本小节介绍数据库安全审计ECS自建数据库最佳实践。 数据库安全审计采用旁路部署模式，通过在数据库或应用系统服务器上部署数据库安全审计Agent，获取访问数据库流量、将流量数据上传到审计系统、接收审计系统配置命令和上报数据库状态监控数据，实现对ECS/BMS自建数据库的安全审计。 审计ECS/BMS自建数据库架构图如所示。 场景说明 假设您在的弹性云服务器（Elastic Cloud Server ，以下简称ECS）上自建了一个数据库，数据库的详细信息如表所示，您需要对该数据库内部违规和不正当操作进行定位追责，满足等保测评数据库审计需求。本章节详细介绍该场景下，在数据库端安装 Agent ，开启数据库安全审计功能和验证审计结果的操作。 数据库类型 MySQL 数据库版本 5.7 数据库IP地址 192.168.1.5 端口 3306 操作系统 LINUX64 约束与限制 使用数据库安全审计需要关闭数据库的SSL。 待审计数据库与数据库安全审计需要在同一区域。 购买数据库安全审计配置“VPC”参数时，需与Agent安装节点所在VPC相同。 数据库安全审计的Agent安装节点，请参见：如何选择数据库安全审计的Agent安装节点？。 步骤一：购买数据库安全审计 您需要根据您的业务需求购买数据库安全审计规格并配置数据库安全审计参数，详细操作请参见购买数据库安全审计。 为保证审计功能的正常使用，购买数据库安全审计配置“VPC”参数时，请与Agent安装节点所在VPC相同。 数据库安全审计的Agent安装节点，请参见：如何选择数据库安全审计的Agent安装节点？。

此小节介绍如何使用堡垒机对安全事故进行事后追溯。 随着业务上云并不断发展，云上运维的人数不断增加，这样必然会衍生出一些运维人员操作疏忽而导致的一些安全事故，但由于传统服务器缺少指令监控，操作回放等功能，这样就导致安全事件可追溯性不完善的问题。 云堡垒机可以管控所有的操作，并对所有的操作都进行详细记录。针对会话的审计日志，支持在线查看、在线播放和下载后离线播放。目前支持字符协议（SSH、TELNET）、图形协议（RDP、VNC）、文件传输协议（FTP、SFTP、SCP）、数据库协议（DB2、MySQL、Oracle、SQL Server）和应用发布的操作审计。其中，字符协议和数据库协议能够进行操作指令解析，还原操作指令；文件传输能够记录传输的文件名称和目标路径。 简介 本章节介绍了云堡垒机如何通过会话审计功能对安全事件进行追溯调查，完成安全事件的责任界定。 前提条件 已购买云堡垒机，并且使用有审计模块权限的账号登录云堡垒机 对历史会话进行审计 1. 登录控制台。进入“历史会话”页面，具体操作步骤详见查看历史会话。 2. 根据您业务出现安全问题的一些信息，在“高级搜索框”中输入相关信息进行检索。 3. 根据搜索完后的结果，在“操作”列单击“详情”，进入“会话详情”页面，对历史操作指令、文件传输情况进行排查。 根据上述步骤您就可以根据操作指令的情况，排查出是哪个步骤出现了问题，为您的事件追溯提供了便利性。当然您也可以使用会话回放功能，通过播放运维视频，来查看具体的操作情况。 云堡垒机还为您提供实时会话监控功能，让您可以实时查看高危操作的运维界面，若出现危险指令可立即切断运维人员的操作，确保业务的安全。

本章节介绍如何创建数据类追踪器。 云审计服务提供的追踪器分两类，包括管理类追踪器和数据类追踪器。 管理类追踪器用于记录管理事件，即针对所有云资源的操作日志，例如创建、登录、删除等。 数据类追踪器用于记录数据事件，即针对租户对OBS桶中的数据的操作日志，例如上传、下载等。 操作场景 云审计服务支持创建数据类事件追踪器，用于记录数据操作日志。数据类追踪器用于记录数据事件，即针对租户对OBS桶中的数据的操作日志，例如上传、下载等。 在开通云审计服务时，系统已为您自动创建了一个管理事件追踪器，管理事件追踪器只能有一个，故后续您自行创建的追踪器均为数据类事件追踪器。 使用限制 CTS仅记录最近7天内的操作事件，您需要配置追踪器来保存更长时间的事件，否则将无法追溯7天前的操作事件。追踪器会将事件持续保存到您指定的LTS日志流或者OBS桶中。 前提条件 已开通云审计服务。 创建数据类事件追踪器 1. 登录管理控制台。 2. 在服务列表选择“管理与部署 > 云审计服务 CTS”，进入云审计服务页面。 3. 在左侧导航栏选择“追踪器”，单击页面右上角的“创建追踪器”。 4. 基本信息。新建“追踪器名称”便于识别。单击“下一步”，基本信息填写成功。 数据类事件追踪器命名规则：名称只能包含大小写字母、数字、和，且必须由大小写字母或数字开头。名称不能为空，且输入长度不能超过32个字符。名称不能为“system”或“systemtrace”。 5. 在选择追踪对象页面，填写相关参数，详细参数说明见表 选择追踪对象参数表 ，单击“下一步”。 6. 在配置转储页面，填写相关参数，单击“下一步”。用户通过云审计控制台只能查询最近7天的操作记录，如果需要查询超过7天的操作记录，您必须配置转储到对象存储服务（OBS）或配置转储到云日志服务（LTS）。具体参数说明参见表 配置转储到OBS参数列表和表 配置转储到LTS参数列表。 7. 预览追踪器信息无误后，单击“创建”完成追踪器的创建。 表 选择追踪对象参数表 参数名称 参数说明 数据事件来源 数据事件的存储容器，默认为OBS桶。 OBS桶名称 在下拉列表中选择对应OBS桶。 创建完成后，OBS桶名称不可修改。 事件操作类型 数据操作类型分为“读操作”和“写操作”，读操作指的是从OBS桶中获取或下载对象数据，写操作指的是向OBS桶中上传或写入对象数据。 勾选“读操作”后，CTS只会记录读操作类型的数据事件。 勾选“写操作”后，CTS只会记录写操作类型的数据事件。 您可以在OBS服务的页面的“表2 云审计服务支持的OBS数据事件操作列表”中，查看当前支持云审计的全部OBS操作数据事件，以及查看具体有哪些读操作类型事件和写操作类型事件。 表 配置转储到OBS参数列表 参数名称 参数说明 转储到OBS 当“转储到OBS”开关打开时，您可以选择已存在的OBS桶，并配置事件文件前缀。 如果“转储到OBS”开关关闭时，则无需配置相应参数。 选择OBS 选择已有OBS桶：选择当前区域已创建的OBS桶。 OBS桶名称 当“选择OBS”选择“新建OBS桶”时，直接新建OBS桶名称。OBS桶名称不能为空，仅支持小写字母、数字、“”和“.”，且长度范围为363个字符。禁止两个“.”相邻（如“my..bucket”），禁止“.”和“”相邻（如“my.bucket”和“my.bucket”），禁止使用ip为桶名称。 当“选择OBS”选择“选择已有OBS桶”时，可以选择已存在的OBS桶。 保存周期 转储至OBS桶中日志的保存周期。该配置会修改被选择桶的桶策略，影响范围为桶内的所有文件。不同类型、不同级别的合规认证标准对审计日志的保存时间有不同的要求，建议设置保存周期不低于180天。 数据类事件追踪器：保存周期支持设置为30天、60天、90天、180天、三年和沿用OBS配置。 事件文件名前缀 用于标识被转储的事件文件，该字段支持用户自定义，会自动添加在转储事件文件的文件名前端，方便用户快速进行筛选。事件文件名前缀只能由英文字母、数字、下划线（）、中划线（）和小数点（.）组成，且长度范围为064个字符。 表 配置转储到LTS参数列表 参数名称 参数说明 转储到LTS 当“转储到LTS”开关打开时，表示操作事件将转储到日志流中。 日志组名称 当“转储到LTS”开关打开时，日志组名称默认为“CTS”。如果“转储到LTS”开关关闭时，则无需配置该参数。

