開通Redis企業版審計日誌 - Tair

雲原生記憶體資料庫Tair基於阿里雲Log ServiceSLS（Log Service），推出審計日誌功能，為您提供日誌的查詢、線上分析、匯出等功能，既可以協助安全審計人員及時探索資料異常操作的行為，快速定位修改資料的使用者身份與時間點，又可以助力業務系統滿足安全性與合規性的要求，還能協助開發營運人員定位效能問題。

前提條件

若RAM使用者開通審計日誌，需要具備Log Service的系統管理權限。

您可以為RAM使用者授予系統權限原則AliyunLogFullAccess。授權後，RAM使用者可以管理所有日誌庫（Logstore）。具體操作，請參見授予許可權。

您也可以自訂權限原則，限定RAM使用者只能管理Tair的審計日誌。

自訂權限原則樣本

{
 "Version": "1",
 "Statement": [
  {
   "Action": "log:*",
   "Resource": "acs:log:*:*:project/nosql-*",
   "Effect": "Allow"
  }
 ]
}

注意事項

開通審計日誌後，系統將記錄寫操作的審計資訊，視寫入量或審計量可能會對Tair執行個體造成5%～15%的效能損失及一定的延時抖動。
重要
如果您的業務對Tair執行個體的寫入量非常大（例如大量使用INCR進行計數），建議僅在故障排查或安全審計時開通該功能，以免帶來效能損失。
由於讀操作的量通常非常大，為避免記錄讀操作的審計資訊給執行個體效能帶來衝擊，審計日誌僅記錄寫操作的審計資訊，不會記錄讀操作的審計資訊。
當命令的參數過多、參數過長或命令總長度過長時，審計日誌中的命令不會完整顯示，顯示格式類似於Redis的SLOWLOG命令。

費用說明

根據審計日誌的儲存空間和儲存時間長度按量收取費用，不同地區的收費標準有所區別，更多資訊，請參見計費項目。

操作步驟

訪問Tair執行個體列表，在上方選擇地區，然後單擊目標執行個體ID。
在左側導覽列，單擊日誌管理 > 审计日志。
設定審計日誌的保留時間長度。
重要
- 審計日誌保留時間長度會應用至當前地區下所有已開通審計日誌的執行個體。
- 審計日誌保留時間長度支援的範圍為1~365天。
單擊費用估算並開通。
在彈出的對話方塊中進行費用估算並閱讀相關提示，確認後單擊開通。
說明
由於審計日誌功能依賴於阿里雲Log Service，如果您的帳號未開通阿里雲Log Service，您需要根據彈出的對話方塊中的提示完成Log Service的開通。

常見問題

如何關閉某個執行個體的審計功能？

您可以在审计日志頁面，單擊右上方的服務設定，關閉所有節點的審計開關。

如何下載完整的審計日誌？

具體操作，請參見下載日誌。在操作時，您需要注意以下內容：

在執行下載日誌的操作時，選擇的目標Project的命名格式為nosql-{使用者UID}-{Region}，例如nosql-1764984********-cn-hangzhou；然後選擇目標Logstore為redis_audit_log_standard。
下載方式選擇為通過Cloud Shell下載或通過命令列工具下載即可下載全部日誌，如果選擇為直接下載，僅會下載本頁面展示的日誌。

為什麼僅支援寫操作的審計功能，不開放讀操作的審計功能？

絕大多數情境下讀操作佔比較高，讀操作的審計將帶來較多的效能損失，且由於要儲存的資料過大，如果保持穩定的策略有可能會丟失部分審計日誌，所以未開放讀操作的審計功能。

審計日誌儲存時間長度是當前地區生效，如果第一個執行個體設定為7天，第二個執行個體設定為14天，最終以哪個為準？

以最近一次設定的為準。

為什麼某些審計日誌對應的用戶端IP不是業務所屬的用戶端？

因為審計日誌包含了管控類的寫動作記錄，您可以過濾相關資訊。

API	說明
ModifyAuditLogConfig - 修改審計日誌設定	設定Tair執行個體的審計日誌開關與保留時間長度。
DescribeAuditLogConfig - 查詢審計日誌配置	查詢Tair執行個體審計日誌是否開啟、日誌儲存時間等配置資訊。
DescribeAuditRecords - 查詢執行個體的審計日誌	查詢Tair執行個體的審計日誌。

Tair：開通審計日誌