ログ配信
TDSQL-C for MySQLのデータベース監査は、ログ配信機能を提供します。この機能により、TDSQL-C for MySQLをソースとするデータベース監査ログを収集し、CLS(Cloud Log Service)に配信して集約管理と分析を行うことが可能です。また、Ckafkaメッセージキューへの配信にも対応しており、配信後はCkafkaメッセージキューコンソールでログのリアルタイムストリーム計算を実施できます。さらに、COSオブジェクトストレージへの配信により、ログデータのアーカイブ保存もサポートしています。本ドキュメントでは、コンソールを通じてデータベース監査のログ配信機能を設定する方法についてご紹介します。
前提条件
CLSへの配信が必要な場合、前提条件は以下の通りです。
この機能を使用する前に、CLSが開通済みであることをご確認ください。
データベース監査が有効化されました。
インスタンスの状態は稼働中です。
Ckafkaメッセージキューへの配信が必要な場合、前提条件は以下の通りです。
CKafkaインスタンスでルーティングポリシーを追加する。
データベース監査が有効化されました。
インスタンスの状態は稼働中です。
COSへの配信が必要な場合、前提条件は以下の通りです。
この機能を使用する前に、COSが開通済みであることをご確認ください。
データベース監査が有効化されました。
インスタンスの状態は稼働中です。
サポート対象バージョンおよびアーキテクチャ
MySQL 5.7、MySQL 8.0。
インスタンス形態はプロビジョニング済みリソースとServerlessです。
ログ配信の課金説明
TDSQL-C for MySQLデータベース監査ログをCLSに配信する機能は、サードパーティの独立課金クラウド製品CLSに関連します。課金基準については、CLS > 課金概要をご参照ください。
TDSQL-C for MySQLデータベース監査ログをCkafkaメッセージキューに配信する機能は、サードパーティの独立課金クラウド製品であるCkafkaメッセージキューに関連します。課金基準については、Ckafka課金概要をご参照ください。
TDSQL-C for MySQLデータベース監査ログをCOSに配信する機能は、サードパーティの独立課金クラウド製品であるCOSに関連します。課金基準については、課金概要をご参照ください。
TDSQL-C for MySQLデータベース監査のログ配信機能を有効化した場合、トラフィック料金が発生します。配信されるログトラフィックに応じて課金され、詳細は以下の表をご参照ください。
説明:
ログ配信機能を有効化した場合、この機能にはトラフィック料金が発生します。ただし、ログ配信経路(CLS、Ckafka、またはCOS)を1つだけ有効にする場合でも、複数の経路(CLS、Ckafka、またはCOS)を有効にする場合でも、この機能によって発生するトラフィック料金はシステムが1回分のみ課金します。
課金項目:監査ログトラフィック | |
中国本土リージョン(USD/GB) | 中国香港、その他の国とリージョン(USD/GB) |
0.05882353 | 0.08823529 |
ログ配信トラフィック監視の説明
ログ配信機能を有効化した場合、監視機能を通じてログ配信によって発生するリアルタイム配信トラフィック状況を把握できます。
監視メトリクス名称 | 呼び出し可能指標名 | 単位 | 指標説明 |
配信トラフィック | AuditDeliverRate | MB | ログ配信機能によって発生する配信トラフィック。 |
監査インスタンスリストで、ログ配信機能を有効化したインスタンスを確認できます。ログ配信フィールドの監視アイコンをクリックすると、配信トラフィックの監視状況をご確認いただけます。
ログ配信ステータス表示に関する説明
上図のとおり、TencentDB for MySQLのデータベース監査ページにて、ログ配信フィールドの下に対応するインスタンスの監査ログの配信ステータスが表示されます。具体的な各配信ステータスの説明は以下のとおりです。
Ckafkaの表示:現在のインスタンスのデータベース監査がログをCkafkaメッセージキューに配信する機能を有効化していることを示します。
