Para revisar as atividades da plataforma Atlas , use registros.
Recursos para o Atlas Logging
Acessar logs de auditoria
Você pode usar a Atlas CLI, a API de administração do Atlas ou a UI do Atlas para as seguintes atividades de auditoria:
Visualize e baixe os registros de auditar para rastrear ações de evento do sistema para implementações com vários usuários. Os administradores do Atlas podem configurar um filtro de auditoria personalizado para escolher as ações, os usuários do banco de dados , as funções do Atlas e gruposLDAP que desejam auditar.
Visualize e baixe registros do MongoDB para acompanhar eventos de registro para sua implementação, incluindo conexões de entrada, comandos executados e problemas encontrados. Geralmente, as mensagens de registro são úteis para diagnosticar problemas, monitorar o sistema e ajustar o desempenho.
Visualize eventos de projeto e organização no Project Activity Feed Organization Activity Feede. Esses feeds de atividades listam todos os eventos no nível da organização ou do projeto , incluindo alterações relacionadas ao acesso do Atlas , configurações e monitoramento de alerta , cobrança e muito mais.
Visualize as tentativas de autenticação do banco de dados que os usuários fazem no seu cluster em seus registros de acesso (ou seja, Database access history na UI do Atlas ). O Atlas registra tentativas de autenticação bem-sucedidas e malsucedidas, incluindo o carimbo de data/hora de cada tentativa e qual usuário tentou autenticar.
Acesso programático aos registros de auditoria
Para integrar com ferramentas além das integrações embutidas, recomendamos que você recupere registros com as seguintes ferramentas programáticas e alimente a saída formatada em JSON para suas ferramentas externas:
Para enviar logs continuamente para um bucket AWS S3, use os pontos de extremidade da API de administração do Atlas para Exportações de logs baseada em Push.
Para recuperar registros de implantação e listas de eventos de projeto , use os endpoints da API de Administração do Atlas para Monitoramento e Registros e Eventos de Projeto e Organização.
Para recuperar os registros de distribuição, use o comando atlas deployment logs no Atlas CLI.
Recomendações para registro do Atlas
As recomendações a seguir se aplicam a todos os paradigmas de implantação do.
Para realizar uma auditar completa , você pode usar uma combinação de registros de auditar , mensagens de registro do MongoDB e feed de atividades do projeto e da organização .
Por padrão, as mensagens de registro de auditar são retornadas em um formato projetado pelo MongoDB, chamado de esquema mongo. As mensagens de registro de auditoria que seguem o mongo esquema sempre incluem as seguintes informações:
Tipo de ação (
atype)Timestamp
ID de conexão do cliente (UUID)
Endereço IP e número da porta do cliente
Endereço IP e número da porta da conexão de entrada
Nome(s) de usuário
banco de dados(s) de dados de autenticação do usuário
Roles do usuário
banco de dados de role de usuário
paramdocumento contendo detalhes específicos do eventoValor do resultado ou código de erro
Para obter uma lista completa dos tipos de ação de auditar e seus param result valores e associados,consulte Mensagens de auditoria do mongo schema.
Exemplos de automação: registro do Atlas
Dica
Para exemplos de Terraform que impõem nossas recomendações em todos os colunas, consulte um dos seguintes exemplos no Github:
Os exemplos a seguir mostram como recuperar e baixar logs e configurar a auditoria usando as ferramentas do Atlas para automação.
Além dos exemplos a seguir, veja a postagem no blog Simplificar o gerenciamento de logs para o Amazon S3 Usando exportações de log baseadas em push do Atlas com HashiCorp Terraform.
Você pode recuperar registros e fazer download de registros. Você também pode recuperar alertas.
A recuperação de registros permite obter registros para visualização e acesso em tempo real dos arquivos de log atuais.
O download de registros permite criar um arquivo de registros do MongoDB Atlas para análise ou armazenamento posterior.
Obter logs
Recupere registros para monitorar e examinar a atividade do cluster em tempo real e solucionar um problema nos registros atuais.
Cada mongod instância e em um mongos cluster gera seu próprio registro do MongoDB e mensagens de registro de auditar com conteúdo potencialmente diferente do de outras instâncias. Você pode visualizar essas mensagens de registro no Atlas CLI usando o comando atlas deployment logs.
