ApsaraDB for MongoDB は、Log Service を利用した監査ログ機能を提供します。この機能により、ログのクエリ、分析、エクスポートが可能になり、ご利用のインスタンスのセキュリティとパフォーマンスをリアルタイムで把握できます。
この機能の無料トライアルは提供を終了しました。詳細については、「[通知] ApsaraDB for MongoDB の監査ログの従量課金制への移行と無料トライアルの終了について」をご参照ください。
利用シーン
ApsaraDB for MongoDB は、Log Service の機能を統合し、安定性、ユーザーフレンドリ、柔軟性、効率性に優れた監査ログサービスを提供します。次の表に、一般的な利用シーンを示します。
|
利用シーン |
説明 |
|
操作監査 |
誰がいつデータを変更したかを特定します。これにより、権限の乱用や非準拠のコマンドの実行といった内部リスクを検出できます。 |
|
セキュリティとコンプライアンス |
ご利用のビジネスシステムが、セキュリティコンプライアンス基準の監査要件を満たすのに役立ちます。 |
前提条件
-
ご利用のインスタンスがレプリカセットインスタンスまたはシャードクラスターインスタンスであること。監査ログ機能はスタンドアロンインスタンスをサポートしていません。
-
Log Service が有効化されていること。手順については、「クイックスタート」をご参照ください。
-
RAM ユーザーとして監査ログを有効にする場合、その RAM ユーザーに次の権限を付与する必要があります。
-
AliyunLogFullAccess:これはシステムポリシーです。この権限を付与する方法については、「RAM ユーザーへの権限付与」をご参照ください。
-
dds:CheckServiceLinkedRole:これはカスタムポリシーです。まず Resource Access Management (RAM) コンソールでこのポリシーを作成し、次に RAM ユーザーに付与する必要があります。スクリプトエディターを使用してカスタムポリシーを作成するには、「カスタムポリシーの作成」をご参照ください。権限を付与する方法については、「RAM ユーザーへの権限付与」をご参照ください。
以下は、dds:CheckServiceLinkedRole ポリシーのスクリプトです。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": "dds:CheckServiceLinkedRole", "Resource": "*" } ] }
-
-
RAM ユーザーを使用して監査ログにアクセスする場合、その RAM ユーザーに AliyunLogFullAccess または AliyunLogReadOnlyAccess 権限を付与する必要があります。これらの権限を付与する方法については、「RAM ユーザーへの権限付与」をご参照ください。
注意事項
-
監査ログ機能を有効にすると、システムは書き込み操作の監査情報を記録します。これにより、ApsaraDB for MongoDB インスタンスにパフォーマンスオーバーヘッドが追加され、レイテンシージッターが発生する可能性があります。MongoDB 6.0 以降を実行するインスタンスでは、パフォーマンスオーバーヘッドは 15% から 20% になる可能性があります。それ以前のバージョンを実行するインスタンスでは、パフォーマンスオーバーヘッドがさらに高くなる場合があります。詳細については、「監査ログのパフォーマンス分析」をご参照ください。
説明ご利用のアプリケーションが ApsaraDB for MongoDB インスタンスに対して大量の書き込み操作を実行する場合、パフォーマンスの低下を防ぐために、トラブルシューティングやセキュリティ監査の目的でのみこの機能を有効にすることを推奨します。
-
監査ログ機能を有効にすると、デフォルトでは admin と slow の操作タイプのみが選択されます。監査対象の操作タイプを変更するには、「監査ログの操作タイプを変更する」をご参照ください。
-
ログ保持期間の設定は、現在のリージョン内のすべての ApsaraDB for MongoDB インスタンスに適用されます。その他のすべての設定は、現在のインスタンスにのみ適用されます。
-
監査ログ機能の無料トライアル版を有効にしていて、より長い保持期間やより多くのストレージ容量が必要な場合は、正式版にアップグレードできます。手順については、「正式版へのアップグレード」をご参照ください。
課金
監査ログ機能の正式版は、監査ログのストレージ使用量と保持期間に基づいて従量課金で請求されます。次の表は、各リージョンでの価格を示しています。
