ApsaraDB RDS for PostgreSQL の SQL Explorer と監査 - ApsaraDB RDS - Alibaba Cloud ドキュメントセンター

SQL Explorer と監査機能は、コンプライアンス監査、パフォーマンス分析、またはトラブルシューティングのために、ApsaraDB RDS for PostgreSQL インスタンスで実行される SQL 文を監視および管理するのに役立ちます。この機能を有効にすると、実行アカウント、IP アドレス、実行詳細とともに、データベースカーネルから SQL 文が自動的に記録されます。このプロセスは、インスタンスのパフォーマンスに影響しません。

前提条件

DAS Enterprise Edition を購入済みであること。
DAS Enterprise Edition を有効にすると、SQL Explorer と監査機能を使用できます。コンソールでは、現在のリージョンでサポートされている最新バージョンの DAS Enterprise Edition のみを有効にできます。DAS Enterprise Edition の異なるバージョンは、異なるリージョンでサポートされています。
Resource Access Management (RAM) ユーザーの場合、[監査] 機能を使用するには、RAM ユーザーに AliyunRDSReadOnlyWithSQLLogArchiveAccess 権限を付与する必要があります。詳細については、「RAM を使用して ApsaraDB RDS の権限を管理する」をご参照ください。
説明
カスタムポリシーを作成して、RAM ユーザーに検索 (エクスポートを含む) 機能を使用する権限を付与することもできます。詳細については、「カスタムポリシーを使用して RAM ユーザーに SQL Explorer と監査の検索 (エクスポートを含む) 機能を使用する権限を付与する」をご参照ください。

課金

詳細については、「課金の詳細」をご参照ください。

説明

SQL Explorer と監査を有効にすると、元の SQL 監査 (データベース監査) 機能の課金は停止します。SQL Explorer と監査機能は、DAS Enterprise Edition の一部として課金されます。

機能紹介

監査: SQL 文の実行履歴と、データベース、実行ステータス、実行時間などの関連情報をクエリおよびエクスポートします。
説明
- コンソールの SQL Explorer と監査ページで監査ログを有効または無効にすると、log_statement カーネルパラメーターが変更されます。
  - 監査ログを有効にすると、log_statement = all が設定されます。
  - 監査ログを無効にすると、log_statement = ddl が設定されます。
- ModifySqlLogConfig API 操作を呼び出して、監査ログを有効または無効にすることもできます。
SQL Explorer: SQL 文の健全性を診断し、パフォーマンスの問題をトラブルシューティングし、サービストラフィックを分析します。

使用上の注意

インスタンスで PgBouncer 接続プールが有効になっている場合、PgBouncer を介して実行された SQL 文は、SQL Explorer と監査によって記録されません。

SQL Explorer と監査を有効にする

説明

インスタンスがサポートする最新バージョンの SQL Explorer と監査のみを有効にできます。

インスタンスページに移動します。上部のナビゲーションバーで、RDS インスタンスが存在するリージョンを選択します。次に、RDS インスタンスを見つけて、インスタンスの ID をクリックします。
左側のナビゲーションウィンドウで、自律型サービス > SQL Explorer and Audit を選択します。
[監査ログを有効にする] をクリックし、有効にする機能を選択して、[送信] をクリックします。

SQL Explorer と監査を使用する

インスタンスページに移動します。上部のナビゲーションバーで、RDS インスタンスが存在するリージョンを選択します。次に、RDS インスタンスを見つけて、インスタンスの ID をクリックします。
左側のナビゲーションウィンドウで、自律型サービス > SQL Explorer and Audit を選択します。必要に応じて、監査機能と SQL Explorer 機能を使用します。

SQL Explorer と監査のデータストレージ期間を変更する

警告

SQL Explorer と監査のデータストレージ期間を短縮すると、DAS は、新しいストレージ期間を超えるすべての SQL 監査ログを直ちに削除します。ストレージ期間を短縮する前に、SQL 監査ログをローカルディスクにエクスポートして保存してください。

インスタンスページに移動します。上部のナビゲーションバーで、RDS インスタンスが存在するリージョンを選択します。次に、RDS インスタンスを見つけて、インスタンスの ID をクリックします。
左側のナビゲーションウィンドウで、自律型サービス > SQL Explorer and Audit を選択します。
Service Settings をクリックします。
Service Settings ページで、ストレージ期間を変更し、[送信] をクリックします。
説明
SQL Explorer と監査データ用のストレージスペースは DAS によって提供され、データベースインスタンスのストレージスペースを占有しません。

SQL Explorer と監査機能を無効にする

警告

SQL Explorer と監査機能を無効にすると、関連するログは削除されます。機能を無効にする前に、ログをローカルディスクにエクスポートして保存する必要があります。機能を再度有効にした場合、ログは再有効化の時点からのみ記録されます。

インスタンスページに移動します。上部のナビゲーションバーで、RDS インスタンスが存在するリージョンを選択します。次に、RDS インスタンスを見つけて、インスタンスの ID をクリックします。
左側のナビゲーションウィンドウで、自律型サービス > SQL Explorer and Audit を選択します。
Logs エリアで、エクスポート をクリックします。
エクスポートするフィールドと時間範囲を選択できます。SQL Explorer と監査サービスがホット/コールド階層型ストレージを使用している場合、データをエクスポートする際に [CSV セパレーター] も選択する必要があります。
エクスポートタスクを設定します。エクスポートが完了したら、タスクリスト をクリックし、エクスポートされたファイルをダウンロードして保存します。
Service Settings をクリックして SQL Explorer と監査を無効にします。
DAS Enterprise Edition を有効にしている場合は、すべての SQL Explorer と監査機能のチェックボックスをオフにして、[送信] をクリックします。
重要
- SQL Explorer と監査機能を無効にしてから約 1 時間後、システムは SQL Explorer と監査データが占有していたストレージスペースを解放します。
- Simple Log Service の CloudLens for RDS アプリケーションで ApsaraDB RDS for PostgreSQL インスタンスの監査ログ収集機能を有効にすると、インスタンスの SQL Explorer と監査機能が自動的に有効になります。したがって、データベースインスタンスの監査ログ収集機能も無効にする必要があります。詳細については、「CloudLens for RDS」をご参照ください。

よくある質問

Q: ApsaraDB RDS for PostgreSQL インスタンスで失敗した SQL 文をクエリできないのはなぜですか？

A: ApsaraDB RDS for PostgreSQL インスタンスの場合、失敗した SQL 文は監査ログではなく、インスタンスのエラーログに記録されます。エラーログをクエリするには、「ログの表示」をご参照ください。

Q: ログリストに表示されるデータベース名が SQL 文のデータベース名と一致しないのはなぜですか？

A: ログリストのデータベース名はセッションから取得されます。SQL 文のデータベース名はユーザーによって指定され、クエリの設計に依存します。たとえば、クロスデータベースクエリや動的 SQL では、2 つの名前が一致しない場合があります。

Q: コンソールから SQL 監査のエントリが消えたのはなぜですか？

A: SQL Explorer と監査機能が更新されました。エントリ名は現在 [SQL Explorer と監査] です。

Q: 古いバージョンの SQL 監査をまだ有効にできますか？

A: インスタンスがサポートする最新バージョンの SQL Explorer と監査のみを有効にできます。詳細については、「製品シリーズとサポートされている機能」をご参照ください。