SQL Explorer と監査は、セキュリティコンプライアンス監査、パフォーマンス分析、トラブルシューティングのために、お客様の ApsaraDB RDS for PostgreSQL インスタンスで実行される SQL ステートメントを記録および分析します。データベースカーネルから実行アカウント、ソース IP アドレス、実行詳細などのステートメントを自動的にキャプチャしますが、インスタンスのパフォーマンスに影響は与えません。
前提条件
-
DAS Enterprise Edition を購入済みであること。
SQL Explorer と監査には DAS Enterprise Edition が必要です。お客様のリージョンで利用可能な最新バージョンのみを有効にできます。サポートされるリージョンはバージョンによって異なります。
-
RAM ユーザーが 監査 機能を使用するには、AliyunRDSReadOnlyWithSQLLogArchiveAccess 権限が必要です。RAM を使用して ApsaraDB RDS の権限を管理する を参照して、この権限を付与してください。
説明カスタム RAM ポリシーを使用して、検索およびエクスポートの権限を付与することもできます。
課金
料金については、「課金の詳細」をご参照ください。
SQL Explorer と監査を有効にすると、従来の SQL 監査 (データベース監査) 機能の課金が停止します。新しいバージョンは DAS Enterprise Edition の一部として課金されます。
機能
-
監査:データベース、ステータス、実行時間など、SQL 実行履歴のクエリとエクスポート。
説明-
監査ログを有効化または無効化すると、
log_statementカーネルパラメーターが変更されます。-
監査ログを有効にすると、
log_statement = allが設定されます。 -
監査ログを無効にすると、
log_statement = ddlに設定されます。
-
-
ModifySqlLogConfig API を使用して監査ログを有効または無効にすることもできます。
-
-
SQL Explorer:SQL の健全性の診断、パフォーマンス問題のトラブルシューティング、SQL トラフィックの分析。
制限事項
PgBouncer の接続プーリングが有効になっている場合、PgBouncer を経由した SQL ステートメントは記録されません。
SQL Explorer と監査の有効化
インスタンスがサポートする最新バージョンのみを有効にできます。
- RDSインスタンスにアクセスし、上部のリージョンを選択し、対象のRDSインスタンスのIDをクリックします。
-
左側のナビゲーションペインで、を選択します。
-
監査ログの有効化 をクリックし、有効化する機能を選択して、提出 をクリックします。
有効化ページには 2 つのセクションがあります。[監査シナリオ] には [SQL ログ] (コールドストレージ) と [ログインデックス] (ホットストレージ) があり、それぞれに設定可能な保持期間があります。[インサイトシナリオ] には [SQL Explorer] (グローバル SQL ワークロード分析、異常 SQL 検出、トラフィックリプレイ) と [セキュリティ監査] (監査アラートとルール管理) があります。
SQL Explorer と監査の使用
- RDSインスタンスにアクセスし、上部のリージョンを選択し、対象のRDSインスタンスのIDをクリックします。
-
左側のナビゲーションウィンドウで、自律型サービス > SQL Explorer and Audit を選択します。必要に応じて、監査と SQL エクスプローラーの機能を使用します。
データ保持期間の変更
保持期間を短縮すると、新しい制限を超える SQL 監査ログは直ちに削除されます。保持期間を短縮する前に、ログをエクスポートして保存してください。
- RDSインスタンスにアクセスし、上部のリージョンを選択し、対象のRDSインスタンスのIDをクリックします。
-
左側のナビゲーションペインで、 を選択します。
-
Service Settings をクリックします。
-
Service Settings ページで、保持期間を変更し、提出 をクリックします。
説明SQL Explorer と監査のデータは DAS に保存されるため、インスタンスの ストレージ領域 を占有しません。
SQL Explorer と監査の無効化
SQL Explorer と監査を無効にすると、すべてのログが削除されます。無効にする前にログをエクスポートして保存してください。再有効化した場合、再有効化した時点からのログのみが記録されます。
- RDSインスタンスにアクセスし、上部のリージョンを選択し、対象のRDSインスタンスのIDをクリックします。
-
左側のナビゲーションペインで、を選択します。
-
Logs エリアで、エクスポート をクリックします。
エクスポートするフィールドと期間を選択します。サービスでホットストレージとコールドストレージの両方を使用している場合は、CSV 区切り文字 を選択する必要があります。
-
エクスポートタスクを設定します。完了後、タスクリスト をクリックしてファイルをダウンロードし、保存します。
-
SQL Explorer と Audit を無効にするには、Service Settings をクリックします。
DAS Enterprise Edition が有効な場合は、すべての SQL Explorer と Audit 機能のチェックボックスを選択解除し、提出 をクリックします。
重要-
無効化してから 約 1 時間 後に、システムは該当データのストレージ領域を解放します。
-
CloudLens for RDS (Simple Log Service) を使用して監査ログ収集が有効になっている場合、SQL Explorer と監査は自動的に有効になります。CloudLens for RDS でも監査ログ収集を無効にする必要があります。
-