查看审计日志

使用审计日志功能,您可以查询所有审计数据。本文介绍了如何在云盾数据库审计系统和在日志服务控制台查询审计日志。

在数据库审计系统查看审计日志

  1. 登录云盾数据库审计系统。
    具体操作,请参见登录数据库审计系统
  2. 在左侧导航栏,选择查询分析 > 审计日志

  3. 选择资产名称、时间范围等检索条件后,单击查询进行查询。

    审计日志

  4. 单击语句内容,可查看语句详情。

在日志服务控制台查看审计日志

日志服务存储了数据库审计系统审计到的数据库操作日志,在数据库审计系统查看到的审计日志来源是日志服务。您可以在日志服务控制台查看和下载数据库审计服务创建的Project和Logstore中记录的审计日志数据。

操作步骤

  1. 登录日志服务控制台

  2. 在Project列表处,查看数据库审计相关的Project,单击目标Project名称。

    数据库审计服务创建的Project名称为dbaudit-+数据库实例名称。您可以参考该信息定位到数据库审计服务相关的Project。

  3. 日志库页面,单击目标日志库的名称。

    名称以dbaudit-log开头的日志库存储的是审计日志。

  4. 在目标日志库的详情页面,选择需要查看的时间,并查看日志详情。

    关于审计日志字段含义的详细说明,请参见下文说明。

日志字段说明

日志字段名称

描述

uid

阿里云账号ID。

iid

数据库审计实例ID。

sq

语句ID。

di

数据库ID。

si

会话ID。

dm

模式名。

tx

语句内容。

ti

语句模板。

tm

捕获时间。

tl

风险级别。取值:

  • 1:低风险

  • 3:中风险

  • 5:高风险

rd

是否告警。取值:

  • 0:不告警

  • 1:告警

rc

数据库应答码。

rt

数据库应答信息。

rw

影响行。

ec

响应时间。

fc

语句总耗时,单位微秒。

ap

应用客户端IP。

am

应用用户。

ri

命中规则ID。

rp

风险类型。取值:

  • 1:信任语句

  • 2:敏感语句

  • 3:注入攻击

  • 5:操作规则

  • 6:访问规则

  • 7:口令攻击

cp

连接端IP。

um

数据库用户名。

st

代表SQL语句类型的数字。该参数取值和SQL语句类型的对应关系,请参见st字段值和SQL语句类型对应关系

dp

数据库IP。

dt

数据库端口。

pm

工具和应用。

bi

该参数已废弃,无需关注。

om

OS用户。

im

服务(实例)名。

rs

语句执行后返回的结果集。

st字段值和SQL语句类型对应关系

st字段值

对应的SQL语句类型

1

CREATE

2

SET

4

INSERT

8

SELECT

16

UPDATE

32

DELETE

64

DROP

128

ALTER

512

EXPLAIN

1024

GRANT

2048

REVOKE

8192

LOCK

32768

RENAME

65536

COMMENT

131072

AUDIT

262144

NOAUDIT

524288

COMMIT

1048576

ROLLBACK

2097152

SAVEPOINT

4194304

TRUNCATE

8388608

ASSOCIATE

16777216

DISASSOCIATE

33554432

CALL

67108864

ANALYZE

134217728

MERGE

268435456

BEGIN

536870912

DECLARE

0

INVALID SQL

256

FLASHBACK

4096

PURGE

2251799813685248

EXPDP

2199023255552

OTHER

549755813888

ADD

4398046511104

EXECUTE

1073741824

EXECUTE AS

2147483648

SETUSER

4294967296

REVERT

8589934592

USE

17179869184

BACKUP

34359738368

DISABLE TRIGGER

68719476736

ENABLE TRIGGER

137438953472

DBCC

274877906944

KILL

1099511627776

DENY

8796093022208

UPDATE STATISTICS

17592186044416

RESTORE

16384

MULTI SQL

281474976710656

TRANSFER

35184372088832

REPLACE

140737488355328

SHOW

562949953421312

DATABASE

70368744177664

LOAD

536870912

DECLARE CURSOR

1125899906842624

INSERT OR UPDATE

4398046511104

EXEC

4503599627370496

PUT

9007199254740992

APPEND

32768

REMAME