使用審計日志功能,您可以查詢所有審計數據。本文介紹了如何在云盾數據庫審計系統和在日志服務控制臺查詢審計日志。
在數據庫審計系統查看審計日志
步驟一:登錄數據庫審計系統
登錄數據庫審計系統。具體操作,請參見登錄數據庫審計系統。
在左側導航欄,選擇。
步驟二:設置查詢條件
審計查詢功能可以幫助您準確定位到具體操作或語句。您可以在審計日志頁面的審計日志頁簽中設置需要查詢的條件。
選擇時間范圍。
設置報文。
設置需要查詢的報文的關鍵字。多個關鍵字使用半角逗號(,)或空格隔開。使用半角逗號(,)隔開的關鍵字之間為或的關系,使用空格隔開的關鍵字之間為與的關系。
設置更多搜索條件。
審計日志頁面默認顯示常用的篩選條件,如需設置更多篩選條件,可單擊更多條件,選中并設置所需條件。支持的篩選條件說明如下表所示。
說明不同搜索條件之間為與的關系。
篩選項
說明
審計ID
唯一標識審計記錄的ID。每條SQL報文對應唯一的審計ID。輸入多個值時請使用半角逗號(,)分隔。
會話ID
唯一標識會話記錄的ID。
SQL模板ID
要查詢的SQL模板的ID。
資產
要查詢的資產或資產組。
數據庫賬號
登錄到數據庫的賬號名稱。
客戶端IP
需要連接數據庫的客戶端的IP地址,支持設置IPv4或IPv6地址。
客戶端端口
需要連接數據庫的客戶端的端口號。
客戶端MAC
客戶端的MAC地址。
服務端IP
數據庫服務器服務端的IP地址,支持設置IPv4或IPv6地址。
服務端端口
數據庫服務器服務端的端口號。
服務端MAC
服務端的MAC地址。
數據庫名/實例名
數據庫名稱或實例名稱。
對象
數據庫的庫、表、字段、視圖、存儲過程、函數、觸發器、索引、用戶、角色、權限等數據庫對象。
客戶端工具
登錄數據庫的客戶端工具。
主機名
數據庫服務器的主機名。
操作系統用戶名
使用操作系統的用戶名。
影響行數
SQL的影響行數。
執行時長(μs)
SQL的執行時長。
執行結果描述
SQL語句執行完成后的結果描述,如:
ORA-00942: table or view does not exist。返回結果集
Select等語句執行后產生的返回結果集。默認保存5行數據,最大保存長度64 KB。您可在資產管理頁面,單擊編輯資產,修改保存行數和最大保存長度。
關聯IP
使用應用身份識別功能后,查詢審計到的關聯IP信息。
關聯賬號
使用應用身份識別功能后,查詢審計到的關聯賬號信息。
操作類型
SQL的操作類型:Select、Insert、Update等。
數據庫類型
數據庫的類型。
執行狀態
SQL的執行結果。取值:
全部(默認)
未知
執行成功
執行失敗
(可選)保存查詢條件。
設置查詢條件后,單擊保存,可以保存查詢條件。
保存查詢條件后,如果您后續需要使用相同查詢條件,不需要重新設置,可以直接在查詢條件下拉列表中選擇已保存的查詢條件。
單擊設置
圖標,在設置顯示列對話框中,選中要在返回結果中顯示的列選項,單擊確定。單擊搜索,執行查詢。
說明一次查詢最多可查詢10,000條記錄。
完成查詢后,可在日志列表中查看查詢結果。
步驟三:查看審計日志詳細
查看詳細信息
在日志列表中,單擊操作列中的詳細,在審計日志詳細頁面,查看審計日志的基本信息、客戶端、服務端、請求、響應、關聯信息等信息。
設置別名
設置客戶端IP別名
單擊客戶端IP右側的設置別名。
在新增IP別名頁面,填寫名稱、IP/網絡、備注信息后,單擊保存。
在輔助功能頁面的IP別名頁簽中,可查看IP別名列表信息。
設置數據庫賬號別名
單擊數據庫賬號右側的設置別名。
在新增賬號別名頁面,填寫名稱、資產、數據庫賬號、備注信息后,單擊保存。
在輔助功能頁面的賬號別名頁簽中,可查看賬號別名列表信息。
SQL過濾模板
在請求模塊的SQL模板頁簽中,查看該報文的SQL模板。單擊過濾該模板,可將該SQL模板加入過濾條件。單擊不過濾該模板,可將已經添加為過濾條件的SQL模板取消過濾。更多信息,請參見SQL過濾模板。
C/S應用用戶名提取
在審計日志詳細頁面下方,單擊C/S應用用戶名提取。
在新增C/S應用身份識別配置對話框中,選擇SQL模板和參數位置,單擊確定。
設置C/S應用用戶名提取后,該設置將新增至C/S應用身份識別列表中。更多信息,請參見C/S應用身份識別。
取證
在審計日志詳細頁面下方單擊取證。
在下載對話框中,單擊下載,可下載本條審計日志詳情的完整頁面。
單擊上一條或下一條可切換至臨近的審計日志。
在日志服務控制臺查看審計日志
日志服務存儲了數據庫審計系統審計到的數據庫操作日志,在數據庫審計系統查看到的審計日志來源是日志服務。您可以在日志服務控制臺查看和下載數據庫審計服務創建的Project和Logstore中記錄的審計日志數據。
