Topik ini menjelaskan cara mengaktifkan fitur log audit untuk instance ApsaraDB for MongoDB. Fitur log audit terintegrasi dengan Log Service dan memungkinkan Anda menanyakan, menganalisis secara online, serta mengekspor log audit dari instance tersebut. Fitur ini juga memberikan wawasan real-time tentang keamanan dan kinerja instance.
Fitur log audit yang disediakan oleh ApsaraDB for MongoDB tidak lagi menawarkan uji coba gratis. Untuk informasi lebih lanjut, lihat [Pemberitahuan] Peluncuran resmi fitur log audit dengan pembayaran sesuai pemakaian dan tidak ada lagi aplikasi untuk edisi uji coba gratis.
Skenario
ApsaraDB for MongoDB mengintegrasikan fitur-fitur Log Service untuk menyediakan fitur log audit yang stabil, mudah digunakan, fleksibel, dan efisien. Fitur ini dapat digunakan dalam skenario yang dijelaskan dalam tabel berikut.
Skenario | Deskripsi |
Audit operasi | Membantu Anda menemukan informasi seperti identitas operator atau waktu modifikasi data dan mengidentifikasi risiko internal seperti penyalahgunaan izin dan eksekusi perintah yang tidak valid. |
Keamanan dan kepatuhan | Membantu sistem bisnis mematuhi persyaratan audit dalam keamanan dan kepatuhan. |
Prasyarat
Instance harus berupa instance set replika atau cluster sharded. Anda tidak dapat mengaktifkan fitur log audit untuk instance mandiri.
Log Service telah diaktifkan. Untuk informasi lebih lanjut, lihat Memulai.
Jika Anda ingin mengaktifkan fitur log audit sebagai Pengguna Resource Access Management (RAM), Anda perlu memberikan izin berikut kepada pengguna RAM:
AliyunLogFullAccess: Izin ini adalah kebijakan sistem. Untuk informasi lebih lanjut tentang cara memberikan izin kepada pengguna RAM, lihat Berikan izin kepada pengguna RAM.
dds:CheckServiceLinkedRole: Izin ini adalah kebijakan kustom. Anda perlu membuat kebijakan kustom di konsol RAM sebelum melampirkan kebijakan tersebut ke pengguna RAM. Untuk informasi lebih lanjut tentang cara membuat kebijakan kustom pada tab JSON, lihat Buat kebijakan kustom. Untuk informasi lebih lanjut tentang cara memberikan izin kepada pengguna RAM, lihat Berikan izin kepada pengguna RAM.
Berikut adalah contoh skrip untuk kebijakan dds:CheckServiceLinkedRole:
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": "dds:CheckServiceLinkedRole", "Resource": "*" } ] }
Jika Anda ingin mengakses log audit sebagai pengguna RAM, Anda perlu memberikan izin AliyunLogFullAccess atau AliyunLogReadOnlyAccess kepada pengguna RAM. Untuk informasi lebih lanjut tentang cara memberikan izin kepada pengguna RAM, lihat Berikan izin kepada pengguna RAM.
Catatan penggunaan
Setelah Anda mengaktifkan fitur log audit untuk instance, ApsaraDB for MongoDB akan mengaudit dan mencatat operasi tulis yang dilakukan pada instance tersebut. Instance mungkin mengalami penurunan kinerja sebesar 5% hingga 15% dan jumlah latensi serta jitter tertentu. Penurunan kinerja, latensi, dan jitter bervariasi tergantung pada jumlah data yang ditulis atau diaudit.
CatatanAplikasi Anda mungkin menulis sejumlah besar data ke instance. Untuk mencegah penurunan kinerja dalam skenario seperti itu, kami sarankan Anda hanya mengaktifkan fitur log audit untuk pemecahan masalah atau audit keamanan instance.
Secara default, setelah fitur log audit diaktifkan, jenis operasi yang dipilih adalah admin dan slow. Untuk informasi lebih lanjut tentang cara mengubah jenis operasi, lihat Ubah jenis operasi untuk log audit.
Periode retensi log yang ditentukan untuk instance berlaku untuk instance tersebut dan semua instance lainnya yang berada di wilayah yang sama dengan instance tersebut. Operasi lainnya hanya berlaku untuk instance saat ini.
Jika Anda ingin menyimpan log audit untuk periode waktu yang lebih lama atau menggunakan ruang penyimpanan yang lebih besar untuk log audit selama uji coba gratis fitur ini, Anda dapat meningkatkan edisi uji coba gratis ke edisi resmi. Untuk informasi lebih lanjut, lihat Tingkatkan ke edisi resmi.
Penagihan
Anda akan dikenakan biaya untuk edisi resmi fitur log audit berdasarkan kapasitas penyimpanan yang digunakan oleh log audit dan periode retensi log audit. Tabel berikut mencantumkan harga satuan penyimpanan fitur log audit di berbagai wilayah.
