本文为您列举云审计服务的常见问题。 云审计服务如何收费？ 云审计服务支持免费使用。 云审计服务如何开通？ 云审计为region级服务，您需要分别在云资源所在的资源池开通云审计服务，才能使用云审计服务。 事件列表用于记录哪些信息？ 事件列表记录了云账户中对云服务资源新建、修改、删除等操作的详细信息。 事件列表中的信息可以删除吗？ 不可以，根据SAC/TC及国际信息、数据安全管理部门发布的规范，审计日志必须保持客观全面、准确，因此不提供删除或修改功能。 事件文件可以存储多长时间？ 默认情况下，云审计服务管理控制台可存储最近7天内的事件文件，而对于已保存至ZOS桶的历史操作记录，您可以无限期存储这些事件文件。 启用云审计服务是否会影响其他云服务资源的性能？ 不会。启用云审计服务不会影响其他云服务资源的性能。

日志审计 为您提供日志审计和行为回溯功能，展示入侵防御日志、访问控制日志、流量日志和操作日志，默认展示7天的日志。 入侵防御日志可查看云防火墙基于入侵防御“观察模式”和“拦截模式”所产生和记录的所有安全事件。 访问控制日志可以查看云防火墙基于用户在配置的访问控制规则所生成的规则命中记录日志。 流量日志可以查看互联网边界防火墙基于出站和入站所产生的南北向流量信息。 操作日志可以查看基于该账号内，用户的所有操作行为以及操作详情。 设置中心 包含配额管理，支持已订购配额的展示，支持配额订购、续订、变配和退订。 展示的范围包括正常、已到期和已退订的配额，已销毁的配额不再展示，内容包括云防火墙名称、配额规格、配额状态、虚拟私有云、可防护/已防护公网IP数、公网流量处理能力、配额订购时间、配额到期时间和操作。 说明 只有配额状态为“正常”的才可以进行所有操作。 配额状态为“已到期”的可以进行续订。 配额状态为“已退订”的不可以进行任何操作。

本页面主要介绍VPC终端节点对接的云审计服务使用和查看方法。 操作场景 本服务现已对接天翼云云审计服务，云审计服务提供对各种云资源操作的记录和查询功能，用于支撑合规审计、安全分析、操作追踪和问题定位等场景，同时提供事件跟踪功能，将操作日志转储至对象存储实现永久保存。 云审计可提供的功能服务具体如下： ● 记录审计日志：支持用户通过API接口发起的操作。 ● 审计日志查询：支持在管理控制台对7天内操作记录按照事件类型、事件来源、资源类型、筛选类型、操作用户和事件级别等多个维度进行组合查询。 关键操作列表 事件来源 资源类型 事件名称 弹性网络 VPC终端节点 删除终端节点白名单 弹性网络 VPC终端节点 查询终端节点白名单 弹性网络 VPC终端节点 添加终端节点白名单 弹性网络 VPC终端节点 删除终端节点 弹性网络 VPC终端节点 查看终端节点详情 弹性网络 VPC终端节点 查看终端节点列表 弹性网络 VPC终端节点 更新终端节点 弹性网络 VPC终端节点 创建终端节点 弹性网络 VPC终端节点 通过终端节点连接申请 弹性网络 VPC终端节点 拒绝终端节点连接申请 弹性网络 VPC终端节点 修改终端节点服务属性 弹性网络 VPC终端节点 终端节点服务连接查询 弹性网络 VPC终端节点 终端节点服务连接修改 弹性网络 VPC终端节点 查询终端节点服务白名单 弹性网络 VPC终端节点 删除终端节点服务白名单 弹性网络 VPC终端节点 查看终端节点服务列表 弹性网络 VPC终端节点 删除终端节点服务 弹性网络 VPC终端节点 创建终端节点服务 弹性网络 VPC终端节点 更新终端节点服务后端 弹性网络 VPC终端节点 删除终端节点服务后端

