セキュリティコンプライアンス監査、パフォーマンス分析、トラブルシューティングなどのシナリオで、ApsaraDB RDS for PostgreSQLインスタンスで実行されるSQL文を監視および管理する場合は、SQL Explorerおよび監査機能を使用できます。 この機能を使用すると、SQL文の実行に関する集計分析を記録して実行できます。 この機能を有効にすると、データベースカーネルからのSQL文、SQL文の実行に使用されるアカウント、IPアドレス、および実行の詳細が自動的に記録されます。 インスタンスのパフォーマンスは影響を受けません。
前提条件
Database Autonomy Service (DAS) Enterprise Editionは、Alibaba Cloudアカウントを使用して購入します。 詳細については、「DAS Cost-efficient EditionおよびDAS Enterprise Editionの有効化と管理」をご参照ください。
DAS Enterprise Editionを有効にすると、SQLエクスプローラーと監査機能を使用できます。 ApsaraDB RDSコンソールでは、現在のリージョンでサポートされているDAS Enterprise Editionの最新バージョンのみを有効にできます。 DAS Enterprise Editionの異なるバージョンは、異なるリージョンでサポートされています。 詳細については、「サポートされているデータベースとリージョン」をご参照ください。
RDSインスタンスはRDS High-availability Editionを実行します。
RAMユーザーの資格情報を使用して検索機能を使用する場合は、AliyunRDSReadOnlyWithSQLLogArchiveAccessポリシーがRAMユーザーにアタッチされていることを確認してください。 RAMユーザーに権限を付与する方法の詳細については、「RAMを使用したApsaraDB RDS権限の管理」をご参照ください。
説明カスタムポリシーを作成して、エクスポート機能を含む検索機能を使用する権限をRAMユーザーに付与することもできます。 詳細については、「カスタムポリシーを使用してRAMユーザーにSQL Explorerおよび監査モジュールの検索およびエクスポート機能を使用する権限を付与する」をご参照ください。
課金ルール
詳細については、「課金」をご参照ください。
SQLエクスプローラーと監査機能が有効になると、ApsaraDB RDSはSQL監査機能の課金を停止します。 SQL Explorerおよび監査機能は、DAS Enterprise Editionの料金に基づいて課金されます。 詳細については、「SQL監査機能の使用」をご参照ください。
説明
Search: 実行されるSQL文に関する情報を照会およびエクスポートします。 情報には、データベース、ステータス、および実行時間が含まれます。
SQL Explorer: SQL文の正常性ステータスを診断し、パフォーマンスの問題をトラブルシューティングし、ビジネストラフィックを分析します。
使用上の注意
RDSインスタンスに対してPgBouncerが有効になっている場合、PgBouncerを使用して実行されたSQL文は、SQLエクスプローラーおよび監査機能によって記録されません。
SQLエクスプローラーと監査機能の有効化
RDSインスタンスのSQL Explorerおよび監査機能の最新バージョンのみを有効にできます。
[インスタンス] ページに移動します。 上部のナビゲーションバーで、RDS インスタンスが存在するリージョンを選択します。 次に、RDSインスタンスを見つけ、インスタンスのIDをクリックします。
表示されるページの左側のナビゲーションウィンドウで、を選択します。
[Enable Enterprise Edition V3] をクリックします。
有効にするサブ機能を選択し、送信をクリックします。
監査機能の使用
[インスタンス] ページに移動します。 上部のナビゲーションバーで、RDS インスタンスが存在するリージョンを選択します。 次に、RDSインスタンスを見つけ、インスタンスのIDをクリックします。
左側のナビゲーションウィンドウで、
を選択します。表示されるページで、[監査] タブをクリックします。 次に、関連情報を照会するための検索条件を指定します。 監査機能の詳細については、「検索 (監査) 」をご参照ください。
ログをエクスポートするには、[エクスポート] をクリックし、[SQLレコードのエクスポート] ダイアログボックスで [エクスポートフィールド] パラメーターを設定します。 [エクスポート時間範囲] パラメーターを設定して、24時間以内とそれ以降の両方で生成されたログをエクスポートできます。
[SQL Explorer] タブの情報の照会
[インスタンス] ページに移動します。 上部のナビゲーションバーで、RDS インスタンスが存在するリージョンを選択します。 次に、RDSインスタンスを見つけ、インスタンスのIDをクリックします。
左側のナビゲーションウィンドウで、
を選択します。表示されるページで、[SQLエクスプローラー] タブをクリックして関連情報を表示します。 SQL Explorer機能の詳細については、「SQL Explorer機能の使用」をご参照ください。
SQL Explorerおよび監査機能によって生成されたデータの保存期間の変更
SQL Explorerと監査によって生成されたデータの保存期間を短縮した後、DASは保存期間よりも長い期間保持されているSQL監査ログを直ちに削除します。 SQL監査ログをコンピューターにエクスポートして保存し、SQL Explorerとauditによって生成されたデータの保存期間を短縮することをお勧めします。
[インスタンス] ページに移動します。 上部のナビゲーションバーで、RDS インスタンスが存在するリージョンを選択します。 次に、RDSインスタンスを見つけ、インスタンスのIDをクリックします。
表示されるページの左側のナビゲーションウィンドウで、を選択します。
Service Settings を設定します。
Service Settings パネルで、SQLエクスプローラーと監査機能によって生成されたデータの保存期間を変更し、変更を送信します。
説明SQL Explorerおよび監査機能によって生成されたデータによって占有されるストレージはDASによって提供され、RDSインスタンスのストレージを消費しません。
SQLエクスプローラーと監査機能の無効化
SQL Explorerおよび監査機能を無効にすると、SQL Explorerおよび監査機能によって生成されたすべてのログが削除されます。 SQL Explorerおよび監査機能によって生成されたログをコンピューターにエクスポートして保存し、SQL Explorerおよび監査機能を無効にすることをお勧めします。 SQL Explorerおよび監査機能を再度有効にすると、SQL Explorerおよび監査機能によって生成されたログは、SQL Explorerおよび監査機能が有効になっている時点から記録されます。
[インスタンス] ページに移動します。 上部のナビゲーションバーで、RDS インスタンスが存在するリージョンを選択します。 次に、RDSインスタンスを見つけ、インスタンスのIDをクリックします。
左側のナビゲーションウィンドウで、
を選択します。[検索] タブの [ログ] セクションで、[エクスポート] をクリックします。
表示されるダイアログボックスで、[エクスポートフィールド] および [エクスポート時間範囲] パラメーターを設定し、[OK] をクリックします。
ログをエクスポートしたら、ログファイルをダウンロードしてコンピューターに保存します。
SQL監査ログのダウンロード方法は、DAS Enterprise Editionのバージョンによって異なります。 ApsaraDB RDSコンソールの実際の状況に基づいて、SQL監査ログをダウンロードできます。
検索 タブの View Exported Logs をクリックして、エクスポートされたログファイルをダウンロードします。
タスクリストパネルで、[ダウンロード] をクリックして、エクスポートしたログファイルをダウンロードします。
Service Settings をクリックし、SQL Explorerおよび監査機能のすべてのサブ機能をクリアして、[送信] をクリックします。
説明Simple log ServiceのCloudLens for RDSアプリケーションでRDSインスタンスの監査ログ収集機能を有効にすると、RDSインスタンスのSQL Explorerおよび監査機能が自動的に有効になります。 したがって、RDSインスタンスの監査ログ収集機能も無効にする必要があります。 詳細については、「CloudLens For RDS」をご参照ください。