本小节介绍日志审计(原生版)产品优势。 一站式审计 具备日志采集范围广、检索速度快、审计分析维度深、数据展示视图全、风险报表模板多、响应处置效率高等一站式日志审计功能。 强大的关联分析能力，可以让安全运维人员从几十分钟甚至小时级别的日志审计溯源耗时缩小到分钟级别，甚至秒级，大大提升安全审计效率。 搜索引擎是针对日志所设计的架构，比通用的ES搜索引擎更安全，效率更高，稳定性更好，还可节省一半硬件资源。 满足等保合规 符合国家等级保护制度中对于安全审计的技术要求，具备完整的日志审计分析报告，满足用户多样化报表和监管要求。 通过统一数据采集，统一数据备份，满足企业合规要求，如中国电信《中国电信云运〔2021〕58号》。 满足《网络安全法》对日志审计要求，满足等级保护二级，三级对日志的相关要求。 便捷部署 为用户提供开箱即用的自动化配置、更新和管理功能，减少了人工干预和操作的需要，降低了用户在部署和配置方面的难度。 通过自动化配置、更新和管理功能，用户可以快速设置和调整系统，无需手动进行繁琐的配置过程。这大大简化了系统的部署和配置过程，并减少了人为错误的可能性。 确保部署流程简单高效，减少人工干预，提高管理工作效率，降低运维工作负担，让安全运维部署工作效益上升一个台阶。

本小节介绍支持云审计的HSS操作列表 企业主机安全通过云审计服务（Cloud Trace Service，CTS）为用户提供云服务资源的操作记录，记录内容包括用户从管理控制台或者开放API发起的云服务资源操作请求以及每次请求的结果，供用户查询、审计和回溯使用。 云审计服务支持的HSS操作列表 操作名称 资源类型 事件名称 取消忽略端口 hss notIgnorePortStatus 忽略端口 hss ignorePortStatus 取消忽略配置检测项 hss notIgnoreCheckRuleStat 忽略配置检测项 hss ignoreCheckRuleStat 重新进行基线检测 hss runBaselineDetect 解绑配额 hss cancelHostsQuota 关闭容器防护 hss closeContainerProtectStatus 开启容器防护 hss openContainerProtectStatus 解除已拦截IP hss changeBlockedIp 处理事件状态 hss changeEvent 恢复已隔离文件 hss changeIsolatedFile 删除告警白名单 hss removeAlarmWhiteList 添加登录白名单 hss addLoginWhiteList 删除登录白名单 hss removeLoginWhiteList 新增服务器组 hss addHostsGroup 分配到服务器组 hss associateHostsGroup 修改服务器组 hss changeHostsGroup 删除服务器组 hss deleteHostsGroup 关闭主机防护 hss closeHostsProtectStatus 开启主机防护 hss openHostsProtectStatus 卸载agent hss uninstallAgents 运行镜像扫描 hss runImageScan 从SWR服务同步镜像列表 hss runImageSynchronizeTask 更新并扫描SWR镜像 hss runSwrImageScan 重新体检 hss resetRiskScore 添加策略组 hss addPolicyGroup 删除策略组 hss deletePolicyGroup 部署策略组 hss deployPolicyGroup 修改策略内容 hss modifyPolicyDetail 修改策略组 hss modifyPolicyGroup 关闭自动隔离查杀 hss closeAutoKillVirusStatus 开启自动隔离查杀 hss openAutoKillVirusStatus 设置常用登录IP hss modifyLoginCommonIp 设置常用登录地 hss modifyLoginCommonLocation 设置SSH登录白名单 hss modifyLoginWhiteIp 修复漏洞 hss changeVulStatus 添加防护目录 hss addHostProtectDirInfo 添加特权进程 hss addPrivilegedProcessInfo 添加定时关闭防护配置 hss addTimingOffConfigInfo 删除远端备份服务器 hss deleteBackupHostInfo 删除防护目录 hss deleteHostProtectDirInfo 删除特权进程 hss deletePrivilegedProcessInfo 删除定时关闭防护配置 hss deleteTimingOffConfigInfo 设置定时关闭防护周期 hss setDateOffConfigInfo 修改防护目录开启状态 hss setProtectDirSwitchInfo 修改动态网页防篡改状态 hss setRaspSwitch 设置远端备份服务器 hss setRemoteBackupInfo 修改定时关闭防护状态 hss setTimingOffSwitchInfo 关闭网页防篡改防护 hss closeWtpProtectionStatusInfo 开启网页防篡改防护 hss openWtpProtectionStatusInfo 修改远端备份服务器 hss updateBackupHostInfo 修改防护目录 hss updateHostProtectDirInfo 修改特权进程 hss updatePrivilegedProcessInfo 修改Tomcat bin目录 hss updateRaspPathInfo 修改定时关闭防护时间段 hss updateTimingOffConfigInfo

服务名称 交互功能 虚拟私有云（Virtual Private Cloud, VPC） 您可以将VPC接入企业路由器，快速打通云上网络，尤其对于多个VPC互通的组网，免去大量的对等连接配置。 统一身份认证服务（Identity and Access Management, IAM） 针对位于公有云上的企业路由器资源，您可以通过IAM进行精细的权限管理，即为不同的用户设置不同的使用权限，权限管理有助于实现资源的安全管控。 云监控（Cloud Eye） 使用云监控可以监控企业路由器实例以及企业路由器连接的网络情况，并对异常进行报警，保证业务的顺畅运行。 云审计服务（Cloud Trace Service, CTS） 使用云审计服务可以记录与企业路由器相关的操作事件，便于日后的查询、审计和回溯。 云防火墙（Cloud Firewall，CFW） 您可以通过企业路由器、虚拟私有云VPC和云防火墙构建组网，实现云上VPC间的流量防护。

