通过查看审计日志分析数据资产的异常行为-数据安全中心(DSC)-阿里云帮助中心

审计日志记录了数据库活动的详细信息，通过查看审计日志，您可以跟踪相关数据库潜在的恶意行为或未授权访问、调查安全事件原因。审计日志也可以帮您满足合规要求。本文介绍如何查看审计日志。

前提条件

已为需要且支持查看审计日志的数据资产开启日志审计功能。具体内容，请参见配置并开启审计模式。

日志说明

日志存储位置

开启数据审计模式后，采集的日志存储在阿里云日志服务的日志库（Logstore）中：

Project

sddp-${uid}-${regionId}，其中${uid}是您阿里云账号的UID，${regionId}为对应数据库所在地域的ID代码。

logstore

类别	数据库类型	logstore
关系型数据库	RDS	rds_log
	PolarDB	dsc_polardb_log
	PolarDB-X	dsc_drds_log
	OceanBase	dsc_oceanbase_log
非关系型数据库	Redis	dsc_redis_log
非关系型数据库	MongoDB	dsc_mongodb_log
非结构化数据库	OSS	dsc_oss_log
大数据	TableStore	dsc_ots_log
	MaxCompute	dsc_odps_tunnel_log
	ADB-MYSQL	dsc_ads_log
	ADB-PG	dsc_gpdb_log
自建数据库	MySQL	dsc_self_built_db_log
	SQL Server
	PostgreSQL
	Oracle

常用字段说明

字段	说明
client_ip	客户端IP。
clusterId	集群ID。
collector_type	日志采集类型。
db	数据库名称。
db_type	数据库引擎类型。
effect_row	影响行数。
execute_time	执行时间。
fail	执行结果。
hash	哈希值。
instance_id	实例ID。
latency	执行耗时，单位：微秒。
node_name	节点名称。
operate_type	操作类型。
origin_time	SQL原始执行时间。
region_id	地域ID。
return_rows	结果集返回行数。
sql	SQL文本。
thread_id	线程ID。
uid	用户ID。
update_rows	更新影响行数。
user	登录用户名。

查看数据审计日志（新版）

登录数据安全中心控制台。
在左侧导航栏，选择日志分析。
在日志分析页面右上角，单击体验新版。

如果页面右上角显示回到旧版，则跳过此步骤。
在日志分析页面左侧产品类型导航栏，单击目标产品类型。您可以查看当前产品日志存储位置。

可选的产品类型包括RDS、PolarDB、PolarDB-X、Redis、MongoDB、OceanBase和自建数据库，括号内显示各类型已接入的实例数量。
在右侧日志区域可以根据区域、实例、账号、操作类型等参数搜索并查看目标数据库或Bucket的操作日志。

您也可以根据查询语法和分析语法，输入查询和分析语句，对目标数据资产的日志进行分析。更多使用说明，请参见查询与分析快速指引。

查询和分析示例
- 查看某个RDS实例下数据库中表被访问的情况，获取访问用户、操作类型、操作结果等。
```
* and instance_id: rm-bp1******5u5w and db: s****p and table_name : sys_d*****it
```
  查询结果展示一条审计日志详情，关键字段包括 db_type（MySQL）、operate_type（Select）、sql（SELECT * FROM sys_data_limit LIMIT 20）、latency（428）、fail（1）、ret_code（0）以及 user、table_name、thread_id 等字段，可据此确认访问用户、操作类型和操作结果。
- 查看访问某个RDS实例的某个数据表的IP分布情况。
```
* and instance_id: rm-bp1*****5u5w and db: s****p and table_name : sys_d*****it | select user,client_ip,count(*) group by user,client_ip
```
  输入查询语句后，单击查询/分析，然后单击统计图表页签查看聚合结果（user、client_ip 及对应访问次数）。
- 统计名为某个Bucket中某个目录下所有文件的外网流出流量。
```
* and __topic__ : oss_access_log and bucket: examplebucket and host : "examplebucket.oss-cn-hangzhou.aliyuncs.com" not sync_request : cdn | select
  SUM(content_length_out) AS total_traffic_out_byte
WHERE
  url_decode(object) LIKE 'exampledir/%'
```
  单击统计图表页签查看查询结果，返回字段 total_traffic_out_byte 值为 11749，表示指定目录的外网流出流量为 11749 字节。

