CloudLens for RDS を使用して、ご利用の ApsaraDB RDS インスタンスから監査ログ、エラーログ、およびスロークエリログを収集できます。これらのログを使用して、監査の実施、分析の実行、アラートの設定が可能です。個別のインスタンスに対して手動でログ収集を有効化することも、特定の条件に一致する複数のインスタンス(今後作成されるインスタンスを含む)に対して自動収集を設定することもできます。本トピックでは、CloudLens for RDS を使用したログ収集の有効化方法と関連操作について説明します。
前提条件
-
手動でログ収集を有効化するには、ご利用の ApsaraDB RDS インスタンスが存在するリージョンに Project および Logstore を作成しておく必要があります。詳細については、「Project および Logstore の作成」をご参照ください。
-
RAM ユーザーを使用する場合は、CloudLens for RDS を使用するために必要な権限を付与しておく必要があります。詳細については、「RAM ユーザーへの CloudLens for RDS 使用権限の付与」をご参照ください。
手動でのログ収集の有効化
CloudLens for RDS は、監査ログ、エラーログ、スロークエリログを収集できます。すべてのログタイプで手順は同様です。本セクションでは、監査ログを例として説明します。
-
Simple Log Service コンソールにログインします。
-
ログアプリケーションセクションのCloud Service Lensタブで、CloudLens for RDSをクリックします。
-
初めてこの機能を有効化する場合は、画面の指示に従って権限付与を完了します。
-
AliyunLogArchiveRoleという名前のシステムロールが自動的に作成されます。CloudLens for RDS はこのロールを偽装してログを書き込みます。
-
AliyunServiceRoleForSLSAudit という名前のサービスリンクロールが自動的に作成されます。CloudLens for RDS はこのロールを偽装して ApsaraDB RDS の監査ログを収集します。詳細については、「AliyunServiceRoleForSLSAudit サービスリンクロールの管理」をご参照ください。
-
-
データインポート管理ページのRDS クラスターアクセスタブで、対象の ApsaraDB RDS インスタンスを見つけ、監査ログ列の有効化をクリックします。
-
監査ログ収集の有効化ダイアログボックスで、送信先の Project および Logstore を選択し、確認をクリックします。
ログ収集を有効化すると、Simple Log Service が対象の ApsaraDB RDS インスタンスから監査ログの収集を開始します。

自動ログ収集の設定
CloudLens for RDS は、監査ログ、エラーログ、スロークエリログを収集できます。すべてのログタイプで手順は同様です。本セクションでは、監査ログを例として説明します。
-
Simple Log Service コンソールにログインします。
-
ログアプリケーションセクションのCloud Service Lensタブで、CloudLens for RDSをクリックします。
-
データインポート管理ページで、自動収集設定タブをクリックします。
-
自動収集設定スイッチをオンにします。
-
アイコンをクリックして、次の順序でワークフローを作成します:条件、自動収集設定、終了。その後、右上隅の保存をクリックします。条件ノードはオプションですが、自動収集設定ノードと終了ノードは必須です。
条件
-
Alibaba Cloud アカウント ID、リージョン、インスタンス ID、インスタンス名、DB タイプ、DB バージョン、タグなどの属性に基づいて収集条件を設定します。
-
ダイアログボックスの左下隅で、上級モードと[標準モード]を切り替えることができます。標準モードでは、複数の条件は AND 演算子で結合されます。高度なモードでは、条件を柔軟に組み合わせたりネストしたりできます。条件ノードの設定ルールの詳細については、「条件ノードのマッチングモード」をご参照ください。
自動収集設定
パラメーター
説明
自動収集タイプ
自動収集のタイプを指定します。有効値:
-
[カスタム Logstore]:指定された条件に一致する ApsaraDB RDS インスタンスから監査ログを自動的に収集し、送信先の Logstore に送信します。
送信先の Project または Logstore が存在しない場合、システムが自動的に作成します。
-
コレクションを変更しない: コレクションを変更しない を選択すると、リージョン、プロジェクト、Logstore、および競合ポリシーパラメーターを設定する必要はありません。
-
ログ収集が現在無効になっている一致する ApsaraDB RDS インスタンスの場合、システムは自動的に有効化しません。
-
ログ収集がすでに有効になっている一致する ApsaraDB RDS インスタンスの場合、送信先の Logstore は変更されません。
-
リージョン
システムが対象の ApsaraDB RDS インスタンスのリージョンを自動的に選択します。この設定は変更できません。
Project
システムがインスタンスのリージョンに
rds-xxx-${Alibaba Cloud account ID}-${region}(例:rds-test-117918634953****-cn-hangzhou)という名前で Project を自動的に作成します。Logstore
システムが
rds-xxx-${Alibaba Cloud account ID}-${region}という名前の Project 内にrds_logという名前の Logstore を自動的に作成します。競合ポリシー
指定した送信先 Logstore が既存のものと競合する場合、システムは選択内容に基づいてアクションを実行します。
-
Ignore:システムは既存の送信先 Logstore を使用します。
-
上書き:システムは新たに指定された送信先 Logstore を使用します。
-
-
以下の例は、3 つのルールを持つ自動収集設定を示しています。
-
env==prodタグを持つ ApsaraDB RDS for MySQL インスタンスの監査ログは、rds-prod-${Alibaba Cloud account ID}-${region}Project 内のrds_logLogstore に送信されます。 -
env==testタグを持つ ApsaraDB RDS for MySQL インスタンスの監査ログは、rds-test-${Alibaba Cloud account ID}-${region}Project 内のrds_logLogstore に送信されます。 -
その他のすべての ApsaraDB RDS インスタンスについては、既存の送信先 Logstore が使用されます。

-
関連操作
|
操作 |
説明 |
|
ApsaraDB RDS インスタンスの管理 |
データインポート管理ページのRDS クラスターアクセスタブで、Alibaba Cloud アカウントに属するすべての ApsaraDB RDS インスタンス、そのリージョン、収集ステータス、およびその他の詳細を表示できます。 |
|
ログ収集の無効化 |
データインポート管理ページのRDS クラスターアクセスタブで、対象の ApsaraDB RDS インスタンスを見つけ、該当するログタイプの列にあるクローズをクリックしてログ収集を停止します。 |
|
ログのクエリと分析 |
対象の ApsaraDB RDS インスタンスの [ログクエリ] をクリックし、ログタイプを選択します。対応する Logstore にリダイレクトされ、生ログの表示やクエリと分析の実行が可能です。詳細については、「ログクエリと分析のクイックスタート」をご参照ください。 |
|
送信先 Logstore の管理 |
データインポート管理ページのターゲットログストアタブで、ApsaraDB RDS ログに使用されている Project および Logstore を表示し、送信先 Logstore のデータ保持期間を変更できます。 |
|
アラートの設定 |
異常検出ページで、アラートを有効化できます。詳細については、「アラートの設定」をご参照ください。 |
|
レポートの表示 |
Report Centerページで、送信先 Logstore を選択して、監査オペレーションセンター、監査セキュリティセンター、監査パフォーマンスセンターなどのダッシュボードを表示できます。 |