本节介绍云等保专区产品的日志审计配置类问题。 日志审计设备如何进行接入配置？ 1. 首先在进行审计前，用户需要在资产上设置Syslog等协议将日志发送至平台。 2. 平台可自动发现通过Syslog等协议向平台发送日志的资产向平台发送日志的资产，发现这些资产后，需要添加这些资产，在上边栏选择“资产管理”，在左侧菜单栏选择“ 资产 > 全部资产 ”进入资产页面，点击“新增”。 进入新增资产页面，选择资产类型（如Windows）。 编辑相关信息，点击“保存”。 3. 在事件管理模块中可查询资产的日志信息，在性能监控模块中监控资产的性能状态，在上边栏选择“事件管理”，在左侧菜单栏选择“ 事件 > 自定义查询 ”进入自定义查询页面。设置查询条件，点击“查询”即可查询事件，点击“清空”可清空查询条件。 4. 创建解决方案包为可选操作，平台已经内置了2个解决方案包。用户可根据需要创建解决方案包，解决方案包是一系列安全事件模板的集合，平台根据这些模板分析资产的风险趋势，对于威胁事件给予告警，在上边栏选择“规则库”，在左侧菜单栏选择“解决方案包”进入解决方案包页面。 点击“新增”，编辑相关信息，点击“保存”。 5. 用户还可订阅自己关注的告警事件，可第一时间了解资产的威胁态势，在上边栏选择“事件管理”，在左侧菜单栏选择“ 告警 > 告警订阅 ”进入告警订阅页面，选择未订阅页签。在左侧解决方案包导航栏中选择事件（如“防火墙阻断”），选择邮件订阅、短信订阅、FTP订阅和TCP订阅的用户，点击“保存”。 6. 平台会根据解决方案包对日志事件进行审计并对威胁趋势做出统计，用户可查看审计概要和统计报表，在上边栏选择“审计概要”进入审计概要页面，在左侧解决方案包导航栏中选择具体项目，即可查看该项目的审计概要信息。 在上边栏选择“统计报表”，在左侧菜单栏选择“统计报表”，选择报表项，可查看该报表项的信息。 点击“过滤”，在弹出的对话框中设置过滤条件，点击“过滤”即可查看符合过滤条件的统计信息。 点击时间下拉框，选择时间段可查看对应时间段内的事件统计信息。 点击页面右上角的“导出”，在弹出的菜单栏中选择“导出Word”、“导出PDF”即可将统计报表导出为Word、PDF文件保存至本地。

本章节介绍Web应用防火墙与其他云服务的关系。 与弹性云主机的关系 Web应用防火墙为弹性云主机提供Web安全防护服务。 与云审计的关系 云审计（CloudTrace Service，CTS）记录了Web应用防火墙相关的操作事件，方便用户日后的查询、审计和回溯。 云审计服务支持的WAF操作列表： 操作名称 资源类型 事件名称 创建Web应用防火墙防护实例 instance createInstance 删除Web应用防火墙防护实例 instance deleteInstance 更新Web应用防火墙防护实例 instance alterInstanceName 修改Web应用防火墙防护实例的防护状态 instance modifyProtectStatus 修改Web应用防火墙防护实例的接入状态 instance modifyAccessStatus 创建Web应用防火墙防护策略 policy createPolicy 应用Web应用防火墙防护策略 policy applyToHost 更新Web应用防火墙防护策略 policy modifyPolicy 删除Web应用防火墙防护策略 policy deletePolicy 添加证书 certificate createCertificate 修改证书名称 certificate modifyCertificate 删除证书 certificate deleteCertificate 创建CC规则 policy createCc 修改CC规则 policy modifyCc 删除CC规则 policy deleteCc 创建精准防护规则 policy createCustom 修改精准防护规则 policy modifyCustom 删除精准防护规则 policy deleteCustom 创建IP黑白名单规则 policy createWhiteblackip 修改IP黑白名单规则 policy modifyWhiteblackip 删除IP黑白名单规则 policy deleteWhiteblackip 创建/刷新网页防篡改规则 policy createAntitamper 删除网页防篡改规则 policy deleteAntitamper 创建误报屏蔽规则 policy createIgnore 删除误报屏蔽规则 policy deleteIgnore 创建隐私屏蔽规则 policy createPrivacy 修改隐私屏蔽规则 policy modifyPrivacy 删除隐私屏蔽规则 policy deletePrivacy

本文主要介绍应用运维管理 应用运维管理（Application Operations Management，以下简称AOM）为运维人员提供一站式立体运维平台，实时监控应用、资源运行状态，通过数十种指标、告警与日志关联分析，快速锁定问题根源，保障业务顺畅运行。 通过云审计服务，您可以记录与AOM服务相关的操作事件，便于日后的查询、审计和回溯。 表 云审计服务支持的AOM操作列表 操作名称 资源类型 事件名称 创建仪表盘 ams addDashboard 修改仪表盘 ams updateDashboard 删除仪表盘 ams deleteDashboard 创建阈值 ams addThreshold 修改阈值 ams updateThreshold 删除阈值 ams deleteThreshold 创建策略组 pe createPolicyGroup 删除策略组 pe deletePolicyGroup 更新策略组 pe updatePolicyGroup 启用策略组 pe enablePolicyGroup 停用策略组 pe disablePolicyGroup 创建策略 pe createPolicy 删除策略 pe deletePolicy 更新策略 pe updatePolicy 启用策略 pe enablePolicy 停用策略 pe disablePolicy 更新老化周期 als updateLogStorgeSetting

本章节主要介绍云审计服务支持的分布式消息服务RabbitMQ操作列表。 通过云审计服务，您可以记录与分布式消息服务RabbitMQ相关的操作事件，便于日后的查询、审计和回溯。 表1 云审计服务支持的RabbitMQ操作列表 操作名称 资源类型 事件名称 删除后台任务成功 rabbitmq deleteDMSBackendJobSuccess 删除后台任务失败 rabbitmq deleteDMSBackendJobFailure 创建DMS实例订单成功 rabbitmq createDMSInstanceOrderSuccess 创建DMS实例订单失败 rabbitmq createDMSInstanceOrderFailure 修改DMS实例订单成功 rabbitmq modifyDMSInstanceOrderSuccess 修改DMS实例订单失败 rabbitmq modifyDMSInstanceOrderFailure 扩容实例成功 rabbitmq extendDMSInstanceSuccess 扩容实例失败 rabbitmq extendDMSInstanceFailure 重置DMS实例密码成功 rabbitmq resetDMSInstancePasswordSuccess 重置DMS实例密码失败 rabbitmq resetDMSInstancePasswordFailure 删除创建失败的DMS实例成功 rabbitmq deleteDMSCreateFailureInstancesSuccess 删除创建失败的DMS实例失败 rabbitmq deleteDMSCreateFailureInstancesFailure 重启DMS实例成功 rabbitmq restartDMSInstanceSuccess 重启DMS实例失败 rabbitmq restartDMSInstanceFailure 批量删除DMS实例成功 rabbitmq batchDeleteDMSInstanceSuccess 批量删除DMS实例失败 rabbitmq batchDeleteDMSInstanceFailure 批量重启DMS实例成功 rabbitmq batchRestartDMSInstanceSuccess 批量重启DMS实例失败 rabbitmq batchRestartDMSInstanceFailure 修改DMS实例信息成功 rabbitmq modifyDMSInstanceInfoSuccess 修改DMS实例信息失败 rabbitmq modifyDMSInstanceInfoFailure 批量删除DMS实例任务 rabbitmq batchDeleteDMSInstanceTask 解冻DMS实例任务成功 rabbitmq unfreezeDMSInstanceTaskSuccess 解冻DMS实例任务失败 rabbitmq unfreezeDMSInstanceTaskFailure 冻结DMS实例任务成功 rabbitmq freezeDMSInstanceTaskSuccess 冻结DMS实例任务失败 rabbitmq freezeDMSInstanceTaskFailure 删除DMS实例任务成功 rabbitmq deleteDMSInstanceTaskSuccess 删除DMS实例任务失败 rabbitmq deleteDMSInstanceTaskFailure 创建DMS实例任务成功 rabbitmq createDMSInstanceTaskSuccess 创建DMS实例任务失败 rabbitmq createDMSInstanceTaskFailure 扩容DMS实例任务成功 rabbitmq extendDMSInstanceTaskSuccess 扩容DMS实例任务失败 rabbitmq extendDMSInstanceTaskFailure 重启DMS实例任务成功 rabbitmq restartDMSInstanceTaskSuccess 重启DMS实例任务失败 rabbitmq restartDMSInstanceTaskFailure 批量重启DMS实例任务成功 rabbitmq batchRestartDMSInstanceTaskSuccess 批量重启DMS实例任务失败 rabbitmq batchRestartDMSInstanceTaskFailure 修改DMS实例信息任务成功 rabbitmq modifyDMSInstanceInfoTaskSuccess 修改DMS实例信息任务失败 rabbitmq modifyDMSInstanceInfoTaskFailure