特殊权限说明 说明 仅V3.6.0及以上版本的日志审计实例支持下表中的三个权限。 权限 定义 拥有的菜单 超级管理员 维护系统稳定运行 所有菜单 审计管理员 负责监督和检查系统的操作和活动，确保合规性和正确性 首页、资产管理、日志审计、风险分析事件策略、报表管理、操作日志 安全管理员 制定和实施信息安全策略和政策，确保组织的信息安全 首页、资产管理、日志审计、风险分析、风险处置 依赖策略说明 如需让账号拥有在日志审计（原生版）控制台下单、管理云主机、弹性网络等权限，还需配置如下策略： 策略名称 策略描述 授权范围 配置说明 CtyunBssAdmin 控制天翼云订单、合同、标签、客户信息管理全量操作权限（包含一类、二类资源池节点）。 全局级 若子账号涉及开单、支付、订单管理等操作，需配置该策略。 ecs admin 控制天翼云云主机服务开通、管理权限。 资源池 若子账号涉及开通、管理云主机（云等保专区下单涉及开通主机），需要配置该策略。 vpc admin 控制天翼云弹性IP开通、新建、配置等管理权限。 资源池 若子账号涉及配置、新建、管理弹性网络（子网、EIP、安全组、弹性网卡、VIP、子网路由等），需要配置该策略。

本文为您介绍云审计产品的定义。 云审计服务提供对各种云资源操作的记录和查询功能，用于支撑合规审计、安全分析、操作追踪和问题定位等场景，同时提供事件跟踪功能，将操作日志转储至对象存储实现永久保存。

此章节为您介绍数据加密网关操作日志相关内容。 操作审计日志页面用来展示所有管理操作的日志，审计员可手动对每条日志执行审计。 数据库加密机支持操作日志完整性保护，在存储管理操作日志同时记录对应的完整性校验值，页面展示日志时会自动校验日志完整性，可有效防止非法用户恶意篡改操作审计日志。 查询审计日志 1. 使用审计角色登录数据加密网关。 2. 在菜单栏选择“日志管理 > 审计日志列表”进入审计列表页面。 3. 设置查询条件（时间范围、操作用户、操作描述），单击“查询”即可查询相关审计日志。 审计日志 1. 使用审计角色登录数据加密网关。 2. 在菜单栏选择“日志管理 > 审计日志列表”进入审计列表页面。 3. 选择需要审计的日志，单击“操作”列的“审计”按钮，进行审计。 4. 在审计日志列表页面查看审计结果。

本节介绍云等保专区产品的日志审计。 日志审计具备信息资产的综合性管理能力，通过对客户网络设备、安全设备、主机和应用系统日志进行全面的标准化处理，及时发现各种安全威胁、异常行为事件。为管理人员提供全局的视角，确保客户业务的不间断运营安全。通过采集网络资产设备上报的日志，实时监视网络各类操作行为及攻击信息。根据设置的规则，智能判断出各种风险行为，对风险行为进行报警。 功能 描述 全面日志采集 全面支持Syslog、SNMP、OPSec、XML、FTP及本地文件等协议，可以覆盖主流硬件设备、主机及应用，保障日志信息的全面收集。 实现信息资产（网络设备、安全设备、主机、应用及数据库）的日志获取，并通过预置的解析规则实现日志的解析、过滤及聚合。 同时可将收集的日志通过转发功能转发到其它网管平台。 大规模安全存储 内置TB级别存储设备，可以选配各种RAID级别进行数据冗余和安全保障。系统拥有多项自主知识产权的存储加密机制和查询机制，十分适合等保、密保等行业的应用要求。 智能关联分析 实现全维度、跨设备、细粒度关联分析，内置众多的关联规则，支持网络安全攻防检测、合规性检测，可轻松实现各资产间的关联分析。 脆弱性管理 能够收集和管理来自各种Web漏洞扫描工具、主机漏洞扫描工具、网络漏洞扫描工具产生的扫描结果，并实时和用户资产收到的攻击危险进行风险三维关联分析。 数据挖掘和数据预测 支持对历史日志数据进行数据挖掘分析，发现日志和事件间的潜在关联关系，并对挖掘结果进行可视化展示。系统自带多种数据统计预测算法，可以根据历史数据的规律对未来的数据发生情况进行有效预测。 可视化展示 实现对信息资产的实时监控、信息资产与客户管理、解析规则与关联规则的定义与分发、日志信息的统计与报表、海量日志的存储与快速检索以及平台的管理。 通过各种事件的归化处理，实现高性能的海量事件存储和检索优化功能，提供高速的事件检索能力。 事后的合规性统计分析处理，可对数据进行二次挖掘分析。 分布式部署和管理 平台支持分布式部署，可以在中心平台管理规则、配置策略自动分发、远程自动升级等，极大地降低了分布式部署的难度，提高了可管理性。 灵活的可扩展性 提供多种定制接口，实现强大的二次开发能力以及与第三方平台对接和扩展的能力。 了解更多日志审计相关操作内容，请下载阅读《云等保专区日志审计 v1.0 用户指南》。

