审计日志记录了数据库活动的详细信息,通过查看审计日志,您可以跟踪相关数据库潜在的恶意行为或未授权访问、调查安全事件原因。审计日志也可以帮您满足合规要求。本文介绍如何查看审计日志。
前提条件
已为需要且支持查看审计日志的数据资产开启日志审计功能。具体内容,请参见配置并开启审计模式。
日志说明
日志存储位置
开启数据审计模式后,采集的日志存储在阿里云日志服务的日志库(Logstore)中:
Project
sddp-${uid}-${regionId},其中${uid}是您阿里云账号的UID,${regionId}为对应数据库所在地域的ID代码。logstore
类别
数据库类型
logstore
关系型数据库
RDS
rds_log
PolarDB
dsc_polardb_log
PolarDB-X
dsc_drds_log
OceanBase
dsc_oceanbase_log
非关系型数据库
Redis
dsc_redis_log
MongoDB
dsc_mongodb_log
非结构化数据库
OSS
dsc_oss_log
大数据
TableStore
dsc_ots_log
MaxCompute
dsc_odps_tunnel_log
AnalyticDB MySQL版
dsc_ads_log
AnalyticDB PostgreSQL版
dsc_gpdb_log
自建数据库
MySQL
dsc_self_built_db_log
SQL Server
PostgreSQL
Oracle
常用字段说明
字段 | 说明 |
client_ip | 客户端IP。 |
clusterId | 集群ID。 |
collector_type | 日志采集类型。 |
db | 数据库名称。 |
db_type | 数据库引擎类型。 |
effect_row | 影响行数。 |
execute_time | 执行时间。 |
fail | 执行结果。 |
hash | 哈希值。 |
instance_id | 实例ID。 |
latency | 执行耗时,单位:微秒。 |
node_name | 节点名称。 |
operate_type | 操作类型。 |
origin_time | SQL原始执行时间。 |
region_id | 地域ID。 |
return_rows | 结果集返回行数。 |
sql | SQL文本。 |
thread_id | 线程ID。 |
uid | 用户ID。 |
update_rows | 更新影响行数。 |
user | 登录用户名。 |
查看数据库SQL操作统计
登录数据安全中心控制台。
在左侧导航栏,选择。
在日志分析页面,查看最近12小时、最近1天、最近7天或最近30天内,统计的SQL操作语句(Select、Insert、Delete、Update、其他)执行数量趋势图和图表。
查看数据审计日志(新版)
登录数据安全中心控制台。
在左侧导航栏,选择。
在日志分析页面右上角,单击体验新版。
如果页面右上角显示回到旧版,则跳过此步骤。
在日志分析页面左侧产品类型导航栏,单击目标产品类型。您可以查看当前产品日志存储位置。
在右侧日志区域可以根据区域、实例、账号、操作类型等参数搜索并查看目标数据库或Bucket的操作日志。
您也可以根据查询语法和分析语法,输入查询和分析语句,对目标数据资产的日志进行分析。更多使用说明,请参见查询和分析日志。
查询和分析示例
查看某个RDS实例下数据库中表被访问的情况,获取访问用户、操作类型、操作结果等。
* and instance_id: rm-bp1******5u5w and db: s****p and table_name : sys_d*****it
查看访问某个RDS实例的某个数据表的IP分布情况。
* and instance_id: rm-bp1*****5u5w and db: s****p and table_name : sys_d*****it | select user,client_ip,count(*) group by user,client_ip
统计名为某个Bucket中某个目录下所有文件的外网流出流量。
* and __topic__ : oss_access_log and bucket: examplebucket and host : "examplebucket.oss-cn-hangzhou.aliyuncs.com" not sync_request : cdn | select SUM(content_length_out) AS total_traffic_out_byte WHERE url_decode(object) LIKE 'exampledir/%'
查看数据审计日志(旧版)
日志模式说明
分析模式:从时间维度查看对应产品的审计日志,包括行为时间和内容(实例名称、账号、执行时长、客户端IP等)。
仅RDS、PolarDB、PolarDB-X、MongoDB、OceanBase、自建数据库、ADB-MYSQL和ADB-PG数据库支持该功能。
列表模式:从实例维度查看对应产品的审计日志,包括实例名称、数据库、账号、客户端IP、操作类型、影响行数等。
TableStore、MaxCompute、Redis仅支持从实例维度查看审计日志,控制台没有分析模式和列表模式页签,默认展示实例维度的日志列表。
OSS仅支持从Bucket维度查看审计日志,控制台没有分析模式和列表模式页签,默认展示Bucket维度的日志列表。
按时间查看日志
登录数据安全中心控制台。
在左侧导航栏,选择。
在日志分析页面右上角,单击回到旧版。
如果页面右上角显示体验新版,则跳过此步骤。
在日志分析页面左侧产品类型导航栏,单击目标产品类型。
在分析模式下,查看对应云产品日志记录。
选择需要查看审计活动的时间段后,DSC按照时间由近及远的顺序展示数据库活动。您可根据控制台显示的条件参数,搜索查看满足指定条件的审计日志。
单击目标记录操作列的详情,可查看该条日志记录的详细信息,包括客户端信息、服务端信息、行为信息等。
按实例查看日志
登录数据安全中心控制台。
在左侧导航栏,选择。
在日志分析页面右上角,单击回到旧版。
如果页面右上角显示体验新版,则跳过此步骤。
在日志分析页面左侧产品名称导航栏,单击目标产品名称。
在日志列表上方,单击列表模式。
Redis、OSS、TableStore和MaxCompute产品仅支持从实例维度查看日志,默认不显示列表模式按钮。
在列表模式下,查看日志记录。
您可根据控制台显示的条件参数,搜索查看满足指定条件的审计日志。
单击目标记录操作列的详情,可查看该条日志记录的详细信息,包括客户端信息、服务端信息、行为信息等。
导出日志
登录数据安全中心控制台。
在左侧导航栏,选择。
在日志分析页面右上角,单击回到旧版。
如果页面右上角显示体验新版,则跳过此步骤。
在日志分析页面左侧产品名称导航栏,单击目标产品名称。
选择需要查看的时间段,以及其他信息,单击搜索。
单击导出。
操作完成后,可导出当前页面显示的所有日志记录。
相关文档
在线查询的审计日志会保存在数据安全中心提供的存储空间中,您可以查看当前存储空间容量使用情况,并管理在线存储日志和归档存储日志的崔楚规则。更多内容,请参见管理日志存储。
DSC默认为数据资产提供内置审计规则,包括数据库审计规则、OSS审计规则、MaxCompute审计规则,并支持自定义审计规则。开启审计告警规则后,可根据审计日志检测数据资产的异常操作、数据泄漏、漏洞攻击、SQL注入等风险。详细内容,请参见配置并开启审计告警规则。
开启审计告警规则后,DSC会将命中规则条件的行为,上报至DSC的审计告警。您可以根据告警信息和审计日志分析处理相关风险。详细内容,请参见查看和处理审计告警。