CLSの表示:現在のインスタンスのデータベース監査がログをCLSに配信する機能を有効化していることを示します。
COSの表示:現在のインスタンスのデータベース監査がログ配信をCOSオブジェクトストレージへ有効化していることを示します。
無効の表示:現在のインスタンスのデータベース監査がログ配信を設定していないことを示します。
関連操作
データベース監査ログのCLSへの配信、Ckafkaメッセージキューへの配信、およびCOSオブジェクトストレージへの配信に関する操作手順は、以下の各ページ内のガイダンスをご参照ください。
ログ配信をCLSに有効化する
1. TDSQL-C for MySQLコンソールにログインします。
2. 左側ナビゲーションバーでデータベース監査を選択します。
3. 上部でリージョンを選択し、監査インスタンスページにて監査ストレージステータスをクリックし、有効化オプションを選択することで、監査を有効化したインスタンスをフィルタリングします。
4. 監査インスタンスリストでターゲットインスタンスを見つけます(検索ボックスでリソース属性によるフィルタリングで素早く検索することも可能です)。その操作列にあるその他 > ログ配信の設定をクリックします。
5. (既に開設済みの場合は、この手順をスキップ可能)表示されるサイドバーで開設へ移動をクリックし、CLS側で開設手続きにジャンプします。
6. (既に開通済みの場合は、この手順をスキップ可能)開通後、データベースコンソールに戻ると、開通確認のポップアップが表示されます。ポップアップ内で開通完了をクリックします。
説明:
開通プロセス中にシステムはサービスの開通成功を検証します。開通失敗のメッセージが表示された場合は、しばらくしてから再度開通を試みてください。
7. (既に権限付与済みの場合は、この手順をスキップ可能)サイドバーで権限付与へ移動をクリックし、サービス権限ポップアップにて権限を同意をクリックします。
説明:
サービスロール権限付与のプロセス中にシステムは権限付与の成功を検証します。サービスロール権限付与失敗のメッセージが表示された場合は、しばらくしてから再度開通をお試しください。
8. サイドバーで、CLSログサービスへの配信の下にあるすぐに有効化をクリックします。
9. ログ配信を有効化するポップアップで、以下の設定を完了し、すぐに有効化をクリックします。
パラメータ | 説明 |
ターゲットリージョン | ログ配信のリージョンを選択します。CLS側でデータベースインスタンスの所在リージョンをサポートしている場合、この項目はデフォルトでインスタンスの所在リージョンが選択されます。他の選択可能なリージョンを選ぶことも可能です。CLS側でデータベースインスタンスの所在リージョンをサポートしていない場合、CLSがサポートする他のリージョンを選択できます。 |
ログトピック操作 | 既存のログトピックを選択するか、新しいログトピックを作成することがサポートされています。 |
既存のログトピックを選択する | ログトピック操作が「既存のログトピックを選択する」に設定されている場合、既存のログセットとログトピックをさらに選択する必要があります。 ログセット:ログセットとはログトピックを分類するためのもので、ログトピックの管理を容易にします。検索ボックスで既存のログセットを絞り込んでください。 ログトピック:ログトピックはログデータを収集、保存、検索、分析するための基本単位です。検索ボックスで選択したログセットの下にあるログトピックを絞り込んでください。 説明: このステップで選択可能なログトピックは、データベースコンソールでログ配信を有効化するプロセスにおいて、ログトピック操作で「新しいログトピックを作成する」を選択した際に作成されたものに限られます。CLSコンソールで作成されたログトピックは選択できません。 |
ログトピックを作成する | ログトピック操作が「ログトピックを作成する」に設定されている場合、ログトピックをカスタマイズし、既存のログセットまたは新しく作成したログセットに割り当てる必要があります。 ログトピック:ログトピックはログデータを収集、保存、検索、分析するための基本単位です。作成するログトピックを設定してください。 既存のログセットを選択するとは、作成するログトピックを既存のログセットに割り当てることを意味します。このオプションを選択した場合、ログセットの検索ボックスで既存のログセットを絞り込むことができます。 ログセットを作成する:これは作成するログトピックを新規のログセットに割り当てることを意味します。このオプションを選択した場合、作成するログセットを設定してください。 |
