このトピックでは、ApsaraDB for MongoDBインスタンスの監査ログ機能を有効にする方法について説明します。 監査ログ機能はlog Serviceと統合されており、インスタンスの監査ログの照会、オンライン分析、およびエクスポートが可能です。 監査ログ機能は、インスタンスのセキュリティとパフォーマンスに関するリアルタイムの洞察も提供します。
ApsaraDB for MongoDBが提供するログ監査機能は、無料トライアルを提供しなくなりました。 詳細については、「 [お知らせ] 従量課金の監査ログ機能が正式にリリースされ、無料トライアル版のアプリケーションが追加されない場合」をご参照ください。
シナリオ
ApsaraDB for MongoDBは、Log Serviceの機能を統合して、安定した、使いやすく、柔軟で効率的な監査ログ機能を提供します。 この機能は、次の表に示すシナリオで使用できます。
シナリオ | 説明 |
操作監査 | オペレータIDやデータ変更時間などの情報を検出し、権限の乱用や無効なコマンドの実行などの内部リスクを特定するのに役立ちます。 |
セキュリティとコンプライアンス | セキュリティコンプライアンスの監査要件に準拠するビジネスシステムを支援します。 |
前提条件
Log Service が有効化されていること。 詳細については、「入門」をご参照ください。
RAM (Resource Access Management) ユーザーとして監査ログ機能を有効にする場合は、RAMユーザーに次の権限を付与する必要があります。
AliyunLogFullAccess: この権限はシステムポリシーです。 RAMユーザーに権限を付与する方法の詳細については、「RAMユーザーに権限を付与する」をご参照ください。
dds:CheckServiceLinkedRole: この権限はカスタムポリシーです。 RAMユーザーにポリシーをアタッチする前に、RAMコンソールでカスタムポリシーを作成する必要があります。 [JSON] タブでカスタムポリシーを作成する方法の詳細については、「カスタムポリシーの作成」をご参照ください。 RAMユーザーに権限を付与する方法の詳細については、「RAMユーザーに権限を付与する」をご参照ください。
次の例は、dds:CheckServiceLinkedRoleポリシーのスクリプトを示しています。
{ "バージョン": "1" 、"ステートメント": [ { "効果": "許可" 、"アクション": "dds:CheckServiceLinkedRole" 、"リソース": "*" } ] }
RAMユーザーとして監査ログにアクセスする場合は、RAMユーザーにAliyunLogFullAccessまたはAliyunLogReadOnlyAccess権限を付与する必要があります。 RAMユーザーに権限を付与する方法の詳細については、「RAMユーザーに権限を付与する」をご参照ください。
使用上の注意
インスタンスの監査ログ機能を有効にすると、ApsaraDB for MongoDBはインスタンスで実行された書き込み操作を監査およびログに記録します。 インスタンスは、15% と特定の量のレイテンシおよびジッタと5% のパフォーマンス低下を経験する可能性があります。 パフォーマンスの低下、レイテンシ、およびジッタは、書き込まれたり監査されたりするデータの量によって異なります。
説明アプリケーションがインスタンスに大量のデータを書き込む場合があります。 このようなシナリオでパフォーマンスが低下するのを防ぐために、監査ログ機能を有効にして、問題のトラブルシューティングまたはインスタンスのセキュリティの監査のみを行うことを推奨します。
デフォルトでは、監査ログ機能を有効にした後、選択された操作タイプはadminとslowになります。 操作タイプを変更する方法の詳細については、「監査ログの操作タイプの変更」をご参照ください。
インスタンスに指定されたログ保持期間は、インスタンスと、インスタンスと同じリージョン内にある他のすべてのインスタンスに適用されます。 その他の操作は、現在のインスタンスにのみ適用できます。
この機能の無料トライアル中に監査ログを長期間保持したり、監査ログ用のより大きなストレージスペースを使用したりする場合は、無料トライアル版を公式版にアップグレードできます。 詳細については、「公式版へのアップグレード」をご参照ください。
課金ルール
監査ログで使用されるストレージ容量と監査ログの保持期間に基づいて、監査ログ機能の正式版に料金が請求されます。 次の表に、各リージョンの監査ログ機能のストレージ単価を示します。
