本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。
当您在安全合规审计、性能分析、故障排除等场景下需要监控和管理RDS PostgreSQL实例中执行的SQL语句时,可以利用SQL洞察和审计功能对SQL语句的执行情况进行记录和聚合分析。开启该功能后会自动记录来自数据库内核的SQL语句,以及SQL语句的执行账号、IP地址、执行详情等信息,对实例性能没有影响。
前提条件
您的账号已购买DAS企业版。
开启DAS企业版后,才可以使用该企业版提供的SQL洞察和审计功能。通过控制台,您只能开通当前地域支持的最高的DAS企业版。不同的DAS企业版支持的地域不同。
如果是RAM用户,使用审计功能时,需要为RAM用户授予AliyunRDSReadOnlyWithSQLLogArchiveAccess权限。如何为RAM用户授权,请参见通过RAM对RDS进行权限管理。
说明您也可以通过自定义权限策略授予RAM用户使用搜索(包含导出)功能的权限,详情请参见通过自定义权限策略授权RAM用户使用SQL洞察和审计的搜索(包含导出)功能。
计费
请参见计费详情。
开通SQL洞察和审计之后,原SQL审计(数据库审计)将停止计费,新版本的SQL洞察和审计将按照DAS企业版进行收费。
功能介绍
审计:查询并导出SQL语句执行历史及其对应的各种信息,包括所属数据库、执行状态、执行时间等相关信息。
说明在SQL洞察和审计控制台页面中开启或关闭审计日志,会变更内核参数
log_statement。开启审计日志会设置
log_statement = all。关闭审计日志会设置
log_statement = ddl。
还可使用ModifySqlLogConfig接口进行开启或关闭审计日志。
SQL洞察:对SQL进行健康情况诊断、性能问题排查、业务流量分析等。
注意事项
如果实例启用了PgBouncer连接池,通过PgBouncer执行的SQL不会被SQL洞察和审计记录。
开启SQL洞察和审计
当前只能开通本实例支持的最新版本的SQL洞察和审计。
访问RDS实例列表,在上方选择地域,然后单击目标实例ID。
在左侧导航栏中,选择。
单击开启审计日志,勾选需要开启的功能,并单击提交。
使用SQL洞察和审计
修改SQL洞察和审计数据存储时长
减少SQL洞察和审计数据存储时长后,DAS会立刻将超过存储时长的SQL审计日志清空。建议您将SQL审计日志导出并保存至本地后,再减少SQL洞察和审计数据存储时长。
访问RDS实例列表,在上方选择地域,然后单击目标实例ID。
在左侧导航栏中,选择。
单击服务设置。
在服务设置页,修改存储时长并提交。
说明SQL洞察和审计数据的存储空间由DAS侧提供,不占用数据库实例的存储空间。
关闭SQL洞察和审计
SQL洞察和审计功能关闭后,SQL洞察和审计的日志会被清空。建议您将SQL洞察和审计的日志导出并保存至本地后,再关闭SQL洞察和审计功能。当重新开启SQL洞察和审计功能时,SQL洞察和审计的日志将从本次开启SQL洞察和审计的时间开始记录。
访问RDS实例列表,在上方选择地域,然后单击目标实例ID。
在左侧导航栏中,选择。
在日志列表区域,单击导出。
您可以选择导出字段和导出时间范围。对于采用冷热混合存储的SQL洞察和审计,导出数据时需要选择CSV分隔符。
配置导出任务,待导出完成后,单击任务列表,下载已导出的文件并妥善保存。
单击服务设置,关闭SQL洞察和审计。
如果您开通了DAS 企业版,请去掉SQL洞察和审计所有功能的勾选,单击提交。
重要关闭SQL洞察和审计功能约1小时后,系统会释放SQL洞察和审计数据占用的存储空间。
如果您在日志服务的CloudLens for RDS开启了RDS PostgreSQL实例的审计日志采集功能,系统会自动开启对应RDS PostgreSQL实例的SQL洞察和审计功能,因此您还需要关闭该数据库实例的审计日志采集功能。详情请参见CloudLens for RDS。