ApsaraDB for MongoDB terintegrasi dengan Simple Log Service (SLS) untuk menyediakan pencatatan audit bagi instans Anda. Dengan log audit, Anda dapat melakukan kueri, menganalisis, dan mengekspor riwayat operasi suatu instans guna melacak event keamanan dan memenuhi persyaratan kepatuhan.
Fitur log audit tidak lagi tersedia sebagai uji coba gratis. Penagihan berlaku berdasarkan kapasitas penyimpanan dan periode retensi.
Prasyarat
Sebelum memulai, pastikan Anda telah:
Memiliki instans set replika atau instans kluster sharded. Instans standalone tidak mendukung log audit.
Mengaktifkan Simple Log Service (SLS). Untuk detailnya, lihat Getting started.
Jika menggunakan RAM user untuk mengaktifkan fitur log audit, izin berikut harus diberikan kepada RAM user tersebut:
AliyunLogFullAccess — kebijakan sistem. Untuk detailnya, lihat Grant permissions to a RAM user.
dds:CheckServiceLinkedRole — kebijakan kustom. Buat kebijakan ini di Konsol RAM sebelum menyambungkannya ke RAM user. Untuk detail pembuatan kebijakan, lihat Create custom policies. Untuk detail pemberian izin, lihat Grant permissions to a RAM user.
Dokumen kebijakan untuk
dds:CheckServiceLinkedRole:{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": "dds:CheckServiceLinkedRole", "Resource": "*" } ] }
Jika menggunakan RAM user untuk mengakses log audit, AliyunLogFullAccess atau AliyunLogReadOnlyAccess harus diberikan kepada RAM user tersebut. Untuk detailnya, lihat Grant permissions to a RAM user.
Penagihan
Biaya log audit didasarkan pada kapasitas penyimpanan dan periode retensi. Tabel berikut mencantumkan harga satuan berdasarkan wilayah.
| Wilayah | Harga satuan (USD per GB-jam) |
|---|---|
| Wilayah di Tiongkok daratan | 0.002 |
| Hong Kong (Tiongkok) | 0.006 |
| Singapura | 0.004 |
| UAE (Dubai) | 0.004 |
| AS (Silicon Valley) | 0.004 |
| AS (Virginia) | 0.004 |
| Inggris (London) | 0.004 |
| Jerman (Frankfurt) | 0.004 |
| Jepang (Tokyo) | 0.004 |
| Malaysia (Kuala Lumpur) | 0.004 |
| Indonesia (Jakarta) | 0.004 |
| Filipina (Manila) | 0.004 |
Biaya aktual didasarkan pada harga satuan yang ditampilkan saat pembelian dan tercermin dalam Tagihan Anda. Untuk harga terbaru, lihat tab Harga di halaman produk ApsaraDB for MongoDB.
Untuk mengurangi biaya log audit:
| Metode | Kompromi | Referensi |
|---|---|---|
| Atur periode retensi lebih pendek | Mengurangi riwayat log audit yang dapat dilacak | Modify the retention period for audit logs |
| Pilih lebih sedikit jenis operasi | Jenis operasi yang dihapus tidak lagi dicatat; log yang sudah ada dalam periode retensi tetap disimpan hingga kedaluwarsa | Modify operation types for audit logs |
| Nonaktifkan fitur log audit | Menghentikan semua unggahan log audit; operasi selanjutnya tidak lagi dilacak | Disable the audit log feature |
Wilayah | Harga (USD/GB/jam) |
Semua wilayah di Tiongkok daratan | 0.002 |
Tiongkok (Hong Kong) | 0.006 |
Singapura | |
UAE (Dubai) | |
AS (Silicon Valley) | |
AS (Virginia) | |
Inggris (London) | |
Jerman (Frankfurt) | |
Jepang (Tokyo) | 0.004 |
Malaysia (Kuala Lumpur) | |
Indonesia (Jakarta) | |
Filipina (Manila) |
Aktifkan log audit
Mengaktifkan log audit tidak memerlukan restart instans.
Setelah Anda mengaktifkan pencatatan audit, ApsaraDB for MongoDB akan mengaudit dan mencatat semua operasi tulis pada instans tersebut. Harapkan penurunan performa sebesar 5%–15%, serta peningkatan latensi dan jitter. Dampak aktual bergantung pada volume data yang ditulis atau diaudit. Jika aplikasi Anda menulis volume data yang besar, aktifkan pencatatan audit hanya untuk troubleshooting atau audit keamanan—bukan sebagai konfigurasi permanen.
Masuk ke Konsol ApsaraDB for MongoDB.
Di panel navigasi kiri, klik Replica Set Instances atau Sharded Cluster Instances.
Di pojok kiri atas, pilih kelompok sumber daya dan wilayah instans tersebut.
Klik ID instans, atau klik Manage di kolom Actions.
Di panel navigasi kiri halaman detail instans, pilih Data Security > Audit Logs.
Di halaman Latest Audit Logs, atur parameter Log Retention Period.
Nilai yang valid: 1–365 hari. Nilai default: 30 hari.
Pengaturan ini berlaku untuk semua instans di wilayah yang sama. Evaluasi kebutuhan retensi untuk semua instans di wilayah tersebut sebelum mengubah nilai ini.
Klik Enable Audit Logs.
ApsaraDB for MongoDB secara otomatis memperoleh peran terkait layanan AliyunServiceRoleForMongoDB untuk mengakses SLS atas nama Anda.
Di kotak dialog Enable Audit Logs, tinjau prompt tersebut lalu klik OK.
Setelah pencatatan audit diaktifkan, buka halaman Mongo audit log center untuk melihat kapasitas penyimpanan log audit yang dikenai biaya di wilayah saat ini.
Catatan penggunaan
Secara default, jenis operasi yang diaktifkan adalah admin dan slow. Untuk mengubah jenis operasi, lihat Modify operation types for audit logs.
Periode retensi log yang Anda atur berlaku untuk instans saat ini dan semua instans lain di wilayah yang sama. Evaluasi kebutuhan retensi semua instans di wilayah tersebut sebelum mengatur parameter ini.
Referensi API
| Operasi | Deskripsi |
|---|---|
| DescribeAuditPolicy | Menanyakan apakah fitur log audit diaktifkan untuk suatu instans |
| ModifyAuditPolicy | Mengaktifkan atau menonaktifkan fitur log audit; secara opsional mengatur periode retensi log |