背景
数据库是企业业务的数据核心,其安全方面的问题已经成为数据泄漏和被篡改的重要根源。因此,对数据库的操作行为尤其是全量 SQL 执行记录的审计日志,就显得尤为重要。
RDS SQL审计日志记录了对数据库执行的所有操作,这些信息是系统通过网络协议分析所得,对系统CPU消耗极低,不影响SQL执行效率。RDS SQL审计日志包括但不限于如下操作:
- 数据库的登录和退出操作。
- DDL(Data Definition Language)操作:对数据库结构定义的SQL语句,包括CREATE、ALTER DROP、TRUNCATE、COMMENT等。
- DML(Data Manipulation Language)操作:SQL操作语句,包括SELECT、INSERT、UPDATE、DELETE等。
- 其他SQL执行操作,包括任何其他通过SQL执行的控制,例如回滚、控制等。
- SQL执行的延迟、执行结果、影响的行数等信息。
审计日志采集现状
目前,已支持“接入数据-RDS审计”和日志审计服务两种接入方式。
- “接入数据-RDS审计”提供了简单的可视化采集方式。但是以采集目标project/logstore为第一视角,且有region化限时,对实例维度的采集不友好;project或实例较多时操作复杂。
- 日志审计服务提供了自动化的采集能力,但是缺失了交互式的采集以及实例粒度的视图。
鉴于以上的场景上的缺失,我们推出了RDS审计中心,提供可视化的交互式采集能力、自动化采集能力及采集实例对象、存储库的管理视图。
三种采集方式的差异及使用场景
RDS审计中心方式和接入数据-RDS审计方式中的采集配置是互通的。日志审计服务中的RDS SQL审计日志采集配置为独立的采集渠道,不受另外两种采集方式影响。
- RDS审计中心
- 入口:在日志服务控制台首页的日志应用区域,单击RDS审计中心。
- 推荐场景:建议在单账号采集场景下使用。
- 日志审计服务,之前有文章《基于SLS构建RDS审计合规监控》详细介绍了审计场景下的使用。
- 入口:在日志服务控制台首页的日志应用区域,单击日志审计服务。
- 推荐场景:建议在跨账号、跨地域采集场景下使用。
- 入口:在日志服务控制台首页的接入数据区域,单击RDS审计。
- 推荐场景:无,可由RDS审计中心代替。
| 属性 | 接入数据-RDS审计 | RDS审计中心 | 日志审计服务 |
| 指定RDS实例粒度 | 支持 | 支持 | 支持 |
| 灵活指定存储目标库 | 支持 | 支持 | 不支持 |
| 跨地域采集 | 不支持 | 不支持 | 支持 |
| 跨账号采集 | 不支持 | 不支持 | 支持 |
| 自动采集 | 不支持 | 支持 | 支持 |
| 手动采集 | 支持 | 支持 | 不支持 |
| 查看采集状态视图 | 不支持 | 支持 | 不支持 |
接下来重点介绍RDS审计中心APP。
RDS审计中心
功能简介
RDS审计中心
RDS实例
SLS存储库
采集管理
北京
北京
RDS实例管理面板(交互式采集)
自动化采集配置
上海
上海
存储目标库管理面板
新加坡
新加坡
审计方式支持
灵活可视化
告警通知
实时查询
- 采集管理
- 支持集中管理RDS SQL审计日志的采集状态。
- 支持自动采集现有或未来新增RDS实例的SQL审计日志。
- 支持集中管理存储目标库(Project、Logstore)。
- 日志审计
- 提供RDS SQL审计日志的实时存储、查询与分析。
- 提供丰富的可视化报表,支持报表邮件、钉钉群订阅。
- 提供丰富的内置告警规则,支持灵活配置告警策略,及时精准地发送告警消息。
开启前提
开启RDS审计中心必须创建两个角色:
- SLS日志审计服务关联角色AliyunServiceRoleForSLSAudit。开启RDS审计中心时,会自动创建该系统角色。
- 已创建系统角色AliyunLogArchiveRole。
实例采集状态查询
开启后,点击数据接入,进入RDS审计日志接入视图。
- 查看RDS实例信息。例如,实例ID、实例名、地域、数据库类型、标签、SQL洞察状态、采集状态、采集目标库等。
RDS审计中心
三
数据接入
数据接入
RDS审计日志接入
关闭服务关联角色(SLR)授权
弓
查询
自动化采集配置
存储目标库
3个区域
?
告警
RDS实例
O4个区城
3
4
报表
已配置
存储目标库个数
日志采失实例数
实例总数
审计运营中心
可在面外中的年药州手自动中的在菜
审计安全中心
话输入实例ID/名称按索
例自动开启投递.
