如何查看审计日志_数据安全中心(DSC)-阿里云帮助中心

使用审计日志功能，您可以查询所有审计数据。本文介绍了如何在云盾数据库审计系统和在日志服务控制台查询审计日志。

在数据库审计系统查看审计日志

步骤一：登录数据库审计系统

登录数据库审计系统。具体操作，请参见登录数据库审计系统。
在左侧导航栏，选择查询分析 > 审计日志。

步骤二：设置查询条件

审计查询功能可以帮助您准确定位到具体操作或语句。您可以在审计日志页面的审计日志页签中设置需要查询的条件。

选择时间范围。
设置报文。
设置需要查询的报文的关键字。多个关键字使用半角逗号（,）或空格隔开。使用半角逗号（,）隔开的关键字之间为或的关系，使用空格隔开的关键字之间为与的关系。

设置更多搜索条件。

审计日志页面默认显示常用的筛选条件，如需设置更多筛选条件，可单击更多条件，选中并设置所需条件。支持的筛选条件说明如下表所示。

说明

不同搜索条件之间为与的关系。

筛选项及说明

筛选项	说明
审计ID	唯一标识审计记录的ID。每条SQL报文对应唯一的审计ID。输入多个值时请使用半角逗号（,）分隔。
会话ID	唯一标识会话记录的ID。
SQL模板ID	要查询的SQL模板的ID。
资产	要查询的资产或资产组。
数据库账号	登录到数据库的账号名称。
客户端IP	需要连接数据库的客户端的IP地址，支持设置IPv4或IPv6地址。
客户端端口	需要连接数据库的客户端的端口号。
客户端MAC	客户端的MAC地址。
服务端IP	数据库服务器服务端的IP地址，支持设置IPv4或IPv6地址。
服务端端口	数据库服务器服务端的端口号。
服务端MAC	服务端的MAC地址。
数据库名/实例名	数据库名称或实例名称。
对象	数据库的库、表、字段、视图、存储过程、函数、触发器、索引、用户、角色、权限等数据库对象。
客户端工具	登录数据库的客户端工具。
主机名	数据库服务器的主机名。
操作系统用户名	使用操作系统的用户名。
影响行数	SQL的影响行数。
执行时长（μs）	SQL的执行时长。
执行结果描述	SQL语句执行完成后的结果描述，如：`ORA-00942: table or view does not exist`。
返回结果集	Select等语句执行后产生的返回结果集。默认保存5行数据，最大保存长度64 KB。您可在资产管理页面，单击编辑资产，修改保存行数和最大保存长度。
关联IP	使用应用身份识别功能后，查询审计到的关联IP信息。
关联账号	使用应用身份识别功能后，查询审计到的关联账号信息。
操作类型	SQL的操作类型：Select、Insert、Update等。
数据库类型	数据库的类型。
执行状态	SQL的执行结果。取值：全部（默认）未知执行成功执行失败

（可选）保存查询条件。
设置查询条件后，单击保存，可以保存查询条件。
保存查询条件后，如果您后续需要使用相同查询条件，不需要重新设置，可以直接在查询条件下拉列表中选择已保存的查询条件。
单击设置图标，在设置显示列对话框中，选中要在返回结果中显示的列选项，单击确定。
单击搜索，执行查询。
说明
一次查询最多可查询10,000条记录。
完成查询后，可在日志列表中查看查询结果。

步骤三：查看审计日志详细

查看详细信息
在日志列表中，单击操作列中的详细，在审计日志详细页面，查看审计日志的基本信息、客户端、服务端、请求、响应、关联信息等信息。
设置别名
设置客户端IP别名
设置数据库账号别名
1. 单击客户端IP右侧的设置别名。
2. 在新增IP别名页面，填写名称、IP/网络、备注信息后，单击保存。
3. 在辅助功能页面的IP别名页签中，可查看IP别名列表信息。
1. 单击数据库账号右侧的设置别名。
2. 在新增账号别名页面，填写名称、资产、数据库账号、备注信息后，单击保存。
3. 在辅助功能页面的账号别名页签中，可查看账号别名列表信息。
SQL过滤模板
在请求模块的SQL模板页签中，查看该报文的SQL模板。单击过滤该模板，可将该SQL模板加入过滤条件。单击不过滤该模板，可将已经添加为过滤条件的SQL模板取消过滤。更多信息，请参见SQL过滤模板。
C/S应用用户名提取
1. 在审计日志详细页面下方，单击C/S应用用户名提取。
2. 在新增C/S应用身份识别配置对话框中，选择SQL模板和参数位置，单击确定。
  设置C/S应用用户名提取后，该设置将新增至C/S应用身份识别列表中。更多信息，请参见C/S应用身份识别。
取证
1. 在审计日志详细页面下方单击取证。
2. 在下载对话框中，单击下载，可下载本条审计日志详情的完整页面。
单击上一条或下一条可切换至临近的审计日志。

