Gunakan fitur SQL Explorer and Audit untuk instans ApsaraDB RDS for MySQL - ApsaraDB RDS

Kami menyarankan Anda mengaktifkan fitur SQL Explorer and Audit dalam skenario seperti audit kepatuhan keamanan, analisis performa, dan troubleshooting. Setelah diaktifkan, sistem secara otomatis mencatat perubahan SQL di kernel database beserta informasi terkait, termasuk akun yang digunakan untuk mengeksekusi pernyataan SQL, alamat IP, serta detail eksekusi. Hal ini menyediakan data yang andal untuk mengkueri catatan perubahan SQL serta menjalankan operasi analisis dan audit. Pengaktifan dan penggunaan fitur ini memiliki dampak minimal terhadap performa instans.

Prasyarat

Database Autonomy Service (DAS) Enterprise Edition telah diaktifkan menggunakan Akun Alibaba Cloud Anda.
Instans tempat Anda ingin mengaktifkan SQL Explorer and Audit berada di wilayah yang didukung oleh DAS Enterprise Edition. Di Konsol ApsaraDB RDS, Anda hanya dapat mengaktifkan fitur SQL Explorer and Audit yang disediakan oleh versi terbaru DAS Enterprise Edition yang didukung di wilayah tersebut.
Jika Anda menggunakan kredensial Pengguna RAM untuk menggunakan fitur SQL statement search, pastikan kebijakan AliyunRDSReadOnlyWithSQLLogArchiveAccess telah dilampirkan pada Pengguna RAM tersebut. Untuk informasi lebih lanjut tentang cara memberikan izin kepada Pengguna RAM, lihat Menggunakan RAM untuk mengelola izin ApsaraDB RDS.
Anda juga dapat membuat kebijakan kustom untuk memberikan izin kepada Pengguna RAM agar dapat menggunakan fitur pencarian, termasuk fitur ekspor log. Untuk informasi selengkapnya, lihat Menggunakan kebijakan kustom untuk memberikan izin kepada Pengguna RAM guna menggunakan fitur pencarian dan ekspor di modul SQL Explorer and Audit.

Penting

Fitur SQL Explorer and Audit mencatat informasi tentang semua pernyataan Data Query Language (DQL), DML, dan DDL yang dieksekusi. Sistem memperoleh informasi ini dari kernel database, yang mengonsumsi sejumlah kecil sumber daya CPU.

Deskripsi fitur

Fitur SQL Explorer and Audit menyediakan kemampuan berikut:

Pencarian (audit): Fitur ini digunakan untuk mengkueri dan mengekspor informasi tentang pernyataan SQL yang dieksekusi. Informasi tersebut mencakup database, status, dan waktu eksekusi.
SQL Explorer: mendiagnosis status kesehatan pernyataan SQL, menangani masalah performa, dan menganalisis traffic bisnis.
Audit keamanan: mengidentifikasi risiko seperti pernyataan SQL berisiko tinggi, serangan injeksi SQL, dan sumber akses baru.
Traffic playback dan uji stres: memeriksa apakah instans RDS Anda perlu diskalakan untuk menangani lonjakan traffic.
Analisis SQL: menganalisis pernyataan SQL yang dieksekusi dalam periode waktu tertentu untuk mengidentifikasi pernyataan SQL abnormal dan menemukan masalah performa.

Fitur SQL Explorer and Audit cocok untuk skenario berikut:

Instans RDS Anda digunakan di sektor yang membutuhkan keamanan data tinggi, seperti keuangan, keamanan, saham, layanan publik, dan asuransi.
Anda ingin menganalisis status instans RDS untuk menangani masalah, seperti troubleshooting, pemeriksaan performa pernyataan SQL, dan identifikasi session abnormal.
Dalam kasus ekstrem, jika terjadi kehilangan atau kerusakan data, Anda dapat menggunakan pernyataan SQL yang direkam oleh fitur SQL Explorer and Audit untuk menganalisis, menangani masalah, dan memulihkan data.