ログ配信をCLSに確認する
インスタンスのデータベース監査でCLSへのログ配信機能を有効化した後、当該インスタンスの現在のCLSへの配信状況(現在のログ配信先であるログセットとログトピック)を確認できます。
1. TDSQL-C for MySQLコンソールにログインします。
2. 左側ナビゲーションバーでデータベース監査を選択します。
3. 上方でリージョンを選択した後、監査インスタンスページで対象インスタンスを探し(検索ボックスでリソース属性をフィルタリングして素早く検索することも可能)、その操作列にあるその他 > ログ配信を設定するをクリックします。
4. ポップアップされるサイドバーで、現在のログ配信状況を確認できます。
5. ログセット名、ログトピック名、検索分析をクリックすると、CLSコンソールに移動し、ログ配信関連の状況を確認できます。
CLSへのログ配信を無効化する
説明:
1. TDSQL-C for MySQLコンソールにログインします。
2. 左側ナビゲーションバーでデータベース監査を選択します。
3. 上方でリージョンを選択した後、監査インスタンスページで対象インスタンスを探し(検索ボックスでリソース属性をフィルタリングして素早く検索することも可能)、その操作列にあるその他 > ログ配信を設定するをクリックします。
4. ポップアップサイドバーで、CLSへのログ配信の右側にある配信を停止するをクリックします。
5. ポップアップで注意事項を読み、確認クローズにチェックを入れ、確認をクリックします。
Ckafkaメッセージキューへのログ配信を有効化する
1. TDSQL-C for MySQLコンソールにログインします。
2. 左側ナビゲーションバーでデータベース監査を選択します。
3. 上部でリージョンを選択し、監査インスタンスページにて監査ストレージステータスをクリックし、有効化オプションを選択することで、監査を有効化したインスタンスをフィルタリングします。
4. 監査インスタンスリストでターゲットインスタンスを見つけます(検索ボックスでリソース属性によるフィルタリングで素早く検索することも可能です)。その操作列にあるその他 > ログ配信の設定をクリックします。
5. (既に開通済みの場合は、この手順をスキップ可)ポップアップサイドバーで開通へ進むをクリックし、メッセージキュー側での開通手続きページに遷移します。
6. (既に開通済みの場合は、この手順をスキップ可能)開通後、データベースコンソールに戻ると、開通確認のポップアップが表示されます。ポップアップ内で開通完了をクリックします。
説明:
開通プロセス中にシステムはサービスの開通成功を検証します。開通失敗のメッセージが表示された場合は、しばらくしてから再度開通を試みてください。
7. (既に権限付与済みの場合は、この手順をスキップ可能)サイドバーで権限付与へ移動をクリックし、サービス権限ポップアップにて権限を同意をクリックします。
説明:
サービスロール権限付与のプロセス中にシステムは権限付与の成功を検証します。サービスロール権限付与失敗のメッセージが表示された場合は、しばらくしてから再度開通をお試しください。
8. ポップアップサイドバーで、Ckafkaメッセージキューへの配信の下にある今すぐ有効化をクリックします。
9. Ckafkaメッセージキューへの配信ポップアップで、以下の設定を完了し、確定をクリックします。
パラメータ | 説明 |
ターゲットリージョン | ログ配信のリージョンを選択します。Ckafkaメッセージキューがデータベースインスタンスの所在リージョンをサポートしている場合、この項目はデフォルトでインスタンス所在リージョンが選択されます。他の選択可能なリージョンを選ぶこともできます。一方、Ckafkaメッセージキューがデータベースインスタンスの所在リージョンをサポートしていない場合は、Ckafkaメッセージキューがサポートする他のリージョンを選択できます。 |
