監査ログは、データベースアクティビティに関する詳細情報を記録します。監査ログを分析することで、潜在的な悪意のあるアクティビティやデータベースへの不正アクセスを追跡し、セキュリティイベントの原因を特定できます。監査ログは、コンプライアンス要件への適合に役立ちます。このトピックでは、監査ログを表示する方法について説明します。
前提条件
表示する監査ログのデータ資産に対して、データ監査モードが有効になっており、表示権限が付与されている必要があります。詳細については、「データ監査モードを有効化および設定する」をご参照ください。
ログの概要
ログの保存場所
データ監査モードを有効にすると、Data Security Center(DSC)はログを収集し、収集したログをSimple Log Serviceログストアに保存します。
プロジェクト
形式:
sddp-${uid}-${regionId}。${uid}はAlibaba Cloudアカウント ID に置き換えます。${regionId}はデータベースが存在するリージョンの ID に置き換えます。ログストア
データベースの種類
データベースサービス
ログストア
リレーショナルデータベース
RDS
rds_log
PolarDB
dsc_polardb_log
PolarDB-X
dsc_drds_log
OceanBase
dsc_oceanbase_log
非リレーショナルデータベース
Redis
dsc_redis_log
MongoDB
dsc_mongodb_log
非構造化データベース
OSS
dsc_oss_log
ビッグデータ
TableStore
dsc_ots_log
MaxCompute
dsc_odps_tunnel_log
AnalyticDB for MySQL
dsc_ads_log
AnalyticDB for PostgreSQL
dsc_gpdb_log
セルフマネージドデータベース
MySQL
dsc_self_built_db_log
SQL Server
PostgreSQL
Oracle
共通ログフィールド
フィールド | 説明 |
client_ip | クライアントの IP アドレス。 |
clusterId | クラスタ ID 。 |
collector_type | ログ収集のタイプ。 |
db | データベース名。 |
db_type | データベースエンジンのタイプ。 |
effect_row | 影響を受けた行数。 |
execute_time | 実行時間。 |
fail | 実行結果。 |
hash | ハッシュ値。 |
instance_id | インスタンス ID 。 |
latency | 実行時間。単位: マイクロ秒。 |
node_name | ノード名。 |
operate_type | 操作のタイプ。 |
origin_time | SQL ステートメントが実行された元の時間。 |
region_id | リージョン ID 。 |
return_rows | 結果セットで返された行数。 |
sql | SQL ステートメント。 |
thread_id | スレッド ID 。 |
uid | ユーザー ID 。 |
update_rows | 更新されたデータ行数。 |
user | ログオンユーザー名。 |
監査ログの表示 (新バージョン)
DSC コンソール にログオンします。
左側のナビゲーションペインで、[ログ分析] をクリックします。
[ログ分析]Log Analysis ページの右上隅にある [新バージョン] をクリックします。
ページの右上隅に [旧バージョン] が表示されている場合は、この手順をスキップします。
[ログ分析]Log Analysis ページの左側のナビゲーションペインで、管理するサービスの名前をクリックします。指定したサービスのログ保存場所を表示できます。
右側のログセクションで、リージョン、インスタンス名、アカウント、アクションタイプなどのパラメータを設定して、特定のデータベースまたはバケットの操作ログを検索して表示します。
検索ボックスにクエリステートメントを入力して、特定のデータ資産のログを分析することもできます。詳細については、「ログ検索の概要」、「ログ分析の概要」、および「クエリと分析のクイックガイド」をご参照ください。
クエリと分析の例
ApsaraDB RDS インスタンスのデータベース内のテーブルのアクセス詳細 (アクセスユーザー、操作タイプ、操作結果など) をクエリします。
* and instance_id: rm-bp1******5u5w and db: s****p and table_name : sys_d*****it //データベース内のテーブルへのアクセスの詳細をクエリします。
ApsaraDB RDS インスタンスのテーブルにアクセスするために使用される IP アドレスの分布をクエリします。
* and instance_id: rm-bp1*****5u5w and db: s****p and table_name : sys_d*****it | select user,client_ip,count(*) group by user,client_ip //テーブルにアクセスするために使用される IP アドレスの分布をクエリします。
OSS バケットのディレクトリにあるすべてのオブジェクトのインターネット経由のアウトバウンドトラフィックをクエリします。
* and __topic__ : oss_access_log and bucket: examplebucket and host : "examplebucket.oss-cn-hangzhou.aliyuncs.com" not sync_request : cdn | select SUM(content_length_out) AS total_traffic_out_byte WHERE url_decode(object) LIKE 'exampledir/%' //ディレクトリ内のすべてのオブジェクトのインターネット経由のアウトバウンドトラフィックをクエリします。
ログのダウンロード
