操作审计日志

云数据库ClickHouse与阿里云操作审计(ActionTrail)集成,支持在操作审计(ActionTrail)中查看用户行为日志,同时支持通过操作审计(ActionTrail)将日志投递到日志服务 LogStore 或指定的OSS Bucket中,满足实时审计、问题回溯分析等需要。本文介绍如何查看云数据库ClickHouse的操作审计日志。

背景信息

操作审计(ActionTrail)监控并记录了阿里云账号访问云数据库ClickHouse服务时的事件,详细信息请参见云数据库ClickHouse版的审计事件

使用限制

  • 只有单账号跟踪的事件可以通过操作审计控制台查询,且每秒最多可以查询两次。多账号跟踪的事件不能通过操作审计控制台查询,只能在对应的SLS Logstore或OSS存储空间中查询。具体操作,请参见查询多账号跟踪的事件

  • 操作审计事件查询功能只能查询当前地域最近90天的事件。

    • 如果需要查询超过90天的事件,您必须创建单账号跟踪并将事件投递到相应的存储服务。否则,将无法追溯90天以前的事件。具体操作,请参见创建单账号跟踪

    • 如果需要同时查询多个地域超过90天的事件,或者使用多个搜索条件过滤查询事件,您可以使用事件高级查询功能。具体操作,请参见自定义查询事件

  • 云上操作后10分钟才可以通过操作审计控制台查询相关事件。

计费说明

  • 操作审计目前不收取任何费用。后续将针对部分功能陆续收费,在执行收费之前我们会提前1个月通知可能被扣费的客户。

  • 如果您使用操作审计时,通过创建跟踪将事件投递到日志服务SLS或对象存储OSS,需要按照SLS或OSS的定价单独付费。

  • 操作审计支持免开通,任何已完成实名认证且未欠费的有效阿里云账号访问ActionTrail控制台即可开始使用。

查看操作审计日志

  1. 登录操作审计控制台

  2. 在左侧导航栏,单击事件 > 事件查询

  3. 在顶部导航栏选择您想查询事件的地域。

  4. 事件查询页面输入搜索条件,设置查询的时间范围,然后单击查询按钮图标。

    说明

    您可以设置读写类型、操作者名称、云服务名称、事件名称、关联资源类型、关联资源名称、AccessKey ID、是否敏感操作和事件 ID单个搜索条件来过滤查询事件。

  5. 找到待查询的事件,单击右侧操作列下的查看事件详情,可查看事件的详细信息及事件记录代码。

    ClickHouse事件详情代码示例如下:

    {
      "ApiVersion": "2019-11-11",
      "RequestId": "76BEA6CF-****-****-****-12393F559EFF",
      "EventType": "ApiCall",
      "UserIdentity": {
        "Type": "ram-user",
        "InvokedBy": "",
        "AccountId": "",
        "UserName": "",
        "PrincipalId": "20**************95",
        "AccessKeyId": "TMP.**********4K99m",
        "Arn": ""
      },
      "AcsRegion": "cn-shenzhen",
      "EventName": "CreateAccountAndAuthority",
      "IsBlack": false,
      "RequestParameters": {
        "AcsHost": "clickhouse-share.aliyuncs.com",
        "RequestId": "76BEA6CF-****-****-****-12393F559EFF",
        "DBClusterId": "cc-2z*********7q",
        "HostId": "clickhouse-share.aliyuncs.com",
        "AllowDatabases": "sh*****g",
        "AccountPassword": "***************",
        "DdlAuthority": true,
        "DmlAuthority": "all",
        "AcsProduct": "clickhouse",
        "TotalDatabases": "de***lt,sh***g",
        "TotalDictionaries": "",
        "AllowDictionaries": "",
        "AcceptLanguage": "zh-CN",
        " charset": "UTF-8",
        "AccountName": "root"
      },
      "EventSource": "clickhouse-share.aliyuncs.com",
      "ServiceName": "ClickHouse",
      "EventTime": "2021-06-08T08:28:57.497+0000",
      "ReferencedResources": {},
      "UserAgent": "clickhouse.console.aliyun.com",
      "EventId": "76BEA6CF-****-****-****-12393F559EFF",
      "ResponseElements": {
        "RequestId": "76BEA6CF-****-****-****-12393F559EFF"
      },
      "ErrorCode": "",
      "ErrorMessage": "",
      "EventVersion": "",
      "SourceIpAddress": "11*.*.*.*7"
    }
    说明

    关于事件中字段的更多信息,请参见管控事件结构定义

更多操作

操作审计日志投递至SLS/OSS的步骤说明,请参见通过SLS或OSS控制台查询事件

重要

使用审计日志投递会产生费用,更多信息请参见计费说明