セキュリティコンプライアンス監査、パフォーマンス分析、トラブルシューティングなどのシナリオで ApsaraDB RDS for PostgreSQL インスタンスで実行される SQL 文を監視および管理する場合、SQL Explorer および監査機能を使用できます。この機能を使用すると、SQL 文の実行を記録し、集計分析を実行できます。この機能が有効になると、データベースカーネルからの SQL 文、SQL 文の実行に使用されるアカウント、IP アドレス、および実行の詳細が自動的に記録されます。インスタンスのパフォーマンスには影響しません。
前提条件
Alibaba Cloud アカウントを使用して Database Autonomy Service (DAS) Enterprise Edition を購入します。詳細については、「DAS Cost-efficient Edition および DAS Enterprise Edition を有効化および管理する」をご参照ください。
DAS Enterprise Edition を有効にすると、SQL Explorer および監査機能を使用できます。ApsaraDB RDS コンソールでは、現在のリージョンでサポートされている DAS Enterprise Edition の最新バージョンのみを有効にできます。DAS Enterprise Edition の異なるバージョンは、「さまざまなリージョン」でサポートされています。
RAM ユーザーの認証情報を使用して [検索] 機能を使用する場合は、[aliyunrdsreadonlywithsqllogarchiveaccess] ポリシーが RAM ユーザーにアタッチされていることを確認してください。RAM ユーザーに権限を付与する方法の詳細については、「RAM を使用して ApsaraDB RDS 権限を管理する」をご参照ください。
説明エクスポート機能を含む、検索機能を使用するための権限を RAM ユーザーに付与するカスタムポリシーを作成することもできます。詳細については、「カスタムポリシーを使用して、SQL Explorer および監査モジュールで検索機能とエクスポート機能を使用するための権限を RAM ユーザーに付与する」をご参照ください。
課金ルール
詳細については、「課金」をご参照ください。
SQL Explorer および監査機能が有効になると、ApsaraDB RDS は SQL 監査機能の課金を停止します。SQL Explorer および監査機能は、DAS Enterprise Edition の価格に基づいて課金されます。詳細については、「SQL 監査機能の使用」をご参照ください。
機能の説明
検索: 実行された SQL 文に関する情報のクエリとエクスポート。情報には、データベース、ステータス、および実行時間が含まれます。
SQL Explorer: SQL 文のヘルスステータスを診断し、パフォーマンスの問題をトラブルシューティングし、ビジネストラフィックを分析します。
使用上の注意
RDS インスタンスで PgBouncer が有効になっている場合、PgBouncer を使用して実行された SQL 文は SQL Explorer および監査機能によって記録されません。
SQL Explorer および監査機能を有効にする
RDS インスタンスに対しては、SQL Explorer および監査機能の最新バージョンのみを有効にできます。
[インスタンス] ページに移動します。上部のナビゲーションバーで、RDS インスタンスが存在するリージョンを選択します。次に、RDS インスタンスを見つけて、インスタンスの ID をクリックします。
表示されるページの左側のナビゲーションウィンドウで、 を選択します。
[enterprise Edition V3 を有効にする] をクリックします。
有効にするサブ機能を選択し、[送信] をクリックします。
監査機能を使用する
[インスタンス] ページに移動します。上部のナビゲーションバーで、RDS インスタンスが存在するリージョンを選択します。次に、RDS インスタンスを見つけて、インスタンスの ID をクリックします。
左側のナビゲーションウィンドウで、 を選択します。
表示されるページで、[監査] タブをクリックします。次に、検索条件を指定して関連情報をクエリします。[監査] 機能の詳細については、「検索 (監査)」をご参照ください。
ログをエクスポートするには、[エクスポート] をクリックし、[SQL レコードのエクスポート] ダイアログボックスで [エクスポートされるフィールド] パラメーターを設定します。[エクスポート時間の範囲] パラメーターを設定して、24 時間以内および 24 時間を超える時間の範囲で生成されたログをエクスポートできます。
[SQL Explorer] タブで情報をクエリする
[インスタンス] ページに移動します。上部のナビゲーションバーで、RDS インスタンスが存在するリージョンを選択します。次に、RDS インスタンスを見つけて、インスタンスの ID をクリックします。
左側のナビゲーションウィンドウで、 を選択します。
表示されるページで、[SQL Explorer] タブをクリックして、関連情報を表示します。[SQL Explorer] 機能の詳細については、「SQL Explorer 機能の使用」をご参照ください。
SQL Explorer および監査機能によって生成されたデータの保存期間を変更する
SQL Explorer および監査によって生成されたデータの保存期間を短縮すると、DAS は保存期間よりも長い期間保持されている SQL 監査ログをすぐに削除します。SQL 監査ログをコンピューターにエクスポートして保存してから、SQL Explorer および監査によって生成されたデータの保存期間を短縮することをお勧めします。
[インスタンス] ページに移動します。上部のナビゲーションバーで、RDS インスタンスが存在するリージョンを選択します。次に、RDS インスタンスを見つけて、インスタンスの ID をクリックします。
表示されるページの左側のナビゲーションウィンドウで、 を選択します。
Service Settings をクリックします。
Service Settings パネルで、SQL Explorer および監査機能によって生成されたデータの保存期間を変更し、変更を送信します。
説明SQL Explorer および監査機能によって生成されたデータによって占有されるストレージは DAS によって提供され、RDS インスタンスのストレージは消費しません。
SQL Explorer および監査機能を無効にする
SQL Explorer および監査機能を無効にすると、SQL Explorer および監査機能によって生成されたすべてのログが削除されます。SQL Explorer および監査機能によって生成されたログをコンピューターにエクスポートして保存してから、SQL Explorer および監査機能を無効にすることをお勧めします。SQL Explorer および監査機能を再度有効にすると、SQL Explorer および監査機能によって生成されたログは、SQL Explorer および監査機能が有効になった時点から記録されます。
[インスタンス] ページに移動します。上部のナビゲーションバーで、RDS インスタンスが存在するリージョンを選択します。次に、RDS インスタンスを見つけて、インスタンスの ID をクリックします。
左側のナビゲーションウィンドウで、 を選択します。
[ログ] セクションの [検索] タブで、[エクスポート] をクリックします。
表示されるダイアログボックスで、[エクスポートされるフィールド] および [エクスポート時間の範囲] パラメーターを設定し、[OK] をクリックします。
ログがエクスポートされたら、ログファイルをダウンロードしてコンピューターに保存します。
SQL 監査ログをダウンロードする方法は、DAS Enterprise Edition のバージョンによって異なります。ApsaraDB RDS コンソールで実際の状況に基づいて SQL 監査ログをダウンロードできます。
View Exported Logs を 検索 タブでクリックして、エクスポートされたログファイルをダウンロードします。
タスクリスト パネルで、[ダウンロード] をクリックして、エクスポートされたログファイルをダウンロードします。
Service Settings をクリックし、SQL Explorer および監査機能のすべてのサブ機能をクリアして、[送信] をクリックします。
説明Simple Log Service の CloudLens for RDS アプリケーションで RDS インスタンスの監査ログ収集機能を有効にすると、RDS インスタンスの SQL Explorer および監査機能が自動的に有効になります。したがって、RDS インスタンスの監査ログ収集機能も無効にする必要があります。詳細については、「CloudLens for RDS」をご参照ください。