使用审计日志功能,您可以查询所有审计数据。本文介绍了如何在云盾数据库审计系统和在日志服务控制台查询审计日志。
在数据库审计系统查看审计日志
- 登录云盾数据库审计系统。具体操作,请参见登录数据库审计系统。
-
在左侧导航栏,选择。
-
选择资产名称、时间范围等检索条件后,单击查询进行查询。
-
单击语句内容,可查看语句详情。
在日志服务控制台查看审计日志
日志服务存储了数据库审计系统审计到的数据库操作日志,在数据库审计系统查看到的审计日志来源是日志服务。您可以在日志服务控制台查看和下载数据库审计服务创建的Project和Logstore中记录的审计日志数据。
操作步骤
-
登录日志服务控制台。
-
在Project列表处,查看数据库审计相关的Project,单击目标Project名称。
数据库审计服务创建的Project名称为
dbaudit-+数据库实例名称。您可以参考该信息定位到数据库审计服务相关的Project。 -
在日志库页面,单击目标日志库的名称。
名称以
dbaudit-log开头的日志库存储的是审计日志。 -
在目标日志库的详情页面,选择需要查看的时间,并查看日志详情。
关于审计日志字段含义的详细说明,请参见下文说明。
日志字段说明
|
日志字段名称 |
描述 |
|
uid |
阿里云账号ID。 |
|
iid |
数据库审计实例ID。 |
|
sq |
语句ID。 |
|
di |
数据库ID。 |
|
si |
会话ID。 |
|
dm |
模式名。 |
|
tx |
语句内容。 |
|
ti |
语句模板。 |
|
tm |
捕获时间。 |
|
tl |
风险级别。取值:
|
|
rd |
是否告警。取值:
|
|
rc |
数据库应答码。 |
|
rt |
数据库应答信息。 |
|
rw |
影响行。 |
|
ec |
响应时间。 |
|
fc |
语句总耗时,单位微秒。 |
|
ap |
应用客户端IP。 |
|
am |
应用用户。 |
|
ri |
命中规则ID。 |
|
rp |
风险类型。取值:
|
|
cp |
连接端IP。 |
|
um |
数据库用户名。 |
|
st |
代表SQL语句类型的数字。该参数取值和SQL语句类型的对应关系,请参见st字段值和SQL语句类型对应关系。 |
|
dp |
数据库IP。 |
|
dt |
数据库端口。 |
|
pm |
工具和应用。 |
|
bi |
该参数已废弃,无需关注。 |
|
om |
OS用户。 |
|
im |
服务(实例)名。 |
|
rs |
语句执行后返回的结果集。 |
st字段值和SQL语句类型对应关系
|
st字段值 |
对应的SQL语句类型 |
|
1 |
CREATE |
|
2 |
SET |
|
4 |
INSERT |
|
8 |
SELECT |
|
16 |
UPDATE |
|
32 |
DELETE |
|
64 |
DROP |
|
128 |
ALTER |
|
512 |
EXPLAIN |
|
1024 |
GRANT |
|
2048 |
REVOKE |
|
8192 |
LOCK |
|
32768 |
RENAME |
|
65536 |
COMMENT |
|
131072 |
AUDIT |
|
262144 |
NOAUDIT |
|
524288 |
COMMIT |
|
1048576 |
ROLLBACK |
|
2097152 |
SAVEPOINT |
|
4194304 |
TRUNCATE |
|
8388608 |
ASSOCIATE |
|
16777216 |
DISASSOCIATE |
|
33554432 |
CALL |
|
67108864 |
ANALYZE |
|
134217728 |
MERGE |
|
268435456 |
BEGIN |
|
536870912 |
DECLARE |
|
0 |
INVALID SQL |
|
256 |
FLASHBACK |
|
4096 |
PURGE |
|
2251799813685248 |
EXPDP |
|
2199023255552 |
OTHER |
|
549755813888 |
ADD |
|
4398046511104 |
EXECUTE |
|
1073741824 |
EXECUTE AS |
|
2147483648 |
SETUSER |
|
4294967296 |
REVERT |
|
8589934592 |
USE |
|
17179869184 |
BACKUP |
|
34359738368 |
DISABLE TRIGGER |
|
68719476736 |
ENABLE TRIGGER |
|
137438953472 |
DBCC |
|
274877906944 |
KILL |
|
1099511627776 |
DENY |
|
8796093022208 |
UPDATE STATISTICS |
|
17592186044416 |
RESTORE |
|
16384 |
MULTI SQL |
|
281474976710656 |
TRANSFER |
|
35184372088832 |
REPLACE |
|
140737488355328 |
SHOW |
|
562949953421312 |
DATABASE |
|
70368744177664 |
LOAD |
|
536870912 |
DECLARE CURSOR |
|
1125899906842624 |
INSERT OR UPDATE |
|
4398046511104 |
EXEC |
|
4503599627370496 |
PUT |
|
9007199254740992 |
APPEND |
|
32768 |
REMAME |