文档

查看审计日志

更新时间:

使用审计日志功能,您可以查询所有审计数据。本文介绍了如何在云盾数据库审计系统和在日志服务控制台查询审计日志。

在数据库审计系统查看审计日志

  1. 登录数据库审计系统。具体操作,请参见登录数据库审计系统
  2. 在左侧导航栏,选择查询分析 > 审计日志
  3. 审计日志页面,设置要查询的时间范围和查询条件。

    审计查询功能可以帮助您准确定位到具体操作或语句,您可以参考以下步骤来设置查询条件。

    1. 选择时间范围

    2. 设置报文

      设置需要查询的报文的关键字。多个关键字使用半角逗号(,)或空格隔开。使用半角逗号(,)隔开的关键字之间为或的关系,使用空格隔开的关键字之间为与的关系。

    3. 设置更多搜索条件。

      审计日志页面默认显示常用的筛选条件,如需设置更多筛选条件,可单击更多条件选中并设置所需条件。支持的筛选条件说明如下表所示。

      说明

      不同搜索条件之间为的关系。

      筛选项

      说明

      审计ID

      要查询的审计ID。每条SQL报文对应唯一的审计ID。输入多个值时请使用半角逗号(,)分隔。

      会话ID

      要查询的会话ID。

      SQL模板ID

      要查询的SQL模板的ID。

      资产

      要查询的资产或资产组。

      数据库账号

      登录到数据库的账号名称。

      客户端IP

      需要连接数据库的客户端的IP地址,支持设置IPv4或IPv6地址。

      客户端端口

      需要连接数据库的客户端的端口号。

      服务端IP

      数据库服务器服务端的IP地址,支持设置IPv4或IPv6地址。

      服务端端口

      数据库服务器服务端的端口号。

      数据库名/实例名

      数据库名称或实例名称。

      客户端工具

      登录数据库的客户端工具。

      主机名

      数据库服务器的主机名。

      操作系统用户名

      使用操作系统的用户名。

      影响行数

      SQL的影响行数。

      执行时长

      SQL的执行时长。

      关联IP

      使用应用身份识别功能后,查询审计到的关联IP信息。

      关联账号

      使用应用身份识别功能后,查询审计到的关联账号信息。

      操作类型

      SQL的操作类型。Select、Insert、Update等。

      数据库类型

      数据库的类型。

      执行状态

      SQL的执行结果。包括:全部(默认取值)、未知、执行成功、执行失败。

  4. 可选:设置查询条件后,单击保存,可以保存查询条件。

    保存查询条件后,如果您后续需要使用相同查询条件,不需要重新设置,可以直接在查询条件下拉列表中选择已保存的查询条件。

  5. 单击搜索,执行查询。

    说明

    一次查询最多可查询10,000条记录。

    完成查询后,在审计日志页面下方查看返回记录。

  6. 可选:单击设置显示列图标图标,在设置显示列对话框中选中要在返回结果中显示的列选项。

在日志服务控制台查看审计日志

日志服务存储了数据库审计系统审计到的数据库操作日志,在数据库审计系统查看到的审计日志来源是日志服务。您可以在日志服务控制台查看和下载数据库审计服务创建的Project和Logstore中记录的审计日志数据。

操作步骤

  1. 登录日志服务控制台

  2. 在Project列表处,查看数据库审计相关的Project,单击目标Project名称。

    数据库审计服务创建的Project的注释信息为:由云产品数据库审计创建,请勿删除。您可以参考该信息定位到数据库审计服务相关的Project。

  3. 日志库页面,单击目标日志库的名称。

    名称以dbaudit-audit开头的日志库存储的是审计日志。

  4. 在目标日志库的详情页面,选择需要查看的时间,并查看日志详情。

    关于审计日志字段含义的详细说明,请参见日志字段说明

日志字段说明

表1 日志字段说明

日志字段名称

描述

a

审计日志ID。

alarmLevel

是否存在告警标识。取值:

  • 0:否

  • 1:是

alarmName

告警等级。取值:

  • 1:低危

  • 2:中危

  • 3:高危

b

会话ID。

c

模板ID。

c1

内部字段,无需关注。

c2

报文结构。

c3

操作对象类型。取值:

  • 1000:select

  • 2000:insert

  • 3000:update

  • 4000:delete

  • 5000:truncate

  • 6001:create_database

  • 6005:create_user

  • 7001:alter_database

  • 7005:alter_user

  • 8001:drop_database

  • 8005:drop_user

  • 12000:grant

  • 13000:revoke

c4

内部字段,无需关注。

c5

内部字段,无需关注。

d

报文原文。

dmac

数据库MAC值。

e

影响行数。

f

数据库名称或数据库实例的唯一标识符SID(System IDentifier)。

g

执行时长。

h

SQL长度。

i

返回结果集。

iid

数据库审计实例ID。

j

返回结果集大小。

k

是否告警标识。

l

发生时间。

logType

日志类型。

m

执行结果描述(显示执行出错时的错误信息)。

n

执行状态,见字段值字段

o

内部字段,无需关注。

opObj

内部字段,无需关注。

p

内部字段,无需关注。

param

SQL参数。

pickIp

内部字段,无需关注。

pickUser

内部字段,无需关注。

q

数据库类型。

r

客户端IP。

relateInfo

内部字段,无需关注。

s

客户端端口。

smac

客户端MAC地址。

sqlModule

SQL模板。

t

数据库IP。

tenant

租户。

u

数据库端口。

uid

阿里云账号ID。

v

登录账号。

w

客户端工具。

x

客户端主机名。

y

操作系统用户名。

z

操作类型。取值描述的更多信息,请参见操作类型取值说明

表2 操作类型取值说明

操作类型取值

描述

0

UNKNOWN

1

Select

2

Insert

3

Update

4

Delete

5

Truncate

6

Create

7

Alter

8

Drop

9

Savepoint

10

Commit

11

Rollback

12

Grant

13

Revoke

14

Call

15

Desc

16

Describe

17

Comment

18

Rename

19

Load

20

Unload

21

Abort

22

Explain

23

Shutdown

24

Kill

25

Exec

26

Execute

27

Login

28

Logout

29

Begin

30

Set

31

Use

32

Disassociate

33

Audit

34

Associate

35

Analyze

36

Noaudit

37

Lock

38

Merge

39

User

40

Description

41

If

42

With

43

Declare

44

Flashback

45

Terminate

46

Show

47

Upsert

48

Ping

49

Replace

50

Database

51

Flush

52

Mysqladmin

53

Reset

54

Cancel

55

Find

56

Get

57

Ismaster

58

Runcommand

59

Admincommand

60

Do

61

Return

62

Copy

63

Repair

  • 本页导读 (1)
文档反馈