Topik ini menjelaskan cara mengaktifkan fitur log audit di konsol ApsaraDB for MongoDB untuk menanyakan, menganalisis, dan mengekspor log. Fitur log audit membantu auditor keamanan memperoleh informasi seperti identitas operator dan waktu modifikasi data, serta mengidentifikasi risiko internal seperti penyalahgunaan izin dan eksekusi perintah yang tidak sesuai.
Prasyarat
Instans harus berupa instans set replika atau kluster sharded. Anda tidak dapat mengaktifkan fitur log audit untuk instans mandiri.
Layanan Log Sederhana telah diaktifkan. Untuk informasi lebih lanjut, lihat Memulai.
Jika Anda ingin mengaktifkan fitur log audit sebagai Pengguna Resource Access Management (RAM), Anda perlu memberikan izin berikut kepada pengguna RAM:
AliyunLogFullAccess: Izin ini adalah kebijakan sistem. Untuk informasi lebih lanjut tentang cara memberikan izin kepada pengguna RAM, lihat Berikan izin kepada pengguna RAM.
dds:CheckServiceLinkedRole: Izin ini adalah kebijakan kustom. Anda perlu membuat kebijakan kustom di konsol RAM sebelum melampirkan kebijakan tersebut ke pengguna RAM. Untuk informasi lebih lanjut tentang cara membuat kebijakan kustom pada tab JSON, lihat Buat kebijakan kustom. Untuk informasi lebih lanjut tentang cara memberikan izin kepada pengguna RAM, lihat Berikan izin kepada pengguna RAM.
Berikut adalah contoh skrip untuk kebijakan dds:CheckServiceLinkedRole:
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": "dds:CheckServiceLinkedRole", "Resource": "*" } ] }
Jika Anda ingin mengakses log audit sebagai pengguna RAM, Anda perlu memberikan izin AliyunLogFullAccess atau AliyunLogReadOnlyAccess kepada pengguna RAM. Untuk informasi lebih lanjut tentang cara memberikan izin kepada pengguna RAM, lihat Berikan izin kepada pengguna RAM.
Catatan penggunaan
Setelah mengaktifkan fitur log audit untuk sebuah instans, ApsaraDB for MongoDB akan mengaudit dan mencatat operasi tulis yang dilakukan pada instans tersebut. Instans tersebut mungkin mengalami penurunan performa sebesar 5% hingga 15% serta latensi dan jitter tertentu. Penurunan performa, latensi, dan jitter bervariasi tergantung pada jumlah data yang ditulis atau diaudit.
CatatanAplikasi Anda mungkin menulis sejumlah besar data ke instans. Untuk mencegah penurunan performa dalam skenario semacam itu, kami sarankan Anda hanya mengaktifkan fitur log audit untuk pemecahan masalah atau audit keamanan instans.
Secara default, setelah fitur log audit diaktifkan, jenis operasi yang dipilih adalah admin dan slow. Untuk informasi lebih lanjut tentang cara mengubah jenis operasi, lihat Ubah jenis operasi untuk log audit.
Periode retensi log yang ditentukan untuk sebuah instans berlaku untuk instans tersebut dan semua instans lainnya yang berada di wilayah yang sama dengan instans tersebut. Operasi lainnya hanya berlaku untuk instans saat ini.
Jika Anda ingin menyimpan log audit untuk periode waktu yang lebih lama atau menggunakan ruang penyimpanan yang lebih besar untuk log audit selama uji coba gratis fitur ini, Anda dapat meningkatkan edisi uji coba gratis ke edisi resmi. Untuk informasi lebih lanjut, lihat Tingkatkan ke edisi resmi.
Penagihan
Anda akan dikenakan biaya untuk edisi resmi fitur log audit berdasarkan kapasitas penyimpanan yang digunakan oleh log audit dan periode retensi log audit. Tabel berikut mencantumkan harga satuan penyimpanan fitur log audit di berbagai wilayah.
Region | Harga satuan (USD per GB-jam) |
Wilayah di daratan Cina | 0.002 |
Cina (Hong Kong) | 0.006 |
Singapura | |
UEA (Dubai) | |
AS (Silicon Valley) | |
AS (Virginia) | |
Inggris (London) | |
Jerman (Frankfurt) | |
Jepang (Tokyo) | 0.004 |
Malaysia (Kuala Lumpur) | |
Indonesia (Jakarta) | |
Filipina (Manila) |
Harga satuan cadangan di atas hanya untuk referensi. Harga satuan dapat berubah saat Anda membeli instans. Harga satuan yang dihasilkan dalam permintaan pembelian dan tagihan yang berlaku. Untuk informasi lebih lanjut, lihat tab Harga halaman pembelian ApsaraDB for MongoDB.