Ckafka インスタンス | ターゲットリージョンにあるCkafkaインスタンスを選択します。 説明: Ckafka 2.4.1以降のバージョンのみ監査ログ配信をサポートしており、それ以外のバージョンのCkafkaインスタンスはサポートしていません。 |
トピック |
Ckafkaメッセージキューへのログ配信を表示
インスタンスのデータベース監査がログをCkafkaメッセージキューに配信する機能を有効化した後、当該インスタンスの現在のCkafkaメッセージキューへの配信状況を確認できます(現在のログ配信先であるCkafkaインスタンス、CkafkaトピックID/名称、リージョン、および作成時間を確認できます)。
1. TDSQL-C for MySQLコンソールにログインします。
2. 左側ナビゲーションバーでデータベース監査を選択します。
3. 上方でリージョンを選択した後、監査インスタンスページで対象インスタンスを探し(検索ボックスでリソース属性をフィルタリングして素早く検索することも可能)、その操作列にあるその他 > ログ配信を設定するをクリックします。
4. ポップアップされるサイドバーで、現在のログ配信状況を確認できます。
5. CkafkaインスタンスID、CkafkaトピックID/名称、またはメッセージクエリをクリックすると、メッセージキューコンソールに移動し、配信インスタンスの詳細を確認したりメッセージクエリを実行したりできます。
配信を変更する
インスタンスのデータベース監査がログをCkafkaメッセージキューに配信する機能を有効化した後、配信先のCkafkaインスタンス、リージョンまたはトピック(CkafkaトピックID/名称)を変更する必要がある場合は、以下の操作手順をご参照ください。
1. TDSQL-C for MySQLコンソールにログインします。
2. 左側ナビゲーションバーでデータベース監査を選択します。
3. 上方でリージョンを選択した後、監査インスタンスページで対象インスタンスを探し(検索ボックスでリソース属性をフィルタリングして素早く検索することも可能)、その操作列にあるその他 > ログ配信を設定するをクリックします。
4. ポップアップされるサイドバーで、Ckafkaメッセージキューへの配信の右側にある配信設定の変更をクリックします。
5. Ckafkaメッセージキューへの配信ポップアップで、Ckafkaインスタンス、リージョンまたはトピック(Ckafka Topic ID/名称)を再選択し、確定をクリックします。
Ckafkaメッセージキューへのログ配信を停止する
説明:
ログ配信を停止すると、当該インスタンスのデータベース監査ログの配信が停止されます。ご注意ください:停止後は新規ログの配信のみが停止され、既存のログは有効期限までCkafkaメッセージキューに継続して保存され、この間ストレージ費用が発生し続けます。メッセージを削除する必要がある場合は、メッセージキューコンソールで設定を行ってください。
1. TDSQL-C for MySQLコンソールにログインします。
2. 左側ナビゲーションバーでデータベース監査を選択します。
3. 上方でリージョンを選択した後、監査インスタンスページで対象インスタンスを探し(検索ボックスでリソース属性をフィルタリングして素早く検索することも可能)、その操作列にあるその他 > ログ配信を設定するをクリックします。
4. ポップアップされるサイドバーで、Ckafkaメッセージキューへの配信の右側にある配信の停止をクリックします。
5. ポップアップで注意事項を読み、閉じることを確認にチェックを入れ、確定をクリックします。
ログ配信をCOSオブジェクトストレージへ開始する
1. TDSQL-C for MySQLコンソールにログインします。
2. 左側ナビゲーションバーでデータベース監査を選択します。
3. 上部でリージョンを選択し、監査インスタンスページにて監査ストレージステータスをクリックし、有効化オプションを選択することで、監査を有効化したインスタンスをフィルタリングします。
4. 監査インスタンスリストでターゲットインスタンスを見つけます(検索ボックスでリソース属性によるフィルタリングで素早く検索することも可能です)。その操作列にあるその他 > ログ配信の設定をクリックします。
