云数据库ClickHouse与阿里云操作审计(ActionTrail)集成,支持在操作审计(ActionTrail)中查看用户行为日志,同时支持通过操作审计(ActionTrail)将日志投递到日志服务 LogStore 或指定的OSS Bucket中,满足实时审计、问题回溯分析等需要。本文介绍如何查看云数据库ClickHouse的操作审计日志。

背景信息

操作审计(ActionTrail)监控并记录了阿里云账号访问 云数据库ClickHouse服务时的下列事件:

使用限制

  • 只有单账号跟踪的事件可以通过操作审计控制台查询,且每秒最多可以查询两次。多账号跟踪的事件不能通过操作审计控制台查询,只能在对应的SLS Logstore或OSS存储空间中查询。具体操作,请参见查询多账号跟踪的事件
  • 操作审计事件查询功能只能查询当前地域最近90天的事件。
    • 如果需要查询超过90天的事件,您必须创建单账号跟踪并将事件投递到相应的存储服务。否则,将无法追溯90天以前的事件。具体操作,请参见创建单账号跟踪
    • 如果需要同时查询多个地域超过90天的事件,或者使用多个搜索条件过滤查询事件,您可以使用事件高级查询功能。具体操作,请参见通过操作审计控制台进行事件高级查询
  • 云上操作后10分钟才可以通过操作审计控制台查询相关事件。

注意事项

  • 操作审计支持免开通,任何已完成实名认证且未欠费的有效阿里云账号访问ActionTrail控制台
  • 如果您使用操作审计时,通过创建跟踪将事件投递到日志服务SLS或对象存储OSS,需要按照SLS或OSS的定价单独付费。

更多信息,请参见计费说明

查看操作审计日志

  1. 登录操作审计控制台
  2. 在左侧导航栏,单击事件查询
  3. 在顶部导航栏选择您想查询事件的地域。
  4. 事件查询页面找到待查询的事件,鼠标悬停至事件名称,查询事件详情。
    说明 您可以设置读写类型、用户名(RAM用户)、事件名称、资源类型、资源名称、服务名称、AccessKey ID等单个搜索条件来过滤查询事件。
  5. (可选)如果需要查询事件代码记录,您可以单击事件前面的加号,然后单击事件详情
    ClickHouse事件详情代码示例如下:
    {
      "ApiVersion": "2019-11-11",
      "RequestId": "76BEA6CF-****-****-****-12393F559EFF",
      "EventType": "ApiCall",
      "UserIdentity": {
        "Type": "ram-user",
        "InvokedBy": "",
        "AccountId": "",
        "UserName": "",
        "PrincipalId": "20**************95",
        "AccessKeyId": "TMP.**********4K99m",
        "Arn": ""
      },
      "AcsRegion": "cn-shenzhen",
      "EventName": "CreateAccountAndAuthority",
      "IsBlack": false,
      "RequestParameters": {
        "AcsHost": "clickhouse-share.aliyuncs.com",
        "RequestId": "76BEA6CF-****-****-****-12393F559EFF",
        "DBClusterId": "cc-2z*********7q",
        "HostId": "clickhouse-share.aliyuncs.com",
        "AllowDatabases": "sh*****g",
        "AccountPassword": "***************",
        "DdlAuthority": true,
        "DmlAuthority": "all",
        "AcsProduct": "clickhouse",
        "TotalDatabases": "de***lt,sh***g",
        "TotalDictionaries": "",
        "AllowDictionaries": "",
        "AcceptLanguage": "zh-CN",
        " charset": "UTF-8",
        "AccountName": "root"
      },
      "EventSource": "clickhouse-share.aliyuncs.com",
      "ServiceName": "ClickHouse",
      "EventTime": "2021-06-08T08:28:57.497+0000",
      "ReferencedResources": {},
      "UserAgent": "clickhouse.console.aliyun.com",
      "EventId": "76BEA6CF-****-****-****-12393F559EFF",
      "ResponseElements": {
        "RequestId": "76BEA6CF-****-****-****-12393F559EFF"
      },
      "ErrorCode": "",
      "ErrorMessage": "",
      "EventVersion": "",
      "SourceIpAddress": "11*.*.*.*7"
    }

