィールドの選択や、条件によるフィルタリングが可能
  • 保持期間は転送先ストレージ次第。つまり実質無制限
  • 手元にrawログが残るため、SIEM連携や独自の分析基盤との統合が自由

Cloudflare公式https://developers.cloudflare.com/logs/logpush/

万能ですが、利用できるのはEnterpriseプランのみです。
Pro / Businessプランでは、そもそもLogpushの設定画面が使えません。

Log Explorerとは

Log Explorerは、Cloudflareのネットワーク内にログを保存し、ダッシュボード上でそのまま検索・分析できる製品です。
2025年に一般提供(GA)となり、Pro / BusinessのセルフサービスプランでもアドオンとしてEnterprise契約なしで購入できるようになりました。

外部にログを送るのではなく、Cloudflare側にログを貯めて、ダッシュボードまたはAPIから直接クエリする、という思想の製品です。

料金

  • 従量課金制:取り込みログ 1GBあたり1ドル
  • 毎月最初の10GBは無料
  • 課金対象は「取り込み・保存した量」のみ。検索・クエリの回数には課金されない
  • Enterprise(契約)顧客は個別見積り

何ができるか

  • Log Search:フィールドごとのフィルター検索に加え、SQLインターフェースでの高度なクエリが可能。Ray IDを指定した特定リクエストの追跡もワンクエリでできます
  • カスタムダッシュボード:自然言語で「ステータスコード帯を時系列で比較して」のように指示してチャートを作成可能
  • カスタムアラート:保存したクエリをスケジュール実行し、条件を満たしたら通知
  • API対応:ダッシュボードだけでなくAPI経由でのクエリも可能
  • フィールド選択:データセットごとに保存するフィールドを絞り込み、取り込み量(=コスト)を削減可能
  • 対応データセット:HTTPリクエスト、ファイアウォール(WAF)イベントに加え、Zero Trust系ログ、監査ログなど対応データセットは継続的に拡大中

保持期間

  • デフォルトの保持期間は30日間

トラブルシューティングやWAFチューニング目的であれば30日で十分なことが多い一方、コンプライアンス要件で「1年保存」などが求められる場合は契約(Enterprise)での長期保持オプション、またはLogpushでの外部保存が必要になります。

Cloudflare公式https://developers.cloudflare.com/log-explorer/

比較表

項目LogpushLog Explorer
利用可能プランEnterpriseのみ全プラン(有料アドオン)
ログの保存先外部(S3、R2、Splunk等)Cloudflare内部
保持期間転送先次第(実質無制限)30日
検索・分析転送先ツールに依存ダッシュボード/APIで完結(SQL対応)
SIEM連携×(外部転送は不可)
ダッシュボード/アラート転送先ツールで構築組み込み(自然言語でチャート作成可)
料金Enterprise契約に含む+転送先ストレージ費用$1/GB(月10GB無料)+長期保持オプション
初期構築の手間転送先の用意・ジョブ設定が必要ダッシュボードでデータセットを有効化するだけ

Log Explorerの制約・注意点

Enterprise以外の受け皿として優秀なLog Explorerですが、以下の制約は把握しておく必要があります。

  1. 外部へのエクスポートはできない:ログはCloudflare内に閉じます。自社のSIEMやデータ基盤に取り込みたい場合はLogpush(=Enterprise)が必要です
  2. 保持期間はデフォルト30日:セルフサービスプランでは長期保持オプションが使えないため、30日を超える保存要件には応えられません
  3. L7 DDoS攻撃のログはデフォルトで取り込まれない:攻撃時の詳細フォレンジックには影響する可能性があります(課金対象外というメリットの裏返しです)
  4. Customer Metadata Boundary非対応:データ所在地の制約がある場合は要確認です(保持ポリシーやリージョン選択は今後の対応が予告されています)
  5. 取り込みレート上限:最大50,000レコード/秒。大規模トラフィックのサイトでは事前にアカウントチームへの相談が推奨されています

どう使い分けるか

Cloudflare公式も「基本的に両方は不要」というスタンスです。判断基準はシンプルにまとめられます。

  • Pro / Businessプラン → Log Explorerのみ。これまで「ログを残すためだけにEnterpriseへ」という話になりがちでしたが、30日以内の調査・WAFチューニング・簡易的なコンプライアンス対応であれば、月$1/GBのアドオンで完結します
  • Enterpriseプランで、SIEMや外部分析基盤がある → Logpushで外部転送。長期保存も自由です
  • Enterpriseプランで、外部基盤を持ちたくない → Log Explorerだけで完結させ、SIEMのコストを削減するという選択肢もあります。日常の調査はLog Explorer、監査用の長期アーカイブだけLogpush+R2、という併用パターンも現実的です

Web表示スピード改善・セキュリティ対策のCloudflare

導入のご相談だけでなく、運用フェーズでのサポートも承ります。
DDoS攻撃や悪質なBot(ボット)からのアクセスを防ぎたい方、WAF機能やプランの詳細を知りたい方、
国内エンジニアによる安心の運用サポートをご希望の方も、ぜひお気軽にお問い合わせください。

目次