本章节为您介绍如何通过数据库审计审计云上RDS数据库。 背景说明 在云计算环境中，部分云上的关系型数据库服务（RDS）所依托的宿主机基于一系列安全策略与架构设计的考量，不允许数据库审计相关的产品部署Agent程序。 天翼云关系数据库MySQL版支持通过免Agent安装的方式进行数据库审计。 其他不支持免Agent安装的云上数据库，您可以通过在使用云上数据库的应用端云主机安装数据库审计Agent的方式来获取数据库流量，以便您对数据库进行审计。 通过免Agent的方式审计天翼云关系数据库MySQL版 注意 通过免Agent方式审计RDS数据库之前，首先需要开启SQL审计日志功能，具体操作请参考：关系型数据库MySQL版开启SQL审计日志。（II类资源池中仅支持一类节点的资源池） 1.登录数据库审计实例。 2.在左侧导航栏选择“系统管理 > 系统配置 > 日志采集方式”，确认是否已开始天翼云RDS日志采集。 3.确认完成后，需要在“资产 > 资产管理”下添加对应的RDS数据库资产，类型需选择“天翼云RDS > TeledbMySQL > 所有版本”，实例ID请参考关系数据库MySQL版控制台“实例名称/实例ID”。 注意 实例ID项只可以填实例ID，切勿填写自定义的RDS实例名称。 4.剩余配置项完成后，单击“保存”即可纳管RDS数据库并审计，需要配置审计规则请参考：审计规则配置章节。

特殊权限说明 说明 仅V3.6.0及以上版本的日志审计实例支持下表中的三个权限。 权限 定义 拥有的菜单 实例审计员权限 负责监督和检查系统的操作和活动，确保合规性和正确性 首页、资产管理、日志审计、风险分析事件策略、报表管理、操作日志 实例安全员权限 制定和实施信息安全策略和政策，确保组织的信息安全 首页、资产管理、日志审计、风险分析、风险处置 实例超级管理员权限 维护系统稳定运行 所有菜单 依赖策略说明 如需让账号拥有在日志审计（原生版）控制台下单、管理云主机、弹性网络等权限，还需配置如下策略： 策略名称 策略描述 授权范围 配置说明 CtyunBssAdmin 控制天翼云订单、合同、标签、客户信息管理全量操作权限（包含一类、二类资源池节点）。 全局级 若子账号涉及开单、支付、订单管理等操作，需配置该策略。 ecs admin 控制天翼云云主机服务开通、管理权限。 资源池 若子账号涉及开通、管理云主机（云等保专区下单涉及开通主机），需要配置该策略。 vpc admin 控制天翼云弹性IP开通、新建、配置等管理权限。 资源池 若子账号涉及配置、新建、管理弹性网络（子网、EIP、安全组、弹性网卡、VIP、子网路由等），需要配置该策略。