Wilayah yang didukung

Tiongkok (Hangzhou), Tiongkok (Shanghai), Tiongkok (Qingdao), Tiongkok (Beijing), Tiongkok (Zhangjiakou), Tiongkok (Hohhot), Tiongkok (Ulanqab), Tiongkok (Shenzhen), Tiongkok (Heyuan), Tiongkok (Guangzhou), Tiongkok (Chengdu), Tiongkok (Hong Kong), Singapura, Jepang (Tokyo), Malaysia (Kuala Lumpur), Indonesia (Jakarta), AS (Silicon Valley), Inggris (London), AS (Virginia), dan Jerman (Frankfurt)

Aturan penagihan

Jika fitur SQL Explorer diaktifkan untuk instans RDS Anda sebelum fitur tersebut ditingkatkan menjadi SQL Explorer and Audit, biayanya termasuk dalam tagihan ApsaraDB RDS. Harga fitur ini bervariasi berdasarkan wilayah instans. Tagihan dibuat per jam.
- USD 0,0015 per GB-jam: Tiongkok (Hong Kong), AS (Silicon Valley), dan AS (Virginia)
- USD 0,0018 per GB-jam: Singapura, Jepang (Tokyo), Jerman (Frankfurt), UEA (Dubai), Malaysia (Kuala Lumpur), Indonesia (Jakarta), dan Inggris (London)
- USD 0,0012 per GB-jam: Tiongkok (Hangzhou), Tiongkok (Shanghai), Tiongkok (Qingdao), Tiongkok (Beijing), Tiongkok (Zhangjiakou), Tiongkok (Hohhot), Tiongkok (Ulanqab), Tiongkok (Shenzhen), Tiongkok (Heyuan), Tiongkok (Guangzhou), dan Tiongkok (Chengdu).
Catatan
Anda dapat meningkatkan fitur SQL Explorer menjadi SQL Explorer and Audit dengan langkah-langkah berikut: Masuk ke Konsol ApsaraDB RDS, buka tab SQL Explorer, lalu klik One click upgrade pada kotak dialog yang muncul. Setelah peningkatan selesai, biayanya termasuk dalam tagihan Database Autonomy Service (DAS).
Jika fitur SQL Explorer and Audit diaktifkan untuk instans RDS Anda setelah fitur SQL Explorer ditingkatkan menjadi SQL Explorer and Audit, biayanya termasuk dalam tagihan DAS. Anda hanya dapat menggunakan fitur SQL Explorer and Audit setelah mengaktifkan DAS Enterprise Edition. Wilayah yang didukung dan aturan penagihan bervariasi berdasarkan versi DAS Enterprise Edition. Untuk informasi selengkapnya, lihat Edisi DAS dan fitur yang didukung serta Penagihan.
Catatan
Di Konsol ApsaraDB RDS, Anda hanya dapat mengaktifkan fitur SQL Explorer and Audit yang disediakan oleh versi terbaru DAS Enterprise Edition yang didukung di wilayah tersebut.

Catatan penggunaan

Kueri online
- Rentang Waktu: Rentang waktu untuk kueri online maksimal 24 jam. Anda dapat mengkueri data periode 24 jam apa pun dalam durasi penyimpanan data SQL Explorer. Jika rentang waktu kueri online melebihi 24 jam, kueri tersebut mungkin timeout. Jika Anda ingin mengkueri catatan eksekusi pernyataan SQL dalam rentang waktu yang melebihi 24 jam, Anda dapat menggunakan Simple Log Service untuk mengakses log yang dihasilkan oleh fitur SQL Explorer. Untuk informasi selengkapnya, lihat Collect RDS SQL audit logs.
- Metode kueri: Anda dapat menentukan kombinasi kondisi untuk kueri online. Pencocokan fuzzy tidak didukung untuk kueri online. Setiap kata kunci untuk kueri online harus terdiri dari minimal empat karakter.
SQL Explorer and Audit
- Panjang maksimum pernyataan SQL: Pernyataan SQL yang direkam menggunakan fitur SQL Explorer and Audit dapat memiliki panjang hingga 8.192 byte. Panjang maksimum ini ditentukan oleh parameter loose_rds_audit_max_sql_size untuk MySQL 5.6 dan MySQL 5.7 atau parameter loose_rds_audit_log_event_buffer_size untuk MySQL 8.0. Nilai minimum di antara ketiga parameter tersebut yang digunakan. Awalan ditambahkan ke pernyataan SQL selama pengumpulan dan pemrosesan data. Akibatnya, panjang maksimum pernyataan SQL sedikit lebih pendek dari 8.192 byte atau nilai yang Anda tentukan.
- Kueri log audit: Fitur ini memungkinkan Anda mengkueri pernyataan SQL yang dieksekusi pada instans RDS berdasarkan ID thread dan ID transaksi. Jika Anda ingin mengkueri pernyataan SQL berdasarkan ID transaksi, Anda harus mengatur parameter loose_rds_audit_log_version ke MYSQL_V3 dan memastikan versi mesin minor memenuhi persyaratan. Jika instans RDS Anda menjalankan MySQL 8.0, instans tersebut harus menggunakan versi mesin minor 20210930 atau lebih baru. Jika instans RDS Anda menjalankan MySQL 5.7, instans tersebut harus menggunakan versi mesin minor 20210630 atau lebih baru. Untuk informasi selengkapnya, lihat Parameters supported by ApsaraDB RDS instances that run MySQL 8.0 dan Upgrade the minor engine version.
- SQL Explorer Trial Edition: Jika Anda menggunakan SQL Explorer Trial Edition, Anda tidak dapat memanggil operasi DescribeSQLLogRecords dan DescribeSQLLogFiles untuk mengkueri log audit. Untuk informasi selengkapnya, lihat DescribeSQLLogRecords dan DescribeSQLLogFiles.
- Waktu tunggu lock: Waktu tunggu lock dicatat dalam log SQL Explorer tetapi tidak dicatat dalam log kueri lambat.
- Jika Anda menggunakan metode Prepare, fitur SQL Explorer mencatat dua pernyataan SQL. Satu pernyataan berisi tanda tanya (?) dan pernyataan lainnya berisi nilai spesifik.
Jika Anda menggunakan titik akhir proxy database untuk menghubungkan ke instans RDS dan fitur kolam koneksi tingkat transaksi diaktifkan untuk proksi database, koneksi tersebut mungkin digunakan ulang. Akibatnya, alamat IP dan port klien mungkin berbeda dari alamat IP dan port yang dikembalikan oleh pernyataan SHOW PROCESSLIST atau yang ditampilkan di tab SQL Explorer. Untuk informasi selengkapnya, lihat What are database proxies?
Jika pernyataan SQL dieksekusi pada instans RDS yang terhubung ke instans PolarDB-X 1.0, beberapa log dihasilkan oleh fitur SQL Explorer and Audit untuk instans RDS tersebut karena sharding horizontal database dan tabel.