5. (既に権限付与済みの場合は、この手順をスキップ可能)サイドバーで権限付与へ移動をクリックし、サービス権限ポップアップにて権限を同意をクリックします。
説明:
サービスロール権限付与のプロセス中にシステムは権限付与の成功を検証します。サービスロール権限付与失敗のメッセージが表示された場合は、しばらくしてから再度開通をお試しください。
6. ポップアップされるサイドバーで、COSオブジェクトストレージへの配信の下にある今すぐ有効化をクリックします。
7. COSオブジェクトストレージへの配信ポップアップで、以下の設定を完了し、確定をクリックします。
パラメータ | 説明 |
ターゲットリージョン | ログ配信のリージョンを選択します。COS側がデータベースインスタンスの所在リージョンをサポートしている場合、この項目はデフォルトでインスタンスの所在リージョンが選択されます。他の選択可能なリージョンを選ぶことも可能です。COS側がデータベースインスタンスの所在リージョンをサポートしていない場合、COSがサポートする他のリージョンを選択できます。 |
COSバケット | 既存のCOSバケットを選択します。ドロップダウンボックス内でクイック検索が可能です。既存のCOSバケットが存在しない場合、ドロップダウンボックス内でバケットの作成を選択できます。これまでにCOSオブジェクトストレージを有効化したことがない場合、バケット作成プロセス中にシステムが有効化をガイドします。その後、バケット作成操作を完了できます。 |
ファイルの命名 | 配信ファイルの命名。デフォルトでは配信時間による命名となります。 |
COSパス | COSパスプレフィックスをここに入力してください(0~9、A~Z、a~z、/、_のみ対応可能で、/と_は先頭と末尾に使用できません)。完全パスは「プレフィックス/年/月/日/時」となり、この完全パスは配信される監査ログファイルがCOSバケット内に保存されるアドレスを表します。 |
配信パス例 | 本項目は上記の設定に基づき、COSバケットディレクトリを自動生成します。この表示内容を通じて、現在設定されているCOSバケットディレクトリを確認できます。 |
配信ファイルサイズ | 配信ファイルのサイズを設定します。これは配信間隔時間と組み合わせて使用され、どちらかの条件が先に満たされた場合、そのルールに従ってファイルを圧縮し、COSに配信します。デフォルト値は5MB、設定可能範囲は5MB~256MBです。 例えば:256MB、15分と設定した場合、ファイルサイズが5分で256MBに達すると、配信ファイルサイズの条件が先に満たされ、配信タスクが実行されます。 |
配信間隔時間 | 配信間隔時間を設定します。これは配信ファイルサイズと組み合わせて使用され、どちらかの条件が先に満たされた場合、そのルールに従ってファイルを圧縮し、COSに配信します。デフォルト値は15分、設定可能範囲は5分~15分です。 例えば:256MB、15分と設定した場合、ファイルサイズが15分経過時点でわずか200MBの場合、配信間隔時間の条件が先に満たされ、配信タスクが実行されます。 |
COSへのログ配信を確認する
インスタンスのデータベース監査がログ配信をCOSへ有効化した後、当該インスタンスの現在のCOSへの配信状況(現在のログ配信のCOSバケット、リージョン、作成時間など)を確認できます。
1. TDSQL-C for MySQLコンソールにログインします。
2. 左側ナビゲーションバーでデータベース監査を選択します。
3. 上方でリージョンを選択した後、監査インスタンスページで対象インスタンスを探し(検索ボックスでリソース属性をフィルタリングして素早く検索することも可能)、その操作列にあるその他 > ログ配信を設定するをクリックします。
4. ポップアップされるサイドバーで、現在のログ配信状況を確認できます。
5. COSバケット名をクリックすると、対応するCOSバケットのファイルリスト詳細ページにジャンプします。アーカイブストレージをクリックすると、COSコンソールにジャンプし、保存されている配信ファイルを確認できます。
配信を変更する
