Tair (Redis OSS-compatible) は、Simple log Serviceに基づく監査ログ機能を提供します。 この機能により、ログデータのクエリ、分析、およびエクスポートが可能になります。 セキュリティ監査人はこの機能を使用して、異常なまたは不正なデータ操作アクティビティを迅速に検出し、データを変更したユーザーのIDと変更の正確な時間を迅速に特定できます。 開発者とO&M担当者は、この機能を使用してパフォーマンス関連の問題を特定できます。 この機能により、ビジネスシステムはセキュリティとコンプライアンスの要件を満たすこともできます。
前提条件
監査ログ機能を有効にするには、Resource Access Management (RAM) ユーザーがSimple log Serviceを管理する権限を持っている必要があります。
AliyunLogFullAccessシステムポリシーをRAMユーザーにアタッチできます。 RAMユーザーにシステムポリシーで定義された権限が付与されると、RAMユーザーはすべてのLogstoreを管理できます。 詳細については、「RAMユーザーへの権限付与」をご参照ください。
ポリシーをカスタマイズして、RAMユーザーがTair (Redis OSS-compatible) インスタンスの監査ログのみを管理するように制限することもできます。
一般的なシナリオ
Tair (Redis OSS-compatible) は、Simple Log Serviceの特定の機能を統合して、安定性、柔軟性、シンプル、効率的な監査ログ機能を提供します。 この機能は、次の表に示すシナリオで使用できます。
典型的なシナリオ | 説明 |
操作監査 | 監査ログ機能は、セキュリティ監査人がオペレータIDやデータ変更時間などの情報を検出し、権限の乱用や無効なコマンドの実行などの内部リスクを特定するのに役立ちます。 |
セキュリティコンプライアンス | 監査ログ機能は、セキュリティコンプライアンスの監査要件を満たすビジネスシステムを支援します。 |
使用上の注意
インスタンスの監査ログ機能を有効にすると、システムはインスタンスで実行された書き込み操作を監査およびログに記録します。 インスタンスは、5% 15% のパフォーマンス低下、およびある程度のレイテンシとジッタを経験する可能性があります。 パフォーマンスの低下、レイテンシとジッタのレベルは、書き込まれたり監査されたりするデータの量によって異なります。
重要アプリケーションがインスタンスに大量のデータを書き込む場合があります。 たとえば、アプリケーションはINCRコマンドを頻繁に実行して値をインクリメントします。 このようなシナリオでパフォーマンスの低下を防ぐために、トラブルシューティングまたはセキュリティ監査の目的でのみ監査ログ機能を有効にすることを推奨します。
典型的には、多数の読み出し動作が実行される。 多数の読み取り操作に対して監査情報が記録されると、インスタンスのパフォーマンスが低下する可能性があります。 この問題を防ぐために、システムは書き込み操作に対してのみ監査情報を記録します。
コマンドのパラメーター数が多い場合、個々のパラメーターが長すぎたり、コマンドの全長が長すぎたりすると、コマンド全体が監査ログに表示されません。 コマンドの表示形式は、SLOWLOGコマンドと同様である。
課金
ストレージの使用状況とログの保持期間に基づいて、監査ログ機能に対して課金されます。 料金は、選択したリージョンによって異なります。 詳細については、「課金項目」をご参照ください。
監査ログ機能が無効になった後も、すべてのログが期限切れになるまで、監査ログは以前に設定されたログ保持期間に基づいて保存されます。 したがって、この機能が無効になった後も、監査ログに対して課金されます。
手順
コンソールにログインし、[インスタンス] ページに移動します。 上部のナビゲーションバーで、インスタンスがデプロイされているリージョンを選択します。 次に、インスタンスを見つけてIDをクリックします。
左側のナビゲーションウィンドウで、を選択します。
ログの保持期間を指定します。
説明この設定は、インスタンスと、インスタンスと同じリージョンにあるすべてのインスタンスに適用できます。 監査ログは、ストレージ使用量とログの保持期間に基づいて課金されます。 ログ保持期間の有効値は1 ~ 365です。 単位:日
料金の見積もりと監査ログの有効化をクリックします。
表示されるダイアログボックスで、ログ料金を見積もり、プロンプトを読んで、有効化をクリックします。
説明監査ログ機能はSimple log Serviceに依存します。 Alibaba CloudアカウントでSimple Log Serviceが有効化されていない場合、Simple Log Serviceを有効化するように求められます。
関連する API 操作
API 操作 | 説明 |
監査ログ機能を有効または無効にし、監査ログの保持期間を指定します。 | |
インスタンスの監査ログ設定を照会します。 設定には、監査ログ機能が有効になっているかどうか、および監査ログの保持期間が含まれます。 | |
インスタンスの監査ログを照会します。 |
よくある質問
インスタンスの監査ログ機能を無効にするにはどうすればよいですか。
コンソールにログインし、インスタンスの 監査ログ ページに移動します。 ページの右上隅にある [サービス設定] をクリックします。 次に、監査ログ機能を無効にできます。
すべての監査ログをダウンロードする方法?
複数の方法を使用して監査ログをダウンロードできます。 詳細については、「ログのダウンロード」をご参照ください。 すべての監査ログをダウンロードするときは、次の項目に注意してください。
redis_audit_log_standard Logstoreを指定し、プロジェクト名を
nosql-{Alibaba CloudアカウントのID}-{Region}
の形式で指定する必要があります。 例: nosql-176498472 ******-cn-hangzhou[Cloud Shellでダウンロード] または [CLIでダウンロード] を選択する必要があります。 [ダウンロード] を選択した場合、現在のページに表示されている監査ログのみをダウンロードできます。
監査ログ機能が書き込み操作をサポートし、読み取り操作をサポートしないのはなぜですか。
ほとんどのシナリオでは、読み取り操作の数は書き込み操作の数よりも大きくなります。 読み取り操作の監査は、深刻なパフォーマンス低下を引き起こす可能性があります。 さらに、読み取り操作のために多数の監査ログを生成して保存する必要があります。 結果として、システムは、サービスの安定性を保証するために特定の監査ログを破棄し得る。 これらの問題により、監査ログ機能は読み取り操作をサポートしません。
監査ログ機能が有効になっている同じリージョン内の2つのインスタンスに異なるログ保持期間を指定した場合、リージョン内のすべてのインスタンスにどのログ保持期間が適用されますか。
指定した最後のログ保存期間が適用されます。
特定の監査ログに記録されたクライアントのIPアドレスが、アプリケーションが実行されているクライアントのIPアドレスと同じでないことがわかるのはなぜですか。
監査ログは、データベースシステムでの書き込み操作を記録します。 このタイプの情報は除外できます。
Redis 4.0以降を実行するインスタンスの監査ログ機能を有効にできないのはなぜですか。
インスタンスのマイナーバージョンを更新する必要があります。 インスタンスのマイナーバージョンを更新する方法については、「インスタンスのマイナーバージョンの更新」をご参照ください。