Mengaktifkan Penjelajah SQL dan fitur Audit

Catatan

Jika Anda mengaktifkan fitur pengumpulan log audit untuk instans RDS Anda di aplikasi CloudLens for RDS pada Simple Log Service, fitur SQL Explorer and Audit akan diaktifkan secara otomatis untuk instans RDS tersebut. Untuk informasi selengkapnya, lihat CloudLens for RDS.
Jika fitur SQL Explorer and Audit dinonaktifkan untuk instans RDS Anda dan Anda ingin melihat catatan eksekusi SQL, Anda dapat melihat log biner instans RDS tersebut. Namun, dalam log biner, Anda hanya dapat mengkueri pernyataan SQL yang dieksekusi untuk menambah, menghapus, dan memodifikasi data dalam periode retensi backup. Informasi tentang alamat IP sumber dan akun tidak dapat dikueri. Untuk informasi selengkapnya, lihat Manage binary log files.

Buka halaman Instances. Di bilah navigasi atas, pilih wilayah tempat instans RDS berada. Lalu, temukan instans RDS tersebut dan klik ID-nya.
Di panel navigasi sebelah kiri halaman yang muncul, pilih Autonomy Services > SQL Explorer and Audit.
Klik Enable DAS Enterprise Edition V3.
Pilih sub-fitur yang ingin Anda aktifkan dan klik Submit.

Ubah durasi penyimpanan data yang dihasilkan oleh fitur SQL Explorer and Audit

Peringatan

Setelah Anda mengurangi durasi penyimpanan data yang dihasilkan oleh fitur SQL Explorer and Audit, DAS akan segera menghapus log audit SQL yang disimpan lebih lama dari durasi penyimpanan tersebut. Kami menyarankan Anda mengekspor dan menyimpan log audit SQL ke komputer Anda terlebih dahulu sebelum mengurangi durasi penyimpanan data yang dihasilkan oleh fitur SQL Explorer and Audit.

Buka halaman Instances. Di bilah navigasi atas, pilih wilayah tempat instans RDS berada. Lalu, temukan instans RDS tersebut dan klik ID-nya.
Di panel navigasi sebelah kiri halaman yang muncul, pilih Autonomy Services > SQL Explorer and Audit.
Klik Service Settings.
Di panel Service Settings, ubah durasi penyimpanan log yang dihasilkan oleh fitur SQL Explorer and Audit dan klik Submit.

