开启SQL日志审计 - PolarDB-X 云原生分布式数据库

SQL日志审计功能默认关闭，您可以在云原生分布式数据库控制台上手动开启。默认情况下，只对开启SQL日志审计功能之后产生的日志数据进行审计分析，您也可以导入部分历史数据。

前提条件

开通阿里云日志服务。
已购买PolarDB-X专享实例，并创建了数据库。
默认情况下，只有主账号可以开启并操作SQL日志审计功能。子账号开启和操作SQL日志审计功能前，需要先授予日志服务相关权限。详细步骤请参见子账号授权。

背景信息

SQL审计功能默认为关闭状态。您可以参见本文档开启该功能。开启后会产生额外费用，详细收费标准请参见计费方式。如果您需要关闭该功能，请在云原生分布式数据库控制台关闭。关闭后不再写入数据，可以查看历史数据，这部分历史数据会产生存储和索引费用。您可以在日志服务控制台删除Logstore以删除历史数据，删除后日志服务不再对该部分数据计费。

前提条件

当前支持SQL审计功能的实例需属于如下地域（其它地区陆续开放中）：

华东1（杭州）
华东2（上海）
华北1（青岛）
华北2（北京）
华南1（深圳）

操作步骤

登录云原生分布式数据库控制台，并选择地域。
在实例列表页面单击实例名称。
在左侧导航栏中单击SQL审计与分析。
展开下拉框，选择需要开启SQL审计与分析的数据库。
请根据页面提示进行授权。授权后，PolarDB-X有权限将日志数据写入日志服务。
在日志状态一栏或下拉框中状态栏打开功能开关。
确认是否导入历史数据。
默认情况下，只对开启SQL日志审计功能之后产生的日志数据进行审计分析。
- 如果您发现PolarDB-X数据库的数据被修改，但是并未开启SQL审计功能，可以在开启功能时导入历史数据，将过去发生的日志加入审计分析范围，追溯数据篡改者。 PolarDB-X会根据您PolarDB-X实例节点上的日志存储情况，动态检测支持导入的历史数据范围，目前最多支持导入七天内的数据。
- 如果需要导入历史数据，请打开功能开关，并指定回溯开始时间和回溯结束时间，并单击启用。
  导入历史数据功能基于PolarDB-X节点保存的日志时间动态检测，最大支持导入七天的历史数据。导入过程涉及文件操作，需要一定的时间，请耐心等待。您可以在控制台右上角的任务列表中查看日志回溯的进度。
- 如果不需要导入历史数据，请直接单击启用。

执行结果

SQL审计功能已成功开启，相同Region下的PolarDB-X数据库的审计日志会写入同一个日志服务的Logstore中。同时，日志服务为您创建以下默认配置。

请勿随意删除或修改日志服务为您默认创建的 Project、Logstore、索引和仪表盘设置，日志服务会不定期更新与升级SQL日志审计功能，专属日志库的索引与默认报表也会自动更新。

表 1. 默认配置

默认配置项	配置内容
Project	默认为您创建 Project `drds-audit-区域名-阿里云账户ID`，例如 `drds-audit-cn-qingdao-12345678`。
Logstore	默认为您创建 Logstore `drds-audit-log`。
地域	相同 Region 下的 DRDS 数据库的审计日志会写入同一个日志服务的 Logstore 中。例如，华东1（杭州）地域中所有可用区的 DRDS 数据库审计日志都会写入日志服务的 Logstore `drds-log-cn-hangzhou-阿里云账户ID` 中。
Shard	默认为您创建5个 Shard，并开启管理Shard 功能。
索引	日志服务自动为您创建索引。您的索引设置会随着功能升级自动更新，请勿手动修改或删除索引。
日志存储时间	默认保存30天。30天以上的日志自动删除。若您需要更长的存储时间，可以自定义修改。详细步骤请参见高级管理。
仪表盘	默认创建三个仪表盘，分别为：运营中心性能中心安全中心关于仪表盘的更多信息，请参见日志报表。说明请勿修改默认的仪表盘配置，默认仪表盘会随着功能升级自动更新。您也可以自定义创建新的仪表盘，详情请参见仪表盘。