本文介紹如何在MongoDB控制台上開通日誌審計功能,進行日誌的查詢、線上分析和匯出。日誌審計功能協助定位元據修改的操作者身份或時間點等資訊,識別是否存在濫用許可權、執行非合規命令等內部風險。
前提條件
已開通Log ServiceSLS,如何開通,請參見開通Log Service。
如果使用RAM使用者開通審計日誌,需要授予RAM使用者以下許可權:
AliyunLogFullAccess:該許可權為系統策略。授權方法,請參見為RAM使用者授權。
dds:CheckServiceLinkedRole:該許可權為自訂策略,您需要先在存取控制控制台建立該自訂策略後再授權。通過指令碼編輯模式建立自訂權限原則的方法,請參見建立自訂權限原則。授權方法,請參見為RAM使用者授權。
dds:CheckServiceLinkedRole策略的指令碼如下。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": "dds:CheckServiceLinkedRole", "Resource": "*" } ] }
如果使用RAM使用者訪問審計日誌,需要授予RAM使用者AliyunLogFullAccess或AliyunLogReadOnlyAccess許可權。授權方法,請參見為RAM使用者授權。
注意事項
開通審計日誌後,系統將記錄寫操作的審計資訊,寫入量或審計量可能會對ApsaraDB for MongoDB執行個體造成5%~15%的效能損失及一定的延時抖動。
說明如果您的業務對ApsaraDB for MongoDB執行個體的寫入量非常大,建議僅在故障排查或安全審計時開通該功能,以免帶來效能損失。
開通審計日誌後,預設勾選的審計操作類型只有admin和slow。如果您需要更改審計操作類型,請參見更改審計操作類型。
設定日誌保留時間長度的操作對當前地區下的所有ApsaraDB for MongoDB執行個體生效,其他動作均只對當前執行個體生效。
如果您已開通免費試用審計日誌,但需要更長的保留時間或用更大的儲存空間來儲存審計日誌,您可以將其升級為正式版審計日誌,升級方法請參見升級為正式版審計日誌。
費用說明
正式版審計日誌根據審計日誌的儲存用量和儲存時間長度按量收費,不同地區的價格如下。
地區 | 單價(美元/GB/小時) |
中國境內所有地區 | 0.002 |
中國香港 | 0.006 |
新加坡 | |
阿聯酋(杜拜) | |
美國(矽谷) | |
美國(維吉尼亞) | |
英國(倫敦) | |
德國(法蘭克福) | |
日本(東京) | 0.004 |
馬來西亞(吉隆坡) | |
印尼(雅加達) | |
菲律賓(馬尼拉) |
本文備份費用單價僅供參考,實際購買時可能存在價格變動,請以實際詢價和賬單產生價格為準。更多資訊請參見ApsaraDB for MongoDB詳細價格資訊。
您可以使用以下方法節省審計日誌的費用。
方法 | 風險 | 參考文檔 |
縮短審計日誌保留天數 | 會使可追溯審計的歷史時間縮短。 | |
減少審計操作類型 | 取消指定的審計操作類型後,將停止上傳該審計操作類型的審計日誌。 說明 審計操作類型被取消後,僅保留該審計操作類型在保留時間長度內的審計日誌資料。 例如:您設定的審計日誌保留時間長度為5天,審計操作類型為admin、slow和query。如果您在2022年10月10日00:00:00取消query,則之後不會儲存query產生的審計日誌,且2022年10月05日00:00:00~2022年10月10日00:00:00時間段內query產生的審計日誌也會逐漸到期,並在到期後被自動刪除。 | |
關閉審計日誌 | 關閉審計日誌後,將停止上傳該執行個體的審計日誌,不可再追溯審計後續的訪問操作行為。 說明 關閉審計日誌後,僅保留在保留時間長度內的審計日誌資料。 例如:您設定的審計日誌保留時間長度為5天,如果您在2022年10月10日00:00:00關閉審計日誌,則不會儲存之後產生的審計日誌,且2022年10月05日00:00:00~2022年10月10日00:00:00的審計日誌也會逐漸到期,並在到期後被自動刪除。 |
操作步驟
登入MongoDB管理主控台。
根據執行個體類型,在左側導覽列,單擊複本集執行個體列表或分區叢集執行個體列表。
在頁面左上方,選擇執行個體所在的資源群組和地區。
單擊目標執行個體ID或目標執行個體所在行操作列的管理。
在目標執行個體頁面的左側導覽列,單擊 。
在歡迎使用新版審計日誌頁面,設定日誌保留時間長度。
日誌保留時間長度的取值範圍為1~365天,預設30天。
日誌保留時間長度對當前執行個體所在地區的所有執行個體生效,建議您在確定好同一地區內所有執行個體審計日誌的保留時間長度後進行設定。
單擊開通服務。
說明開通審計Log Service的同時,ApsaraDB for MongoDB會自動擷取AliyunServiceRoleForMongoDB角色,以實現Log Service向ApsaraDB for MongoDB授權審計日誌功能的目的。
在彈出的開通服務對話方塊中,閱讀提示資訊後單擊確定。