Nonaktifkan fitur SQL Explorer and Audit

Peringatan

Setelah Anda menonaktifkan fitur SQL Explorer and Audit, semua log audit SQL akan dihapus. Kami menyarankan Anda mengekspor dan menyimpan log tersebut. Jika Anda mengaktifkan kembali fitur SQL Explorer and Audit, log yang dihasilkan akan mulai direkam sejak saat fitur tersebut diaktifkan kembali.

Buka halaman Instances. Di bilah navigasi atas, pilih wilayah tempat instans RDS berada. Lalu, temukan instans RDS tersebut dan klik ID-nya.
Di panel navigasi sebelah kiri halaman yang muncul, pilih Autonomy Services > SQL Explorer and Audit.
Di bagian Logs pada tab Search, klik Export.
Catatan
Anda dapat mengekspor hingga 10 juta catatan data dalam waktu tujuh hari sekaligus.
Anda dapat mengonfigurasi parameter Export Time Range untuk mengekspor log yang dihasilkan dalam rentang waktu yang besar.
Di kotak dialog yang muncul, konfigurasikan parameter Exported Fields dan Export Time Range, lalu klik OK.
Setelah log diekspor, unduh file log tersebut dan simpan ke komputer Anda.
Klik Service Settings. Di kotak dialog yang muncul, nonaktifkan fitur SQL Explorer and Audit.
Jika Anda telah mengaktifkan DAS Enterprise V3, clear semua fitur di modul SQL Explorer and Audit. Klik Submit.
Catatan
Ruang penyimpanan yang digunakan oleh data yang dihasilkan oleh modul SQL Explorer and Audit akan dilepas satu jam setelah modul tersebut dinonaktifkan.

Migrasi data antar versi berbeda DAS Enterprise Edition

Peringatan

Migrasi data tidak dapat dihentikan atau dikembalikan. Baca petunjuk migrasi dengan cermat sebelum melakukan migrasi data.

Jika instans RDS Anda mendukung DAS Enterprise Edition V3, Anda dapat memigrasikan data dari DAS Enterprise Edition V1 atau DAS Enterprise Edition V2 ke DAS Enterprise Edition V3 untuk mengurangi biaya. Untuk informasi selengkapnya, lihat How do I migrate data between versions of DAS Enterprise Edition?.

Dibandingkan dengan DAS Enterprise Edition V1, arsitektur penyimpanan dasar DAS Enterprise Edition V2 telah diubah. Penyimpanan hibrida data panas dan dingin digunakan untuk meningkatkan performa dengan biaya lebih rendah. DAS Enterprise Edition V3 menggunakan penyimpanan hibrida data panas dan dingin serta membagi item yang dapat ditagih berdasarkan fitur untuk mencapai penagihan yang lebih fleksibel.

FAQ

T: Apa arti pernyataan logout! di bagian Full Request Statistics pada tab SQL Explorer?

J: Pernyataan logout! menunjukkan pemutusan koneksi. Durasi eksekusi pernyataan logout! adalah selisih antara waktu interaksi terakhir dan waktu pemutusan koneksi. Selama selisih waktu tersebut, koneksi tetap idle. Kode 1158 yang ditampilkan di kolom Status menunjukkan pemutusan jaringan yang mungkin disebabkan oleh alasan berikut:

Koneksi klien timeout.
Server diputus.
Koneksi ke server di-reset jika durasi koneksi melebihi nilai yang ditentukan oleh parameter interactive_timeout atau wait_timeout.

T: Mengapa tanda persen (%) muncul di kolom Access Source pada tab Source Statistics di tab SQL Explorer?

J: Saat Anda menggunakan prosedur tersimpan, tanda persen (%) mungkin muncul di kolom Access Source pada tab Source Statistics di tab SQL Explorer. Anda dapat melakukan langkah-langkah berikut untuk mereproduksi situasi ini.

Catatan

Dalam contoh ini, instans database adalah instans ApsaraDB RDS for MySQL, akun uji coba adalah test_user, dan database uji coba adalah testdb.

Di Konsol ApsaraDB RDS, buat database dan akun standar, lalu berikan izin pada database tersebut ke akun standar. Untuk informasi selengkapnya, lihat Create accounts and databases.
Gunakan akun test_user untuk menghubungkan ke instans database melalui CLI. Untuk informasi selengkapnya, lihat Use a database client or the CLI to connect to an ApsaraDB RDS for MySQL instance.