Region | Harga satuan (USD per GB-jam) |
Wilayah di daratan Tiongkok | 0.002 |
Tiongkok (Hong Kong) | 0.006 |
Singapura | |
UEA (Dubai) | |
AS (Silicon Valley) | |
AS (Virginia) | |
Inggris (London) | |
Jerman (Frankfurt) | |
Jepang (Tokyo) | 0.004 |
Malaysia (Kuala Lumpur) | |
Indonesia (Jakarta) | |
Filipina (Manila) |
Harga satuan cadangan di atas hanya untuk referensi. Harga satuan dapat berubah saat Anda membeli instance. Harga satuan yang dihasilkan dalam permintaan pembelian dan tagihan yang berlaku. Untuk informasi lebih lanjut, lihat tab Pricing halaman pembelian ApsaraDB for MongoDB.
Anda juga dapat menggunakan metode yang dijelaskan dalam tabel berikut untuk mengurangi biaya yang timbul dari log audit.
Metode | Risiko | Referensi |
Tentukan periode retensi yang lebih pendek | Ini mempersingkat jejak waktu historis log audit. | |
Pilih lebih sedikit jenis operasi audit | Setelah jenis operasi audit tertentu dihapus, log audit untuk jenis operasi tersebut tidak akan lagi diunggah. Catatan Setelah jenis operasi audit tertentu dihapus, hanya data log audit yang ada dari jenis operasi tersebut yang disimpan dalam periode retensi. Sebagai contoh, Anda menentukan periode retensi lima hari dan memilih jenis operasi audit berikut: admin, slow, dan query. Jika Anda menghapus operasi query pada 00:00:00 tanggal 10 Oktober 2022, log audit untuk operasi query yang dihasilkan setelah waktu itu tidak akan disimpan lagi. Log audit untuk operasi query yang dihasilkan dari 00:00:00 tanggal 5 Oktober 2022 hingga 00:00:00 tanggal 10 Oktober 2022 juga akan kedaluwarsa secara bertahap dan dihapus secara otomatis setelah kedaluwarsa. | |
Nonaktifkan fitur log audit | Setelah Anda menonaktifkan fitur log audit, log audit dari instance tidak akan diunggah. Anda tidak dapat melacak dan mengaudit operasi berikutnya pada instance. Catatan Hanya log audit dalam periode retensi yang berakhir pada saat Anda menonaktifkan fitur log audit yang disimpan. Sebagai contoh, Anda menentukan periode retensi lima hari dan menonaktifkan fitur log audit pada 00:00:00 tanggal 10 Oktober 2022. Log audit yang dihasilkan setelah waktu itu tidak akan disimpan lagi. Log audit yang dihasilkan dari 00:00:00 tanggal 5 Oktober 2022 hingga 00:00:00 tanggal 10 Oktober 2022 juga akan kedaluwarsa secara bertahap dan dihapus secara otomatis. |
Prosedur
Anda dapat mengaktifkan fitur log audit tanpa perlu me-restart instance Anda.
Masuk ke konsol ApsaraDB for MongoDB.
Di panel navigasi sisi kiri, klik Replica Set Instances atau Sharded Cluster Instances.
Di pojok kiri atas halaman yang muncul, pilih grup sumber daya dan wilayah tempat instance yang diinginkan berada.
Klik ID instance yang ingin Anda kelola atau klik Manage di kolom Actions.
Di panel navigasi sisi kiri halaman detail instance, pilih .
Di halaman Latest Audit Logs, konfigurasikan parameter Log Retention Period.
Nilai valid untuk parameter ini adalah 1 hingga 365. Nilai defaultnya adalah 30. Parameter ini diukur dalam hari.
Periode retensi log yang ditentukan untuk instance berlaku untuk instance tersebut dan semua instance lainnya yang berada di wilayah yang sama dengan instance tersebut. Kami sarankan Anda mengevaluasi periode retensi log audit untuk semua instance di wilayah yang sama sebelum mengonfigurasi parameter ini.
Klik Enable Audit Logs.
CatatanKetika fitur log audit diaktifkan, ApsaraDB for MongoDB secara otomatis mendapatkan peran AliyunServiceRoleForMongoDB. Peran ini memungkinkan ApsaraDB for MongoDB untuk menggunakan log audit dari Log Service.
Di pesan Enable Audit Logs, baca prompt dan klik OK.
Tugas terkait
Setelah Anda mengaktifkan fitur log audit, Anda dapat pergi ke halaman Mongo audit log center untuk melihat kapasitas penyimpanan yang dapat ditagih dari log audit di wilayah saat ini.
Operasi API terkait
Operasi | Deskripsi |
Memeriksa apakah fitur log audit diaktifkan untuk instance ApsaraDB for MongoDB. | |
Mengaktifkan atau menonaktifkan fitur log audit untuk instance ApsaraDB for MongoDB. Jika Anda mengaktifkan fitur ini, Anda juga dapat menentukan periode retensi untuk log audit. |