操作审计日志

云数据库ClickHouse与阿里云操作审计（ActionTrail）集成，支持在操作审计（ActionTrail）中查看用户行为日志，同时支持通过操作审计（ActionTrail）将日志投递到日志服务 LogStore 或指定的OSS Bucket中，满足实时审计、问题回溯分析等需要。本文介绍如何查看云数据库ClickHouse的操作审计日志。

背景信息

操作审计（ActionTrail）监控并记录了阿里云账号访问云数据库ClickHouse服务时的下列事件：

售卖事件，具体事件列表请参见售卖事件说明。
API事件，具体事件列表请参见API事件说明。

使用限制

只有单账号跟踪的事件可以通过操作审计控制台查询，且每秒最多可以查询两次。多账号跟踪的事件不能通过操作审计控制台查询，只能在对应的SLS Logstore或OSS存储空间中查询。具体操作，请参见查询多账号跟踪的事件。
操作审计事件查询功能只能查询当前地域最近90天的事件。
- 如果需要查询超过90天的事件，您必须创建单账号跟踪并将事件投递到相应的存储服务。否则，将无法追溯90天以前的事件。具体操作，请参见创建单账号跟踪。
- 如果需要同时查询多个地域超过90天的事件，或者使用多个搜索条件过滤查询事件，您可以使用事件高级查询功能。具体操作，请参见通过操作审计控制台进行事件高级查询。
云上操作后10分钟才可以通过操作审计控制台查询相关事件。

注意事项

操作审计支持免开通，任何已完成实名认证且未欠费的有效阿里云账号访问ActionTrail控制台。
如果您使用操作审计时，通过创建跟踪将事件投递到日志服务SLS或对象存储OSS，需要按照SLS或OSS的定价单独付费。

更多信息，请参见计费说明。

查看操作审计日志

登录操作审计控制台。
在左侧导航栏，单击事件查询。
在顶部导航栏选择您想查询事件的地域。
在事件查询页面找到待查询的事件，鼠标悬停至事件名称，查询事件详情。

说明您可以设置读写类型、用户名（RAM用户）、事件名称、资源类型、资源名称、服务名称、AccessKey ID等单个搜索条件来过滤查询事件。

（可选）如果需要查询事件代码记录，您可以单击事件前面的加号，然后单击事件详情。

ClickHouse事件详情代码示例如下：

{
  "ApiVersion": "2019-11-11",
  "RequestId": "76BEA6CF-****-****-****-12393F559EFF",
  "EventType": "ApiCall",
  "UserIdentity": {
    "Type": "ram-user",
    "InvokedBy": "",
    "AccountId": "",
    "UserName": "",
    "PrincipalId": "20**************95",
    "AccessKeyId": "TMP.**********4K99m",
    "Arn": ""
  },
  "AcsRegion": "cn-shenzhen",
  "EventName": "CreateAccountAndAuthority",
  "IsBlack": false,
  "RequestParameters": {
    "AcsHost": "clickhouse-share.aliyuncs.com",
    "RequestId": "76BEA6CF-****-****-****-12393F559EFF",
    "DBClusterId": "cc-2z*********7q",
    "HostId": "clickhouse-share.aliyuncs.com",
    "AllowDatabases": "sh*****g",
    "AccountPassword": "***************",
    "DdlAuthority": true,
    "DmlAuthority": "all",
    "AcsProduct": "clickhouse",
    "TotalDatabases": "de***lt,sh***g",
    "TotalDictionaries": "",
    "AllowDictionaries": "",
    "AcceptLanguage": "zh-CN",
    " charset": "UTF-8",
    "AccountName": "root"
  },
  "EventSource": "clickhouse-share.aliyuncs.com",
  "ServiceName": "ClickHouse",
  "EventTime": "2021-06-08T08:28:57.497+0000",
  "ReferencedResources": {},
  "UserAgent": "clickhouse.console.aliyun.com",
  "EventId": "76BEA6CF-****-****-****-12393F559EFF",
  "ResponseElements": {
    "RequestId": "76BEA6CF-****-****-****-12393F559EFF"
  },
  "ErrorCode": "",
  "ErrorMessage": "",
  "EventVersion": "",
  "SourceIpAddress": "11*.*.*.*7"
}

售卖事件说明

云数据库ClickHouse操作审计日志会记录以下售卖事件：


事件类型	事件名称	事件含义
AliyunServiceEvent	Create	登录产品售卖页面进行的购买操作
AliyunServiceEvent	Renew	登录产品售卖页面进行的续费操作
AliyunServiceEvent	Release	登录产品售卖页面进行的释放操作

API事件说明

云数据库ClickHouse操作审计日志会记录以下API事件：


事件名称	事件含义
AllocateClusterPublicConnection	创建实例的公网连接地址
CheckScaleOutBalanced	检查是否符合升降配条件
CheckServiceLinkedRole	检查是否符合授权链要求
CreateAccount	为实例创建高权限账号
CreateAccountAndAuthority	创建账号和权限
CreateBackupPolicy	创建备份策略
CreateDBInstance	创建集群实例
CreateOSSStorage	创建分层存储
CreatePortsForClickHouse	创建端口
CreateServiceLinkedRole	创建授权链
DeleteAccount	删除数据库高权限账号
DeleteDBCluster	释放按量付费的ClickHouse集群
DeleteLorneTask	删除SLS投递任务
DescribeAccountAuthority	查询账号权限
DescribeAccounts	查询指定集群的数据库登录账号
DescribeAllDataSource	枚举实例下所有Schema列表、Table列表和Columns列表
DescribeAvailableResource	查询是否有可用资源
DescribeBackupPolicy	查询备份策略
DescribeBackups	查询备份集
DescribeDBClusters	查询集群列表或被RAM授权的集群列表
DescribeDBClusterAccessWhiteList	查询实例IP白名单
DescribeDBClusterAttribute	查询指定实例的详细属性
DescribeDBClusterConfig	查询集群配置
DescribeDBClusterStatusSet	查询集群状态
DescribeDBClusterNetInfoItems	查询集群的网络信息
DescribeDBClusterPerformance	查询实例性能数据
DescribeDBConfig	查询字典配置
DescribeLogHubAttribute	查询SLS投递任务的属性
DescribeLoghubDetail	查询SLS投递任务的明细
DescribeLorneLog	查询SLS投递任务日志
DescribeLorneTasks	查询SLS投递任务列表
DescribeLorneTasksMCount	查询SLS投递指标
DescribeLorneTasksMetrics	查询SLS投递指标明细
DescribeOSSStorage	查询分层存储信息
DescribeRegions	查询可选的ClickHouse地域和可用区
DescribeProcessList	查询正在运行的SQL
DescribeSchemas	查询数据库结构列表
DescribeSlowLogRecords	查询慢SQL
DescribeSlowLogTrend	查询慢SQL趋势
DescribeTables	查询表结构列表
KillProcess	停止正在运行的SQL
ModifyAccountAuthority	修改账号权限
ModifyAccountDescription	修改ClickHouse数据库账号的备注信息
ModifyBackupPolicy	修改备份策略
ModifyDBCluster	集群升降配
ModifyDBClusterAccessWhiteList	修改实例的白名单
ModifyDBClusterConfig	修改集群配置
ModifyDBClusterDescription	修改实例的备注名
ModifyDBClusterMaintainTime	修改实例可维护时间段
ModifyDBConfig	修改字典配置
OperateLogHub	配置SLS投递任务
OperateLorneTaskStatus	修改SLS投递任务状态
ReleaseClusterPublicConnection	删除集群的公网地址
ResetAccountPassword	重置高权限账号的密码