操作步驟
登錄日志服務控制臺。
在Project列表處,查看數據庫審計相關的Project,單擊目標Project名稱。
數據庫審計服務創建的Project的注釋信息為:由云產品數據庫審計創建,請勿刪除。您可以參考該信息定位到數據庫審計服務相關的Project。
在日志庫頁面,單擊目標日志庫的名稱。
名稱以
dbaudit-audit開頭的日志庫存儲的是審計日志。在目標日志庫的詳情頁面,選擇需要查看的時間,并查看日志詳情。
關于審計日志字段含義的詳細說明,請參見日志字段說明。
日志字段說明
日志字段名稱 | 描述 |
a | 審計日志ID。 |
alarmLevel | 是否存在告警標識。取值:
|
alarmName | 告警等級。取值:
|
b | 會話ID。 |
c | 模板ID。 |
c1 | 內部字段,無需關注。 |
c2 | 報文結構。 |
c3 | 操作對象類型。取值:
|
c4 | 內部字段,無需關注。 |
c5 | 內部字段,無需關注。 |
d | 報文原文。 |
dmac | 數據庫MAC值。 |
e | 影響行數。 |
f | 數據庫名稱或數據庫實例的唯一標識符SID(System IDentifier)。 |
g | 執行時長。 |
h | SQL長度。 |
i | 返回結果集。 |
iid | 數據庫審計實例ID。 |
j | 返回結果集大小。 |
k | 是否告警標識。 |
l | 發生時間。 |
logType | 日志類型。 |
m | 執行結果描述(顯示執行出錯時的錯誤信息)。 |
n | 執行狀態,見字段值字段 |
o | 內部字段,無需關注。 |
opObj | 內部字段,無需關注。 |
p | 內部字段,無需關注。 |
param | SQL參數。 |
pickIp | 內部字段,無需關注。 |
pickUser | 內部字段,無需關注。 |
q | 數據庫類型。 |
r | 客戶端IP。 |
relateInfo | 內部字段,無需關注。 |
s | 客戶端端口。 |
smac | 客戶端MAC地址。 |
sqlModule | SQL模板。 |
t | 數據庫IP。 |
tenant | 租戶。 |
u | 數據庫端口。 |
uid | 阿里云賬號ID。 |
v | 登錄賬號。 |
w | 客戶端工具。 |
x | 客戶端主機名。 |
y | 操作系統用戶名。 |
z | 操作類型。取值描述的更多信息,請參見操作類型取值說明。 |
操作類型取值 | 描述 |
0 | UNKNOWN |
1 | Select |
2 | Insert |
3 | Update |
4 | Delete |
5 | Truncate |
6 | Create |
7 | Alter |
8 | Drop |
9 | Savepoint |
10 | Commit |
11 | Rollback |
12 | Grant |
13 | Revoke |
14 | Call |
15 | Desc |
16 | Describe |
17 | Comment |
18 | Rename |
19 | Load |
20 | Unload |
21 | Abort |
22 | Explain |
23 | Shutdown |
24 | Kill |
25 | Exec |
26 | Execute |
27 | Login |
28 | Logout |
29 | Begin |
30 | Set |
31 | Use |
32 | Disassociate |
33 | Audit |
34 | Associate |
35 | Analyze |
36 | Noaudit |
37 | Lock |
38 | Merge |
39 | User |
40 | Description |
41 | If |
42 | With |
43 | Declare |
44 | Flashback |
45 | Terminate |
46 | Show |
47 | Upsert |
48 | Ping |
49 | Replace |
50 | Database |
51 | Flush |
52 | Mysqladmin |
53 | Reset |
54 | Cancel |
55 | Find |
56 | Get |
57 | Ismaster |
58 | Runcommand |
59 | Admincommand |
60 | Do |
61 | Return |
62 | Copy |
63 | Repair |