文档

查看审计日志

更新时间:

审计日志记录了数据库活动的详细信息,通过查看审计日志,您可以跟踪相关数据库潜在的恶意行为或未授权访问、调查安全事件原因。审计日志也可以帮您满足合规要求。本文介绍如何查看审计日志。

前提条件

已为需要且支持查看审计日志的数据资产开启日志审计功能。具体内容,请参见配置并开启审计模式

日志说明

日志存储位置

开启数据审计模式后,采集的日志存储在阿里云日志服务的日志库(Logstore)中:

  • Project

    sddp-${uid}-${regionId},其中${uid}是您阿里云账号的UID,${regionId}为对应数据库所在地域的ID代码。

  • logstore

    类别

    数据库类型

    logstore

    关系型数据库

    RDS

    rds_log

    PolarDB

    dsc_polardb_log

    PolarDB-X

    dsc_drds_log

    OceanBase

    dsc_oceanbase_log

    非关系型数据库

    Redis

    dsc_redis_log

    MongoDB

    dsc_mongodb_log

    非结构化数据库

    OSS

    dsc_oss_log

    大数据

    TableStore

    dsc_ots_log

    MaxCompute

    dsc_odps_tunnel_log

    AnalyticDB MySQL版

    dsc_ads_log

    AnalyticDB PostgreSQL版

    dsc_gpdb_log

    自建数据库

    MySQL

    dsc_self_built_db_log

    SQL Server

    PostgreSQL

    Oracle

常用字段说明

字段

说明

client_ip

客户端IP。

clusterId

集群ID。

collector_type

日志采集类型。

db

数据库名称。

db_type

数据库引擎类型。

effect_row

影响行数。

execute_time

执行时间。

fail

执行结果。

hash

哈希值。

instance_id

实例ID。

latency

执行耗时,单位:微秒。

node_name

节点名称。

operate_type

操作类型。

origin_time

SQL原始执行时间。

region_id

地域ID。

return_rows

结果集返回行数。

sql

SQL文本。

thread_id

线程ID。

uid

用户ID。

update_rows

更新影响行数。

user

登录用户名。

查看数据库SQL操作统计

  1. 登录数据安全中心控制台

  2. 在左侧导航栏,选择日志管理 > 日志分析

  3. 日志分析页面,查看最近12小时、最近1天、最近7天或最近30天内,统计的SQL操作语句(Select、Insert、Delete、Update、其他)执行数量趋势图和图表。

    image

查看数据审计日志(新版)

  1. 登录数据安全中心控制台

  2. 在左侧导航栏,选择日志管理 > 日志分析

  3. 日志分析页面右上角,单击体验新版

    如果页面右上角显示回到旧版,则跳过此步骤。

  4. 日志分析页面左侧产品类型导航栏,单击目标产品类型。您可以查看当前产品日志存储位置。

    image

  5. 在右侧日志区域可以根据区域、实例、账号、操作类型等参数搜索并查看目标数据库或Bucket的操作日志。

    您也可以根据查询语法分析语法,输入查询和分析语句,对目标数据资产的日志进行分析。更多使用说明,请参见查询和分析日志

    image

    查询和分析示例

    • 查看某个RDS实例下数据库中表被访问的情况,获取访问用户、操作类型、操作结果等。

      * and instance_id: rm-bp1******5u5w and db: s****p and table_name : sys_d*****it

      image

    • 查看访问某个RDS实例的某个数据表的IP分布情况。

      * and instance_id: rm-bp1*****5u5w and db: s****p and table_name : sys_d*****it | select user,client_ip,count(*) group by user,client_ip

      image

    • 统计名为某个Bucket中某个目录下所有文件的外网流出流量。

      * and __topic__ : oss_access_log and bucket: examplebucket and host : "examplebucket.oss-cn-hangzhou.aliyuncs.com" not sync_request : cdn | select
        SUM(content_length_out) AS total_traffic_out_byte
      WHERE
        url_decode(object) LIKE 'exampledir/%'

      image

查看数据审计日志(旧版)

日志模式说明

  • 分析模式:从时间维度查看对应产品的审计日志,包括行为时间和内容(实例名称、账号、执行时长、客户端IP等)。

    仅RDS、PolarDB、PolarDB-X、MongoDB、OceanBase、自建数据库、ADB-MYSQL和ADB-PG数据库支持该功能。

  • 列表模式:从实例维度查看对应产品的审计日志,包括实例名称、数据库、账号、客户端IP、操作类型、影响行数等。

    • TableStore、MaxCompute、Redis仅支持从实例维度查看审计日志,控制台没有分析模式和列表模式页签,默认展示实例维度的日志列表。

    • OSS仅支持从Bucket维度查看审计日志,控制台没有分析模式和列表模式页签,默认展示Bucket维度的日志列表。

按时间查看日志

  1. 登录数据安全中心控制台

  2. 在左侧导航栏,选择日志管理 > 日志分析

  3. 日志分析页面右上角,单击回到旧版

    如果页面右上角显示体验新版,则跳过此步骤。

  4. 日志分析页面左侧产品类型导航栏,单击目标产品类型。

  5. 分析模式下,查看对应云产品日志记录。

    选择需要查看审计活动的时间段后,DSC按照时间由近及远的顺序展示数据库活动。您可根据控制台显示的条件参数,搜索查看满足指定条件的审计日志。

    image

  6. 单击目标记录操作列的详情,可查看该条日志记录的详细信息,包括客户端信息、服务端信息、行为信息等。

按实例查看日志

  1. 登录数据安全中心控制台

  2. 在左侧导航栏,选择日志管理 > 日志分析

  3. 日志分析页面右上角,单击回到旧版

    如果页面右上角显示体验新版,则跳过此步骤。

  4. 日志分析页面左侧产品名称导航栏,单击目标产品名称。

  5. 在日志列表上方,单击列表模式

    Redis、OSS、TableStore和MaxCompute产品仅支持从实例维度查看日志,默认不显示列表模式按钮。

  6. 在列表模式下,查看日志记录。

    您可根据控制台显示的条件参数,搜索查看满足指定条件的审计日志。

    image

  7. 单击目标记录操作列的详情,可查看该条日志记录的详细信息,包括客户端信息、服务端信息、行为信息等。

导出日志

  1. 登录数据安全中心控制台

  2. 在左侧导航栏,选择日志管理 > 日志分析

  3. 日志分析页面右上角,单击回到旧版

    如果页面右上角显示体验新版,则跳过此步骤。

  4. 日志分析页面左侧产品名称导航栏,单击目标产品名称。

  5. 选择需要查看的时间段,以及其他信息,单击搜索

  6. 单击导出

    操作完成后,可导出当前页面显示的所有日志记录。

相关文档

  • 在线查询的审计日志会保存在数据安全中心提供的存储空间中,您可以查看当前存储空间容量使用情况,并管理在线存储日志和归档存储日志的崔楚规则。更多内容,请参见管理日志存储

  • DSC默认为数据资产提供内置审计规则,包括数据库审计规则、OSS审计规则、MaxCompute审计规则,并支持自定义审计规则。开启审计告警规则后,可根据审计日志检测数据资产的异常操作、数据泄漏、漏洞攻击、SQL注入等风险。详细内容,请参见配置并开启审计告警规则

  • 开启审计告警规则后,DSC会将命中规则条件的行为,上报至DSC的审计告警。您可以根据告警信息和审计日志分析处理相关风险。详细内容,请参见查看和处理审计告警