SQL日志審計功能默認關閉,您可以在PolarDB-X 1.0控制臺上手動開啟。默認情況下,只對開啟SQL日志審計功能之后產生的日志數據進行審計分析,您也可以導入部分歷史數據。
前提條件
- 登錄日志服務控制臺,根據提示,開通阿里云日志服務。
- 已購買PolarDB-X 1.0專享實例,并創建了數據庫。
- 默認情況下,只有主賬號可以開啟并操作SQL日志審計功能。子賬號開啟和操作SQL日志審計功能前,需要先授予日志服務相關權限。詳細步驟請參考為子賬號授予SQL審計權限。
背景信息
SQL審計功能默認為關閉狀態。您可以參考本文檔開啟該功能。開啟后會產生額外費用,詳細收費標準請參見計費方式。如果您需要關閉該功能,請在PolarDB-X 1.0控制臺關閉。關閉后不再寫入SQL審計日志,可以查看歷史數據,這部分歷史數據會產生存儲和索引費用。您可以在日志服務控制臺刪除Logstore以刪除歷史數據,刪除歷史數據后日志服務不再對該部分數據計費。
操作步驟
- 登錄PolarDB分布式版控制臺,并選擇地域。
- 在實例列表頁面單擊實例名稱。
- 在左側導航欄中單擊SQL審計與分析。
- 展開下拉框,選擇需要開啟SQL審計與分析的數據庫。
- 打開SQL升級日志開關。
- 確認是否導入歷史數據,單擊啟用。
默認情況下,只對開啟SQL日志審計功能之后產生的日志數據進行審計分析。
- 如果您發現PolarDB-X 1.0數據庫的數據被修改,但是并未開啟SQL審計功能,可以在開啟功能時導入歷史數據,將過去發生的日志加入審計分析范圍,追溯數據篡改者。PolarDB-X 1.0會根據實例節點上的日志存儲情況,動態檢測支持導入的歷史數據范圍,目前最多支持導入七天內的數據。
- 如果需要導入歷史數據,請打開功能開關,并指定回溯開始時間和回溯結束時間,并單擊啟用。 導入歷史數據功能基于PolarDB-X 1.0節點保存的日志時間動態檢測,最大支持導入七天的歷史數據。 導入過程涉及文件操作,需要一定的時間,請耐心等待。您可以在控制臺右上角的任務列表中查看日志回溯的進度。
- 如果不需要導入歷史數據,請直接單擊啟用。
執行結果
SQL審計功能已成功開啟,相同地域下的PolarDB-X 1.0數據庫的審計日志會寫入同一個日志服務的Logstore中。同時,日志服務為您創建以下默認配置。
說明 請勿隨意刪除或修改日志服務為您默認創建的Project、Logstore、索引和儀表盤設置,日志服務會不定期更新與升級SQL日志審計功能,專屬日志庫的索引與默認報表也會自動更新。
| 默認配置項 | 配置內容 |
|---|---|
| Project | 默認為您創建Project drds-audit-區域名-阿里云賬戶ID,例如drds-audit-cn-qingdao-12345678。 |
| Logstore | 默認為您創建Logstore drds-audit-log。 |
| 地域 | 相同Region下的PolarDB-X 1.0數據庫的審計日志會寫入同一個日志服務的Logstore中。 例如,華東1(杭州)地域中所有可用區的PolarDB-X 1.0數據庫審計日志都會寫入日志服務的Logstore |
| Shard | 默認為您創建5個Shard,并開啟管理Shard功能。 |
| 索引 | 日志服務自動為您創建索引。您的索引設置會隨著功能升級自動更新,請勿手動修改或刪除索引。 |
| 日志存儲時間 | 默認保存30天。30天以上的日志自動刪除。 若您需要更長的存儲時間,可以自定義修改。詳細步驟請參見高級管理。 |
| 儀表盤 | 默認創建三個儀表盤,分別為:
關于儀表盤的更多信息,請參見日志報表。 說明 請勿修改默認的儀表盤配置,默認儀表盤會隨著功能升級自動更新。您也可以自定義創建新的儀表盤,詳情請參見創建儀表盤。 |