开通DAS企业版（NoSQL兼容）审计日志-云数据库 MongoDB 版(MongoDB)-阿里云帮助中心

应用场景

云数据库MongoDB将阿里云日志服务的部分功能融合到审计日志中，提供更加稳定、易用、灵活且高效的审计日志服务。应用场景如下：

应用场景	说明
操作审查	定位数据修改的操作者身份或时间点等信息，帮助识别是否存在滥用权限、执行非合规命令等内部风险。
安全合规	帮助业务系统通过安全规范中关于审计部分的要求。

实例架构为副本集实例或分片集群实例，单节点实例暂不支持开通审计日志。
已开通日志服务SLS，如何开通，请参见开通日志服务。
如果使用RAM用户开通审计日志，需要授予RAM用户以下权限：
- AliyunLogFullAccess：该权限为系统策略。授权方法，请参见为RAM用户授权。
- dds:CheckServiceLinkedRole：该权限为自定义策略，您需要先在访问控制台创建该自定义策略后再授权。通过脚本编辑模式创建自定义权限策略的方法，请参见创建自定义权限策略。授权方法，请参见为RAM用户授权。
  
  dds:CheckServiceLinkedRole策略的脚本如下。
```
{
	"Version": "1",
	"Statement": [
		{
			"Effect": "Allow",
			"Action": "dds:CheckServiceLinkedRole",
			"Resource": "*"
		}
	]
}
```
如果使用RAM用户访问审计日志，需要授予RAM用户AliyunLogFullAccess或AliyunLogReadOnlyAccess权限。授权方法，请参见为RAM用户授权。

开通审计日志后，系统将记录写操作的审计信息，写入量或审计量可能会对云数据库MongoDB实例造成性能损失及一定的延时抖动。实例版本在6.0及以上时可能会造成15%~20%的性能损失，在6.0以下时可能会造成更大的性能损失，详情参考开启审计日志性能分析。

说明
如果您的业务对云数据库MongoDB实例的写入量非常大，建议仅在故障排查或安全审计时开通该功能，以免带来性能损失。
开通审计日志后，默认勾选的审计操作类型只有admin和slow。如果您需要更改审计操作类型，请参见更改审计操作类型。
如果您已开通正式版审计日志，但需要使用冷热分层存储、按实例配置存储时长、账单分账到实例维度的审计日志功能，您可以将其升级为DAS企业版（NoSQL兼容）审计日志。

计费项	计费方式	日单价	说明
日志流量	按量付费	0.24元/GB	默认费用。日志引入到存储（包含采集、传输和写入等基本过程）时按量收取该费用。
冷存储		0.00625元/GB/小时	默认费用。冷日志存储的费用，按日志量和存储时长收取。如果未开启热存储，全按照冷存储收费。如果开启热存储：新引入日志将先存储于热存储，在热存储期间，收取日志热存储的费用。热存储到期后，自动免费转入冷存储。
日志索引		0.24元/GB	开启日志索引功能时收取该费用。日志索引的数据采用热存储，会自动适应并创建优化索引，以提高数据的读取速度。
热存储		0.008元/GB/小时	热日志存储的费用，按日志量和存储时长收取。如果开启了冷存储，日志热存储到期后自动免费转入冷存储。热存储日志最多存储7天。

重要

本文费用单价仅供参考，实际购买时可能存在价格变动，请以实际询价和账单生成价格为准。更多信息请参见云数据库MongoDB详细价格信息。

您可以使用以下方法节省审计日志的费用。

方法	风险	参考文档
缩短审计日志保留天数	会使可追溯审计的历史时间缩短。	更改DAS企业版（NoSQL兼容）审计日志
减少审计操作类型	取消指定的审计操作类型后，将停止上传该审计操作类型的审计日志。说明审计操作类型被取消后，仅保留该审计操作类型在保留时长内的审计日志数据。例如：您设置的审计日志保留时长为5天，审计操作类型为admin、slow和query。如果您在2022年10月10日00:00:00取消query，则之后不会保存query产生的审计日志，且2022年10月05日00:00:00~2022年10月10日00:00:00时间段内query产生的审计日志也会逐渐过期，并在过期后被自动删除。	更改DAS企业版（NoSQL兼容）审计日志
关闭审计日志	关闭审计日志后，将停止上传该实例的审计日志，不可再追溯审计后续的访问操作行为。说明关闭审计日志后，仅保留在保留时长内的审计日志数据。例如：您设置的审计日志保留时长为5天，如果您在2022年10月10日00:00:00关闭审计日志，则不会保存之后产生的审计日志，且2022年10月05日00:00:00~2022年10月10日00:00:00的审计日志也会逐渐过期，并在过期后被自动删除。	关闭DAS企业版（NoSQL兼容）审计日志

说明

登录MongoDB管理控制台。
根据实例类型，在左侧导航栏，单击副本集实例列表或分片集群实例列表。
在页面左上角，选择实例所在的资源组和地域。
单击目标实例ID或目标实例所在行操作列的管理。
在目标实例页面的左侧导航栏，单击数据安全性 > 审计日志。
单击开启DAS企业版（NOSQL兼容），设置SQL日志存储时长及日志索引热存储时长。
- 勾选SQL日志存储时长（冷存储），取值范围为30～1825天，默认30天。
- （可选）勾选开通日志索引，选择热存储时长，取值范围为0～7天，默认1天。
单击提交。
说明
- 开通审计日志服务的同时，云数据库MongoDB会自动获取AliyunServiceRoleForMongoDB角色，以实现日志服务向云数据库MongoDB授权审计日志功能的目的。
- 在每日SQL日志流量预估中，你可以预估您每日的审计日志流量，计算对应的费用，该处填入的数值不影响审计日志的实际使用。

接口	说明
DescribeAuditPolicy	查询云数据库MongoDB是否开通审计日志。
ModifyAuditPolicy	开通或关闭云数据库MongoDB审计日志，并设置日志保留时长。
ModifySqlLogConfig	开启或配置DAS企业版（NoSQL兼容）审计日志。