Anda juga dapat menggunakan metode yang dijelaskan dalam tabel berikut untuk mengurangi biaya yang timbul dari log audit.
Metode | Risiko | Referensi |
Tentukan periode retensi yang lebih pendek | Ini mempersingkat waktu historis jejak log audit. | |
Pilih lebih sedikit jenis operasi audit | Setelah jenis operasi audit yang ditentukan dihapus, log audit untuk jenis operasi ini tidak lagi diunggah. Catatan Setelah jenis operasi audit yang ditentukan dihapus, hanya data log audit yang ada dari jenis operasi ini yang disimpan dalam periode retensi. Sebagai contoh, Anda menentukan periode retensi lima hari dan memilih jenis operasi audit berikut: admin, slow, dan query. Jika Anda menghapus operasi query pada pukul 00:00:00 tanggal 10 Oktober 2022, log audit untuk operasi query yang dihasilkan setelah waktu itu tidak lagi disimpan. Log audit untuk operasi query yang dihasilkan dari pukul 00:00:00 tanggal 5 Oktober 2022 hingga pukul 00:00:00 tanggal 10 Oktober 2022 juga secara bertahap kedaluwarsa dan otomatis dihapus setelah kedaluwarsa. | |
Nonaktifkan fitur log audit | Setelah Anda menonaktifkan fitur log audit, log audit instans tidak diunggah. Anda tidak dapat melacak dan mengaudit operasi berikutnya pada instans. Catatan Hanya log audit dalam periode retensi yang berakhir pada saat Anda menonaktifkan fitur log audit yang disimpan. Sebagai contoh, Anda menentukan periode retensi lima hari dan menonaktifkan fitur log audit pada pukul 00:00:00 tanggal 10 Oktober 2022. Log audit yang dihasilkan setelah waktu itu tidak lagi disimpan. Log audit yang dihasilkan dari pukul 00:00:00 tanggal 5 Oktober 2022 hingga pukul 00:00:00 tanggal 10 Oktober 2022 juga secara bertahap kedaluwarsa dan otomatis dihapus. |
Prosedur
Masuk ke konsol ApsaraDB for MongoDB.
Di panel navigasi sisi kiri, klik Replica Set Instances atau Sharded Cluster Instances.
Di pojok kiri atas halaman yang muncul, pilih grup sumber daya dan wilayah tempat instans yang diinginkan berada.
Klik ID instans yang ingin Anda kelola atau klik Manage di kolom Actions.
Di panel navigasi sisi kiri halaman detail instans, pilih .
Pada halaman Latest Audit Logs, konfigurasikan parameter Log Retention Period.
Nilai valid untuk parameter ini adalah 1 hingga 365. Nilai default adalah 30. Parameter ini diukur dalam hari.
Periode retensi log yang ditentukan untuk sebuah instans berlaku untuk instans tersebut dan semua instans lainnya yang berada di wilayah yang sama dengan instans tersebut. Kami sarankan Anda mengevaluasi periode retensi log audit untuk semua instans dalam wilayah yang sama sebelum mengonfigurasi parameter ini.
Klik Enable Audit Logs.
CatatanKetika fitur log audit diaktifkan, ApsaraDB for MongoDB secara otomatis mendapatkan peran AliyunServiceRoleForMongoDB. Peran ini memungkinkan ApsaraDB for MongoDB menggunakan log audit dari Layanan Log Sederhana.
Dalam pesan Enable Audit Logs, baca prompt dan klik OK.
Apa yang harus dilakukan selanjutnya
Untuk informasi tentang cara menanyakan log audit ApsaraDB for MongoDB, lihat Tanyakan log audit.
Untuk informasi tentang cara mengunduh log audit ke perangkat lokal Anda, lihat Unduh log audit.
Untuk informasi tentang cara mengubah jenis operasi, lihat Ubah jenis operasi untuk log audit.
Untuk informasi tentang cara menonaktifkan fitur log audit, lihat Nonaktifkan fitur log audit.
Setelah log instans Anda dikumpulkan ke Layanan Log Sederhana, Anda dapat menanyakan, menganalisis, dan mengunduh log tersebut. Anda juga dapat mengonfigurasi aturan peringatan untuk log tersebut. Untuk informasi lebih lanjut, lihat Operasi umum pada log layanan Alibaba Cloud.