介绍在CTS事件列表查看云审计事件。 操作场景 用户进入云审计服务创建管理类追踪器后，系统开始记录云服务资源的操作。在创建数据类追踪器后，系统开始记录用户对OBS桶中数据的操作。云审计服务管理控制台会保存最近7天的操作记录。 本节介绍如何在云审计服务管理控制台查看或导出最近7天的操作记录。 使用限制 用户通过云审计控制台只能查询最近7天的操作记录。如果需要查询超过7天的操作记录，您必须配置转储到对象存储服务(OBS)或云日志服务(LTS)，才可在OBS桶或LTS日志组里面查看历史事件信息。否则，您将无法追溯7天以前的操作记录。 云上操作后，1分钟内可以通过云审计控制台查询管理类事件操作记录，5分钟后才可通过云审计控制台查询数据类事件操作记录。 云审计控制台对用户的操作事件日志保留7天，过期自动删除，不支持人工删除。 查看审计事件 步骤1、登录管理控制台。 步骤2、单击左上角，选择“管理与部署 > 云审计服务 CTS”，进入云审计服务页面。 步骤3、单击左侧导航树的“事件列表”，进入事件列表信息页面。 步骤4、事件列表支持通过筛选来查询对应的操作事件。当前事件列表支持四个维度的组合查询，详细信息如下： 事件类型、事件来源、资源类型和筛选类型，在下拉框中选择查询条件。 筛选类型按资源ID筛选时，还需手动输入某个具体的资源ID。 筛选类型按事件名称筛选时，还需选择某个具体的事件名称。 筛选类型按资源名称筛选时，还需选择或手动输入某个具体的资源名称。 操作用户：在下拉框中选择某一具体的操作用户，此操作用户指用户级别，而非租户级别。 事件级别：可选项为“所有事件级别”、“Normal”、“Warning”、“Incident”，只可选择其中一项。 时间范围：可选择查询最近1小时、最近1天、最近1周的操作事件，也可以自定义最近7天内任意时间段的操作事件。 步骤5、选择完查询条件后，单击“查询”。 步骤6、在事件列表页面，您还可以导出操作记录文件和刷新列表。 单击“导出”按钮，云审计服务会将查询结果以CSV格式的表格文件导出，该CSV文件包含了本次查询结果的所有事件，且最多导出5000条信息。 单击按钮，可以获取到事件操作记录的最新信息。 步骤7、在需要查看的事件左侧，单击展开该记录的详细信息。 步骤8、在需要查看的记录右侧，单击“查看事件”，会弹出一个窗口显示该操作事件结构的详细信息。

本章节为您介绍综合安全网关日志审计相关的内容。 日志审计功能是记录机构用户的操作日志，并提供查看详情，审核，批量审核，验签等功能。 查看日志操作记录并审核 1. 登录综合安全网关实例。 2. 在左侧导航栏选择“管理审计日志”，进入“管理审计日志页面”。 3. 查看“操作名称”列的操作情况，进行审计。 4. 单击“操作”列的“验签”按钮，若验签成功则单击“审核”按钮进行审计。 导出日志 1. 登录综合安全网关实例。 2. 在左侧导航栏选择“管理审计日志”，进入“管理审计日志页面”。 3. 若您需要导出所有日志可单击“导出全部”按钮，若您需要导出部分日志可勾选需要导出的日志后单击“导出所选”。

查看IAM的云审计日志 开通云审计服务后，云审计服务开始记录操作事件，包括IAM以及其他服务的操作事件，云审计服务保存最近7天的操作记录。 操作步骤 步骤 1 管理员在IAM控制台进行操作，例如登录控制台或创建IAM用户。 步骤 2 进入云审计服务控制台，查看IAM的操作记录。 步骤 3 单击，可以查看事件的基本信息。 步骤 4 单击“查看事件”，可以查看事件的结构。