审计性能中心
Y
采生目标库(project/iogstore)
数据库类型
采集
SQL河察采集状态
标签
实例ID
地域
华南3广州)
开启
正常采朱中
mysql8.0
Erds-prod
m-7x
-cn-gu
onv:prod
angzhou
开启
正常采东中
华东1(杭州)
mysqlB.0
Erds-test-
m-bp
cn-han
ttt:111..
gzhou
开启
23
正常采荣中
华北5(呼和治特)
mysql8.0
rds-test-
-cn-huh
mi
env:test
回
开启
(硅谷)
美国
开
采生已关团
m-ri9
mysql8.0
t:t
8
上一页
总页数4
下一页
每贡显示:
20
- 查看存储目标库信息。
- 支持查看存储目标库的地域、数据保存时间。
- 支持数据保存时间的调整。
RDS审计中心
数据接入
数据接入
RDS审计日志接入
关闭服务关联角色(SLR)授权
查询
自动化采集配雪
RDS实例
存储目标库
4个区域
告警
日3个区域
4
3
报表
已配置
实例总数
日志采集实例数
存储目标库个数
审计运营中心
审计安全中心
此列表展示所有已配为投递目标的日志库.
审计性能中心
9
数据保存时间(天)
目标
地域
7已
华北5(呼和活特)
Erds-test
cn-huhehaote
目rdslog
7飞
华南3(广州)
Erds-prod-
-cn-guangzhou
Brds_log
10飞
华东1(杭州)
Erds-test
cn-hangzhou
自rdslop
采集配置
手动采集
- 对未开启的实例进行开启采集操作,支持自定义选择存储目标库。
RDS审计中心
数据接入
数据接入
RDS审计日志接入
关闭服务关联角色(SL月)授权
都查询
告
RDS实例
4个区域
选择存储目标库
3
报表
实例总数
日志采集实例数
投速实例(mqg1n4xa563a8oap)下日志库,也将自动开实例的sQL洞系功:
审计运营中心
件的现在或未来实x
您可在下面列表中的(采集播
地域
美国(硅谷)
审计安全中心
诗输入实例ID/名称搜索
例自动开自役递.
审计性能中心
拆津
项目
tost-yomo-us
菜集目标库(prdject/logstore)
实例ID
状态
采生绿作
Erds-prod-1293284105955578-cn-gu
E常果集中
m-7xvroy29xug3tq33u
--
日志库
ttt
angzhou
E常菜集中
m-bp16ban6283qp98v9
Erds-test-12932B4105955578-cn-an
XXX
gzhou
确认
取消
主常采集中
Erds-test-1293284105955578-cn-hu
m-hp3p340g89pw12p23
ehaote
(硅谷)
开启
采集已关团
开启
m-n91n4xa563aBoa8p
mysql8.0
t:t
- 对于已开启采集的实例:支持变更存储目标库和关闭采集。
注意:如果后续自动化采集配置了强制性策略,会导致一些操作受限。
自动化采集
在数据接入页签中,单击自动化采集配置。自动化配置提供了图形化的配置界面,有两种节点类型:条件节点、自动化采集配置节点。
- 条件节点
可以使用阿里云账号ID、地域、实例ID、实例名、DB类型、DB版本号、标签等属性设置采集条件。
标准模式下各个条件之间为且关系。高级模式下,您可以灵活组合与嵌套条件。
- 自动化采集配置节点
| 参数 | 说明 |
| 自动化采集类型 | 选择自动化采集类型,具体说明如下:
|
| 地域 | 系统自动默认选择目标RDS实例所在地域,无法修改。 |
| Project | 在RDS实例所在地域,自动创建一个名为rds-xxx-${主账号ID}-${地域}的Project。例如rds-test-12345674523-cn-hangzhou。 |
| Logstore | 在名为rds-xxx-${主账号ID}-${地域}的Project下,自动创建一个名为rds_log的Logstore。 |
| 不一致策略 | 当此次设置的存储目标库与当前已生效的存储目标库不一致时,系统将根据如下选择进行判断,具体说明如下:
|
自动化采集举例:
- 绑定
env==prod标签的RDS MySQL实例的审计日志投递到名为rds-prod-${主账号ID}-${地域}的Project下的rds_logLogstore中。 - 绑定
env==test标签的RDS MySQL实例的审计日志投递到名为rds-test-${主账号ID}-${地域}的Project下的rds_logLogstore中。 - 其他RDS实例的审计日志的存储目标库以当前已生效的存储目标库为准。
自动化采集配置
自定义存储目标库
自动化采集类型
条件
地城
与采集对象相同地域
等于
标签.env
prod
结束
-主账号ID-S(地域]