|
リージョン |
単価 (USD/GB/時間) |
|
中国本土のすべてのリージョン |
0.002 |
|
中国 (香港) |
0.006 |
|
シンガポール |
|
|
UAE (ドバイ) |
|
|
米国 (シリコンバレー) |
|
|
米国 (バージニア) |
|
|
イギリス (ロンドン) |
|
|
ドイツ (フランクフルト) |
|
|
日本 (東京) |
0.004 |
|
マレーシア (クアラルンプール) |
|
|
インドネシア (ジャカルタ) |
|
|
フィリピン (マニラ) |
このトピックの価格は参考用です。購入ページおよびご利用の請求書に表示される価格が優先されます。詳細については、「ApsaraDB for MongoDB 製品ページの [料金] タブ」をご参照ください。
以下の方法で監査ログのコストを削減できます。
|
方法 |
リスク |
リファレンス |
|
ログ保持期間を短縮する |
これにより、監査の追跡可能な履歴が短くなります。 |
|
|
監査対象の操作タイプを減らす |
操作タイプの選択を解除すると、その操作タイプのログはアップロードされなくなります。 説明
操作タイプの選択を解除しても、そのタイプの既存のログは保持期間が終了するまで保持されます。 たとえば、ログ保持期間が 5 日に設定されている場合、2022年10月10日 00:00:00 に query の選択を解除すると、新しい query ログは保存されなくなります。2022年10月5日 00:00:00 から 2022年10月10日 00:00:00 までに生成された query ログは、有効期限が切れると自動的に削除されます。 |
|
|
監査ログ機能を無効にする |
監査ログ機能を無効にすると、システムはインスタンスの新しいログをアップロードしなくなります。その後のアクセスアクティビティを追跡できなくなります。 説明
この機能を無効にしても、既存のログは保持期間が終了するまで保持されます。 たとえば、ログ保持期間が 5 日に設定されている場合、2022年10月10日 00:00:00 に監査ログ機能を無効にすると、新しいログは保存されなくなります。2022年10月5日 00:00:00 から 2022年10月10日 00:00:00 までに生成された監査ログは、有効期限が切れると自動的に削除されます。 |
操作手順
監査ログ機能は、インスタンスを再起動することなく有効にできます。
-
ApsaraDB for MongoDB コンソールにログインします。
-
左側のナビゲーションウィンドウで、インスタンスタイプに応じて レプリカセットインスタンス または シャーディングインスタンス をクリックします。
-
ページの左上隅で、インスタンスが配置されているリソースグループとリージョンを選択します。
-
インスタンスの ID をクリックするか、対象インスタンスの 操作 列にある 管理 をクリックします。
-
左側のナビゲーションウィンドウで、 を選択します。
-
監査ログへようこそ ページで、ログ保持期間 を設定します。
-
保持期間は 1 日から 365 日まで設定できます。デフォルト値は 30 日です。
-
次に進む前に、選択した保持期間がリージョン内のすべてのインスタンスに適していることを確認してください。
-
-
サービスを有効化 をクリックします。
説明監査ログ機能を有効にすると、ApsaraDB for MongoDB には自動的に AliyunServiceRoleForMongoDB サービスリンクロールが付与されます。このロールにより、ApsaraDB for MongoDB は Log Service からログにアクセスできるようになります。
-
サービスを有効化 ダイアログボックスで、メッセージをお読みいただき、確定する をクリックします。
次のステップ
監査ログ機能を有効にすると、[Mongo 監査ログセンター] ページに移動できます。 ページの上部には、現在のリージョンでの監査ログの有料ストレージ使用量が表示されます。 右上隅に、[監査設定] および [サービス設定] ボタンがあります。 ツールバーは、[SQL 拡張]、[時間範囲ピッカー]、[更新]、[アラート]、[サブスクライブ] などの機能を提供します。
API リファレンス
|
API |
説明 |
|
ApsaraDB for MongoDB インスタンスで監査ログ機能が有効になっているかどうかを確認します。 |
|
|
ApsaraDB for MongoDB インスタンスの監査ログ機能を有効または無効にし、ログ保持期間を設定します。 |