通过审计日志,您可以查询所有审计数据。本文介绍了在云盾数据库审计系统中查询审计日志的具体操作。

操作步骤

  1. 登录云盾数据库审计系统。具体操作请参见登录数据库审计系统
  2. 在左侧导航栏单击查询分析 > 审计日志
  3. 审计日志页面,设置要查询的时间范围和查询条件。查看审计日志
    审计查询功能可以帮助您准确定位到具体操作或语句,您可以参考以下步骤来设置查询条件。
    1. 设置时间范围。可选择:最近5分钟最近30分钟最近1小时最近6小时本日昨天本周本月和自定义。
    2. 设置报文内容
      • 如果您要查询的关键字为报文中的参数,那么您可以在参数关键字中输入关键字。
      • 如果您要查询的关键字是表名、字段名或者SQL语法中的关键词,可以单击模板后的输入框进行筛选,可筛选项包括关键词SQL模板ID操作类型
    3. 设置会话连接。可根据会话连接信息进行查询,可筛选项包括:客户端IP客户端端口数据库账号服务端IP服务端端口会话ID客户端工具主机名数据库类型标识状态设置会话连接
    4. 单击更多条件可以显示更多筛选条件。可增加的筛选项包括审计ID数据库名/实例名影响行数执行时长关联IP关联账号执行状态更多条件

      支持的筛选条件见下表。

      筛选项 筛选子项 是否默认显示 说明
      报文内容-参数关键字 参数关键字 关键字是报文中的参数,支持设置多个关键字,多个关键字之间以空格隔开。
      报文内容-模板 关键词 关键字为表名、字段名或者SQL语法中的关键词。
      SQL模板ID 要查询的SQL模板的ID。
      操作类型 SQL的操作类型。
      会话连接 客户端IP 客户端的IP地址,支持设置IPv4或IPv6地址。
      客户端端口 客户端的端口号。
      数据库账号 登录到数据库的账号名称。
      服务端IP 服务端的IP地址,支持设置IPv4或IPv6地址。
      服务端端口 服务端的端口号。
      会话ID 要查询的会话ID。
      客户端工具 登录数据库的客户端工具。
      主机名 数据库服务器的主机名。
      数据库名/实例名 数据库名称或实例名称。
      数据库类型 数据库的类型。
      标识状态 SQL的执行结果,取值如下:
      • 未知
      • 登入成功
      • 登入失败
      影响行数 影响行数 SQL的影响行数。
      执行时长 执行时长 SQL的执行时长。
      执行状态 执行状态 SQL的执行结果,取值如下:
      • 全部(默认取值)
      • 未知
      • 执行成功
      • 执行失败
      审计ID 审计ID 要查询的审计ID。输入多个值时请使用逗号(,)隔开。
      数据库名/实例名 数据库名/实例名 数据库名称或实例名称。
      关联IP 关联IP SQL的关联IP。输入多个值时请使用逗号(,)隔开。
      关联账号 关联账号 SQL的关联账号。输入多个值时请使用逗号(,)隔开。
    说明 不同设置条件之间为的关系。
  4. 可选: 设置查询条件后,单击保存,可以保存查询条件。
    保存查询条件

    保存查询条件后,如果您后续需要使用相同查询条件,不需要重新设置,可以直接在查询条件下拉列表中选择。

    调用查询条件
  5. 单击搜索,执行查询。
    说明 一次查询最多可查询10,000条记录。
    完成查询后,在审计日志页面下方查看返回记录。查看搜索结果
  6. 可选: 您可以单击设置显示列图标,并在设置显示列对话框中勾选要在返回结果中显示的列选项。设置显示列按钮
    设置显示列