本节介绍云等保专区产品的数据库审计配置类问题。 数据库审计如何进行接入配置？ 1. 首先进入到数据库审计原子能力后先修改管理口IP，在菜单栏选择“ 系统管理 > 系统配置 ”进入系统配置页面，选择网络页签，点击操作列中的“编辑”。 在弹出的编辑网口对话框中修改网口的IPv4地址、子网掩码、IPv6等配置信息，点击“保存”。 如果该网口是管理口，除修改网口的IPv4地址、子网掩码、IPv6配置信息，还可设置IPv4网关。 在网口管理区域的操作列中点击是否启用开关，可启用或禁用选中的网口（管理口无法被禁用）。 2. 然后添加系统需要审计的数据库，在菜单栏选择“ 资产 > 资产管理 ”进入资产管理页面，选择资产管理页签，点击“添加”。 在弹出的添加资产页面编辑相关信息。 如需配置其他更多信息，可点击“更多配置”，选择单向审计或双向审计，设置加密协议审计。 3. 然后配置数据库的安全规则和过滤规则，在菜单栏选择“ 规则配置 > 安全规则 ”进入安全规则页面，选择规则管理页签，点击“推荐”，切换至“全部”。 用户也可以管理自定义的规则，新增自定义安全规则的操作方法如下：在菜单栏选择“ 规则配置 > 安全规则 ”进入安全规则页面，选择规则管理页签，点击“新增”。 在新增规则对话框中编辑相关信息，点击“保存”。 接着启用规则，在菜单栏选择“规则配置 > 安全规则”进入安全规则页面，选择规则管理页签，在规则列表中勾选目标规则，点击“启用选中项”。 在弹出对话框中勾选资产，点击“确定”，则可将已启用的规则直接应用到选择的资产上。 4. 最后便于用户及时了解数据库的运行状态及安全告警信息，可查看报表订阅和告警通知，在菜单栏选择“报表中心 > 报表预览”进入报表预览页面，点击页面右上角的“订阅”。 进入添加订阅任务页面，编辑相关信息，点击“保存”。 系统支持多种消息通知模式，可及时将当前资产告警情况以及系统本身的状态信息提供给管理员，目前支持邮件、短信、企业微信、钉钉、SNMP、Syslog六种通知方式，详情阅读用户手册进行设置。

本文主要介绍弹性伸缩支持审计的关键操作 弹性伸缩（Auto Scaling，以下简称AS）是根据用户的业务需求，通过策略自动调整其业务资源的服务。您可以根据业务需求自行定义伸缩配置和伸缩策略，降低人为反复调整资源以应对业务变化和高峰压力的工作量，帮助您节约资源和人力成本。 通过云审计服务，您可以记录与弹性伸缩相关的操作事件，便于日后的查询、审计和回溯。 表 云审计服务支持的AS操作列表 操作名称 资源类型 事件名称 创建伸缩组 scalinggroup createScalingGroup 修改伸缩组 scalinggroup modifyScalingGroup 删除伸缩组 scalinggroup deleteScalingGroup 启用伸缩组 scalinggroup enableScalingGroup 停用伸缩组 scalinggroup disableScalingGroup 创建伸缩配置 scalingconfiguration createScalingConfiguration 删除伸缩配置 scalingconfiguration deleteScalingConfiguration 批量删除伸缩配置 scalingconfiguration batchDeleteScalingConfiguration 创建伸缩策略 scalingpolicy createScalingPolicy 修改伸缩策略 scalingpolicy modifyScalingPolicy 删除伸缩策略 scalingpolicy deleteScalingPolicy 启用伸缩策略 scalingpolicy enableScalingPolicy 停用伸缩策略 scalingpolicy disableScalingPolicy 执行伸缩策略 scalingpolicy executeScalingPolicy 移除伸缩组实例 scalinginstance removeInstance 批量移除实例 scalinginstance batchRemoveInstances 批量添加实例 scalinginstance batchAddInstances 批量设置实例保护 scalinginstance batchProtectInstances 批量取消实例保护 scalinginstance batchUnprotectInstances 删除标签 scalingtag deleteScalingTag 创建/更新标签 scalingtag updateScalingTag

本节主要介绍支持审计的关键操作列表 通过云审计服务，您可以记录与文档数据库服务相关的操作事件，便于日后的查询、审计和回溯。 文档数据库服务的关键操作列表 操作名称 资源类型 事件名称 恢复到新实例 instance ddsRestoreToNewInstance 恢复到已有实例 instance ddsRestoreToOldInstance 创建实例 instance ddsCreateInstance 删除实例 instance ddsDeleteInstance 重启实例 instance ddsRestartInstance 扩节点 instance ddsGrowInstance 扩磁盘 instance ddsExtendInstanceVolume 重置数据库密码 instance ddsResetPassword 实例重命名 instance ddsRenameInstance 切换SSL instance ddsSwitchSsl 修改实例端口 instance ddsModifyInstancePort 创建备份 backup ddsCreateBackup 删除备份 backup ddsDeleteBackup 设置备份策略 backup ddsSetBackupPolicy 应用参数模板 parameterGroup ddsApplyConfigurations 复制参数模板 parameterGroup ddsCopyConfigurations 重置参数模板 parameterGroup ddsResetConfigurations 创建参数模板 parameterGroup ddsCreateConfigurations 删除参数模板 parameterGroup ddsDeleteConfigurations 更新参数模板 parameterGroup ddsUpdateConfigurations 绑定公网IP instance ddsBindEIP 解绑公网IP instance ddsUnBindEIP 修改标签 tag ddsModifyTag 删除实例标签 tag ddsDeleteInstanceTag 添加实例标签 tag ddsAddInstanceTag 扩容失败回退 instance ddsDeleteExtendedDdsNode 规格变更 instance ddsResizeInstance 实例解冻 instance ddsUnfreezeInstance 实例冻结 instance ddsFreezeInstance 修改内网地址 instance ddsModifyIP 修改内网域名 instance ddsModifyDNSName 设置集群均衡开关 instance ddsSetBalancer 内部通信方式切换 instance ddsSwitchInnerSsl 添加只读节点 instance AddReadonlyNode 集群开启shard/config IP instance ddsCreateIp 修改实例安全组 instance ddsModifySecurityGroup 迁移可用区 instance ddsMigrateAvailabilityZone 实例备注 instance ddsModifyInstanceRemark 可维护时间段 instance ddsModifyInstanceMaintenanceWindow 补丁升级 instance ddsUpgradeDatastorePatch 主备切换 instance ddsReplicaSetSwitchover 跨网段访问配置 instance ddsModifyInstanceSourceSubnet 实例参数修改 parameterGroup ddsUpdateInstanceConfigurations 实例导出参数模板 parameterGroup ddsSaveConfigurations 设置跨区域备份策略 backup ddsModifyOffsiteBackupPolicy 慢日志开启明文显示 instance ddsOpenSlowLogPlaintextSwitch 慢日志关闭明文显示 instance ddsCloseSlowLogPlaintextSwitch 下载错误/慢日志 instance ddsDownloadLog 实例开启审计策略 instance ddsOpenAuditLog 实例关闭审计策略 instance ddsCloseAuditLog 实例下载审计日志 instance ddsDownloadAuditLog 实例删除审计日志 instance ddsDeleteAuditLogFile 回收站策略 instance ddsModifyRecyclePolicy