审计事件 函数计算已与云审计服务集成，您可以在操作审计中查询用户操作函数计算产生的管控事件。天翼云云审计服务是云安全解决方案中专业的日志审计服务，提供对各类云资源操作记录的收集、存储和查询能力，可用于支撑合规审计、安全分析、资源跟踪和问题定位等常见应用场景。 操作审计记录了用户通过OpenAPI或控制台等方式操作云资源时产生的管控事件，函数计算支持在操作审计中查询的事件如下表所示。 事件名称 事件含义 读写类型 函数创建 创建函数 写 函数删除 删除函数 写 函数更新 更新函数 写 触发器创建 触发器创建 写 触发器删除 触发器删除 写 触发器更新 触发器更新 写 函数版本创建 函数版本创建 写 函数版本删除 函数版本删除 写 函数别名创建 函数别名创建 写 函数别名删除 函数别名删除 写 层创建 层创建 写 层删除 层删除 写 自定义域名创建 自定义域名创建 写 自定义域名删除 自定义域名删除 写 创建工作流 创建工作流 写 删除工作流 删除工作流 写 修改工作流 修改工作流 写 查询工作流 查询工作流 读 触发执行 触发执行工作流，所有启动工作流的方式都会触发此事件 写 查询执行历史 查询执行历史 读 查询执行日志 查询执行日志 读 创建工作流调度 创建一个工作流调度 写 删除工作流调度 删除一个工作流调度 写 更新工作流调度 更新工作流调度 写 查询工作流调度 查询工作流调度列表 读

本文介绍如何查看审计日志文件列表。 注意事项 需要开启审计日志采集后才能查看审计日志文件列表。 审计日志文件文件大小最大为40M，超过40M会自动生成新文件。 审计日志文件文件列表最多为60个，超过60个后会自动覆盖最早的文件。 审计日志关闭后重新打开，会自动生成新文件。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择【产品 > 数据库 > 关系型数据库 > 关系数据库SQL Server版】，进入关系数据库SQL Server产品页面。然后单击【管理控制台】，进入TeleDB数据库【概览】页面。 2. 在左侧导航栏，选择【SQL Server > 实例管理】，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例【基本信息】页面。 4. 单击【日志】标签页，然后单击【审计日志】。 5. 若审计日志采集开关已经打开，页面将自动展示审计日志文件列表。

本页介绍天翼云TeleDB数据库日志管理相关操作。 操作步骤 1. 切换至TeleDB控制台，在左侧导航树单击日志管理 ，进入日志管理页面。 2. 查询错误日志 说明 错误日志记录了实例中各节点在运行过程中产生的错误信息。 1. 在当前实例下拉框选择您需查询的实例，选择错误日志 页签，设置查询开始时间和结束时间，选择查询条件，单击查询 。 查询条件可选择 节点名称 、 IP地址 、 数据库名称 、用户 和 错误信息 。 3. 慢SQL查询 说明 超过指定时间的 SQL 语句查询称为慢查询，对应语句称为慢查询语句。可以在控制台的操作日志页面查看实例的慢日志明细。 1. 在当前实例下拉框选择您所需要查询的实例，选择慢SQL查询 页签，设置开始时间和结束时间，在下拉框中选择 查询用户 、 查询条件 ，然后单击查询按钮。 查询条件可选择节点名称、IP地址、SQL语句和数据库名称。 2. 在目标日志的操作 列，单击优化建议 ，查看当前慢查询的索引优化建议。 注意 您需要在定时任务中配置了queryindexadvice（用于对慢sql查询生成相应的索引优化建议），才能查看当前慢查询的索引优化建议。 4. 查询高频SQL日志 1. 在当前实例下拉框选择您所需要查询的实例，选择高频SQL 页签，可选择重复次数，设置开始时间和结束时间，在下拉款中选择查询条件 ，单击查询按钮。 查询条件可选择用户名、SQL语句、用户和数据库名称。 5. 审计日志 1. 设置设计规则 1. 在当前实例下拉框选择您所需要查询的实例，选择审计日志页签，单击审计设置，出现审计设置对话框。 2. 在审计设置对话框中，选择是否开启审计、审计粒度，单击确定完成审计设置。 当审计粒度为全局级，您可对需要进行审计和告警的动作进行选择。 当审计粒度为对象级，您需设置对象审计规则同时使用。 2. 审计规则管理 1. 在当前实例下拉框选择您所需要查询的实例，选择审计日志页签，单击审计规则管理，进入审计规则管理页面。 2. 新增审计规则 1. 在审计规则管理 页面，单击 新增审计规则 ，出现新增审计规则对话框。 2. 在新增审计规则 对话框中，输入规则名称 、选择 审计对象名称 、勾选 审计操作类型 、输入审计对象和选择 是否开启 ， 是否触发告警 ，单击确定完成新增审计规则。 3. 编辑审计规则 单击已创建审计规则所在行的编辑 ，可修改审计规则。 4. 删除审计规则 单击已创建审计规则所在行的删除 ，可删除审计规则。 3. 查看审计日志 1. 选择审计日志 页签，在当前实例下拉框选择您需要查询的实例，设置查询开始时间和结束时间，在下拉框选择查询条件 ，单击 查询 。 查询条件可选择审计类型 、 SQL详情 、数据库名称、账号 和 审计操作 。

