ApsaraDB RDS for SQL Server の SQL Explorer および監査 - ApsaraDB RDS

セキュリティコンプライアンス監査、パフォーマンス分析、トラブルシューティングなどのシナリオでは、SQL Explorer および監査機能を有効にすることをお勧めします。有効にすると、システムはデータベースカーネルで実行された SQL の変更と関連情報 (実行アカウント、IP アドレス、実行の詳細など) を自動的に記録します。この機能はインスタンスのパフォーマンスへの影響は最小限であり、後続の履歴 SQL 変更レコードのクエリ、分析、および監査アクティビティに対して信頼性の高いデータサポートを提供します。

機能の概要

検索 (監査): 関連データベース、実行ステータス、実行時間、およびその他の関連情報を含む、履歴 SQL 文の実行レコードをクエリおよびエクスポートします。
SQL Explorer は、SQL のヘルス診断、パフォーマンスのトラブルシューティング、およびビジネストラフィック分析機能を提供します。

始める前に

RDS インスタンスの課金方法は、サブスクリプションまたは従量課金のいずれかである必要があります。サーバーレスインスタンスではサポートされていません。
Alibaba Cloud アカウントで DAS Enterprise Edition が有効化されている必要があります。
説明
- SQL Explorer および監査機能には Enterprise Edition のサポートが必要であり、さまざまな DAS Enterprise Edition がさまざまなリージョンで利用可能です。
- SQL Explorer and Audit ページに検索タブと SQL Explorer タブが表示されている場合、これは SQL Explorer および監査機能が有効になっていることを意味し、監査および SQL Explorer の使用を開始できます。
RAM ユーザーであり、[検索] 機能を使用する場合は、RAM ユーザーに AliyunRDSReadOnlyWithSQLLogArchiveAccess 権限を付与する必要があります。
説明
RAM ユーザーがエクスポートを含む検索機能を使用できるようにするには、カスタム権限ポリシーを作成することもできます。

課金

SQL Explorer および監査を有効にすると、元の SQL 監査 (データベース監査) の課金が停止し、SQL Explorer および監査は DAS Enterprise Edition に従って課金されます。

SQL Explorer および監査を有効にする

[インスタンス] ページに移動します。上部のナビゲーションバーで、RDS インスタンスが存在するリージョンを選択します。次に、RDS インスタンスを見つけて、インスタンスの ID をクリックします。
左側のナビゲーションバーで、自律型サービス (CloudDBA) > SQL Explorer and Audit を選択します。
ページの右側で、インターフェイスにこの機能が有効になっていないことが示されている場合は、Enable をクリックし、ポップアップウィンドウで [Enterprise Edition を有効にする] をクリックします。

説明
現在のリージョンで利用可能な最高の DAS Enterprise Edition のみを有効化できます。DAS Enterprise Edition にアップグレードすると、より柔軟な課金方法が提供され、コストを削減できます。

SQL Explorer および監査機能を使用する

[インスタンス] ページに移動します。上部のナビゲーションバーで、RDS インスタンスが存在するリージョンを選択します。次に、RDS インスタンスを見つけて、インスタンスの ID をクリックします。
左側のナビゲーションバーで、自律型サービス (CloudDBA) > SQL Explorer and Audit を選択し、必要に応じて監査および SQL Explorer 機能を使用します。

SQL Explorer および監査によって生成されたデータの保存期間を変更する

警告

SQL Explorer および監査によって生成されたデータの保存期間を短縮すると、DAS は保存期間を超えた SQL 監査ログをすぐにクリアします。SQL Explorer および監査によって生成されたデータの保存期間を短縮する前に、SQL 監査ログをエクスポートしてコンピューターに保存することをお勧めします。

[インスタンス] ページに移動します。上部のナビゲーションバーで、RDS インスタンスが存在するリージョンを選択します。次に、RDS インスタンスを見つけて、インスタンスの ID をクリックします。
左側のナビゲーションバーで、自律型サービス (CloudDBA) > SQL Explorer and Audit を選択します。
Service Settings をクリックします。
Service Settings ページで、保存期間を変更して送信します。DAS Enterprise V3 を有効にしている場合は、さまざまなサブ機能によって生成されたデータの保存期間を変更できます。
DAS Enterprise V3 を有効にすると、異なるサブ機能によって生成されたデータのストレージ期間を変更できます。
説明
SQL Explorer および監査データの保存スペースは DAS によって提供され、データベースインスタンスの保存スペースを占有しません。

SQL Explorer および監査機能を無効にする

警告

SQL Explorer および監査機能を無効にすると、機能によって生成されたログはクリアされます。機能を無効にする前に、これらのログをエクスポートしてコンピューターに保存することをお勧めします。SQL Explorer および監査機能を再度有効にすると、機能が再度有効化された時点からログ記録が再開されます。

[インスタンス] ページに移動します。上部のナビゲーションバーで、RDS インスタンスが存在するリージョンを選択します。次に、RDS インスタンスを見つけて、インスタンスの ID をクリックします。
左側のナビゲーションバーで、自律型サービス (CloudDBA) > SQL Explorer and Audit を選択します。
検索タブの Logs セクションで、エクスポート をクリックします。
表示されるダイアログボックスで、「エクスポートされたフィールド」と「エクスポート時間の範囲」パラメーターを指定します。
ログをエクスポートした後、ファイルをダウンロードし、正しく保存されていることを確認してください。
ログをエクスポートした後、ファイルをダウンロードして正しく保存されていることを確認してください。SQL Explorer および監査データのダウンロードページは、DAS Enterprise Edition のバージョンによって異なります。表示されている実際のページレイアウトに従って、エクスポートされたログファイルをダウンロードしてください。
- 検索タブの View Exported Logs 内で、ファイルをダウンロードできます。
- タスクリスト タブで、ファイルをダウンロードできます。
Service Settings をクリックして、SQL Explorer と Audit を無効にします。

DAS Enterprise V3 を有効にしている場合は、すべての SQL Explorer および Audit の機能をオフにして、[送信] をクリックします。
説明
SQL Explorer および監査機能によって生成されたデータによって占有されている保存スペースは、これらの機能が無効になってから 1 時間後に解放されます。

よくある質問

Q: SQL Server データベースで SQL 実行のログを表示するにはどうすればよいですか? 履歴 SQL 実行レコードを確認したいです。
A: RDS インスタンスで SQL Explorer および監査機能が有効になっている場合は、監査機能を使用して SQL 実行レコードを直接表示およびエクスポートできます。この機能が RDS インスタンスでまだ有効になっていない場合は、履歴 SQL レコードを直接取得することはできません。ただし、データを特定の時点に復元することで、時間の経過に伴う SQL の変更を分析できます。

説明
後続の SQL 分析および監査作業をより適切にサポートするために、できるだけ早く SQL Explorer および監査機能を有効にすることをお勧めします。これにより、SQL 実行の詳細が継続的に記録され、将来の分析のための信頼できる証拠が提供されます。