团队申请 归属团队是智护实例的重要属性之一，智护实例 和团队 之间是多对一 的关系，从而隔离资源权限。高权限账号可编辑组织用户加入团队，详情请参考用户管理；或由普通用户提团队申请工单加入，详情请参考我的团队。 团队管理 同云上团队管理能力，详情请参考团队管理。 操作审计 1. 顶部菜单栏新增安全协作 > 操作审计 ，或点击左侧图标 > 操作审计 2. 可查看用户在端云协同客户端内执行过的SQL明细以及操作审计。 注意 操作审计 支持个人实例 和智护实例 ：任意场景下用户都具有个人实例审计权限；智护实例审计权限仅限 当前组织下的高权限账号角色。

团队申请 归属团队是智护实例的重要属性之一，智护实例 和团队 之间是多对一 的关系，从而隔离资源权限。高权限账号可编辑组织用户加入团队，详情请参考用户管理；或由普通用户提团队申请工单加入，详情请参考我的团队。 团队管理 同云上团队管理能力，详情请参考团队管理。 操作审计 1. 顶部菜单栏新增安全协作 > 操作审计 ，或点击左侧图标 > 操作审计 2. 可查看用户在端云协同客户端内执行过的SQL明细以及操作审计。 注意 操作审计 支持个人实例 和智护实例 ：任意场景下用户都具有个人实例审计权限；智护实例审计权限仅限 当前组织下的高权限账号角色。

此小节介绍数据库审计的产品规格。 在“一类节点”区域，数据库审计提供了标准版、专业版、高级版和旗舰版四种服务版本，您可以根据业务需求选择相应的服务版本。 说明 在“一类节点”区域，购买数据库审计无需再配套开通云服务器。 分类 标准版 高级版 企业版 旗舰版 支持的数据库实例个数 3个 6个 12个 30个 吞吐量峰值 3,000条/秒 6,000条/秒 12,000条/秒 35,000条/秒 入库速率 360万条/小时 720万条/小时 1440万条/小时 1440万条/小时 支持的SQL语句存储量 4亿条在线SQL语句存储。 50亿条归档SQL语句存储。 6亿条在线SQL语句存储。 100亿条归档SQL语句存储。 10亿条在线SQL语句存储。 200亿条归档SQL语句存储。 16亿条在线SQL语句存储。 200亿条归档SQL语句存储。 资源需求 CPU：4U 内存：16GB 硬盘：512GB CPU：8U 内存：32GB 硬盘：1TB CPU：16U 内存：64GB 硬盘：2TB CPU：16U 内存：64GB 硬盘：5TB 在“二类节点”区域，数据库审计提供以下实例规格，请您参照下表选择需要的实例规格。 支持的数据库实例个数 推荐云主机的资源需求 3个 CPU：4U 内存：16GB 硬盘：500GB 6个 CPU：8U 内存：16GB 硬盘：1TB 9个 CPU：8U 内存：16GB 硬盘：1TB 12个 CPU：16U 内存：32GB 硬盘：2TB 15个 CPU：16U 内存：32GB 硬盘：2TB 18个 CPU：16U 内存：32GB 硬盘：3TB 21个 CPU：16U 内存：32GB 硬盘：3TB 24个 CPU：16U 内存：32GB 硬盘：3TB 27个 CPU：16U 内存：64GB 硬盘：4TB 30个 CPU：16U 内存：64GB 硬盘：4TB

特殊权限说明 说明 仅V3.6.0及以上版本的日志审计实例支持下表中的三个权限。 权限 定义 拥有的菜单 超级管理员 维护系统稳定运行 所有菜单 审计管理员 负责监督和检查系统的操作和活动，确保合规性和正确性 首页、资产管理、日志审计、风险分析事件策略、报表管理、操作日志 安全管理员 制定和实施信息安全策略和政策，确保组织的信息安全 首页、资产管理、日志审计、风险分析、风险处置 依赖策略说明 如需让账号拥有在日志审计（原生版）控制台下单、管理云主机、弹性网络等权限，还需配置如下策略： 策略名称 策略描述 授权范围 配置说明 CtyunBssAdmin 控制天翼云订单、合同、标签、客户信息管理全量操作权限（包含一类、二类资源池节点）。 全局级 若子账号涉及开单、支付、订单管理等操作，需配置该策略。 ecs admin 控制天翼云云主机服务开通、管理权限。 资源池 若子账号涉及开通、管理云主机（云等保专区下单涉及开通主机），需要配置该策略。 vpc admin 控制天翼云弹性IP开通、新建、配置等管理权限。 资源池 若子账号涉及配置、新建、管理弹性网络（子网、EIP、安全组、弹性网卡、VIP、子网路由等），需要配置该策略。

与弹性云服务器的关系 弹性云主机（Elastic Cloud Server，ECS）是由CPU、内存、操作系统、云硬盘组成的基础的计算组件。弹性云服务器创建成功后，您就可以像使用自己的本地PC或物理服务器一样，在云上使用弹性云服务器。 Dedicated HSM提供的专属加密实例可以为部署在弹性云服务器内的业务系统加密敏感数据，用户可完全控制密钥的生成、存储和访问授权，保证数据在传输、存储过程中的完整性、保密性。 与文档数据库服务的关系 文档数据库服务（Document Database Service，DDS）完全兼容MongoDB协议，提供安全、高可用、高可靠、弹性伸缩和易用的数据库服务，同时提供一键部署、弹性扩容、容灾、备份、恢复、监控和告警等功能。KMS为DDS提供用户主密钥管理控制能力，应用于文档数据库的磁盘加密功能。 与云审计服务的关系 云审计服务（Cloud Trace Service，CTS）记录数据加密服务相关的操作事件，方便用户日后的查询、审计和回溯。 云审计服务支持的DEW操作列表 操作名称 资源类型 事件名称 创建密钥 cmk createKey 创建数据密钥 cmk createDataKey 创建不含明文数据密钥 cmk createDataKeyWithoutPlaintext 启用密钥 cmk enableKey 禁用密钥 cmk disableKey 加密数据密钥 cmk encryptDatakey 解密数据密钥 cmk decryptDatakey 计划删除密钥 cmk scheduleKeyDeletion 取消计划删除密钥 cmk cancelKeyDeletion 创建随机数 rng genRandom 修改密钥别名 cmk updateKeyAlias 修改密钥描述 cmk updateKeyDescription 密钥删除风险提示 cmk deleteKeyRiskTips 导入密钥材料 cmk importKeyMaterial 删除密钥材料 cmk deleteImportedKeyMaterial 加密数据 cmk encryptData 解密数据 cmk decryptData 添加标签 cmk createKeyTag 删除标签 cmk deleteKeyTag 批量添加标签 cmk batchCreateKeyTags 批量删除标签 cmk batchDeleteKeyTags 开启密钥轮换 cmk enableKeyRotation 修改密钥轮换周期 cmk updateKeyRotationInterval 关闭密钥轮换 cmk disableKeyRotation

交互功能 相关服务 通过CTS服务，您可以记录与云日志服务相关的操作事件，便于日后的查询、审计和回溯。 云审计服务（Cloud Trace Service，简称CTS） 通过OBS服务，您可以将需要长期存储的日志转储至OBS桶中，确保日志不丢失，实现数据持久化。 对象存储服务（Object Storage Service，简称OBS） 通过AOM服务，可以进行站点访问统计，可以将相关日志上报给AOM，对其进行监控与告警。 应用运维管理（Application Operations Management，简称AOM） 通过IAM服务，您可以给账号中的子用户授予使用云日志服务的权限。 统一身份认证服务（Identity and Access Management，简称IAM）

