日志審計服務新功能介紹（全局資料視圖及DRDS接入）

阿裡雲日志服務

作為行業領先的日志大資料解決方案，一站式提供資料收集、清洗、分析、可視化和告警功能。日志審計APP提供多賬戶下跨多雲産品審計相關日志進行實時自動化中心化采集，并提供審計需要的存儲、查詢、資訊彙總支援。覆寫Actiontrail、OSS、SLB、RDS、DRDS、API網關等基礎産品并支援自由對接到其他生态産品或自有SOC中心。

一、背景

《簡化雲上等保，阿裡雲釋出日志審計服務》

中詳細介紹了日志審計的相關背景。總體來說有如下幾點：

• 日志審計是法律剛性需求。網絡安全法及等保2.0都對日志審計提出了要求，包括相關日志留存時間及日志集中收集、分析能力。
• 日志審計是客戶安全合規依賴的基礎。日志審計有以下集中形式：
  • 客戶有成熟的内部合規團隊，可以直接消費原生各類日志。
  • 客戶也可以直接使用日志審計服務提供的審計支援，直接建構并輸出合規審計資訊。
  • 客戶有安全中心（SOC）可以直接消費日志審計中日志。

    

• 日志審計是安全防護的重要一環。長期、可靠、無篡改的日志記錄與審計支援來持續安全問題發現解決的時間。

二、日志審計典型場景

• 基礎需求：大部分中小企業客戶需要自動化采集存儲日志。他們的主要訴求是滿足《網絡安全等保2.0标準》中的最低要求，并脫離手工維護。
• 進階需求：跨國企業、大企業以及部分中型企業，存在多個部門之間獨立結算并且在阿裡雲賬号的使用上各自隔離，但是在審計的時候，需要自動化、統一采集相關日志。他們的主要訴求是除上述的基礎訴求外，還希望中心化采集日志并支援多個賬号的簡單管理。這部分企業一般擁有審計系統，是以對日志審計的需求是能夠實時、簡單的對接。
• 更上層的需求：擁有專門合規團隊的大公司，他們需要對日志進行監控、告警和分析。一部分客戶采集資料到審計系統中進行操作。另一部分客戶（尤其是計劃在雲上搭建一套新審計系統的客戶）可以使用日志服務提供的審計支援（查詢、分析、告警、可視化等）進行審計操作。
• 最頂端需求：擁有專業成熟審計合規團隊的大企業，一般擁有自己的安全中心或審計系統，他們的核心需求是對接資料進行統一操作。

三、阿裡雲日志服務

日志服務作為行業領先的日志大資料解決方案，提供一站式資料采集、清洗、分析、可視化和告警功能。一直很好的支援日志服務相關場景：DevOps、營運、安全、審計。

1、審計服務APP

2、技術功能及優勢

• 實時中心化采集
  • 多雲産品支援: 支援阿裡雲SLB、OSS、RDS等多個主流産品。
  • 一鍵式采集：一次性配置采集政策後，即可完成跨賬号自動實時發現新資源 并實時采集日志。
  • 跨賬号：支援将多個主賬号下的日志采集到一個主賬号下的Project中。
  • 中心化存儲：将采集到的日志存儲到某個地域的中心化Project中，友善後續查詢分析、可視化與告警、二次開發等。
• 支援豐富的審計功能
  • 繼承日志服務現有的所有功能，包括查詢分析、加工、報表、告警、導出等功能，支援審計場景下中心化的審計等需求。
  • 生态開放對接：與開源軟體、阿裡雲大資料産品、第三方SOC軟體無縫對接，充分發揮資料價值。

阿裡雲日志服務審計APP的上述優勢，可以很好的滿足上文提到的日志審計典型場景。

3、 産品支援

日志審計服務在繼承現有日志服務所有功能外，還支援多賬戶下實時自動化、中心化采集雲産品日志并進行審計，以及支援審計所需的存儲、查詢及資訊彙總。覆寫基礎（ActionTrail）、存儲（OSS、NAS）、網絡（SLB、API網關）、資料庫（RDS、DRDS）、安全（WAF、Cloud Firewall、雲安全中心）等産品以及支援自由對接其他生态産品或自有SOC中心。

四、全局資料視圖

為了豐富日志審計APP監控、告警、分析方面的能力，我們提供了日志審計全局視圖及雲産品的全局視圖。可以友善使用者檢視日志的整體分布及變化趨勢。

1、日志審計全局資料視圖

2、雲産品全局資料視圖

2.1、OSS全局資料視圖

2.2、RDS全局資料視圖

2.3、SLB全局資料視圖

五、DRDS接入

DRDS 是一款基于 MySQL 存儲、采用分庫分表技術進行水準擴充的分布式 OLTP 資料庫服務産品，支援 RDS for MySQL 以及 POLARDB for MySQL，産品目标旨在提升資料存儲容量、并發吞吐、複雜計算效率三個方面的擴充性需求。

資料庫作為企業業務的資料核心，對資料庫的操作行為尤其是所有SQL執行的行為進行記錄并審計的日志，就顯得尤為重要。分布式關系型資料庫 DRDS 接入日志審計APP，不僅能夠完成DRDS日志的一鍵采集，而且可以對 SQL 執行狀況、性能名額、安全問題的實時診斷分析能力。

1、DRDS日志審計支援

• 支援一鍵實時采集，并自動識别建立或删除執行個體。
• 支援跨賬号采集。
• 支援中心化日志存儲。
• 豐富的SQL審計分析能力，友善使用者對DRDS日志進行查詢分析、加工、報表、告警、導出能力。SQL執行日志包括了對資料庫進行的所有SQL操作，DRDS提供的SQL執行日志通過網絡監聽的方式收集，對實際執行幾乎沒有性能的影響，包括但不限于如下類型的SQL執行以及資訊提取：

  • DDL（Data Definition Language）：基于SQL的對資料庫結構定義的SQL，例如CREATE、ALTER

    DROP、TRUNCATE、COMMENT等

  • DML（Data Manipulation Language）：SQL操作語句，包括SELECT、INSERT、UPDATE、DELETE等
  • 其他SQL執行，包括任何其他通過SQL執行的控制，例如復原、控制等
  • 失敗的SQL執行也會被記錄
  • 對SQL執行的時間、執行結果、影響的行數等資訊的提取
  • 支援多SQL的事務執行關聯
  • 支援對SQL提取模闆、類型解析
  • 支援曆史執行的導入

2、DRDS報表分析

報表具體SQL分析詳見

DRDS SQL審計與分析

。

2.1、實時資料庫通路異常排查與問題分析，事務、SQL模闆類讀寫延時等

2.2、安全分析，重要表格、異常SQL類型、異常删除修改、危險SQL攻擊等分析

2.3、營運分析，活躍資料庫與表格，關鍵資料添加修改删除動向