rds-
Project
prod
0
rds_log
Logstore
爱盖
不一致策略
自动化采集配置
自动化采集类型
自定义存储目标库
条件
地城
与采集对象相同地域
是
等于
标签.env
test
结束
$[主账号ID-s(地域)
test
Project
rds-
rdslog
Logstore
爱盖
不一致荣略
自动化采集配置
自动化采集类型
采集保持不变
查询分析
报表
| 仪表盘 | 说明 |
| RDS审计运营中心 | 展示整体访问情况、活跃数据库等信息,包括操作的数据库数量、操作表格数、执行错误、累计插入行数、累计更新行数、累计删除行数、累计查询行数等。 |
| RDS审计性能中心 | 展示运维可靠性相关指标,包括SQL执行峰值、查询带宽峰值、插入开端峰值、更新带宽峰值、删除带宽峰值、SQL平均时间、查询SQL平均时间、更新SQL平均时间、删除SQL平均时间等。 |
| RDS审计安全中心 | 展示数据库安全相关指标,包括错误数、登录失败次数、大批量删除事件、大批量修改事件数、危险SQL执行次数、错误操作类型分布、出错客户端外网分布、错误最多的客户端等。 |
例如,RDS审计运营中心。可以方便在所有存储目标库之间切换,查看内置报表。
告警监控
RDS审计中心中已内置告警规则、SLS审计内置告警策略、SLS审计内置行动策略、SLS审计内置用户组和SLS审计内置内容模板。
常见的告警如下:
- RDS慢SQL检测
- RDS大批量数据删除告警
- RDS外网访问检测
- RDS查询SQL平均执行时间监控告警
- RDS数据库更新峰值监控告警
- RDS数据库查询峰值监控告警
- RDS实例释放告警
- RDS高频访问IP检测
- RDS更新SQL平均执行时间监控告警
- RDS登录失败次数过多告警
- RDS大批量数据修改事件告警
- RDS危险的SQL执行告警
- RDS SQL执行错误数过多告警
使用者只需要配置简单的用户信息即可在异常发生时接收到告警通知。详细操作,见链接。
- 用户管理中,添加用户信息
RDS审计中心
告警
数据接入
告答中心
规则/事务
告警管理
新版告警(公测)介绍功能览使用限制定价常见问
查询
告窖管理
告
状态:
规则状态
有新版本(0)
无异常(17)
有异常(O)
品规则视图
出其他
告等大盘
用户管理
报表
产品
留类别:
用户管理
告警英路
告告链路中心
审计运营中心
监控规则中心
用户组管理
行动英路
告等排障中心
值班组管理
内容模版
输入模版ID或模版描述筛选
审计安全中心
关闭
开启
临时关
告警中心日志
资源数据
全局默认日历
渠道额度
Webhook荣成
态
审计性能中心
操作
类别
外部配适
开放告警
云数据库RDS
RDS慢SQL检测
已开启(4)
+
关闭临时关闭删除
展开
云数据库RDS数据库安全
+
已开启(4)
白名单
关闭临时关闭删除
RDS外网访问检测
展开
云数据库RDS数据库安全
+
未创建
RDS大批数据删除告警?
开启
展开
云敬据库RDS数据库安全
RDS危险的SQL执行告蜜
+
开启
未创建
展开
云数抱库RDS数据库安全
未创建
RDS高频访问IP检测?
开启
+
展开
云数据库RDS数据库安全
RDSSQL执行错误数过多告警?
未创建
开启
+
展开
云数据库RDS数据库安全
RDS大批量数据修改事件告警?
开启
未创建
展开
- 将用户加到“SLS审计内置用户组”中。
告警中心
新版告警(公测介绍功能概览使用限制定价常见问题
用户组管理
规则/事务
用户组管理
请输入完整的标识符或姓名
刷新
批呈添加
创建
上次修改时间小
成员
状态
标识符
创建时间上
操作
名称
修改售制删除
1个
SLS审计内置用户组
2020-09-2407:58:02
正常
2021-06-2916:09:10
sls.app.audit.builtin
审计场景应用
下面以RDS慢日志监控为例,说明下端到端的审计流程。
- 查看审计性能中心报表,发现最近执行的慢SQL结果。
- 一键开启 “RDS慢SQL检测”告警规则。
- 告警规则上的红色框,可以针对所有的logstore一键开启告警监控。
- project列表上的蓝色框,可以仅开启部分logstore的告警监控。
- 监控到异常并以邮件(或其他形式)形式通知
百阿里云
管理控制台用户中心帮助中心
备案专区
联系客服
产品服务
首页
尊敬的用户:
您的日志服务有一组新的告警(1条),详情如下:
阿里云账号:
告警规则名称:RDS慢SQL检测
告警等级:高级
告警标题:RDS慢SQL告警
p989下的数据库null过去2分钟内出现1次慢SQL执行.
告警内容:RDS实例mm-bp1o
此次告警的触发时间:2021-06-2919:36:26
告警规则所在Project:rds-test-1
55578-cn-hangzhou
阿里云计算有限公司
此为系统邮件请勿回复