本小节介绍安全专区云数据库审计中添加保护对象方法。 配置方法： 1.点击【保护对象】→【添加】，进行添加保护对象设置。 说明 数据库中的保护对象是指受审计的数据库。 2.填写受保护对象相关信息。 对象名：自定义； 状态：默认开启； 告警：默认关闭（按需开启）； 数据库类型：MySQL（选择对应的数据库版本）； 版本号：MySQL5.7（选择安装的对应版本号）； Ip地址：192.168.0.124（可输入IP段形式，用‘’隔开）； 端口号：3306（可输入多端口，用‘’隔开）； 数据字符集：GB2312（选择适当的编码）； His产商：空（按需配置）； 审计策略：默认策略（按需配置）； 告警策略：空（按需配置）。 注意 根据自己数据库安装时的配置选择编码，编码选择错误可能会导致乱码问题。 3.保存成功后，可对原有配置进行单个编辑，配置扩展配置以及批量修改（状态、策略）。 4.完成以上客户端安装及策略配置，数据库的访问操作将会发送到云数据库审计上并展示。

本文主要介绍应用性能管理 统一身份认证服务（Identity and Access Management，以下简称IAM）实现用户认证信息的集中管理。用户可以管理自己的已验证邮箱、已验证手机、密码等信息。当用户在调用API接口申请云服务器或进行云资源管理以及使用多租户方式登录云平台时，也可实时查询所需的项目ID、访问密钥（AK/SK）以及帐户名。 通过云审计服务，您可以记录与统一身份认证服务相关的操作事件，便于日后的查询、审计和回溯。 注：统一身份认证服务属全局级服务，各二类节点统一身份认证的相关操作事件请在贵州资源池查看和操作。 表 云审计服务支持的IAM操作列表 操作名称 资源类型 事件名称 用户登录 user login 用户登出 user logout 登录重置密码 user changePassword 创建用户 user createUser 删除用户 user deleteUser 修改用户 user updateUser 创建用户组 userGroup createUserGroup 删除用户组 userGroup deleteUserGroup 修改用户组 userGroup updateUserGroup 创建idp identityProvider createIdentityProvider 删除idp identityProvider deleteIdentityProvider 修改idp identityProvider updateIdentityProvider 更新metadata identityProvider updateMetadata 更新帐号登录策略 domain updateSecurityPolicies 更新密码策略 domain updatePasswordPolicies 更新ACL domain updateACLPolicies 更新安全警告策略 domain updateWarningPolicies 创建AK/SK user addCredential 删除 AK/SK user deleteCredential 修改邮箱 user modifyUserEmail 修改手机 user modifyUserMobile 修改密码 user modifyUserPassword 登录开启双因子认证 user modifySMVerify 上传头像 user modifyUserPicture 创建信任 agency createAgency 删除信任 agency deleteAgency 修改信任信息 agency updateAgency 修改latch user modifyLatchVerify 修改mc user modifyMCConnectVerify 管理员设置用户密码 user setPasswordByAdmin 切换角色 user switchRole

本小节为云防火墙功能类常见问题。 通过日志审计功能可查看哪些信息？ 在“日志审计”页面，可以详细查看每一条用户攻击信息，包括攻击发生时间、攻击类型、危险等级、源端口、源IP、目的IP、目的端口等信息。 云防火墙支持哪些维度的访问控制？ 云防火墙当前支持基于五元组、IP地址组、服务组、域名、黑名单、白名单设置ACL访问控制策略；也支持基于IPS（intrusion prevention system，入侵防御系统）设置访问控制。 IPS支持观察模式和阻断模式，当您选择阻断模式时，云防火墙根据IPS规则检测出符合攻击特征的流量进行阻断。具体配置步骤请参考配置访问控制策略。 云防火墙攻击日志，为什么显示还未纳入防护的EIP？ 云防火墙会将所有受到攻击的EIP信息做收集，以便您更好的配置防御策略。

如何验证已完成数据库安全审计配置？ 开启数据库安全审计功能后，请参考以下操作步骤验证已正确配置数据库安全审计。 1. 在安装Agent的节点输入一条SQL语句（例如“show databases”）。 2. 登录管理控制台。 3. 在“时间”所在行右侧，单击，选择开始时间和结束时间，单击“提交”，SQL语句列表将显示步骤1输入的SQL语句，如图425所示。 如果SQL语句列表中显示输入的SQL语句，说明已正确配置数据库安全审计。 如果SQL语句列表中未显示输入的SQL语句，说明数据库安全审计功能无法使用，请按以下方法处理： PC通过内网访问RDS（即应用端在云下）时，如何使用数据库安全审计？ 当PC通过专线内网访问RDS时，您可以将Agent安装到自建的代理端。此时，PC通过代理端访问数据库，数据库安全审计只能审计代理与后端数据库之间的访问记录，无法审计应用端与后端数据库的访问记录。

本文主要介绍通过云日志服务查看审计日志 通过云日志服务进行分析日志、搜索日志、日志可视化、下载日志和查看实时日志等操作。 查看LTS审计日志 说明 实例已经配置了访问日志，操作详情请参见日志配置管理—新增 步骤 1 在页面左上角单击，选择“管理与监管 > 云日志服务”，进入云服务日志页面。 步骤 2 在“日志组列表”区域，选择目标日志组，单击日志组名称。 查看日志详情 下载LTS日志文件 说明 如果实例已经配置了访问日志，操作详情请参见 步骤 1 在页面左上角单击，选择“管理与监管 > 云日志服务”，进入云服务日志页面。 步骤 2 在“日志组列表”区域，选择目标日志组，单击日志组名称。 下载日志 步骤 3 单击“”。

相关服务 交互功能 弹性云主机（ECS） 弹性云主机为文档数据库服务提供可弹性申请的计算资源，为数据库实例提供运行环境。 虚拟私有云（VPC） 虚拟私有云为文档数据库服务提供可弹性申请的网络资源，对数据库实例进行网络隔离和访问控制，提供数据库实例运行环境。 对象存储服务（OBS） 对象存储服务为文档数据库实例的备份文件提供存储空间。 云监控服务（CES） 云监控服务（CES）是一个开放性的监控平台，帮助用户实时监测文档数据库服务资源动态。云监控服务提供多种告警方式以保证及时预警，为您的服务正常运行保驾护航。 统一身份认证服务（IAM） 统一身份认证服务（Identity and Access Management，简称IAM）为文档数据库服务提供了权限管理功能。 云审计服务（CTS） 云审计服务（Cloud Trace Service，简称CTS），记录文档数据库服务相关的操作事件，方便用户日后的查询、审计和回溯。 数据复制服务（DRS） 使用数据复制服务，在多种场景下，实现数据库平滑迁移上云。最大限度允许迁移过程中业务继续对外提供使用，有效地将业务系统中断时间和业务影响最小化，完成数据库平滑迁移工作。

