操作场景
首次为分布式缓存数据库实例开启审计功能:适用于新创建的分布式缓存数据库实例或之前未开通审计功能的存量实例,首次开启审计可立即开始记录所有符合条件的命令,为业务上线前的合规检查和后续运维管理奠定基础。
批量为多个实例统一开通审计功能:业务批量上线,可一次性为业务相关的所有实例配置相同的审计策略(如写命令审计、保留7天),确保审计配置的一致性,避免逐个配置的操作失误。
前提条件
条件类型 | 具体要求 |
实例版本 | Redis 4.0、5.0、6.0、7.0版本,Valkey 8.0 |
网络环境 | 分布式缓存数据库实例处于运行状态,且网络连接正常 |
地域支持 | 实例所在地域已开通审计功能(当前全地域支持,灰度期间可能受地域白名单限制) |
操作步骤
1. 登录 腾讯云分布式缓存数据库控制台。
2. 在左侧导航栏中,选择 Distributed Cache(兼容 Redis) 菜单下的 数据库审计。
3. 在数据库审计页面上方,选择需开启数据库审计的地域,审计状态选择未开启,页面将显示该地域下所有未开启审计的数据库实例。
4. (可选)在数据库实例列表上方的搜索框,可根据关键字过滤目标实例:支持根据实例 ID、实例名称、标签键、标签进行搜索。
5. 您可以为单个或多个实例开启数据库审计服务,在数据库实例列表中进行操作
批量开启:在数据库实例列表,勾选需开启审计的一个或多个实例,单击列表上方的开通审计服务。
单个开启:在目标实例的操作列,单击开通审计服务。
6. 在开启审计服务页面,配置审计规则以及审计日志保存策略。
配置项 | 配置参数 | 参数说明 |
实例选择 | - | 再次选择需进行数据库审计的实例。 |
审计规则设置 | 审计类型 | 写命令(默认):数据变更类命令,涵盖字符串、哈希、列表、集合、有序集合等所有数据结构的写入操作。 读命令:数据查询类命令,涵盖所有数据结构的读取操作和元数据查询操作。 全部命令:审计所有命令的执行情况。 |
| 降级策略 | 设置触发数据库审计降级的 P99 延迟阈值。 说明: 数据库审计在运行过程中会消耗一定的系统资源。开启降级策略后,系统会实时监控数据库的 P99 延迟。当延迟超过您配置的阈值(如系统压力过大时),系统将主动触发自我保护机制,暂时停止采集并丢弃新的审计日志数据,从而释放系统资源,优先保障您核心业务的正常读写请求。当数据库负载回落、延迟恢复正常后,审计数据采集将自动恢复,全过程无需人工干预。 默认阈值:500ms。 可配置范围:300-1000ms。 |
审计服务设置 | 日志保存时长 | 范围:7-30天。 默认值:7天。 建议:根据合规要求和成本预算选择合适的时长。 |
| 高频存储时长 | 高频存储采用高性能介质,查询速度快,适合近期需要频繁检索的审计日志。当前仅支持选择7天。 |
| 低频存储时长 | 当数据存放超过“高频存储时长”后,会自动流转至低频存储。 |
7. 确认配置信息,单击确定,提交开启审计请求。系统会创建异步工作流,配置审计功能,在审计实例页面,将展示已开启审计的所有实例。
常见问题
Q1:开通之后,审计配置支持修改吗?
Q2:批量操作有什么限制吗?
批量开启/关闭审计支持一次选择多个实例,暂无数量限制。
批量修改审计规则时,所有实例使用相同的配置,如需不同配置请分别修改。
建议单次批量操作实例数量不超过50个,避免操作超时。
Q3:降级策略的阈值如何设置?
降级策略(P99延迟)的默认值为500毫秒,支持在300 ~ 1000毫秒之间灵活调整。当实例延迟达到该阈值时,系统会自动暂停审计采集以保障业务可用性。建议您根据实际业务场景进行设置:
延迟敏感型业务(如秒杀、实时交易): 建议调低阈值(如300毫秒)。在遇到突发流量时,系统能更早地卸载审计开销,全力保障核心业务的极速响应。
常规业务: 保持默认的500毫秒即可,能够在日常负载下兼顾“业务性能”与“安全审计”需求。
强合规/高延迟容忍业务: 若您的业务对安全操作留痕要求极高,且本身能容忍一定的访问延迟,可适当调高阈值(如800 ~ 1000毫秒),以最大程度保证审计日志的完整性。
Q4: 触发“降级策略”导致日志采集暂停后,需要我手动重新开启审计吗?
答: 完全不需要。降级策略是一套全自动的自我保护机制。当实例的 P99 延迟超过您设置的阈值(如500ms)时,系统会暂停采集以保障核心业务;一旦业务高峰期过去,数据库负载回落且延迟低于该阈值后,系统会自动恢复审计日志的采集,全过程无需任何人工干预。
