使用审计日志功能,您可以查询所有审计数据。本文介绍了如何在云盾数据库审计系统和在日志服务控制台查询审计日志。
在数据库审计系统查看审计日志
步骤一:登录数据库审计系统
登录数据库审计系统。具体操作,请参见登录数据库审计系统。
在左侧导航栏,选择。
步骤二:设置查询条件
审计查询功能可以帮助您准确定位到具体操作或语句。您可以在审计日志页面的审计日志页签中设置需要查询的条件。
选择时间范围。
设置报文。
设置需要查询的报文的关键字。多个关键字使用半角逗号(,)或空格隔开。使用半角逗号(,)隔开的关键字之间为或的关系,使用空格隔开的关键字之间为与的关系。
设置更多搜索条件。
审计日志页面默认显示常用的筛选条件,如需设置更多筛选条件,可单击更多条件,选中并设置所需条件。支持的筛选条件说明如下表所示。
说明不同搜索条件之间为与的关系。
(可选)保存查询条件。
设置查询条件后,单击保存,可以保存查询条件。
保存查询条件后,如果您后续需要使用相同查询条件,不需要重新设置,可以直接在查询条件下拉列表中选择已保存的查询条件。
单击设置
图标,在设置显示列对话框中,选中要在返回结果中显示的列选项,单击确定。单击搜索,执行查询。
说明一次查询最多可查询10,000条记录。
完成查询后,可在日志列表中查看查询结果。
步骤三:查看审计日志详细
查看详细信息
在日志列表中,单击操作列中的详细,在审计日志详细页面,查看审计日志的基本信息、客户端、服务端、请求、响应、关联信息等信息。
设置别名
设置客户端IP别名
单击客户端IP右侧的设置别名。
在新增IP别名页面,填写名称、IP/网络、备注信息后,单击保存。
在辅助功能页面的IP别名页签中,可查看IP别名列表信息。
设置数据库账号别名
单击数据库账号右侧的设置别名。
在新增账号别名页面,填写名称、资产、数据库账号、备注信息后,单击保存。
在辅助功能页面的账号别名页签中,可查看账号别名列表信息。
SQL过滤模板
在请求模块的SQL模板页签中,查看该报文的SQL模板。单击过滤该模板,可将该SQL模板加入过滤条件。单击不过滤该模板,可将已经添加为过滤条件的SQL模板取消过滤。更多信息,请参见SQL过滤模板。
C/S应用用户名提取
在审计日志详细页面下方,单击C/S应用用户名提取。
在新增C/S应用身份识别配置对话框中,选择SQL模板和参数位置,单击确定。
设置C/S应用用户名提取后,该设置将新增至C/S应用身份识别列表中。更多信息,请参见C/S应用身份识别。
取证
在审计日志详细页面下方单击取证。
在下载对话框中,单击下载,可下载本条审计日志详情的完整页面。
单击上一条或下一条可切换至临近的审计日志。
在日志服务控制台查看审计日志
日志服务存储了数据库审计系统审计到的数据库操作日志,在数据库审计系统查看到的审计日志来源是日志服务。您可以在日志服务控制台查看和下载数据库审计服务创建的Project和Logstore中记录的审计日志数据。
操作步骤
登录日志服务控制台。
在Project列表处,查看数据库审计相关的Project,单击目标Project名称。
数据库审计服务创建的Project的注释信息为:由云产品数据库审计创建,请勿删除。您可以参考该信息定位到数据库审计服务相关的Project。
在日志库页面,单击目标日志库的名称。
名称以
dbaudit-audit开头的日志库存储的是审计日志。在目标日志库的详情页面,选择需要查看的时间,并查看日志详情。
关于审计日志字段含义的详细说明,请参见日志字段说明。