ApsaraDB for Redis基於阿里雲Log ServiceSLS(Log Service),推出審計日誌功能,為您提供日誌的查詢、線上分析、匯出等功能,既可以協助安全審計人員及時探索資料異常操作的行為,快速定位修改資料的使用者身份與時間點,又可以助力業務系統滿足安全性與合規性的要求,還能協助開發營運人員定位效能問題。
前提條件
執行個體要求
版本為Redis社區版、Tair(Redis企業版)記憶體型、Tair(Redis企業版)持久記憶體型。
許可權要求
RAM使用者開通審計日誌,需要具備Log Service的系統管理權限。
您可以為RAM使用者授予系統權限原則AliyunLogFullAccess。授權後,RAM使用者可以管理所有日誌庫(Logstore)。具體操作,請參見授予許可權。
您也可以自訂權限原則,限定RAM使用者只能管理Redis的審計日誌。
典型情境
KVStore for Redis將阿里雲Log Service的部分功能融合到審計日誌中,為您帶來更加穩定、易用、靈活且高效的雲Redis審計Log Service,典型使用情境如下:
典型情境 | 說明 |
操作審查 | 協助安全審計人員定位元據修改的操作者身份或時間點等資訊,協助識別是否存在濫用許可權、執行非合規命令等內部風險。 |
安全合規 | 助力業務系統通過安全規範中關於審計部分的要求。 |
注意事項
開通審計日誌後,系統將記錄寫操作的審計資訊,視寫入量或審計量可能會對Redis執行個體造成5%~15%的效能損失及一定的延時抖動。
重要如果您的業務對Redis執行個體的寫入量非常大(例如大量使用INCR進行計數),建議僅在故障排查或安全審計時開通該功能,以免帶來效能損失。
由於讀操作的量通常非常大,為避免記錄讀操作的審計資訊給執行個體效能帶來衝擊,審計日誌僅記錄寫操作的審計資訊,不會記錄讀操作的審計資訊。
費用說明
根據審計日誌的儲存空間和儲存時間長度按量收取費用,不同地區的收費標準有所區別,更多資訊,請參見計費項目。
操作步驟
- 訪問Redis執行個體列表,在上方選擇地區,然後單擊目標執行個體ID。
在左側導覽列,單擊。
設定審計日誌的保留時間長度。
說明該設定會應用至當前地區下所有已開通審計日誌的執行個體,審計日誌按照儲存容量及保留時間長度收費,日誌保留時間長度支援的範圍為1~365天。
單擊費用估算並開通。
在彈出的對話方塊中進行費用估算並閱讀相關提示,確認後單擊開通。
說明由於審計日誌功能依賴於阿里雲Log Service,如果您的帳號未開通阿里雲Log Service,您需要根據彈出的對話方塊中的提示完成Log Service的開通。
相關API
API | 說明 |
設定Redis執行個體的審計日誌開關與保留時間長度。 | |
查詢Redis執行個體審計日誌是否開啟、日誌儲存時間等配置資訊。 | |
查詢Redis執行個體的審計日誌。 |
常見問題
Q:如何關閉某個執行個體的審計功能?
A:您可以在审计日志頁面,單擊右上方的服務設定,關閉所有節點的審計開關。
Q:如何下載完整的審計日誌?
A:具體操作,請參見下載日誌。在操作時,您需要注意以下內容:
在執行下載日誌的操作時,選擇的目標Project的命名格式為
nosql-{使用者UID}-{Region},例如nosql-176498472******-cn-hangzhou;然後選擇目標Logstore為redis_audit_log_standard。下載方式選擇為通過Cloud Shell下載或通過命令列工具下載即可下載全部日誌,如果選擇為直接下載,僅會下載本頁面展示的日誌。
Q:為什麼僅支援寫操作的審計功能,不開放讀操作的審計功能?
A:絕大多數情境下讀操作佔比較高,讀操作的審計將帶來較多的效能損失,且由於要儲存的資料過大,如果保持穩定的策略有可能會丟失部分審計日誌,所以未開放讀操作的審計功能。
Q:正式版的審計日誌儲存時間長度是當前地區生效,如果第一個執行個體設定為7天,第二個執行個體設定為14天,最終以哪個為準?
A:以最近一次設定的為準。
Q:為什麼某些審計日誌對應的用戶端IP不是業務所屬的用戶端?
A:因為審計日誌包含了管控類的寫動作記錄,您可以過濾相關資訊。
Q:為什麼Redis執行個體版本為4.0及以上仍無法開啟審計日誌?
A:部分執行個體由於小版本過舊無法開啟審計日誌,請升級小版本與代理版本後重試。