審計(jì)日志
云數(shù)據(jù)庫(kù)Tair(兼容 Redis)實(shí)例基于阿里云日志服務(wù)SLS(Log Service),推出審計(jì)日志功能,為您提供日志的查詢、在線分析、導(dǎo)出等功能,既可以幫助安全審計(jì)人員及時(shí)發(fā)現(xiàn)數(shù)據(jù)異常操作的行為,快速定位修改數(shù)據(jù)的用戶身份與時(shí)間點(diǎn),又可以助力業(yè)務(wù)系統(tǒng)滿足安全性與合規(guī)性的要求,還能幫助開發(fā)運(yùn)維人員定位性能問題。
前提條件
若RAM用戶開通審計(jì)日志,需要具備日志服務(wù)的管理權(quán)限。
您可以為RAM用戶授予系統(tǒng)權(quán)限策略AliyunLogFullAccess。授權(quán)后,RAM用戶可以管理所有日志庫(kù)(Logstore)。具體操作,請(qǐng)參見授予權(quán)限。
您也可以自定義權(quán)限策略,限定RAM用戶只能管理云數(shù)據(jù)庫(kù)Tair(兼容 Redis)實(shí)例的審計(jì)日志。
{ "Version": "1", "Statement": [ { "Action": "log:*", "Resource": "acs:log:*:*:project/nosql-*", "Effect": "Allow" } ] }
典型場(chǎng)景
云數(shù)據(jù)庫(kù)Tair(兼容 Redis)將阿里云日志服務(wù)的部分功能融合到審計(jì)日志中,為您帶來(lái)更加穩(wěn)定、易用、靈活且高效的審計(jì)日志服務(wù),典型使用場(chǎng)景如下:
典型場(chǎng)景 | 說(shuō)明 |
操作審查 | 幫助安全審計(jì)人員定位數(shù)據(jù)修改的操作者身份或時(shí)間點(diǎn)等信息,幫助識(shí)別是否存在濫用權(quán)限、執(zhí)行非合規(guī)命令等內(nèi)部風(fēng)險(xiǎn)。 |
安全合規(guī) | 助力業(yè)務(wù)系統(tǒng)通過安全規(guī)范中關(guān)于審計(jì)部分的要求。 |
注意事項(xiàng)
開通審計(jì)日志后,系統(tǒng)將記錄寫操作的審計(jì)信息,視寫入量或?qū)徲?jì)量可能會(huì)對(duì)實(shí)例造成5%~15%的性能損失及一定的延時(shí)抖動(dòng)。
重要如果您的業(yè)務(wù)對(duì)實(shí)例的寫入量非常大(例如大量使用INCR進(jìn)行計(jì)數(shù)),建議僅在故障排查或安全審計(jì)時(shí)開通該功能,以免帶來(lái)性能損失。
由于讀操作的量通常非常大,為避免記錄讀操作的審計(jì)信息給實(shí)例性能帶來(lái)沖擊,審計(jì)日志僅記錄寫操作的審計(jì)信息,不會(huì)記錄讀操作的審計(jì)信息。
當(dāng)命令的參數(shù)過多、參數(shù)過長(zhǎng)或命令總長(zhǎng)度過長(zhǎng)時(shí),審計(jì)日志中的命令不會(huì)完整顯示,顯示格式類似于SLOWLOG命令。
費(fèi)用說(shuō)明
根據(jù)審計(jì)日志的存儲(chǔ)空間和保存時(shí)長(zhǎng)按量收取費(fèi)用,不同地域的收費(fèi)標(biāo)準(zhǔn)有所區(qū)別,更多信息,請(qǐng)參見計(jì)費(fèi)項(xiàng)。
關(guān)閉審計(jì)日志功能后,審計(jì)日志仍會(huì)按之前的日志保留時(shí)長(zhǎng)存儲(chǔ)日志,直到所有的日志過期,因此在關(guān)閉后仍會(huì)產(chǎn)生審計(jì)日志費(fèi)用。
操作步驟
訪問實(shí)例列表,在上方選擇地域,然后單擊目標(biāo)實(shí)例ID。
在左側(cè)導(dǎo)航欄,單擊。
設(shè)置審計(jì)日志的保留時(shí)長(zhǎng)。
說(shuō)明該設(shè)置會(huì)應(yīng)用至當(dāng)前地域下所有已開通審計(jì)日志的實(shí)例,審計(jì)日志按照存儲(chǔ)容量及保留時(shí)長(zhǎng)收費(fèi),日志保留時(shí)長(zhǎng)支持的范圍為1~365天。
單擊費(fèi)用估算并開通。
在彈出的對(duì)話框中進(jìn)行費(fèi)用估算并閱讀相關(guān)提示,確認(rèn)后單擊開通。
說(shuō)明由于審計(jì)日志功能依賴于阿里云日志服務(wù),如果您的賬號(hào)未開通阿里云日志服務(wù),您需要根據(jù)彈出的對(duì)話框中的提示完成日志服務(wù)的開通。
相關(guān)API
API | 說(shuō)明 |
設(shè)置實(shí)例的審計(jì)日志開關(guān)與保留時(shí)長(zhǎng)。 | |
查詢實(shí)例審計(jì)日志是否開啟、日志保存時(shí)間等配置信息。 | |
查詢實(shí)例的審計(jì)日志。 |
常見問題
Q:如何關(guān)閉某個(gè)實(shí)例的審計(jì)功能?
A:您可以在審計(jì)日志頁(yè)面,單擊右上角的服務(wù)設(shè)置,關(guān)閉所有節(jié)點(diǎn)的審計(jì)開關(guān)。
Q:如何下載完整的審計(jì)日志?
A:具體操作,請(qǐng)參見下載日志。在操作時(shí),您需要注意以下內(nèi)容:
在執(zhí)行下載日志的操作時(shí),選擇的目標(biāo)Project的命名格式為
nosql-{用戶UID}-{Region},例如nosql-176498472******-cn-hangzhou;然后選擇目標(biāo)Logstore為redis_audit_log_standard。下載方式選擇為通過Cloud Shell下載或通過命令行工具下載即可下載全部日志,如果選擇為直接下載,僅會(huì)下載本頁(yè)面展示的日志。
Q:為什么僅支持寫操作的審計(jì)功能,不開放讀操作的審計(jì)功能?
A:絕大多數(shù)場(chǎng)景下讀操作占比較高,讀操作的審計(jì)將帶來(lái)較多的性能損失,且由于要存儲(chǔ)的數(shù)據(jù)過大,如果保持穩(wěn)定的策略有可能會(huì)丟失部分審計(jì)日志,所以未開放讀操作的審計(jì)功能。
Q:正式版的審計(jì)日志保存時(shí)長(zhǎng)是當(dāng)前地域生效,如果第一個(gè)實(shí)例設(shè)置為7天,第二個(gè)實(shí)例設(shè)置為14天,最終以哪個(gè)為準(zhǔn)?
A:以最近一次設(shè)置的為準(zhǔn)。
Q:為什么某些審計(jì)日志對(duì)應(yīng)的客戶端IP不是業(yè)務(wù)所屬的客戶端?
A:因?yàn)閷徲?jì)日志包含了管控類的寫操作日志,您可以過濾相關(guān)信息。
Q:為什么實(shí)例版本為兼容Redis 4.0及以上仍無(wú)法開啟審計(jì)日志?
A:部分實(shí)例由于小版本過舊無(wú)法開啟審計(jì)日志,請(qǐng)升級(jí)小版本與代理版本后重試。