このトピックでは、ApsaraDB for MongoDBコンソールの監査ログ機能を有効にして、ログのクエリ、分析、およびエクスポートを行う方法について説明します。 監査ログ機能は、セキュリティ監査人がオペレータIDやデータ変更時刻などの情報を取得し、権限の乱用や非準拠コマンドの実行などの内部リスクを特定するのに役立ちます。
前提条件
Log Service が有効化されていること。 詳細については、「クイックスタート」をご参照ください。
RAM (Resource Access Management) ユーザーとして監査ログ機能を有効にする場合は、RAMユーザーに次の権限を付与する必要があります。
AliyunLogFullAccess: この権限はシステムポリシーです。 RAMユーザーに権限を付与する方法の詳細については、「RAMユーザーに権限を付与する」をご参照ください。
dds:CheckServiceLinkedRole: この権限はカスタムポリシーです。 RAMユーザーにポリシーをアタッチする前に、RAMコンソールでカスタムポリシーを作成する必要があります。 [JSON] タブでカスタムポリシーを作成する方法の詳細については、「カスタムポリシーの作成」をご参照ください。 RAMユーザーに権限を付与する方法の詳細については、「RAMユーザーに権限を付与する」をご参照ください。
次の例は、dds:CheckServiceLinkedRoleポリシーのスクリプトを示しています。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": "dds:CheckServiceLinkedRole", "Resource": "*" } ] }
RAMユーザーとして監査ログにアクセスする場合は、RAMユーザーにAliyunLogFullAccessまたはAliyunLogReadOnlyAccess権限を付与する必要があります。 RAMユーザーに権限を付与する方法の詳細については、「RAMユーザーに権限を付与する」をご参照ください。
使用上の注意
インスタンスの監査ログ機能を有効にすると、ApsaraDB for MongoDBはインスタンスで実行された書き込み操作を監査およびログに記録します。 インスタンスは、15% と特定の量のレイテンシおよびジッタと5% のパフォーマンス低下を経験する可能性があります。 パフォーマンスの低下、レイテンシ、およびジッタは、書き込まれたり監査されたりするデータの量によって異なります。
説明アプリケーションがインスタンスに大量のデータを書き込む場合があります。 このようなシナリオでパフォーマンスが低下するのを防ぐために、監査ログ機能を有効にして、問題のトラブルシューティングまたはインスタンスのセキュリティの監査のみを行うことを推奨します。
デフォルトでは、監査ログ機能を有効にした後、選択された操作タイプはadminとslowになります。 操作タイプを変更する方法の詳細については、「監査ログの操作タイプの変更」をご参照ください。
インスタンスに指定されたログ保持期間は、インスタンスと、インスタンスと同じリージョン内にある他のすべてのインスタンスに適用されます。 その他の操作は、現在のインスタンスにのみ適用できます。
この機能の無料トライアル中に監査ログを長期間保持したり、監査ログ用のより大きなストレージスペースを使用したりする場合は、無料トライアル版を公式版にアップグレードできます。 詳細については、「公式版へのアップグレード」をご参照ください。
課金ルール
監査ログで使用されるストレージ容量と監査ログの保持期間に基づいて、監査ログ機能の正式版に料金が請求されます。 次の表に、各リージョンの監査ログ機能のストレージ単価を示します。
リージョン | 単価 (USD、1 GB、1 時間あたり) |
中国本土のリージョン | 0.002 |
中国 (香港) | 0.006 |
シンガポール | |
UAE (ドバイ) | |
米国 (シリコンバレー) | |
米国 (バージニア) | |
イギリス (ロンドン) | |
ドイツ (フランクフルト) | |
日本 (東京) | 0.004 |
マレーシア (クアラルンプール) | |
インドネシア (ジャカルタ) | |
フィリピン (マニラ) |
バックアップの前の単価は参照だけのためです。 インスタンスの購入時に単価が変更される場合があります。 購入の問い合わせや請求書で発生する単価が優先されます。 詳細については、
次の表に示す方法を使用して、監査ログに発生する料金を削減することもできます。
移動方法 | リスク | 関連ドキュメント |
より短い保持期間を指定する | これにより、監査ログの追跡可能な履歴時間が短縮されます。 | |
より少ない監査操作タイプの選択 | 指定された監査操作タイプが削除されると、この操作タイプの監査ログはアップロードされなくなります。 説明 指定された監査操作タイプが削除された後、この操作タイプの既存の監査ログデータのみが保持期間内に予約されます。 たとえば、5日間の保持期間を指定し、admin、slow、queryの監査操作の種類を選択します。 2022年10月10日00:00:00にクエリ操作を削除すると、それ以降に生成されたクエリ操作の監査ログは保存されなくなります。 2022 10月5日の00:00:00から10月10日の00:00:00までに生成されたクエリの監査ログも徐々に期限切れになり、期限切れになると自動的に削除され2022。 | |
監査ログ機能の無効化 | 監査ログ機能を無効にすると、インスタンスの監査ログはアップロードされません。 インスタンスに対する後続の操作を追跡および監査することはできません。 説明 監査ログ機能を無効にした時点で終了した保持期間内の監査ログのみが保持されます。 たとえば、5日間の保持期間を指定し、2022年10月10日00:00:00に監査ログ機能を無効にします。 それ以降に生成された監査ログは保存されなくなります。 2022年10月5日の00:00:00から10月10日の00:00:00までに生成された監査ログも徐々に期限切れになり、自動的に削除され2022。 |
手順
ApsaraDB for MongoDBコンソールにログインします。
左側のナビゲーションウィンドウで、レプリカセットインスタンス または シャーディングインスタンス をクリックします。
表示されるページの左上隅で、目的のインスタンスが属するリソースグループとリージョンを選択します。
管理するインスタンスのIDをクリックするか、操作 列の 管理 をクリックします。
インスタンスの詳細ページの左側のナビゲーションウィンドウで、 を選択します。
最新の監査ログページを設定し、ログ保持期間パラメーターを使用します。
パラメーターの有効な値は1〜365です。 デフォルト値は 30 です。 パラメータは日数で測定されます。
インスタンスに指定されたログ保持期間は、インスタンスと、インスタンスと同じリージョン内にある他のすべてのインスタンスに適用されます。 パラメーターを設定する前に、同じリージョン内のすべてのインスタンスの監査ログの保持期間を評価することを推奨します。
監査ログの有効化.
説明監査ログ機能が有効になると、ApsaraDB for MongoDBは自動的にAliyunServiceRoleForMongoDBロールを取得します。 このロールにより、ApsaraDB for MongoDBはLog Serviceの監査ログを使用できます。
監査ログの有効化メッセージ、プロンプトを読み、クリックしますOK.
次のステップ
ApsaraDB For MongoDB監査ログのクエリ方法については、「監査ログのクエリ」をご参照ください。
オンプレミスデバイスに監査ログをダウンロードする方法については、「監査ログのダウンロード」をご参照ください。
操作タイプの変更方法については、「監査ログの操作タイプの変更」をご参照ください。
監査ログ機能を無効にする方法については、「監査ログ機能の無効化」をご参照ください。
インスタンスのログがSimple Log Serviceに収集された後、ログを照会、分析、およびダウンロードできます。 ログのアラートルールを設定することもできます。 詳細については、「Alibaba Cloudサービスのログに対する一般的な操作」をご参照ください。