Para recuperar entradas de registro de auditar para uma instânciamongodem seu cluster, forneça o nome de host domongode especifique mongodb-audit-log.gz como o nome do arquivo de log de auditar :
atlas deployments logs --output json --type atlas --hostname cluster0-shard-00-00.a1b2c.mongodb.net --name mongodb-audit-log.gz
Para recuperar entradas de registro de auditar para uma instânciamongosem um cluster fragmentado , forneça o nome de hostmongose especifique mongos-audit-log.gz como o nome do arquivo de log de auditar :
atlas deployments logs --output json --type atlas --hostname cluster0-shard-00-00.a1b2c.mongodb.net --name mongos-audit-log.gz
Para recuperar mensagens de registro do MongoDB , forneça o nome do host da mongod mongos sua instância ou e especifique o nome do arquivo de log como mongodb.gz mongos.gzou, respectivamente:
atlas deployments logs --output json --type atlas --hostname cluster0-shard-00-00.a1b2c.mongodb.net --name mongodb.gz
Você também pode usar o comando atlas accessLogs list para exibir o log de acesso de um nó ou cluster. O registro de acesso é uma lista formatada em JSON de todas as solicitações de autenticação em relação ao nó ou cluster especificado.
Para recuperar o log de acesso, execute o comando atlas accessLogs list e especifique o nome do host ou cluster do nó de destino ou cluster de destino:
atlas accessLogs list --output json --clusterName Cluster0
Baixar registros
Baixe registros para se concentrar em registros históricos e analisá-los para auditorias ou desempenho, ou arquivá-los.
Cada mongod instância e em um mongos cluster tem seu próprio registro do MongoDB e registro de auditar com conteúdo potencialmente diferente das outras instâncias. Embora, do ponto de vista do aplicação, uma mongod instância ou se comporte de forma idêntica a qualquer outra instância do MongoDB , seus registros contêm informações específicas para suas roles no MongoDB.mongos
Os registros de contêm solicitações de dados, informações de acesso a dados e operações de gerenciamento em segundo plano para o
mongodMongoDB.Os registros de contêm informações sobre o roteamento de queries e operações de gravação nos shards em um cluster
mongosfragmentado.
Você pode baixar cada registro como um arquivo compactado usando o comando atlas logs download do Atlas CLI .
Para baixar o registro de auditar de uma mongod instância em seu cluster, forneça o mongod nome do host e o nome do arquivo de log mongodb-auditlog.gz de auditar como argumentos. O nome deste arquivo é usado aqui como um exemplo e você pode usar outro nome.
atlas logs download cluster0-shard-00-00.a1b2c.mongodb.net mongodb-audit-log.gz
Para baixar o registro de auditar de uma mongos instância em um sistema de cluster fragmentado , forneça o mongos nome do host e o nome do arquivo de log de auditar mongos-auditlog.gz como argumentos. O nome deste arquivo é usado aqui como um exemplo e você pode usar outro nome.
atlas logs download cluster0-shard-00-00.a1b2c.mongodb.net mongos-audit-log.gz
Para baixar o registro do MongoDB para uma instância ou, forneça como argumentos o nome do host da instância e os nomes do mongod mongos arquivo de log mongodb.gz mongos.gzou, respectivamente:
atlas logs download cluster0-shard-00-00.a1b2c.mongodb.net mongodb.gz
Recuperar todos os alertas de projeto
Você pode utilizar os seguintes comandos do Atlas CLI para retornar alertas acionados por eventos para seu projeto ou organização. O Atlas fornece alertas como Replica set has no primary e por padrão. Esses eventos fornecem um registro de atividades e alterações significativas no projeto ou organização, incluindo atividades significativas de banco de dados, de faturamento ou de segurança ou alterações de User joined the project status.
Para personalizar quais eventos acionam alertas para seu projeto e organização, consulte Configurar configurações de alerta.
Recupere todos os eventos de registro do seu projeto ou organização
Você pode utilizar os seguintes comandos do Atlas CLI para retornar eventos de projeto ou organização do seu Project Activity Feed ou Organization Activity Feed.
Para retornar todos os eventos da sua organização, use o comando atlas Events organizations list e especifique o ID da organização. O comando a seguir retorna uma lista de eventos formatada em JSON para a organização com o 5dd5a6b6f10fab1d71a58495 ID:
atlas events organizations list --orgId 5dd5a6b6f10fab1d71a58495 --output json
Para retornar todos os eventos do seu projeto, use o comando atlas Events Projects list e especifique o ID do projeto. O comando a seguir retorna uma lista de eventos formatada em JSON para o projeto com o 64ac57bfe9810c0263e9d655 ID:
atlas events organizations list --orgId 5dd5a6b6f10fab1d71a58495 --output json
Baixar todos os registros de query de um cluster inteiro
Para baixar os registros de consulta de um cluster inteiro, obtenha as permissões necessárias, selecione seu cluster na UI do Atlas , clique em Online Archive e execute:
<cluster-name>_cluster_archive_<start-date>_<end-date>_queries.log.gz
Obter logs
Você não pode recuperar registros com Terraform. Em vez disso, use os seguintes endpoints da API de administração do Atlas :
Use a API Admin de rastreamento de acesso para retornar registros de acesso para todas as tentativas de autenticação do banco de dados, identificado pelo nome do cluster ou do host.
Use APIs de monitoramento e logs para recuperar um arquivo de log compactado com mensagens de log para o host especificado.