全部產品
Search
文件中心

Tair (Redis® OSS-Compatible):審計日誌

更新時間:Dec 07, 2024

雲資料庫 Tair(相容 Redis)執行個體基於阿里雲Log ServiceSLS(Log Service),推出審計日誌功能,為您提供日誌的查詢、線上分析、匯出等功能,既可以協助安全審計人員及時探索資料異常操作的行為,快速定位修改資料的使用者身份與時間點,又可以助力業務系統滿足安全性與合規性的要求,還能協助開發營運人員定位效能問題。

前提條件

若RAM使用者開通審計日誌,需要具備Log Service的系統管理權限。

  • 您可以為RAM使用者授予系統權限原則AliyunLogFullAccess。授權後,RAM使用者可以管理所有日誌庫(Logstore)。具體操作,請參見授予許可權

  • 您也可以自訂權限原則,限定RAM使用者只能管理雲資料庫 Tair(相容 Redis)執行個體的審計日誌。

    自訂權限原則樣本

    {
     "Version": "1",
     "Statement": [
      {
       "Action": "log:*",
       "Resource": "acs:log:*:*:project/nosql-*",
       "Effect": "Allow"
      }
     ]
    }

典型情境

雲資料庫 Tair(相容 Redis)阿里雲Log Service的部分功能融合到審計日誌中,為您帶來更加穩定、易用、靈活且高效的審計Log Service,典型使用情境如下:

典型情境

說明

操作審查

協助安全審計人員定位元據修改的操作者身份或時間點等資訊,協助識別是否存在濫用許可權、執行非合規命令等內部風險。

安全合規

助力業務系統通過安全規範中關於審計部分的要求。

注意事項

  • 開通審計日誌後,系統將記錄寫操作的審計資訊,視寫入量或審計量可能會對執行個體造成5%~15%的效能損失及一定的延時抖動。

    重要

    如果您的業務對執行個體的寫入量非常大(例如大量使用INCR進行計數),建議僅在故障排查或安全審計時開通該功能,以免帶來效能損失。

  • 由於讀操作的量通常非常大,為避免記錄讀操作的審計資訊給執行個體效能帶來衝擊,審計日誌僅記錄寫操作的審計資訊,不會記錄讀操作的審計資訊。

  • 當命令的參數過多、參數過長或命令總長度過長時,審計日誌中的命令不會完整顯示,顯示格式類似於SLOWLOG命令。

費用說明

根據審計日誌的儲存空間和儲存時間長度按量收取費用,不同地區的收費標準有所區別,更多資訊,請參見計費項目

說明

關閉審計日誌功能後,審計日誌仍會按之前的日誌保留時間長度儲存日誌,直到所有的日誌到期,因此在關閉後仍會產生審計日誌費用。

操作步驟

  1. 訪問執行個體列表,在上方選擇地區,然後單擊目標執行個體ID。

  2. 在左側導覽列,單擊日誌管理 > 审计日志

  3. 設定審計日誌的保留時間長度。

    說明

    該設定會應用至當前地區下所有已開通審計日誌的執行個體,審計日誌按照儲存容量及保留時間長度收費,日誌保留時間長度支援的範圍為1~365天。

  4. 單擊費用估算並開通

  5. 在彈出的對話方塊中進行費用估算並閱讀相關提示,確認後單擊開通

    說明

    由於審計日誌功能依賴於阿里雲Log Service,如果您的帳號未開通阿里雲Log Service,您需要根據彈出的對話方塊中的提示完成Log Service的開通。

相關API

API

說明

ModifyAuditLogConfig - 修改審計日誌設定

設定執行個體的審計日誌開關與保留時間長度。

DescribeAuditLogConfig - 查詢審計日誌配置

查詢執行個體審計日誌是否開啟、日誌儲存時間等配置資訊。

DescribeAuditRecords - 查詢執行個體的審計日誌

查詢執行個體的審計日誌。

常見問題

  • Q:如何關閉某個執行個體的審計功能?

    A:您可以在审计日志頁面,單擊右上方的服務設定,關閉所有節點的審計開關。

  • Q:如何下載完整的審計日誌?

    A:具體操作,請參見下載日誌。在操作時,您需要注意以下內容:

    • 在執行下載日誌的操作時,選擇的目標Project的命名格式為nosql-{使用者UID}-{Region},例如nosql-176498472******-cn-hangzhou;然後選擇目標Logstore為redis_audit_log_standard

    • 下載方式選擇為通過Cloud Shell下載通過命令列工具下載即可下載全部日誌,如果選擇為直接下載,僅會下載本頁面展示的日誌。

  • Q:為什麼僅支援寫操作的審計功能,不開放讀操作的審計功能?

    A:絕大多數情境下讀操作佔比較高,讀操作的審計將帶來較多的效能損失,且由於要儲存的資料過大,如果保持穩定的策略有可能會丟失部分審計日誌,所以未開放讀操作的審計功能。

  • Q:正式版的審計日誌儲存時間長度是當前地區生效,如果第一個執行個體設定為7天,第二個執行個體設定為14天,最終以哪個為準?

    A:以最近一次設定的為準。

  • Q:為什麼某些審計日誌對應的用戶端IP不是業務所屬的用戶端?

    A:因為審計日誌包含了管控類的寫動作記錄,您可以過濾相關資訊。

  • Q:為什麼執行個體版本為相容Redis 4.0及以上仍無法開啟審計日誌?

    A:部分執行個體由於小版本過舊無法開啟審計日誌,請升級小版本與代理版本後重試。