云数据库Redis基于阿里云日志服务SLS(Log Service),推出新版审计日志功能,为您提供日志的查询、在线分析、导出等功能,助您时刻掌握产品安全及性能情况。

前提条件

  • Redis实例为本地盘版实例,更多信息,请参见本地盘和云盘实例对比
  • Redis实例为社区版或企业版(性能增强型)。
  • Redis实例的引擎版本为4.0或以上,且实例的小版本为最新。关于如何升级版本,请参见升级大版本升级小版本
  • 如果使用RAM用户开通审计日志,需要授予RAM用户AliyunLogFullAccess权限。具体操作,请参见授予权限

背景信息

阿里云日志服务是针对日志类数据的一站式服务,由阿里巴巴集团经历大量大数据场景锤炼而成。无需开发就能快捷完成日志数据的采集、消费、投递以及查询分析,是提升运维与运营效率的极佳工具。云数据库Redis将日志服务的部分功能融合到审计日志中,为您带来更加稳定、易用、灵活且高效的云Redis审计日志服务。

注意事项

  • 设置日志保留时长的操作对当前地域下的所有Redis实例生效,其他操作(例如开通新版审计日志、免费试用版和正式版之间互相切换等)均只对当前操作的实例生效。
  • 开通审计日志后,系统将记录写操作的审计信息,视写入量或审计量可能会对Redis实例造成5%~15%的性能损失。
    说明 如果您的业务对Redis实例的写入量非常大(例如大量使用INCRINCR进行计数的场景),建议仅在运维需要(例如故障排查)时开通审计功能,以免带来性能损失。
  • 由于旧版审计功能已下线,如果您的实例已开通旧版审计日志,您需要按照本文的说明开通新版审计日志。

费用说明

版本 费用说明
免费试用版
说明 免费试用版将在2021年2月3日下线。更多信息,请参见【通知】云数据库Redis审计日志正式版上线
免费。
说明 审计日志保存时长为1天,存储空间为100 GB。存储空间为当前地域中,所有已开通免费试用版的实例共用,到达存储上限后,新生成的审计日志信息将无法写入。
正式版 根据审计日志的存储空间和保存时长按量收取费用,不同地域的收费标准有所区别,更多信息,请参见收费项与价格

操作步骤

  1. 登录Redis管理控制台
  2. 在顶部菜单栏的左上角,选择实例所属的地域。
  3. 实例列表页,单击目标实例ID。
  4. 在左侧导航栏,单击日志管理 > 审计日志
  5. 选择审计日志的设置。
    图 1. 审计日志设置
    审计日志设置
    版本 配置
    免费试用版 选择待记录审计日志的节点类型:
    • 代理节点审计
    • 数据节点审计
    正式版 选择日志保留时长,支持的范围为7~365天。
    说明 日志保留时长的设置对当前地域下的所有实例生效,审计日志按照存储容量及保留时长收费。
    选择待记录审计日志的节点类型:
    • 代理节点审计
    • 数据节点审计
    说明 当实例为标准架构时,由于没有代理节点,仅支持选中数据节点审计
  6. 单击开通服务
  7. 在弹出的对话框中阅读相关提示并单击确定
    说明 由于审计日志功能依赖于阿里云日志服务,如果您的账号未开通阿里云日志服务,您需要根据弹出的对话框中的提示完成日志服务的开通。

常见问题

  • Q:免费试用版可以使用到什么时候?
    A:可以继续使用至2021年2月1日。
    注意 在2021年2月2日,审计日志功能将正式商业化并下线免费试用版。更多信息,请参见【通知】云数据库Redis审计日志正式版上线
  • Q:免费试用版和正式版之间是否支持互相切换?
    A:支持。您可以在审计日志页面,单击右上角的服务设置,选择待切换的版本。
    图 2. 审计日志全局设置
    审计日志全局设置
    说明 从正式版切换至免费试用版后,该实例将不再产生审计日志的相关费用。由于审计日志的数据一般会在12~24小时左右完成过期淘汰,如果您在此期间从免费试用版切换回正式版,未完成过期淘汰的数据将会产生费用。
  • Q:如何关闭某个实例的审计功能?

    A:您可以在审计日志页面,单击右上角的服务设置,关闭所有节点的审计开关。

  • Q:如何下载完整的审计日志?
    A:具体操作,请参见下载日志。在操作时,您需要注意以下内容:
    说明
    • 在执行下载日志的操作时,选择的目标Project的命名格式为nosql-{用户UID}-{Region},例如nosql-17649847257****-cn-hangzhou;然后选择目标Logstore为redis_audit_log(免费试用版日志)或redis_audit_log_standard(正式版日志)。
    • 下载方式选择为通过Cloud Shell下载通过命令行工具下载即可下载全部日志,如果选择为直接下载,仅会下载本页面展示的日志。
  • Q:为什么仅支持写操作的审计功能,不开放读操作的审计功能?

    A:绝大多数场景下读操作占比较高,读操作的审计将带来较多的性能损失,且由于要存储的数据过大,如果保持稳定的策略有可能会丢失部分审计日志,所以未开放读操作的审计功能。

  • Q:免费试用版的存储空间为100 GB,且是当前地域下的所有实例共用,如果满了会怎么样?

    A:到达存储上限后,新生成的审计日志信息将无法写入,等待数据过期淘汰后(一般12~24小时),新的审计日志才可以继续写入。

  • Q:正式版的审计日志保存时长是当前地域生效,如果第一个实例设置为7天,第二个实例设置为14天,最终以哪个为准?

    A:以最近一次设置的为准。

  • Q:为什么会某些审计日志对应的客户端IP不是业务所属的客户端?

    A:目前审计日志会包含管控类的写操作日志,未来将过滤此类日志。