下载日志

DSC采集的日志存储在日志服务中，DSC控制台集成日志服务控制台的下载日志功能，可以将日志或查询分析结果下载到本地。DSC控制台和SLS控制台下载操作类似，请参见SLS下载日志的通过控制台直接下载。

查看数据审计日志（旧版）

日志模式说明

分析模式：从时间维度查看对应产品的审计日志，包括行为时间和内容（实例名称、账号、执行时长、客户端IP等）。

仅RDS、PolarDB、PolarDB-X、MongoDB、OceanBase、自建数据库、AnalyticDB-MySQL和AnalyticDB-PG数据库支持该功能。
列表模式：从实例维度查看对应产品的审计日志，包括实例名称、数据库、账号、客户端IP、操作类型、影响行数等。
- TableStore、MaxCompute、Redis仅支持从实例维度查看审计日志，控制台没有分析模式和列表模式页签，默认展示实例维度的日志列表。
- OSS仅支持从Bucket维度查看审计日志，控制台没有分析模式和列表模式页签，默认展示Bucket维度的日志列表。

查看数据库SQL操作统计

登录数据安全中心控制台。
在左侧导航栏，选择日志分析。
在日志分析页面右上角，单击回到旧版。

如果页面右上角显示体验新版，则跳过此步骤。
在日志分析页面，查看最近12小时、最近1天、最近7天或最近30天内，统计的SQL操作语句（Select、Insert、Delete、Update、其他）执行数量趋势图和图表。

按时间查看日志

登录数据安全中心控制台。
在左侧导航栏，选择日志分析。
在日志分析页面右上角，单击回到旧版。

如果页面右上角显示体验新版，则跳过此步骤。
在日志分析页面左侧产品类型导航栏，单击目标产品类型。
在分析模式下，查看对应云产品日志记录。

选择需要查看审计活动的时间段后，DSC按照时间由近及远的顺序展示数据库活动。您可根据控制台显示的条件参数，搜索查看满足指定条件的审计日志。

可用的筛选条件包括：时间（支持最近15分钟、30分钟、1小时、12小时、1天、7天）、区域、实例、账号、客户端IP、数据库名、操作类型、SQL命令、执行时长（区间ms）和影响行数。查询结果列表展示每条审计记录的时间、实例、数据库、账号、客户端IP、操作类型、SQL命令、影响行数、执行时长，并可单击详情查看完整信息。
单击目标记录操作列的详情，可查看该条日志记录的详细信息，包括客户端信息、服务端信息、行为信息等。

按实例查看日志

登录数据安全中心控制台。
在左侧导航栏，选择日志分析。
在日志分析页面右上角，单击回到旧版。

如果页面右上角显示体验新版，则跳过此步骤。
在日志分析页面左侧产品名称导航栏，单击目标产品名称。
在日志列表上方，单击列表模式。

Redis、OSS、TableStore和MaxCompute产品仅支持从实例维度查看日志，默认不显示列表模式按钮。
在列表模式下，查看日志记录。

您可根据控制台显示的条件参数，搜索查看满足指定条件的审计日志。

列表模式页面左侧导航栏按数据资产分类展示（结构化数据、非结构化数据、大数据）。顶部可切换分析模式和列表模式，并通过时间筛选区间（最近15分钟、30分钟、1小时、12小时、1天、7天）。可用筛选条件包括区域、实例、账号、客户端IP、数据库名、操作类型、SQL命令、执行时长、影响行数，设置后单击搜索查看结果。结果表格展示实例、实例别名、数据库、账号、客户端IP、操作类型、影响行数、操作等列，可单击详情查看具体日志。
单击目标记录操作列的详情，可查看该条日志记录的详细信息，包括客户端信息、服务端信息、行为信息等。

导出日志

登录数据安全中心控制台。
在左侧导航栏，选择日志分析。
在日志分析页面右上角，单击回到旧版。

如果页面右上角显示体验新版，则跳过此步骤。
在日志分析页面左侧产品名称导航栏，单击目标产品名称。
选择需要查看的时间段，以及其他信息，单击搜索。
单击导出。

操作完成后，可导出当前页面显示的所有日志记录。