本文介紹如何在MongoDB控制臺上開通日志審計功能,進行日志的查詢、在線分析和導出。日志審計功能幫助定位數據修改的操作者身份或時間點等信息,識別是否存在濫用權限、執行非合規命令等內部風險。
前提條件
已開通日志服務SLS,如何開通,請參見開通日志服務。
如果使用RAM用戶開通審計日志,需要授予RAM用戶以下權限:
AliyunLogFullAccess:該權限為系統策略。授權方法,請參見為RAM用戶授權。
dds:CheckServiceLinkedRole:該權限為自定義策略,您需要先在訪問控制控制臺創建該自定義策略后再授權。通過腳本編輯模式創建自定義權限策略的方法,請參見創建自定義權限策略。授權方法,請參見為RAM用戶授權。
dds:CheckServiceLinkedRole策略的腳本如下。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": "dds:CheckServiceLinkedRole", "Resource": "*" } ] }
如果使用RAM用戶訪問審計日志,需要授予RAM用戶AliyunLogFullAccess或AliyunLogReadOnlyAccess權限。授權方法,請參見為RAM用戶授權。
注意事項
開通審計日志后,系統將記錄寫操作的審計信息,寫入量或審計量可能會對云數據庫MongoDB實例造成5%~15%的性能損失及一定的延時抖動。
說明如果您的業務對云數據庫MongoDB實例的寫入量非常大,建議僅在故障排查或安全審計時開通該功能,以免帶來性能損失。
開通審計日志后,默認勾選的審計操作類型只有admin和slow。如果您需要更改審計操作類型,請參見更改審計操作類型。
設置日志保留時長的操作對當前地域下的所有云數據庫MongoDB實例生效,其他操作均只對當前實例生效。
如果您已開通免費試用版審計日志,但需要更長的保留時間或用更大的存儲空間來存儲審計日志,您可以將其升級為正式版審計日志,升級方法請參見升級為正式版審計日志。
費用說明
正式版審計日志根據審計日志的存儲用量和保存時長按量收費,不同地域的價格如下。
地域 | 單價(元/GB/小時) |
中國境內 | 0.008 |
中國香港 | 0.018 |
中國境外(除東京和首爾地域外) | |
日本(東京)、韓國(首爾) | 0.0122 |
本文備份費用單價僅供參考,實際購買時可能存在價格變動,請以實際詢價和賬單生成價格為準。更多信息請參見云數據庫MongoDB詳細價格信息。
您可以使用以下方法節省審計日志的費用。
方法 | 風險 | 參考文檔 |
縮短審計日志保留天數 | 會使可追溯審計的歷史時間縮短。 | |
減少審計操作類型 | 取消指定的審計操作類型后,將停止上傳該審計操作類型的審計日志。 說明 審計操作類型被取消后,僅保留該審計操作類型在保留時長內的審計日志數據。 例如:您設置的審計日志保留時長為5天,審計操作類型為admin、slow和query。如果您在2022年10月10日00:00:00取消query,則之后不會保存query產生的審計日志,且2022年10月05日00:00:00~2022年10月10日00:00:00時間段內query產生的審計日志也會逐漸過期,并在過期后被自動刪除。 | |
關閉審計日志 | 關閉審計日志后,將停止上傳該實例的審計日志,不可再追溯審計后續的訪問操作行為。 說明 關閉審計日志后,僅保留在保留時長內的審計日志數據。 例如:您設置的審計日志保留時長為5天,如果您在2022年10月10日00:00:00關閉審計日志,則不會保存之后產生的審計日志,且2022年10月05日00:00:00~2022年10月10日00:00:00的審計日志也會逐漸過期,并在過期后被自動刪除。 |
操作步驟
登錄MongoDB管理控制臺。
根據實例類型,在左側導航欄,單擊副本集實例列表或分片集群實例列表。
在頁面左上角,選擇實例所在的資源組和地域。
單擊目標實例ID或目標實例所在行操作列的管理。
在目標實例頁面的左側導航欄,單擊。
在歡迎使用新版審計日志頁面,設置日志保留時長。
日志保留時長的取值范圍為1~365天,默認30天。
日志保留時長對當前實例所在地域的所有實例生效,建議您在確定好同一地域內所有實例審計日志的保留時長后進行設置。
單擊開通服務。
說明開通審計日志服務的同時,云數據庫MongoDB會自動獲取AliyunServiceRoleForMongoDB角色,以實現日志服務向云數據庫MongoDB授權審計日志功能的目的。
在彈出的開通服務對話框中,閱讀提示信息后單擊確定。