在日志服务控制台查看审计日志

日志服务存储了数据库审计系统审计到的数据库操作日志，在数据库审计系统查看到的审计日志来源是日志服务。您可以在日志服务控制台查看和下载数据库审计服务创建的Project和Logstore中记录的审计日志数据。

操作步骤

登录日志服务控制台。
在Project列表处，查看数据库审计相关的Project，单击目标Project名称。
数据库审计服务创建的Project的注释信息为：由云产品数据库审计创建，请勿删除。您可以参考该信息定位到数据库审计服务相关的Project。
在日志库页面，单击目标日志库的名称。
名称以dbaudit-audit开头的日志库存储的是审计日志。
在目标日志库的详情页面，选择需要查看的时间，并查看日志详情。
关于审计日志字段含义的详细说明，请参见日志字段说明。

日志字段说明

日志字段名称	描述
a	审计日志ID。
alarmLevel	是否存在告警标识。取值： 0：否 1：是
alarmName	告警等级。取值： 1：低危 2：中危 3：高危
b	会话ID。
c	模板ID。
c1	内部字段，无需关注。
c2	报文结构。
c3	操作对象类型。取值： 1000：select 2000：insert 3000：update 4000：delete 5000：truncate 6001：create_database 6005：create_user 7001：alter_database 7005：alter_user 8001：drop_database 8005：drop_user 12000：grant 13000：revoke
c4	内部字段，无需关注。
c5	内部字段，无需关注。
d	报文原文。
dmac	数据库MAC值。
e	影响行数。
f	数据库名称或数据库实例的唯一标识符SID（System IDentifier）。
g	执行时长。
h	SQL长度。
i	返回结果集。
iid	数据库审计实例ID。
j	返回结果集大小。
k	是否告警标识。
l	发生时间。
logType	日志类型。
m	执行结果描述（显示执行出错时的错误信息）。
n	执行状态，见字段值字段
o	内部字段，无需关注。
opObj	内部字段，无需关注。
p	内部字段，无需关注。
param	SQL参数。
pickIp	内部字段，无需关注。
pickUser	内部字段，无需关注。
q	数据库类型。
r	客户端IP。
relateInfo	内部字段，无需关注。
s	客户端端口。
smac	客户端MAC地址。
sqlModule	SQL模板。
t	数据库IP。
tenant	租户。
u	数据库端口。
uid	阿里云账号ID。
v	登录账号。
w	客户端工具。
x	客户端主机名。
y	操作系统用户名。
z	操作类型。取值描述的更多信息，请参见操作类型取值说明。

操作类型取值说明

操作类型取值	描述
0	UNKNOWN
1	Select
2	Insert
3	Update
4	Delete
5	Truncate
6	Create
7	Alter
8	Drop
9	Savepoint
10	Commit
11	Rollback
12	Grant
13	Revoke
14	Call
15	Desc
16	Describe
17	Comment
18	Rename
19	Load
20	Unload
21	Abort
22	Explain
23	Shutdown
24	Kill
25	Exec
26	Execute
27	Login
28	Logout
29	Begin
30	Set
31	Use
32	Disassociate
33	Audit
34	Associate
35	Analyze
36	Noaudit
37	Lock
38	Merge
39	User
40	Description
41	If
42	With
43	Declare
44	Flashback
45	Terminate
46	Show
47	Upsert
48	Ping
49	Replace
50	Database
51	Flush
52	Mysqladmin
53	Reset
54	Cancel
55	Find
56	Get
57	Ismaster
58	Runcommand
59	Admincommand
60	Do
61	Return
62	Copy
63	Repair