セキュリティコンプライアンス監査、パフォーマンス分析、トラブルシューティングなどのシナリオでは、SQL Explorer と監査を 有効化 します。有効化後、 システムはデータベースカーネルで実行された SQL の変更と関連情報 (実行アカウント、IP アドレス、実行詳細など) を自動的に記録します。この機能の有効化と使用によるインスタンスのパフォーマンスへの影響は最小限であり、過去の SQL 履歴の照会、分析、監査のために信頼性の高いデータを提供します。
注意事項
-
ログの完全性: 以下の極端なシナリオでは、SQL Explorer と監査のログが不完全になったり、一部が失われたりする可能性があります。
-
インスタンスの負荷が高く、パフォーマンスのボトルネックが発生している場合。
-
単位時間あたりに生成される SQL リクエストの数が非常に多い場合。
-
監査ログの収集を担当する制御サービスコンポーネントが正常に動作しない場合。
-
機能の概要
-
監査: 過去の SQL ステートメントの実行履歴を照会およびエクスポートします。これには、関連するデータベース、実行ステータス、実行時間などの情報が含まれます。
-
SQL Explorer: SQL のヘルス診断、パフォーマンス問題のトラブルシューティング、サービストラフィック分析を提供します。
前提条件
-
ApsaraDB RDS インスタンスは、サブスクリプションまたは従量課金方式である必要があります (サーバーレスインスタンスは サポートされていません)。
-
RAM ユーザーとして[監査]機能を使用するには、RAM ユーザーにAliyunRDSReadOnlyWithSQLLogArchiveAccess 権限を付与する必要があります。
説明RAM ユーザーにカスタムポリシーを付与して、監査機能 (エクスポートを含む) の使用を許可することもできます。
課金の詳細
SQL Explorer と監査を有効化すると、元の SQL 監査 (データベース監査) の課金が停止します。SQL Explorer と監査は DAS Enterprise Edition で課金されます。
SQL Explorer と監査の有効化
- RDSインスタンスにアクセスし、上部のリージョンを選択し、対象のRDSインスタンスのIDをクリックします。
-
左側のナビゲーションペインで、自律型サービス > SQL Explorer and Audit を選択します。
-
[監査ログの有効化] をクリックし、有効にする機能を選択して、提出 をクリックします。
サービス有効化ページには、 [監査シナリオ] と [Explorer シナリオ] の 2 つのセクションがあります。監査シナリオには、 [全量ログ] (SQL の詳細をすべてキャプチャし、長期的なコールドストレージに対応。保存期間を設定可能) と [ログインデックス] (ホットストレージを使用することで、SQL 詳細の取得速度がオフラインからリアルタイムに向上します) が含まれます。Explorer シナリオには、 [SQL Explorer] (グローバル SQL 負荷分析、異常 SQL 検出、自動 SQL 最適化、トラフィックリプレイとストレステスト、自動パラメータ調整などを提供) と [セキュリティ監査] (監査アラート、監査ポリシー管理、異常アラート、システムホワイトリストなどの機能を提供) が含まれます。必要なオプションを選択し、 [送信] をクリックして有効化を完了します。
-
有効化が完了したら、ポップアップウィンドウで決定をクリックします。
SQL Explorer と監査の使用
- RDSインスタンスにアクセスし、上部のリージョンを選択し、対象のRDSインスタンスのIDをクリックします。
-
左側のナビゲーションペインで、自律型サービス > SQL Explorer and Audit を選択します。必要に応じて、監査 機能および SQL エクスプローラー 機能を使用します。
-
(Cluster Edition のみ) 表示するノードを選択します。クラスターインスタンス内のすべてのノードにまたがって SQL をフィルタリングするか、特定のプライマリノードまたはセカンダリノードの SQL をフィルタリングできます。 [監査] タブで、 [ノードを選択] ドロップダウンリストを使用して、 [すべてのノード ID]、 [プライマリノード]、または [セカンダリノード] でフィルタリングし、対応する監査ログを表示します。 [クエリ条件の設定] セクションで、クエリモード、時間範囲、キーワード、その他の条件でログをフィルタリングすることもできます。
SQL Explorer と監査のデータ保存期間の変更
SQL Explorer と監査のデータ保存期間を短縮すると、DAS は新しい保存期間を超える SQL 監査ログを即座に 削除します。保存期間を短縮する前に、SQL 監査ログをエクスポートしてローカルに保存してください。
- RDSインスタンスにアクセスし、上部のリージョンを選択し、対象のRDSインスタンスのIDをクリックします。
-
左側のナビゲーションペインで、を選択します。
-
Service Settings をクリックします。
-
[完全なログ] ページで、保存期間を変更し、提出 をクリックします。
説明SQL Explorer と監査のデータのストレージ領域は DAS によって提供され、データベースインスタンスのストレージ領域を消費しません。
SQL Explorer と監査の無効化
SQL Explorer と監査を無効化すると、すべての SQL Explorer と監査のログが削除されます。機能を無効化する前に、ログをエクスポートしてローカルに保存してください。SQL Explorer と監査を再度有効化すると、再有効化した時点からログの記録が再開されます。
- RDSインスタンスにアクセスし、上部のリージョンを選択し、対象のRDSインスタンスのIDをクリックします。
-
左側のナビゲーションペインで、を選択します。
-
Logs セクションで、エクスポート をクリックします。
エクスポートフィールドと時間範囲を選択します。ホットデータとコールドデータのハイブリッドストレージを使用する SQL Explorer and Audit では、データをエクスポートする際に[CSV 区切り文字]を選択します。
-
エクスポートタスクを設定します。エクスポートが完了したら、タスクリスト をクリックして、エクスポートされたファイルをダウンロードし、安全に保管します。
-
Service Settings をクリックして SQL Explorer と監査を無効にします。選択されているすべての機能をクリアし、提出 をクリックします。
重要SQL Explorer と監査を無効化してから約 1 時間 後、システムはデータが使用していたストレージ領域を解放します。
よくある質問
-
Q: SQL Server データベースで実行された SQL のログを表示するにはどうすればよいですか。過去の SQL 実行履歴を確認したいです。
-
A: ApsaraDB RDS インスタンスで SQL Explorer と監査が有効化されている場合、監査機能を使用して SQL 実行履歴を直接表示およびエクスポートできます。機能が有効化されていない場合、過去の SQL 履歴を直接取得することはできません。ただし、データを特定の時点に復元し、異なる時点間の SQL の変更を比較して変更内容を分析することは可能です。
説明今後の SQL 分析と監査をより適切にサポートできるよう、できるだけ早く SQL Explorer と監査 を有効化してください。これにより、SQL 実行詳細が継続的に記録されることが保証され、将来の分析のために信頼性の高いデータが提供されます。