审计日志记录了数据库活动的详细信息,通过查看审计日志,您可以跟踪相关数据库潜在的恶意行为或未授权访问、调查安全事件原因。审计日志也可以帮您满足合规要求。本文介绍如何查看审计日志。
前提条件
已为需要且支持查看审计日志的数据资产开启日志审计功能。具体内容,请参见配置并开启审计模式。
日志模式说明
分析模式:从时间维度查看对应产品的审计日志,包括行为时间和内容(实例名称、账号、执行时长、客户端IP等)。
仅RDS、PolarDB、PolarDB-X、MongoDB、OceanBase、自建数据库、ADB-MYSQL和ADB-PG数据库支持该功能。
列表模式:从实例维度查看对应产品的审计日志,包括实例名称、数据库、账号、客户端IP、操作类型、影响行数等。
TableStore、MaxCompute、Redis仅支持从实例维度查看审计日志,控制台没有分析模式和列表模式页签,默认展示实例维度的日志列表。
OSS仅支持从Bucket维度查看审计日志,控制台没有分析模式和列表模式页签,默认展示Bucket维度的日志列表。
查看数据库SQL操作统计
登录数据安全中心控制台。
在左侧导航栏,选择。
在日志分析页面,查看最近12小时、最近1天、最近7天或最近30天内,统计的SQL操作语句(Select、Insert、Delete、Update、其他)执行数量趋势图和图表。
按时间查看日志
登录数据安全中心控制台。
在左侧导航栏,选择。
在日志分析页面左侧产品类型导航栏,单击目标产品类型。
在分析模式下,查看对应云产品日志记录。
选择需要查看审计活动的时间段后,DSC按照时间由近及远的顺序展示数据库活动。您可根据控制台显示的条件参数,搜索查看满足指定条件的审计日志。
单击目标记录操作列的详情,可查看该条日志记录的详细信息,包括客户端信息、服务端信息、行为信息等。
按实例查看日志
登录数据安全中心控制台。
在左侧导航栏,选择。
在日志分析页面左侧产品名称导航栏,单击目标产品名称。
在日志列表上方,单击列表模式。
Redis、OSS、TableStore和MaxCompute产品仅支持从实例维度查看日志,默认不显示列表模式按钮。
在列表模式下,查看日志记录。
您可根据控制台显示的条件参数,搜索查看满足指定条件的审计日志。
单击目标记录操作列的详情,可查看该条日志记录的详细信息,包括客户端信息、服务端信息、行为信息等。
导出日志
登录数据安全中心控制台。
在左侧导航栏,选择。
在日志分析页面左侧产品名称导航栏,单击目标产品名称。
选择需要查看的时间段,以及其他信息,单击搜索。
单击导出。
操作完成后,可导出当前页面显示的所有日志记录。
相关文档
在线查询的审计日志会保存在数据安全中心提供的存储空间中,您可以查看当前存储空间容量使用情况,并管理在线存储日志和归档存储日志的崔楚规则。更多内容,请参见管理日志存储。
DSC默认为数据资产提供内置审计规则,包括数据库审计规则、OSS审计规则、MaxCompute审计规则,并支持自定义审计规则。开启审计告警规则后,可根据审计日志检测数据资产的异常操作、数据泄漏、漏洞攻击、SQL注入等风险。详细内容,请参见配置并开启审计告警规则。
开启审计告警规则后,DSC会将命中规则条件的行为,上报至DSC的审计告警。您可以根据告警信息和审计日志分析处理相关风险。详细内容,请参见查看和处理审计告警。