DSC は、収集されたログを Simple Log Service に保存し、Simple Log Service のログダウンロード機能を DSC コンソールに統合します。ログまたはクエリと分析結果をローカルコンピュータにダウンロードできます。DSC コンソールでのダウンロード操作は、Simple Log Service コンソールでのダウンロード操作と似ています。詳細については、「Simple Log Service コンソールを使用してデータをダウンロードする」をご参照ください。
監査ログの表示 (旧バージョン)
ログ監査モード
分析モード: 特定の期間内のサービスの監査ログを表示できます。監査ログには、インスタンス名、アカウント、実行時間、クライアント IP アドレスなど、アクションの時間と詳細が記録されます。
ApsaraDB RDS、PolarDB、PolarDB for Xscale、ApsaraDB for MongoDB、ApsaraDB for OceanBase、セルフマネージドデータベース、AnalyticDB for MySQL、AnalyticDB for PostgreSQL のみ分析モードをサポートしています。
リストモード: インスタンスごとにサービスの監査ログを表示できます。監査ログには、インスタンス名、データベース名、アカウント、クライアント IP アドレス、操作タイプ、および影響を受けた行数が記録されます。
TableStore、MaxCompute、ApsaraDB for Redis の監査ログは、インスタンスごとにのみ表示できます。[分析モード] タブと [リストモード] タブは DSC コンソールでは使用できません。デフォルトでは、ログリストにはインスタンスのログが表示されます。
OSS の監査ログは、バケットごとにのみ表示できます。[分析モード] タブと [リストモード] タブは DSC コンソールでは使用できません。デフォルトでは、ログリストには OSS バケットのログが表示されます。
データベースの SQL ステートメント統計の表示
DSC コンソール にログオンします。
左側のナビゲーションペインで、[ログ分析] をクリックします。
[ログ分析]Log Analysis ページの右上隅にある [旧バージョン] をクリックします。
ページの右上隅に [新バージョン] が表示されている場合は、この手順をスキップします。
Log Analysis ページで、過去 12 時間、1 日、7 日、または 30 日以内に実行された次の SQL ステートメントの傾向とグラフを表示します: 選択、挿入、削除、更新、その他。
特定の期間内の監査ログの表示
DSC コンソール にログオンします。
左側のナビゲーションペインで、[ログ分析] をクリックします。
[ログ分析]Log Analysis ページの右上隅にある [旧バージョン] をクリックします。
ページの右上隅に [新バージョン] が表示されている場合は、この手順をスキップします。
[ログ分析]Log Analysis ページの左側のナビゲーションペインで、管理するサービスの名前をクリックします。
[分析モード] タブで、特定のクラウドサービスの監査ログを表示します。
期間を選択すると、DSC はデータベースアクティビティを逆時系列順に表示します。コンソールに表示されているパラメータを設定することで、特定の条件に一致する監査ログを検索して表示できます。
ログを見つけて、[アクション] 列の [詳細] をクリックして、クライアント情報、サーバー情報、アクション情報などの詳細を表示します。
インスタンスのログの表示
DSC コンソール にログオンします。
左側のナビゲーションペインで、[ログ分析] をクリックします。
[ログ分析]Log Analysis ページの右上隅にある [旧バージョン] をクリックします。
ページの右上隅に [新バージョン] が表示されている場合は、この手順をスキップします。
Log Analysis ページの左側のナビゲーションペインで、管理するサービスの名前をクリックします。
ログリストの上にある [リストモード] タブをクリックします。
ApsaraDB for Redis、OSS、TableStore、MaxCompute の監査ログは、インスタンスごとにのみ表示できます。デフォルトでは、[リストモード] タブは DSC コンソールに表示されません。
監査ログをリストモードで表示します。
リストモードで監査ログを表示します。コンソールに表示されているパラメータを設定することで、特定の条件に一致する監査ログを検索して表示できます。
ログを見つけて、[アクション] 列の [詳細] をクリックして、クライアント情報、サーバー情報、アクション情報などの詳細を表示します。
監査ログのエクスポート
DSC コンソール にログオンします。
左側のナビゲーションペインで、[ログ分析] をクリックします。
[ログ分析]Log Analysis ページの右上隅にある [旧バージョン] をクリックします。
ページの右上隅に [新バージョン] が表示されている場合は、この手順をスキップします。
Log Analysis ページの左側のナビゲーションペインで、管理するサービスの名前をクリックします。
必要な期間を選択し、その他の条件を設定して、[検索] をクリックします。
[エクスポート] をクリックします。操作が完了すると、現在のページに表示されているすべてのログをエクスポートできます。
操作が完了すると、現在のページに表示されているすべてのログをエクスポートできます。
参照
オンラインでクエリできる監査ログは、DSC が提供するストレージに保存されます。現在のストレージ使用量を確認し、オンラインログとアーカイブログの保持ルールを管理できます。詳細については、「ログストレージの管理」をご参照ください。
デフォルトでは、DSC は、データベース監査ルール、OSS 監査ルール、MaxCompute 監査ルールなど、データ資産の監査ルールを提供します。カスタム監査ルールを作成することもできます。監査アラートルールを有効にすると、DSC は監査ログに基づいて、データ資産の異常なアクティビティ、データリーク、脆弱性、SQL インジェクションを特定できます。詳細については、「監査アラートルールの設定と有効化」をご参照ください。
監査アラートルールを有効にすると、DSC は監査アラートルールに一致するアクティビティを DSC の監査アラートモジュールに報告します。アラートと監査ログに基づいてリスクに対処できます。詳細については、「監査アラートの表示と処理」をご参照ください。