本章节主要介绍云审计服务支持的DLI操作列表说明。 通过云审计服务，您可以记录与DLI服务相关的操作事件，便于日后的查询、审计和回溯。 云审计服务支持的DLI操作列表 操作名称 资源类型 事件名称 创建数据库 database createDatabase 删除数据库 database deleteDatabase 修改数据库所有者 database alterDatabaseOwner 创建表 table createTable 删除表 table deleteTable 导出表数据 table exportData 导入表数据 table importData 修改表的所有者 table alterTableOwner 创建队列 queue createQueue 删除队列 queue dropQueue 队列授权 queue shareQueue 修改队列网段 queue replaceQueue 重启队列 queue queueActions 扩容/缩容队列 queue queueActions 提交作业（SQL） queue submitJob 取消作业（SQL） queue cancelJob 授权obs桶给DLI服务 obs obsAuthorize 检查SQL语法 job checkSQL 新建作业 job createJob 更新作业 job updateJob 删除作业 job deleteJob 购买cu时套餐包 order orderPackage 冻结资源 resource freezeResource 解冻资源 resource unfreezeResource 终止资源 resource deleteResource 资源清理 resource cleanResource 数据授权 data dataAuthorize 跨项目数据授权 data authorizeProjectData 导出查询结果 data storeJobResult 保存SQL模板 sqlTemplate saveSQLTemplate 更新SQL模板 sqlTemplate updateSQLTemplate 删除SQL模板 sqlTemplate deleteSQLTemplate 新建Flink模板 flinkTemplate createStreamTemplate 更新Flink模板 flinkTemplate createStreamTemplate 删除Flink模板 flinkTemplate deleteStreamTemplate 创建数据上传任务 uploader createUploadJob 获取数据上传任务鉴权 uploader getUploadAuthInfo 提交上传任务数据 uploader commitUploadJob 创建认证信息并上传证书 authInfo uploadAuthInfo 更新认证信息 authInfo updateAuthInfop 删除认证信息 authInfo deleteAuthInfo 更新配额 quota updateQuota 上传资源包 pkgResource uploadResources 删除资源包 pkgResource deleteResource 创建（经典型）跨源连接 datasource createDatasourceConn 删除（经典型）跨源连接 datasource deleteDatasourceConn 重新激活经典型跨源连接 datasource reactivateDSConnection 创建增强型跨源连接 datasource createConnection 删除增强型跨源连接 datasource getConnection 绑定队列 datasource associateQueueToDatasourceConn 解绑队列 datasource disassociateQueueToDatasourceConn 修改主机信息 datasource updateHostInfo 添加路由 datasource addRoute 删除路由 datasource deleteRoute 创建主题 smn createTopic 创建授权DLI agency createAgencyV2 创建批处理作业 batch createBatch 取消批处理作业 batch cancelBatch 创建会话 session createSession 删除会话 session deleteSession 创建语句 statement createStatement 取消语句执行 statement cancelStatement 创建全局变量 globalVar createGlobalVariable 删除全局变量 globalVar deleteGlobalVariable 修改全局变量 globalVar updateGlobalVariable

特殊权限说明 说明 仅V3.6.0及以上版本的日志审计实例支持下表中的三个权限。 权限 定义 拥有的菜单 实例审计员权限 负责监督和检查系统的操作和活动，确保合规性和正确性 首页、资产管理、日志审计、风险分析事件策略、报表管理、操作日志 实例安全员权限 制定和实施信息安全策略和政策，确保组织的信息安全 首页、资产管理、日志审计、风险分析、风险处置 实例超级管理员权限 维护系统稳定运行 所有菜单 依赖策略说明 如需让账号拥有在日志审计（原生版）控制台下单、管理云主机、弹性网络等权限，还需配置如下策略： 策略名称 策略描述 授权范围 配置说明 CtyunBssAdmin 控制天翼云订单、合同、标签、客户信息管理全量操作权限（包含一类、二类资源池节点）。 全局级 若子账号涉及开单、支付、订单管理等操作，需配置该策略。 ecs admin 控制天翼云云主机服务开通、管理权限。 资源池 若子账号涉及开通、管理云主机（云等保专区下单涉及开通主机），需要配置该策略。 vpc admin 控制天翼云弹性IP开通、新建、配置等管理权限。 资源池 若子账号涉及配置、新建、管理弹性网络（子网、EIP、安全组、弹性网卡、VIP、子网路由等），需要配置该策略。

本章节主要介绍查看数据库审计日志。 前提条件 审计功能总开关auditenabled已开启。（auditenabled默认值为ON，若关闭请参考修改数据库参数设置为ON）。 已配置需要审计的审计项。各审计项及其开启办法，请参考设置数据库审计日志。 数据库正常运行，并且对数据库执行了一系列增、删、改、查操作，保证在查询时段内有审计结果产生。 数据库各个节点审计日志单独记录。 只有拥有AUDITADMIN属性的用户才可以查看审计记录。 查看数据库审计日志方式 方式一：由于审计日志会占用一定磁盘空间，为了防止本地磁盘文件过大，DWS支持审计日志转储，用户可以开启“开启审计日志转储”功能，将审计日志转储到OBS（用户需创建用于存储审计日志的OBS桶）中进行查看或下载，详细内容请参考转储数据库审计日志章节的 查看审计日志转储记录。 方式二：通过依赖于云日志服务LTS的“集群日志管理”功能查看采集的审计数据库日志或进行日志下载，详细内容请参考集群日志管理查看集群日志。 方式三：数据库的审计日志默认存储于数据库中，连接集群后，使用pgqueryaudit函数进行查看。详细内容请参考下方 使用pgqueryaudit函数查看数据库审计日志。 使用pgqueryaudit函数查看数据库审计日志 1. 使用SQL客户端工具成功连接集群，连接方式请参考连接集群。 2. 使用函数pgqueryaudit查询当前CN节点的审计日志，其语法为： pgqueryaudit(timestamptzstartime ,timestamptz endtime , auditlog ) 参数startime和endtime分别表示审计记录的开始时间和结束时间，auditlog表示所查看的审计日志信息所在的物理文件路径，当不指定auditlog时，默认查看连接当前实例的审计日志信息。 例如，查看指定时间段当前CN节点审计记录。 SELECT FRO Mpgqueryaudit(' 20210223 21:49:00 ',' 2021022321:50:00'); 查询结果如下： begintime endtime operationtype audittype result username database clientconninfo objectname commandtext detailinfo transactionxid queryid nodename threadid localport remoteport +++ ++++++ ++ +++++ q 20210223 21:49:57.76+08 20210223 21:49:57.82+08 loginlogout userlogin ok dbadmin gaussdb gsql@[local] gaussdb login db login db(gaussdb) successfully, the current user is: dbadmin 0 0 coordinator1 140324035360512@667403397820909 27777 该条记录表明，用户dbadmin在20210223 21:49:57.82+08登录数据库gaussdb。其中clientconninfo字段在loghostname启动且IP连接时，字符@后显示反向DNS查找得到的主机名。 3. 使用函数pgxcqueryaudit可以查询所有CN节点的审计日志，其语法为： pgxcqueryaudit(timestamptz startime,timestamptzendtime ) 例如，查看指定时间段所有CN节点审计记录。 ELECT FROM pgxcqueryaudit('20210223 22:05:00','20210223 22:07:00') where audittype 'userlogin' and username 'user1'; 查询结果如下： begintime endtime operationtype audittype result username database clientconninfo objectname commandtext detailinfo transactionxid queryid nodename threadid localport remoteport +++ ++++++ ++ ++++ 20210223 22:06:22.219+08 20210223 22:06:22.271+08 loginlgout userlogin ok user1 gaussdb gsql@[local] gaussdb login db 20221125 233 login db(gaussdb) successfully, the current user is: user1 0 0 coordinator2 140689577342720@667404382271356 27782 20210223 22:05:51.697+08 20210223 22:05:51.749+08 loginlgout userlogin ok user1 gaussdb gsql@[local] gaussdb login db login db(gaussdb successfully, the current user is: user1 0 0 coordinator1 140525048424192@667404351749143 27777 查询结果显示，用户user1在CN1和CN2的成功登录记录。