リージョン | 単価 (USD /GB-時間) |
中国本土のすべてのリージョン | 0.002 |
中国 (香港) | 0.69 |
シンガポール | |
オーストラリア (シドニー)(サービス終了) | |
UAE (ドバイ) | |
米国 (シリコンバレー) | |
米国 (バージニア) | |
イギリス (ロンドン) | |
ドイツ (フランクフルト) | |
日本 (東京) | |
マレーシア (クアラルンプール) | |
インドネシア (ジャカルタ) | |
フィリピン (マニラ) |
バックアップの前の単価は参照だけのためです。 インスタンスの購入時に単価が変更される場合があります。 購入の問い合わせや請求書で発生する単価が優先されます。 詳細については、次をご参照ください: ApsaraDB for MongoDB購入ページの料金タブ
次の表に示す方法を使用して、監査ログに発生する料金を削減することもできます。
移動方法 | リスク | 関連ドキュメント |
より短い保持期間を指定する | これにより、監査ログの追跡可能な履歴時間が短縮されます。 | |
より少ない監査操作タイプの選択 | 指定された監査操作タイプが削除されると、この操作タイプの監査ログはアップロードされなくなります。 説明 指定された監査操作タイプが削除された後、この操作タイプの既存の監査ログデータのみが保持期間内に予約されます。 たとえば、5日間の保持期間を指定し、admin、slow、queryの監査操作の種類を選択します。 2022年10月10日00:00:00にクエリ操作を削除すると、それ以降に生成されたクエリ操作の監査ログは保存されなくなります。 2022 10月5日の00:00:00から10月10日の00:00:00までに生成されたクエリの監査ログも徐々に期限切れになり、期限切れになると自動的に削除され2022。 | |
監査ログ機能の無効化 | 監査ログ機能を無効にすると、インスタンスの監査ログはアップロードされません。 インスタンスに対する後続の操作を追跡および監査することはできません。 説明 監査ログ機能を無効にした時点で終了した保持期間内の監査ログのみが保持されます。 たとえば、5日間の保持期間を指定し、2022年10月10日00:00:00に監査ログ機能を無効にします。 それ以降に生成された監査ログは保存されなくなります。 2022年10月5日の00:00:00から10月10日の00:00:00までに生成された監査ログも徐々に期限切れになり、自動的に削除され2022。 |
手順
インスタンスを再起動することなく、監査ログ機能を有効にできます。
ApsaraDB for MongoDBコンソールにログインします。
左側のナビゲーションウィンドウで、レプリカセットインスタンス または シャーディングインスタンス をクリックします。
表示されるページの左上隅で、目的のインスタンスが属するリソースグループとリージョンを選択します。
管理するインスタンスのIDをクリックするか、操作 列の 管理 をクリックします。
インスタンスの詳細ページの左側のナビゲーションウィンドウで、 を選択します。
On the最新の監査ログページを設定し、ログ保持期間パラメーターを使用します。
パラメーターの有効な値は1〜365です。 デフォルト値は 30 です。 パラメータは日数で測定されます。
インスタンスに指定されたログ保持期間は、インスタンスと、インスタンスと同じリージョン内にある他のすべてのインスタンスに適用されます。 パラメーターを設定する前に、同じリージョン内のすべてのインスタンスの監査ログの保持期間を評価することを推奨します。
クリック監査ログの有効化.
説明監査ログ機能が有効になると、ApsaraDB for MongoDBは自動的にAliyunServiceRoleForMongoDBロールを取得します。 このロールにより、ApsaraDB for MongoDBはLog Serviceの監査ログを使用できます。
では、監査ログの有効化メッセージ、プロンプトを読み、クリックしますOK.
関連タスク
監査ログ機能を有効にした後、Mongo監査ログセンターページに移動して、現在のリージョンの監査ログの請求可能なストレージ容量を表示できます。
関連する API 操作
API 操作 | 説明 |
ApsaraDB for MongoDB インスタンスで監査ログ機能が有効になっているかどうかを照会します。 | |
ApsaraDB for MongoDBインスタンスの監査ログ機能を有効または無効にします。 この機能を有効にすると、監査ログの保持期間を指定することもできます。 |