ApsaraDB for MongoDB は Simple Log Service (SLS) と統合されており、ご利用のインスタンスに対して監査ログ機能を提供します。監査ログを活用することで、インスタンスの操作履歴をクエリ、分析、エクスポートでき、セキュリティイベントの追跡やコンプライアンス要件への対応が可能です。
監査ログ機能は無料トライアルとして提供されなくなりました。課金はストレージ容量および保存期間に基づいて行われます。
前提条件
開始する前に、以下の条件を満たしていることを確認してください。
レプリカセットインスタンスまたはシャードクラスターインスタンスであること。スタンドアローンインスタンスでは監査ログはサポートされていません。
Simple Log Service (SLS) が有効化されていること。詳細については、「クイックスタート」をご参照ください。
RAM ユーザーを使用して監査ログ機能を有効化する場合、当該 RAM ユーザーに以下の権限が付与されている必要があります。
AliyunLogFullAccess — システムポリシーです。詳細については、「RAM ユーザーへの権限付与」をご参照ください。
dds:CheckServiceLinkedRole — カスタムポリシーです。このポリシーは、RAM コンソールで RAM ユーザーにアタッチする前に作成してください。「カスタムポリシーの作成」の手順については、「カスタムポリシーの作成」をご参照ください。権限付与の手順については、「RAM ユーザーへの権限付与」をご参照ください。
dds:CheckServiceLinkedRoleのポリシードキュメント:{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": "dds:CheckServiceLinkedRole", "Resource": "*" } ] }
RAM ユーザーを使用して監査ログにアクセスする場合、RAM ユーザーに AliyunLogFullAccess または AliyunLogReadOnlyAccess のいずれかの権限が付与されている必要があります。詳細については、「RAM ユーザーへの権限付与」をご参照ください。
課金
監査ログの課金は、ストレージ容量および保存期間に基づきます。下表に、リージョン別の単位価格を示します。
| リージョン | 単位価格(USD/GB・時間) |
|---|---|
| 中国本土 | 0.002 |
| 香港 (中国) | 0.006 |
| シンガポール | 0.004 |
| UAE (ドバイ) | 0.004 |
| 米国 (シリコンバレー) | 0.004 |
| 米国 (バージニア) | 0.004 |
| イギリス (ロンドン) | 0.004 |
| ドイツ (フランクフルト) | 0.004 |
| 日本 (東京) | 0.004 |
| マレーシア (クアラルンプール) | 0.004 |
| インドネシア (ジャカルタ) | 0.004 |
| フィリピン (マニラ) | 0.004 |
実際の課金額は、購入時の表示単価に基づき、請求書に反映されます。最新の料金情報については、「ApsaraDB for MongoDB 製品ページの [料金] タブ」をご参照ください。
監査ログのコスト削減方法:
| 方法 | トレードオフ | 参考情報 |
|---|---|---|
| 保存期間を短く設定する | 監査ログのトレース可能な履歴が短縮されます | 監査ログの保存期間の変更 |
| 記録対象の操作タイプを絞り込む | 除外された操作タイプはログ記録されなくなりますが、保存期間内に既に記録済みのログは有効期限まで保持されます | 監査ログの操作タイプの変更 |
| 監査ログ機能を無効化する | すべての監査ログのアップロードが停止し、以降の操作は追跡されなくなります | 監査ログ機能の無効化 |
リージョン | 価格(USD/GB・時間) |
中国本土の全リージョン | 0.002 |
中国 (香港) | 0.006 |
シンガポール | |
UAE (ドバイ) | |
米国 (シリコンバレー) | |
米国 (バージニア) | |
イギリス (ロンドン) | |
ドイツ (フランクフルト) | |
日本 (東京) | 0.004 |
マレーシア (クアラルンプール) | |
インドネシア (ジャカルタ) | |
フィリピン (マニラ) |
監査ログの有効化
監査ログの有効化には、インスタンスの再起動は不要です。
監査ログを有効化すると、ApsaraDB for MongoDB は当該インスタンスにおけるすべての書き込み操作を監査・記録します。その結果、パフォーマンスが 5%~15%低下し、レイテンシーおよびジッターが増加する可能性があります。実際の影響度は、書き込まれるデータ量または監査対象となるデータ量に依存します。アプリケーションで大量のデータを書き込む場合、監査ログはトラブルシューティングまたはセキュリティ監査の目的でのみ一時的に有効化し、恒久的な構成としては使用しないでください。
ApsaraDB for MongoDB コンソール にログインします。
左側ナビゲーションウィンドウで、レプリカセットインスタンス または シャードクラスターインスタンス をクリックします。
画面左上隅から、インスタンスのリソースグループおよびリージョンを選択します。
インスタンス ID をクリックするか、操作 列の 管理 をクリックします。
インスタンス詳細ページの左側ナビゲーションウィンドウで、データセキュリティ > 監査ログ の順に選択します。
最新の監査ログ ページで、ログ保存期間 パラメーターを設定します。
有効な値:1~365 日。デフォルト値:30 日。
この設定は、同一リージョン内のすべてのインスタンスに適用されます。この値を変更する前に、当該リージョン内のすべてのインスタンスの保存要件を評価してください。
監査ログの有効化 をクリックします。
ApsaraDB for MongoDB は、お客様に代わって SLS にアクセスするために、自動的に AliyunServiceRoleForMongoDB サービスリンクロールを取得します。
監査ログの有効化 ダイアログボックスで注意事項を確認し、OK をクリックします。
監査ログの有効化後は、Mongo 監査ログセンター ページに移動して、現在のリージョンにおける監査ログの課金対象ストレージ容量を確認できます。
注意事項
デフォルトで有効化される操作タイプは、admin および slow です。操作タイプを変更する場合は、「監査ログの操作タイプの変更」をご参照ください。
設定したログ保存期間は、当該インスタンスだけでなく、同一リージョン内の他のすべてのインスタンスにも適用されます。このパラメーターを設定する前に、当該リージョン内のすべてのインスタンスの保存要件を評価してください。
API リファレンス
| 操作 | 説明 |
|---|---|
| DescribeAuditPolicy | インスタンスに対する監査ログ機能の有効/無効状態を照会します |
| ModifyAuditPolicy | 監査ログ機能の有効化または無効化を実行します。また、任意でログ保存期間を設定できます |