更多操作

操作审计日志投递至SLS/OSS的步骤说明,请参见通过SLS或OSS控制台查询事件

注意 使用审计日志投递会产生费用,更多信息请参见 计费说明

售卖事件说明

云数据库ClickHouse操作审计日志会记录以下售卖事件:

事件类型 事件名称 事件含义
AliyunServiceEvent Create 登录产品售卖页面进行的购买操作
AliyunServiceEvent Renew 登录产品售卖页面进行的续费操作
AliyunServiceEvent Release 登录产品售卖页面进行的释放操作

API事件说明

云数据库ClickHouse操作审计日志会记录以下API事件:

事件名称 事件含义
AllocateClusterPublicConnection 创建实例的公网连接地址
CheckScaleOutBalanced 检查是否符合升降配条件
CheckServiceLinkedRole 检查是否符合授权链要求
CreateAccount 为实例创建高权限账号
CreateAccountAndAuthority 创建账号和权限
CreateBackupPolicy 创建备份策略
CreateDBInstance 创建集群实例
CreateOSSStorage 创建分层存储
CreatePortsForClickHouse 创建端口
CreateServiceLinkedRole 创建授权链
DeleteAccount 删除数据库高权限账号
DeleteDBCluster 释放按量付费的ClickHouse集群
DeleteLorneTask 删除SLS投递任务
DescribeAccountAuthority 查询账号权限
DescribeAccounts 查询指定集群的数据库登录账号
DescribeAllDataSource 枚举实例下所有Schema列表、Table列表和Columns列表
DescribeAvailableResource 查询是否有可用资源
DescribeBackupPolicy 查询备份策略
DescribeBackups 查询备份集
DescribeDBClusters 查询集群列表或被RAM授权的集群列表
DescribeDBClusterAccessWhiteList 查询实例IP白名单
DescribeDBClusterAttribute 查询指定实例的详细属性
DescribeDBClusterConfig 查询集群配置
DescribeDBClusterStatusSet 查询集群状态
DescribeDBClusterNetInfoItems 查询集群的网络信息
DescribeDBClusterPerformance 查询实例性能数据
DescribeDBConfig 查询字典配置
DescribeLogHubAttribute 查询SLS投递任务的属性
DescribeLoghubDetail 查询SLS投递任务的明细
DescribeLorneLog 查询SLS投递任务日志
DescribeLorneTasks 查询SLS投递任务列表
DescribeLorneTasksMCount 查询SLS投递指标
DescribeLorneTasksMetrics 查询SLS投递指标明细
DescribeOSSStorage 查询分层存储信息
DescribeRegions 查询可选的ClickHouse地域和可用区
DescribeProcessList 查询正在运行的SQL
DescribeSchemas 查询数据库结构列表
DescribeSlowLogRecords 查询慢SQL
DescribeSlowLogTrend 查询慢SQL趋势
DescribeTables 查询表结构列表
KillProcess 停止正在运行的SQL
ModifyAccountAuthority 修改账号权限
ModifyAccountDescription 修改ClickHouse数据库账号的备注信息
ModifyBackupPolicy 修改备份策略
ModifyDBCluster 集群升降配
ModifyDBClusterAccessWhiteList 修改实例的白名单
ModifyDBClusterConfig 修改集群配置
ModifyDBClusterDescription 修改实例的备注名
ModifyDBClusterMaintainTime 修改实例可维护时间段
ModifyDBConfig 修改字典配置
OperateLogHub 配置SLS投递任务
OperateLorneTaskStatus 修改SLS投递任务状态
ReleaseClusterPublicConnection 删除集群的公网地址
ResetAccountPassword 重置高权限账号的密码