SQL監査機能は、問題のある可能性のあるSQLステートメントを迅速に特定し、セキュリティ監査能力を向上させることを目的としています。この機能は、実行ユーザー、アクセスIP、操作タイプに基づいて現在のクラスタのSQLステートメントを照会することをサポートし、クエリ結果のエクスポートもサポートしています。本ドキュメントでは、具体的な操作手順について説明します。
考慮事項
SQL監査は有料機能です。クラウドベンダー、リージョン、課金項目によって費用が異なります。費用の詳細については、SQL監査の課金説明 を参照してください。
SQL監査の有効化
OB Cloud クラウドデータベースコンソール にログインします。
左側のナビゲーションバーで、インスタンスリスト をクリックします。
インスタンスリストから対象インスタンスを見つけ、インスタンス名をクリックして、インスタンスワークベンチに入ります。
左側のナビゲーションバーで 診断 をクリックし、その後 診断 ページで リアルタイム診断 タブを選択します。
ページ中央で SQL監査 タブをクリックします。
SQL監査 タブの左上隅でテナントを選択します。
SQL監査 タブで SQL監査を有効にする をクリックします。
ポップアップウィンドウで 有効化対象 を設定し、チェックを入れると、このインスタンス下のすべてのテナントのSQL監査が同時に有効になります。
ポップアップウィンドウで、SQL監査プッシュ設定を完了し、その後 有効化 をクリックします。
OB Cloud
パラメータ説明総保存期間 7日間~720日間の保存をサポートします。設定された期間を超過したSQL実行記録は削除されます。 ホットストレージ期間 総保存期間の設定内で、ホットストレージ設定期間を超過すると自動的にコールドストレージに移行します。 Alibaba Cloud SLS
説明
-
AccessKey IDとAccessKey Secretに以下のAPI特権を付与する必要があります:
- PostLogStoreLogs:Logstoreにログを書き込む
- GetLogStore:Logstoreのメタ情報を表示する
パラメータ説明プロジェクト(Project) SLSサービスのプロジェクト名。 ログストア(Logstore) SLSサービスのログストア名。 AccessKey ID SLSサービスアクセスID。ユーザーを識別するために使用されます。 AccessKey Secret 署名文字列の暗号化と、ログサービスが署名文字列を検証するために使用するキー。秘密に保持する必要があります。
SQL監査記録の表示とダウンロード
SQL監査 タブで、展開 をクリックします。
条件に基づいてフィルタリングします。以下の項目はすべてオプションです。
フィルタ項目説明データベース 対応するテナントで表示する必要がある1つまたは複数のデータベースを選択します。 ノード 表示する必要がある1つまたは複数のノードを選択します。 キーワード 表示する必要があるSQLステートメントに存在する可能性のあるキーワードを選択します。複数のキーワードを入力できます。キーワード間は「and」または「or」の関係にできます。 ユーザー名 表示する必要がある1つまたは複数のテナント名を入力します。 操作タイプ ドロップダウンリストから表示する必要がある1つまたは複数の操作タイプを選択します。 クライアントIP 表示する必要があるクライアントIPを入力します。 スキャンされたレコード数 表示する必要があるスキャンされたレコード数の範囲を入力します。 実行時間(ms) 表示する必要があるSQLステートメントの実行時間の範囲を入力します。 時間範囲 SQL実行時間範囲を選択します。時間範囲の期間は6時間を超えることはできません。 クエリ結果で以下の情報を確認します: SQLステートメント、データベース、ユーザー、クライアントIP、操作タイプ、実行結果、リクエスト時間、実行時間(ms)、スキャン行数 および 更新行数。
右上隅のアイコンをクリックして、クエリ結果リストをダウンロードします。
説明
現在、最大100件の監査記録のダウンロードをサポートしています。クエリ記録数が100行を超えた場合、ダウンロード時には、ページ表示のソート順に従って最初の100行の記録のみがダウンロードされます。
SQL監査設定の変更
SQL監査 タブで、右上隅の サービス設定 をクリックします。
ポップアップウィンドウで関連パラメータ設定を変更し、そして 確認 をクリックします。
SQL監査の無効化
SQL監査 タブで、右上隅の サービスを無効にする をクリックします。
ポップアップウィンドウのテキストボックスに close と入力し、その後 閉じる をクリックします。