全部产品
Search
文档中心

云数据库 Tair(兼容 Redis®):审计日志

更新时间:Dec 06, 2024

云数据库Tair(兼容 Redis)实例基于阿里云日志服务SLS(Log Service),推出审计日志功能,为您提供日志的查询、在线分析、导出等功能,既可以帮助安全审计人员及时发现数据异常操作的行为,快速定位修改数据的用户身份与时间点,又可以助力业务系统满足安全性与合规性的要求,还能帮助开发运维人员定位性能问题。

前提条件

若RAM用户开通审计日志,需要具备日志服务的管理权限。

  • 您可以为RAM用户授予系统权限策略AliyunLogFullAccess。授权后,RAM用户可以管理所有日志库(Logstore)。具体操作,请参见授予权限

  • 您也可以自定义权限策略,限定RAM用户只能管理云数据库Tair(兼容 Redis)实例的审计日志。

    自定义权限策略示例

    {
     "Version": "1",
     "Statement": [
      {
       "Action": "log:*",
       "Resource": "acs:log:*:*:project/nosql-*",
       "Effect": "Allow"
      }
     ]
    }

典型场景

云数据库Tair(兼容 Redis)阿里云日志服务的部分功能融合到审计日志中,为您带来更加稳定、易用、灵活且高效的审计日志服务,典型使用场景如下:

典型场景

说明

操作审查

帮助安全审计人员定位数据修改的操作者身份或时间点等信息,帮助识别是否存在滥用权限、执行非合规命令等内部风险。

安全合规

助力业务系统通过安全规范中关于审计部分的要求。

注意事项

  • 开通审计日志后,系统将记录写操作的审计信息,视写入量或审计量可能会对实例造成5%~15%的性能损失及一定的延时抖动。

    重要

    如果您的业务对实例的写入量非常大(例如大量使用INCR进行计数),建议仅在故障排查或安全审计时开通该功能,以免带来性能损失。

  • 由于读操作的量通常非常大,为避免记录读操作的审计信息给实例性能带来冲击,审计日志仅记录写操作的审计信息,不会记录读操作的审计信息。

  • 当命令的参数过多、参数过长或命令总长度过长时,审计日志中的命令不会完整显示,显示格式类似于SLOWLOG命令。

费用说明

根据审计日志的存储空间和保存时长按量收取费用,不同地域的收费标准有所区别,更多信息,请参见计费项

说明

关闭审计日志功能后,审计日志仍会按之前的日志保留时长存储日志,直到所有的日志过期,因此在关闭后仍会产生审计日志费用。

操作步骤

  1. 访问实例列表,在上方选择地域,然后单击目标实例ID。

  2. 在左侧导航栏,单击日志管理 > 审计日志

  3. 设置审计日志的保留时长。

    说明

    该设置会应用至当前地域下所有已开通审计日志的实例,审计日志按照存储容量及保留时长收费,日志保留时长支持的范围为1~365天。

  4. 单击费用估算并开通

  5. 在弹出的对话框中进行费用估算并阅读相关提示,确认后单击开通

    说明

    由于审计日志功能依赖于阿里云日志服务,如果您的账号未开通阿里云日志服务,您需要根据弹出的对话框中的提示完成日志服务的开通。

相关API

API

说明

ModifyAuditLogConfig - 修改审计日志设置

设置实例的审计日志开关与保留时长。

DescribeAuditLogConfig - 查询审计日志配置

查询实例审计日志是否开启、日志保存时间等配置信息。

DescribeAuditRecords - 查询实例的审计日志

查询实例的审计日志。

常见问题

  • Q:如何关闭某个实例的审计功能?

    A:您可以在审计日志页面,单击右上角的服务设置,关闭所有节点的审计开关。

  • Q:如何下载完整的审计日志?

    A:具体操作,请参见下载日志。在操作时,您需要注意以下内容:

    • 在执行下载日志的操作时,选择的目标Project的命名格式为nosql-{用户UID}-{Region},例如nosql-176498472******-cn-hangzhou;然后选择目标Logstore为redis_audit_log_standard

    • 下载方式选择为通过Cloud Shell下载通过命令行工具下载即可下载全部日志,如果选择为直接下载,仅会下载本页面展示的日志。

  • Q:为什么仅支持写操作的审计功能,不开放读操作的审计功能?

    A:绝大多数场景下读操作占比较高,读操作的审计将带来较多的性能损失,且由于要存储的数据过大,如果保持稳定的策略有可能会丢失部分审计日志,所以未开放读操作的审计功能。

  • Q:正式版的审计日志保存时长是当前地域生效,如果第一个实例设置为7天,第二个实例设置为14天,最终以哪个为准?

    A:以最近一次设置的为准。

  • Q:为什么某些审计日志对应的客户端IP不是业务所属的客户端?

    A:因为审计日志包含了管控类的写操作日志,您可以过滤相关信息。

  • Q:为什么实例版本为兼容Redis 4.0及以上仍无法开启审计日志?

    A:部分实例由于小版本过旧无法开启审计日志,请升级小版本与代理版本后重试。