Beralih ke database testdb dan eksekusi pernyataan berikut untuk membuat prosedur tersimpan:

-- Beralih ke database testdb.
USE testdb;

-- Buat prosedur tersimpan.
DELIMITER $$
DROP PROCEDURE IF EXISTS `das` $$
CREATE DEFINER=`test_user`@`%` PROCEDURE `das`()
BEGIN
SELECT * FROM information_schema.processlist WHERE Id = CONNECTION_ID();
END $$
DELIMITER;

Gunakan akun istimewa untuk menghubungkan ke instans database. Untuk informasi selengkapnya, lihat Use a database client or the CLI to connect to an ApsaraDB RDS for MySQL instance.

Panggil prosedur tersimpan yang telah Anda buat.

-- Beralih ke database testdb.
USE testdb;

-- Panggil prosedur tersimpan.
CALL das();

+--------+-----------+--------+--------+---------+------+-----------+-------------------------------------------------------------------------+
| ID     | USER      | HOST   | DB     | COMMAND | TIME | STATE     | INFO                                                                    |
+--------+-----------+--------+--------+---------+------+-----------+-------------------------------------------------------------------------+
| 487818 | test_user | %:2065 | testdb | Query   |    0 | executing | SELECT * FROM information_schema.processlist WHERE Id = CONNECTION_ID() |
+--------+-----------+--------+--------+---------+------+-----------+-------------------------------------------------------------------------+

Setelah saya mengeksekusi beberapa pernyataan SQL pada instans RDS saya, data dikembalikan tetapi bagian Logs pada tab Search di halaman SQL Explorer and Audit menampilkan nol baris yang dipindai. Mengapa?

Fitur fast query cache diaktifkan untuk instans RDS tersebut. Di bagian Logs, jumlah baris yang dipindai untuk pernyataan SQL adalah jumlah baris yang dipindai pada mesin penyimpanan InnoDB. Setelah fitur fast query cache diaktifkan, MySQL menyimpan cache hasil kueri. Jika permintaan kueri yang sama dikirim dan mengenai cache kueri, sistem langsung mengembalikan hasil kueri yang telah di-cache tanpa mengirim permintaan kueri ke mesin penyimpanan InnoDB. Oleh karena itu, setelah Anda mengeksekusi beberapa pernyataan SQL, data dikembalikan tetapi bagian Logs menampilkan nol baris yang dipindai. Untuk informasi selengkapnya, lihat Fast query cache.

Apa perbedaan antara log SQL Explore dan log biner?

Kedua jenis log tersebut berisi informasi tentang perubahan inkremental yang dilakukan pada instans RDS Anda. Keduanya berbeda dalam aspek berikut:

Log SQL Explorer cocok untuk skenario di mana Anda ingin memperoleh semua data inkremental dalam database. Jika instans RDS Anda sangat sibuk, sejumlah kecil catatan mungkin hilang. Akibatnya, data inkremental yang diperoleh dari log SQL Explorer mungkin tidak akurat. Log SQL Explorer mencakup informasi tentang semua operasi DQL, DML, dan DDL yang dieksekusi. Sistem memperoleh informasi ini dari kernel database, yang mengonsumsi sejumlah kecil sumber daya CPU.
Log biner cocok untuk skenario di mana Anda ingin memperoleh data inkremental yang akurat dalam periode waktu singkat. Namun, log biner tidak dihasilkan secara real-time. Log biner mencatat semua operasi tambah, hapus, dan ubah yang dilakukan serta data inkremental yang dapat digunakan untuk memulihkan data. File log biner disimpan sementara di instans RDS Anda. Sistem secara berkala mentransfer file log biner yang sedang ditulis ke bucket Object Storage Service (OSS). File log biner dapat disimpan selama tujuh hari di bucket OSS. File log biner yang sedang ditulis tidak dapat ditransfer ke bucket OSS. Oleh karena itu, setelah Anda menggunakan fitur Upload Binlogs untuk mengunggah file log biner ke bucket OSS, beberapa file log biner gagal diunggah ke bucket OSS. Untuk informasi selengkapnya, lihat How do I remotely obtain and parse the binary log file of an ApsaraDB RDS for MySQL instance?

Mengapa titik masuk ke SQL Explore menghilang di Konsol ApsaraDB RDS?

Fitur SQL Explorer and Audit telah diperbarui. Titik masuknya berubah menjadi SQL Explorer and Audit.

Apakah saya dapat mengaktifkan fitur SQL Explorer?

Tidak, Anda hanya dapat mengaktifkan versi terbaru fitur SQL Explorer and Audit untuk instans RDS Anda.

Apakah catatan audit SQL asli tetap disimpan di sistem setelah diekspor?

Ya, catatan audit SQL tetap disimpan di sistem setelah diekspor.