RDS审计中心支持手动开启采集功能和自动化采集功能。手动开启采集功能针对单个RDS实例,自动化采集功能支持多个RDS实例,自动采集符合条件的RDS实例(包括未来创建的)的审计日志。本文介绍开启采集功能的操作步骤及相关操作。

前提条件

  • 如果是手动开启采集功能,则需要在RDS实例所在地域创建日志服务Project和Logstore。具体操作,请参见创建Project和Logstore
  • 如果您使用的是RAM用户,则需要先授予RAM用户RDS审计中心操作权限。具体操作,请参见授予RAM用户操作权限

首次配置

注意
  • 执行该操作的账号具备AliyunRamFullAccess权限。
  • 本操作只需执行一次。
  1. 登录日志服务控制台
  2. 日志应用区域,单击RDS审计中心
  3. 根据页面提示,完成AliyunLogArchiveRole角色授权。
    完成此操作后,阿里云自动为您创建一个系统角色AliyunLogArchiveRole,并授予RDS审计中心使用该角色访问其他云产品中的资源。AliyunLogArchiveRole
  4. 根据页面提示,完成AliyunServiceRoleForSLSAudit角色授权。
    完成此操作后,阿里云自动为您创建一个服务关联角色AliyunServiceRoleForSLSAuditRDS,并授予RDS审计中心使用该角色采集RDS审计日志。更多信息,请参见管理服务关联角色AliyunServiceRoleForSLSAudit
    注意 RDS审计中心和日志审计服务都需使用服务关联角色AliyunServiceRoleForSLSAudit进行日志采集,如果您已在日志审计服务中执行此操作,则无需在RDS审计中心中再次执行。
    AliyunServiceRoleForAudit服务关联角色

手动开启采集功能

  1. 登录日志服务控制台
  2. 日志应用区域,单击RDS审计中心
  3. 数据接入页签中,单击目标RDS实例对应的开启
  4. 选择投递目标对话框中,选择目标Project和Logstore,然后单击确认

    开启采集功能后,日志服务开始采集目标RDS实例的审计日志。

    采集状态

设置自动化采集

  1. 登录日志服务控制台
  2. 日志应用区域,单击RDS审计中心
  3. 数据接入页签中,单击自动化采集配置
  4. 单击条件图标。
  5. 设置采集条件。
    您可以使用阿里云账号ID、地域、实例ID、实例名、DB类型、DB版本号、标签等属性设置采集条件。

    标准模式下各个条件之间为且关系。高级模式下,您可以灵活组合与嵌套条件。

  6. 设置自动化采集配置。
    参数 说明
    自动化采集类型 选择自动化采集类型,具体说明如下:
    • 自定义存储目标库:自动采集符合条件的RDS实例的审计日志到目标Logstore中。

      如果存储目标库(Project、Logstore)不存在,会自动创建对应的日志库目标。

    • 采集保持不变:选择采集保持不变时,无需设置地域ProjectLogstore不一致策略参数。
      • 符合条件的RDS实例,如果未开启采集,则不会自动开启。
      • 符合条件的RDS实例,如果已开启采集,则不会改变其目标日志库。
    地域 系统自动默认选择目标RDS实例所在地域,无法修改。
    Project 在RDS实例所在地域,自动创建一个名为rds-xxx-${主账号ID}-${地域}的Project。例如rds-test-12345674523-cn-hangzhou。
    Logstore 在名为rds-xxx-${主账号ID}-${地域}的Project下,自动创建一个名为rds_log的Logstore。
    不一致策略 当此次设置的存储目标库与当前已生效的存储目标库不一致时,系统将根据如下选择进行判断,具体说明如下:
    • 忽略:以当前已生效的存储目标库为准。
    • 覆盖:以此次设置的存储目标库为准。

    例如:

    • 绑定env==prod标签的RDS MySQL实例的审计日志投递到名为rds-prod-${主账号ID}-${地域}的Project下的rds_log Logstore中。
    • 绑定env==test标签的RDS MySQL实例的审计日志投递到名为rds-test-${主账号ID}-${地域}的Project下的rds_log Logstore中。
    • 其他RDS实例的审计日志的存储目标库以当前已生效的存储目标库为准。
    自动化采集RDS审计日志
  7. 单击结束图标。
  8. 在页面右上角,单击保存

相关操作

操作 说明
管理RDS实例 您可以在数据接入页签的RDS实例区域,查看您阿里云账号所拥有的所有RDS实例、RDS所在地域、RDS实例的采集状态等。
关闭采集功能 您可以在数据接入页签的RDS实例区域,单击目标RDS实例对应的关闭,关闭采集功能。
修改存储目标库(Project、Logstore) 您可以在数据接入页签的RDS实例区域,单击目标RDS实例对应的变更,修改该RDS实例的审计日志所要投递的Project和Logstore。
管理存储目标库(Project、Logstore) 您可以在数据接入页签的存储目标库区域,查看用于存储RDS审计日志的Logstore、修改目标logstore中数据的保存时长。

后续步骤

采集到RDS审计日志后,您可以执行如下操作:
  • 查询页签中,选择目标Logstore,执行查询和分析操作。更多信息,请参见查询和分析日志
  • 审计运营中心页签、审计安全中心页签或审计性能中心页签中,选择目标Logstore,查看对应的仪表盘。