監査ログを有効にする - Tair (Redis® OSS-Compatible) - Alibaba Cloud ドキュメントセンター

監査ログ機能は、Alibaba Cloud Simple Log Service (SLS) に基づいており、Tair (Redis OSS-compatible) インスタンスのすべての書き込み操作を記録します。この機能を使用すると、監査ログのクエリ、分析、エクスポートができます。セキュリティ監査担当者が異常なデータ操作を検出し、誰がいつデータを変更したかを特定し、業務システムがセキュリティとコンプライアンスの要件を満たしていることを確認するのに役立ちます。この機能は、開発者や O&M エンジニアがパフォーマンスの問題を特定するのにも役立ちます。

機能概要

監査ログを有効にすると、システムは書き込み操作の監査情報を記録します。読み取り操作の監査情報は記録しません。

重要

カウントに INCR コマンドを頻繁に使用するなど、書き込みペイロードが高いシナリオでは、この機能によって 5% から 15% のパフォーマンス低下と、ある程度のレイテンシージッターが発生する可能性があります。この機能は、トラブルシューティングまたはセキュリティ監査のためにのみ有効にしてください。

コマンドのパラメーターが多すぎる、長すぎる、または全長制限を超えている場合、コマンドは監査ログで切り捨てられます。フォーマットは SLOWLOG コマンドに似ています。

典型的なシナリオ

Tair (Redis OSS-compatible) は Simple Log Service の機能を統合し、より安定した、使いやすく、柔軟で効率的な監査ログサービスを提供します。典型的なシナリオは次のとおりです。

典型的なシナリオ	説明
操作レビュー	セキュリティ監査担当者がデータ変更のユーザーや時間を特定するのに役立ちます。また、権限の乱用や非準拠コマンドの実行などの内部脅威を検出するのにも役立ちます。
セキュリティとコンプライアンス	業務システムがセキュリティ基準の監査要件を満たすのに役立ちます。

課金の詳細

監査ログのストレージ容量と保存期間に対して、従量課金制で課金されます。課金基準はリージョンによって異なります。詳細については、「課金」をご参照ください。

説明

監査ログ機能を無効にした後も、ログは以前に設定した [ログ保存期間] の間保存され、有効期限が切れるまで保持されます。したがって、この機能を無効にした後も、監査ログ料金は引き続き発生します。

RAM ユーザーの権限

Alibaba Cloud アカウントを使用している場合は、このセクションを無視できます。Resource Access Management (RAM) ユーザーを使用して監査ログを有効にする場合は、RAM ユーザーに Simple Log Service の管理権限を付与する必要があります。

RAM ユーザーに AliyunLogFullAccess システムポリシーを付与できます。この権限を付与すると、RAM ユーザーはすべての Logstore を管理できます。詳細については、「権限の付与」をご参照ください。
カスタムポリシーを作成して、RAM ユーザーが Tair (Redis OSS-compatible) インスタンスの監査ログのみを管理できるようにすることもできます。
カスタムポリシーの例
```
{
 "Version": "1",
 "Statement": [
  {
   "Action": "log:*",
   "Resource": "acs:log:*:*:project/nosql-*",
   "Effect": "Allow"
  }
 ]
}
```

手順

コンソールにログインし、インスタンスページに移動します。上部のナビゲーションバーで、インスタンスがデプロイされているリージョンを選択します。次に、インスタンスを見つけてその ID をクリックします。
左側のナビゲーションウィンドウで、ログ管理 > 監査ログ を選択します。
ログの保存期間を設定します。
説明
この設定は、現在のリージョンで監査ログが有効になっているすべてのインスタンスに適用されます。監査ログは、ストレージ容量と保存期間に基づいて課金されます。保存期間は 1 日から 365 日まで設定できます。
[コストの見積もりと有効化] をクリックします。
表示されるダイアログボックスで、見積もりコストを確認し、プロンプトを読んでから [有効化] をクリックします。
説明
Simple Log Service がアクティブ化されていない場合は、ダイアログボックスのプロンプトに従ってアクティブ化してください。

よくある質問

Q: 特定のインスタンスの監査機能を無効にするにはどうすればよいですか？
A: 監査ログ ページで、右上隅にある [サービス設定] をクリックし、すべてのノードの監査をオフにします。
Q: 完全な監査ログをダウンロードするにはどうすればよいですか？
A: 詳細については、「ログのダウンロード」をご参照ください。ログをダウンロードする際は、次の点にご注意ください。
- ログをダウンロードする際、ターゲットプロジェクト名は nosql-{user_UID}-{Region} の形式である必要があります (例: nosql-176498472******-cn-hangzhou)。次に、ターゲット Logstore として redis_audit_log_standard を選択します。
- すべてのログをダウンロードするには、ダウンロード方法を [Cloud Shell 経由でダウンロード] または [CLI 経由でダウンロード] に設定します。[直接ダウンロード] を選択した場合、現在のページに表示されているログのみがダウンロードされます。
Q: なぜ書き込み操作のみが監査され、読み取り操作は監査されないのですか？
A: ほとんどのシナリオでは、読み取り操作の方が頻繁に行われます。読み取り操作を監査すると、大幅なパフォーマンス低下が発生します。さらに、データ量が多いため、安定したポリシーであってもログが失われる可能性があります。これらの理由から、読み取り操作は監査されません。
Q: 監査ログの保存期間はリージョンレベルの設定です。あるインスタンスで期間を 7 日に設定し、同じリージョンの別のインスタンスで 14 日に設定した場合、どちらの設定が使用されますか？
A: 最新の設定が使用されます。
Q: 一部の監査ログに、業務クライアントに属さないクライアント IP アドレスが表示されるのはなぜですか？
A: これは、監査ログが内部管理操作も記録するためです。これらのログはフィルターで除外できます。
Q: Redis 4.0 以降と互換性があるにもかかわらず、インスタンスの監査ログを有効にできないのはなぜですか？
A: インスタンスのマイナーバージョンが古すぎる可能性があります。マイナーバージョンとプロキシバージョンを更新してから、もう一度お試しください。

Q: 一部の監査ログで書き込み IP アドレスが 127.0.0.1 と表示されるのはなぜですか？

A: IP アドレスが 127.0.0.1 のログには、2 つのソースが考えられます。

インスタンスの内部管理操作。次の表に、一般的な内部操作ログを示します。

ログタイプ	説明
プライマリノードのエビクション	データがノードからエビクションされました。
プライマリノードの監査ログドロップイベント	監査ログドロップイベントの開始。
プライマリノードの監査ログドロップイベント	監査ログドロップイベントの終了。
プライマリノードのホットキーログ	ノードでアクセスされている、クエリ/秒 (QPS) またはトラフィックに基づくホットキーに関する情報。
プライマリノードの large キーログ	ノードに保存されている、サブ要素の数に基づく large キーに関する情報。

API	説明
ModifyAuditLogConfig - 監査ログ設定の変更	インスタンスの監査ログを有効または無効にし、ログの保存期間を設定します。
DescribeAuditLogConfig - 監査ログ設定のクエリ	インスタンスで監査ログが有効になっているかどうかやログの保存期間などの設定情報をクエリします。
DescribeAuditRecords - インスタンスの監査ログのクエリ	インスタンスの監査ログをクエリします。

Tair (Redis® OSS-Compatible):監査ログ