インスタンスのデータベース監査がログ配信をCOSに有効化した後、配信設定を変更する必要がある場合は、以下の操作を参照してください。
1. TDSQL-C for MySQLコンソールにログインします。
2. 左側ナビゲーションバーでデータベース監査を選択します。
3. 上方でリージョンを選択した後、監査インスタンスページで対象インスタンスを探し(検索ボックスでリソース属性をフィルタリングして素早く検索することも可能)、その操作列にあるその他 > ログ配信を設定するをクリックします。
4. ポップアップされるサイドバーで、COSへの配信の右側にある配信を変更するをクリックします。
5. COSへの配信ダイアログで、必要な設定を再選択し、確定をクリックします。
COSへのログ配信を停止する
説明:
ログ配信を停止すると、対象インスタンスのデータベース監査ログの配信が停止されます。停止後は新規ログの配信のみ停止され、既存のログは有効期限切れまでCOSに保持され続け、その間ストレージ費用が発生し続けます。ログを削除する場合は、COSコンソールで設定してください。
1. TDSQL-C for MySQLコンソールにログインします。
2. 左側ナビゲーションバーでデータベース監査を選択します。
3. 上方でリージョンを選択した後、監査インスタンスページで対象インスタンスを探し(検索ボックスでリソース属性をフィルタリングして素早く検索することも可能)、その操作列にあるその他 > ログ配信を設定するをクリックします。
4. ポップアップされるサイドバーで、COSへの配信の右側にある配信の停止をクリックします。
5. ポップアップで注意事項を読み、閉じることを確認にチェックを入れ、確定をクリックします。
付録1:ルーティングポリシーの追加
データベース監査ログをCkafkaメッセージキューに配信するには、まずCkafkaインスタンスにルーティングポリシーを追加する必要があります。そうしないと、ログ配信の設定時に「CkafkaにはPLAINTEXTアクセス方式をサポートする環境ルートが存在しません」というエラーが発生する可能性があります。操作方法は以下の通りです。
1. Ckafkaメッセージキューコンソールにログインします。
2. 左側ナビゲーションバーでインスタンスリストをクリックし、ターゲットインスタンスの「ID/名称」をクリックすると、基本情報ページに移動します。
3. インスタンス基本情報ページで、アクセス方式モジュール内のルーティングポリシー追加をクリックします。
4. ダイアログで、ルートタイプをサポート環境に選択し、アクセス方式を PLAINTEXTに選択し、送信をクリックします。
付録2:ストレージバケットの作成
COSオブジェクトストレージへのログ配信を有効にする際には、COSバケットを選択する必要があります。既存のCOSバケットが存在しない場合、以下の手順でバケットを作成した後、選択できます。
1. ドロップダウンでバケットの作成をクリックします。
2. ダイアログで以下の設定を完了し、作成をクリックします。
パラメータ | 説明 |
所属リージョン | バケットの所属リージョンを選択してください。ビジネスが集中している物理エリアに物理的に近いCOSリージョンを選択することをお勧めします。同じリージョン内の他のTencent Cloudサービスとは内部ネットワーク経由で相互接続可能です。作成後は変更不可。 |
名称 | カスタムバケット名を入力します。小文字、数字、および「-」の組み合わせのみサポートされ、ドメイン名の合計文字数は60文字を超えることはできません。バケット名は一度設定すると変更不可。 |
アクセス権限 | アクセス権限を選択します。バケットはデフォルトで3種類のアクセス権限を提供します:プライベート読み書き、公開読み取り・非公開書き込み、公開読み書き。設定後も変更可能です。詳細についてはバケットアクセス権限をご参照ください。 |
バケットタグ | |
リクエストドメイン | ここに設定完了後のリクエストドメインが表示されます。このドメインを使用してバケットにアクセスできます。 |
関連ドキュメント
CLS関連ドキュメントは以下の通り:
Ckafkaメッセージキュー関連ドキュメントは以下の通りです:
COS関連ドキュメントは以下の通りです:
フィードバック