審計日誌記錄了資料庫活動的詳細資料,通過查看審計日誌,您可以跟蹤相關資料庫潛在的惡意行為或未授權訪問、調查安全事件原因。審計日誌也可以幫您滿足合規要求。本文介紹如何查看審計日誌。
前提條件
已為需要且支援查看審計日誌的資料資產開啟日誌審計功能。具體內容,請參見選擇審計模式開啟資料審計。
日誌說明
日誌儲存位置
開啟資料審計模式後,採集的日誌儲存在阿里雲Log Service的日誌庫(Logstore)中:
Project
sddp-${uid}-${regionId},其中${uid}是您阿里雲帳號的UID,${regionId}為對應資料庫所在地區的ID代碼。logstore
類別
資料庫類型
logstore
關係型資料庫
RDS
rds_log
PolarDB
dsc_polardb_log
DRDS
dsc_drds_log
OceanBase
dsc_oceanbase_log
非關係型資料庫
Redis
dsc_redis_log
MongoDB
dsc_mongodb_log
非結構化資料庫
OSS
dsc_oss_log
巨量資料
TableStore
dsc_ots_log
MaxCompute
dsc_odps_tunnel_log
ADB-MYSQL
dsc_ads_log
ADB-PG
dsc_gpdb_log
自建資料庫
MySQL
dsc_self_built_db_log
SQL Server
PostgreSQL
甲骨文
常用欄位說明
欄位 | 說明 |
client_ip | 用戶端IP。 |
clusterId | 叢集ID。 |
collector_type | 日誌採集類型。 |
db | 資料庫名稱。 |
db_type | 資料庫引擎類型。 |
effect_row | 影響行數。 |
execute_time | 執行時間。 |
fail | 執行結果。 |
hash | 雜湊值。 |
instance_id | 執行個體ID。 |
latency | 執行耗時,單位:微秒。 |
node_name | 節點名稱。 |
operate_type | 操作類型。 |
origin_time | SQL原始執行時間。 |
region_id | 地區ID。 |
return_rows | 結果集返回行數。 |
sql | SQL文本。 |
thread_id | 線程ID。 |
uid | 使用者ID。 |
update_rows | 更新影響行數。 |
user | 登入使用者名稱。 |
查看資料審計日誌(新版)
登入資料資訊安全中心控制台。
在左側導覽列,選擇原始日誌。
在原始日誌頁面右上方,單擊體驗新版。
如果頁面右上方顯示回到舊版,則跳過此步驟。
在原始日誌頁面左側產品類型導覽列,單擊目標產品類型。您可以查看當前產品日誌儲存位置。
在右側日誌地區可以根據地區、執行個體、帳號、操作類型等參數搜尋並查看目標資料庫或Bucket的動作記錄。
您也可以根據查詢文法和分析文法,輸入查詢和分析語句,對目標資料資產的日誌進行分析。更多使用說明,請參見查詢與分析快速指引。
查詢和分析樣本
查看某個RDS執行個體下資料庫中表被訪問的情況,擷取訪問使用者、操作類型、操作結果等。
* and instance_id: rm-bp1******5u5w and db: s****p and table_name : sys_d*****it
查看訪問某個RDS執行個體的某個資料表的IP分布情況。
* and instance_id: rm-bp1*****5u5w and db: s****p and table_name : sys_d*****it | select user,client_ip,count(*) group by user,client_ip
統計名為某個Bucket中某個目錄下所有檔案的外網流出流量。