CCE通过云审计服务（Cloud Trace Service，简称CTS）为您提供云服务资源的操作记录，记录内容包括您从云管理控制台或者开放API发起的云服务资源操作请求以及每次请求的结果，供您查询、审计和回溯使用。 表 云审计服务支持的CCE操作列表 操作名称 资源类型 事件名称 创建集群 cce createCluster 更新集群 cce updateCluster 删除集群 cce deleteCluster/claimCluster 创建节点 cce createNode 添加静态节点 cce addStaticNode 更新节点 cce updateNode 删除一个主机 cce deleteOneHost 删除所有主机 cce deleteAllHosts 挂起用户资源 cce suspendUserResource 创建ConfigMap cce createConfigmaps 创建DaemonSet cce createDaemonsets 创建Deployment cce createDeployments 创建Event cce createEvents 创建Ingress cce createIngresses 创建Job cce createJobs 创建namespace cce createNamespaces 创建Node cce createNodes 创建PersistentVolumeClaim cce createPersistentvolumeclaims 创建Pod cce createPods 创建ReplicaSet cce createReplicasets 创建ResourceQuota cce createResourcequotas 创建密钥 cce createSecrets 创建服务 cce createServices 创建StatefulSet cce createStatefulsets 创建卷 cce createVolumes 删除ConfigMap cce deleteConfigmaps 删除DaemonSet cce deleteDaemonsets 删除Deployment cce deleteDeployments 删除Event cce deleteEvents 删除Ingress cce deleteIngresses 删除Job cce deleteJobs 删除Namespace cce deleteNamespaces 删除Node cce deleteNodes/claimOneHost 删除Pod cce deletePods 删除ReplicaSet cce deleteReplicasets 删除ResourceQuota cce deleteResourcequotas 删除Secret cce deleteSecrets 删除Service cce deleteServices 删除StatefulSet cce deleteStatefulsets 删除卷 cce deleteVolumes 替换指定的ConfigMap cce updateConfigmaps 替换指定的DaemonSet cce updateDaemonsets 替换指定的Deployment cce updateDeployments 替换指定的Event cce updateEvents 替换指定的Ingress cce updateIngresses 替换指定的Job cce updateJobs 替换指定的Namespace cce updateNamespaces 替换指定的Node cce updateNodes 替换指定的PersistentVolumeClaim cce updatePersistentvolumeclaims 替换指定的Pod cce updatePods 替换指定的Replicaset cce updateReplicasets 替换指定的ResourceQuota cce updateResourcequotas 替换指定的Secret cce updateSecrets 替换指定的Service cce updateServices 替换指定的Statefulset cce updateStatefulsets 替换指定的状态 cce updateStatus 上传组件模板 cce uploadChart 更新组件模板 cce updateChart 删除组件模板 cce deleteChart 创建模板应用 cce createRelease 更新模板应用 cce updateRelease 删除模板应用 cce deleteRelease

云日志服务支持采集分布式缓存服务Redis日志，您可在Redis实例控制台中进行开启日志收集，由云日志服务提供存储与采集能力。采集后，您可以在云日志服务控制台对redis日志进行查询、分析或告警配置。 前提条件 已订购分布式缓存服务Redis实例。 已开通云日志服务。 配置步骤 1. 登录分布式缓存服务Redis控制台。 2. 在实例管理列表中，点击目标实例名称，进入实例详情页面。 3. 点击左侧菜单栏“日志管理”“审计日志” 4. 根据页面提示，点击“马上开启”按钮。 5. 稍等片刻后，系统将会自动生成审计日志大盘，展示访问用户数、QPS、响应时间等关键指标信息。 6. 您也可以登录云日志服务控制台，进入“redisaudit”日志项目中，即可查看所有已接入云日志服务的redis实例的日志单元，并进行日志查询、分析或告警配置。

本节介绍了开启APIServer审计日志的用户指南。 应用场景 Kubernetes 审计（Auditing） 功能提供了与安全相关的、按时间顺序排列的记录集， 记录每个用户、使用 Kubernetes API 的应用以及控制面自身引发的活动。通过APIServer审计日志可以追踪用户对集群的操作行为。更进一步的，通过使用日志中心可以将集群的APIServer审计日志持久化到云日志服务，从而长时间追踪APIServer请求。 前提条件 已创建专有版集群，具体操作请参见 用户指南 > 集群管理 > 新建集群 。若已有集群，无需重复操作。 拥有集群master节点的root或sudo权限，能够远程登录节点执行命令。 操作步骤 以下步骤需要在集群所有master节点执行（可在集群菜单 节点管理 > 节点 查看master节点，一般有3个或5个） 增加apiserver审计策略文件 在集群master节点，新增 /etc/kubernetes/auditpolicy.yaml 文件 plaintext apiVersion: audit.k8s.io/v1 This is required. kind: Policy 不要为RequestReceived阶段中的所有请求生成审核事件。 omitStages: "RequestReceived" rules: 以下请求被手动确定为高容量和低风险，因此请取消这些请求。 level: None users: ["system:kubeproxy"] verbs: ["watch"] resources: group: "" core resources: ["endpoints", "services"] level: None users: ["system:unsecured"] namespaces: ["kubesystem"] verbs: ["get"] resources: group: "" core resources: ["configmaps"] level: None users: ["kubelet"]

本文介绍数据库审计的监控指标以及如何查看数据库审计的监控数据。 为保证数据库审计实例的可靠性、可用性和可观测性，对数据库审计进行监控已经成为一种必要且重要的手段。天翼云控制平台提供的数据库审计监控功能，可方便用户更快、更直观的了解数据库审计的运行情况、使用情况及其他性能指标，同时可根据实时监控情况，执行告警通知等操作，帮助客户更好的管理数据库审计实例。 当用户开通数据库审计服务后，即可通过云监控来查看监控指标。 说明 目前仅支持监控“一类节点”区域的实例。 数据库审计支持的区域请参见支持的区域。 实例支持的监控指标 监控指标 指标说明 单位 是否支持告警 监控周期 CPU利用率 该指标用于统计数据库审计实例的CPU利用率。 % 是 5分钟 内存总大小 该指标用于统计数据库审计实例的实际内存大小。 GB 是 5分钟 剩余内存大小 该指标用于统计数据库审计实例的空闲的内存大小。 GB 是 5分钟 内存利用率 该指标用于统计数据库审计实例的内存利用率。 内存利用率 100% （剩余内存大小/内存总大小） % 是 5分钟 系统盘大小 该指标用于统计数据库审计实例的实际系统盘大小。 GB 是 5分钟 剩余系统盘大小 该指标用于统计数据库审计实例的空闲的系统盘大小。 GB 是 5分钟 系统盘利用率 该指标用于统计数据库审计实例的系统盘利用率。 系统盘利用率 100% （剩余系统盘大小/系统盘大小） % 是 5分钟 数据盘大小 该指标用于统计数据库审计实例的实际数据盘大小。 GB 是 5分钟 剩余数据盘大小 该指标用于统计数据库审计实例的空闲的数据盘大小。 GB 是 5分钟 数据盘利用率 该指标用于统计数据库审计实例的数据盘利用率。 系统盘利用率 100% （剩余数据盘大小/数据盘大小） % 是 5分钟