全部產品
Search

搜尋本產品

    Tair (Redis® OSS-Compatible):審計日誌

    文件中心

    Tair (Redis® OSS-Compatible):審計日誌

    更新時間:Oct 23, 2025

    審計日誌功能基於阿里雲Log ServiceSLS(Log Service),支援記錄Tair (Redis OSS-compatible)執行個體的所有寫操作。為您提供審計日誌的查詢、線上分析、匯出等功能,既可以協助安全審計人員及時探索資料異常操作的行為,快速定位修改資料的使用者身份與時間點,又可以助力業務系統滿足安全性與合規性的要求,還能協助開發營運人員定位效能問題。

    功能概述

    開通審計日誌後,系統將記錄寫操作的審計資訊,不會記錄讀操作的審計資訊。

    重要

    在寫入負載高的情境(如頻繁使用INCR計數)下,該功能可能會帶來5%~15%的效能損失及一定延時抖動。建議在故障排查或安全審計時開通該功能。

    當命令參數過多、過長或總長度超限時,審計日誌中的命令將截斷顯示,格式類似於SLOWLOG命令。

    典型情境

    雲資料庫 Tair(相容 Redis)阿里雲Log Service的部分功能融合到審計日誌中,為您帶來更加穩定、易用、靈活且高效的審計Log Service,典型使用情境如下:

    典型情境

    說明

    操作審查

    協助安全審計人員定位元據修改的操作者身份或時間點等資訊,協助識別是否存在濫用許可權、執行非合規命令等內部風險。

    安全合規

    助力業務系統通過安全規範中關於審計部分的要求。

    費用說明

    根據審計日誌的儲存空間和儲存時間長度按量收取費用,不同地區的收費標準有所區別,更多資訊請參見計費項目

    說明

    關閉審計日誌功能後,審計日誌仍會按之前的日誌保留時間長度儲存日誌,直到所有的日誌到期,因此在關閉後仍會產生審計日誌費用。

    RAM使用者權限限制

    如使用阿里雲帳號(主帳號),則可以忽略此說明。若RAM使用者開通審計日誌,需要具備Log Service的系統管理權限。

    • 您可以為RAM使用者授予系統權限原則AliyunLogFullAccess。授權後,RAM使用者可以管理所有日誌庫(Logstore)。具體操作,請參見授予許可權

    • 您也可以自訂權限原則,限定RAM使用者只能管理雲資料庫 Tair(相容 Redis)執行個體的審計日誌。

      自訂權限原則樣本

      {
 "Version": "1",
 "Statement": [
  {
   "Action": "log:*",
   "Resource": "acs:log:*:*:project/nosql-*",
   "Effect": "Allow"
  }
 ]
}

    操作步驟

    1. 訪問執行個體列表,在上方選擇地區,然後單擊目標執行個體ID。

    2. 在左側導覽列,選擇日誌管理 > 审计日志

    3. 設定審計日誌的保留時間長度。

      說明

      該設定會應用至當前地區下所有已開通審計日誌的執行個體,審計日誌按照儲存容量及保留時間長度收費,日誌保留時間長度支援的範圍為1~365天。

    4. 單擊費用估算並開通

    5. 在彈出的對話方塊中進行費用估算並閱讀相關提示,確認後單擊開通

      說明

      如果未開通阿里雲Log Service,您需要根據彈出的對話方塊提示開通Log Service。

    常見問題

    • Q:如何關閉某個執行個體的審計功能?

      A:您可以在审计日志頁面,單擊右上方的服務設定,關閉所有節點的審計開關。

    • Q:如何下載完整的審計日誌?

      A:具體操作,請參見下載日誌。在操作時,您需要注意以下內容:

      • 在執行下載日誌的操作時,選擇的目標Project的命名格式為nosql-{使用者UID}-{Region},例如nosql-176498472******-cn-hangzhou;然後選擇目標Logstore為redis_audit_log_standard

      • 下載方式選擇為通過Cloud Shell下載通過命令列工具下載即可下載全部日誌,如果選擇為直接下載,僅會下載本頁面展示的日誌。

    • Q:為什麼僅支援寫操作的審計功能,不開放讀操作的審計功能?

      A:絕大多數情境下讀操作佔比較高,讀操作的審計將帶來較多的效能損失,且由於要儲存的資料過大,如果保持穩定的策略有可能會丟失部分審計日誌,所以未開放讀操作的審計功能。

    • Q:正式版的審計日誌儲存時間長度是當前地區生效,如果第一個執行個體設定為7天,第二個執行個體設定為14天,最終以哪個為準?

      A:以最近一次設定的為準。

    • Q:為什麼某些審計日誌對應的用戶端IP不是業務所屬的用戶端?

      A:因為審計日誌包含了管控類的寫動作記錄,您可以過濾相關資訊。

    • Q:為什麼執行個體版本為相容Redis 4.0及以上仍無法開通審計日誌?

      A:部分執行個體由於小版本過舊無法開通審計日誌,請升級小版本與代理版本後重試。

    • Q:為什麼有一些審計日誌的寫入IP是127.0.0.1

      A:IP為127.0.0.1的日誌來源有以下兩種情況:

      • 大版本7.0且小版本低於7.0.1.17的執行個體使用LUA指令碼,升級至最新小版本後記錄為用戶端IP。

      • 執行個體的內部管理操作。常見的內部動作記錄如下表所示:

        日誌類型

        說明

        主節點驅逐

        節點發生資料逐出。

        主節點審計日誌丟棄事件

        審計日誌丟棄事件(drop start)。

        主節點審計日誌丟棄事件

        審計日誌丟棄事件(drop end)。

        主節點熱點Key日誌

        節點內部當前正在訪問的熱Key(按QPS或流量統計)資訊。

        主節點大Key日誌

        節點內部當前儲存的大Key(子項目數目)資訊。

    相關API

    API

    說明

    ModifyAuditLogConfig - 修改審計日誌設定

    設定執行個體的審計日誌開關與保留時間長度。

    DescribeAuditLogConfig - 查詢審計日誌配置

    查詢執行個體審計日誌是否已開通、日誌儲存時間等配置資訊。

    DescribeAuditRecords - 查詢執行個體的審計日誌

    查詢執行個體的審計日誌。