* and __topic__ : oss_access_log and bucket: examplebucket and host : "examplebucket.oss-cn-hangzhou.aliyuncs.com" not sync_request : cdn | select SUM(content_length_out) AS total_traffic_out_byte WHERE url_decode(object) LIKE 'exampledir/%'
下載日誌
DSC採集的日誌儲存在Log Service中,DSC控制台整合Log Service控制台的下載日誌功能,可以將日誌或查詢分析結果下載到本地。DSC控制台和SLS控制台下載操作類似,請參見SLS下載日誌的通過控制台直接下載。
查看資料審計日誌(舊版)
記錄模式說明
分析模式:從時間維度查看對應產品的審計日誌,包括行為時間和內容(執行個體名稱、帳號、執行時間長度、用戶端IP等)。
僅RDS、PolarDB、PolarDB-X、MongoDB、OceanBase、自建資料庫、AnalyticDB-MySQL和AnalyticDB-PG資料庫支援該功能。
列表模式:從執行個體維度查看對應產品的審計日誌,包括執行個體名稱、資料庫、帳號、用戶端IP、操作類型、影響行數等。
TableStore、MaxCompute、Redis僅支援從執行個體維度查看審計日誌,控制台沒有分析模式和列表模式頁簽,預設展示執行個體維度日誌列表。
OSS僅支援從Bucket維度查看審計日誌,控制台沒有分析模式和列表模式頁簽,預設展示Bucket維度日誌列表。
查看資料庫SQL操作統計
登入資料資訊安全中心控制台。
在左側導覽列,選擇原始日誌。
在原始日誌頁面右上方,單擊回到舊版。
如果頁面右上方顯示體驗新版,則跳過此步驟。
在原始日誌頁面,查看最近12小時、最近1天、最近7天或最近30天內,統計的SQL動作陳述式(Select、Insert、Delete、Update、其他)執行數量趨勢圖和圖表。
按時間查看日誌
登入資料資訊安全中心控制台。
在左側導覽列,選擇原始日誌。
在原始日誌頁面右上方,單擊回到舊版。
如果頁面右上方顯示體驗新版,則跳過此步驟。
在原始日誌頁面左側產品類型導覽列,單擊目標產品類型。
在分析模式下,查看對應雲產品日誌記錄。
選擇需要查看審計活動的時間段後,DSC按照時間由近及遠的順序展示資料庫活動。您可根據控制台顯示的條件參數,搜尋查看滿足指定條件的審計日誌。
單擊目標記錄操作列的詳情,可查看該條日誌記錄的詳細資料,包括用戶端資訊、服務端資訊、行為資訊等。
按執行個體查看日誌
登入資料資訊安全中心控制台。
在左側導覽列,選擇原始日誌。
在原始日誌頁面右上方,單擊回到舊版。
如果頁面右上方顯示體驗新版,則跳過此步驟。
在原始日誌頁面左側產品名稱導覽列,單擊目標產品名稱。
在日誌列表上方,單擊列表模式。
Redis、OSS、TableStore和MaxCompute產品僅支援從執行個體維度查看日誌,預設不顯示列表模式按鈕。
在列表模式下,查看日誌記錄。
您可根據控制台顯示的條件參數,搜尋查看滿足指定條件的審計日誌。
單擊目標記錄操作列的詳情,可查看該條日誌記錄的詳細資料,包括用戶端資訊、服務端資訊、行為資訊等。
匯出日誌
登入資料資訊安全中心控制台。
在左側導覽列,選擇原始日誌。
在原始日誌頁面右上方,單擊回到舊版。
如果頁面右上方顯示體驗新版,則跳過此步驟。
在原始日誌頁面左側產品名稱導覽列,單擊目標產品名稱。
選擇需要查看的時間段,以及其他資訊,單擊搜索。
單擊導出。
操作完成後,可匯出當前頁面顯示的所有日誌記錄。
相關文檔
線上查詢的審計日誌會儲存在資料資訊安全中心提供的儲存空間中,您可以查看當前儲存空間容量使用方式,並管理線上儲存日誌和Archive Storage日誌的儲存規則。更多內容,請參見管理日誌儲存。
DSC預設為資料資產提供內建審計規則,包括Database Audit規則、OSS審計規則、MaxCompute審計規則,並支援自訂審計規則。開啟審計警示規則後,可根據審計日誌檢測資料資產的異常操作、資料泄漏、漏洞攻擊、SQL注入等風險。詳細內容,請參見配置並開啟審計警示規則。
開啟審計警示規則後,DSC會將命中規則條件的行為,上報至DSC的審計警示。您可以根據警示資訊和審計日誌分析處理相關風險。詳細內容,請參見查看和處理審計警示。