本文介绍如何查看或下载审计日志文件。 注意事项 需要开启审计日志后才能查看或下载审计日志文件。 查看操作步骤 1. 使用SSMS工具连接到目标实例。 2. 执行如下SQL查看审计日志详情。 SELECT FROM sys.fngetauditfile('D:XEventLogsauditXXX', default, default); 说明： XXX为审计日志文件名称。 下载操作步骤 注意 【下载】功能暂未开放，如需使用，请提交工单申请访问权限。 1. 在天翼云官网首页的顶部菜单栏，选择【产品 > 数据库 > 关系型数据库 > 关系数据库SQL Server版】，进入关系数据库SQL Server产品页面。然后单击【管理控制台】，进入TeleDB数据库【概览】页面。 2. 在左侧导航栏，选择【SQL Server > 实例管理】，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例【基本信息】页面。 4. 单击【日志】标签页，然后单击【审计日志】，进入审计日志页面。 5. 选择目标审计文件，单击【下载】，立即下载审计日志。

场景描述 云审计服务能够为您提供云服务资源的操作记录，记录的信息包括发起操作的用户身份、IP地址、具体的操作内容的信息，以及操作返回的响应信息。根据这些操作记录，您可以很方便地实现安全审计、问题跟踪、资源定位，帮助您更好地规划和利用已有资源、甄别违规或高危操作。 什么是事件 事件即云审计服务追踪并保存的云服务资源的操作日志，操作包括用户对云服务资源新增、修改、删除等操作。您可以通过“事件”了解到谁在什么时间对系统哪些资源做了什么操作。 约束与限制 用户通过云审计控制台只能查询最近7天的操作记录，过期自动删除，不支持人工删除。如果需要查询超过7天的操作记录，您必须配置转储到对象存储服务（OBS）或云日志服务（LTS），才可在OBS桶或LTS日志组里面查看历史事件信息。否则，您将无法追溯7天以前的操作记录。 用户对云服务资源做出创建、修改、删除等操作后，1分钟内可以通过云审计控制台查询管理类事件操作记录，5分钟后才可通过云审计控制台查询数据类事件操作记录。 CTS新版事件列表不显示数据类审计事件，您需要在旧版事件列表查看数据类审计事件。 在CTS新版事件列表查看审计事件 1. 登录控制台，选择“管理与部署 > 云审计服务”，进入云审计服务页面。 2. 单击左侧导航栏的“事件列表”，进入事件列表信息页面。 3. 在列表上方，可以通过筛选时间范围，查询最近1小时、最近1天、最近1周的操作事件，也可以自定义最近7天内任意时间段的操作事件。 4. 事件列表支持通过高级搜索来查询对应的操作事件，您可以在筛选器组合一个或多个筛选条件。 5. 参数名称 说明 事件名称 操作事件的名称。 输入的值区分大小写，需全字符匹配，不支持模糊匹配模式。 各个云服务支持审计的操作事件的名称请参见《云审计服务用户指南》的“支持审计的服务及操作列表”章节。 示例：updateAlarm 云服务 云服务的名称缩写。 输入的值区分大小写，需全字符匹配，不支持模糊匹配模式。 示例：IAM 资源名称 操作事件涉及的云资源名称。 输入的值区分大小写，需全字符匹配，不支持模糊匹配模式。 当该事件所涉及的云资源无资源名称或对应的API接口操作不涉及资源名称参数时，该字段为空。 示例：ecsname 资源ID 操作事件涉及的云资源ID。 输入的值区分大小写，需全字符匹配，不支持模糊匹配模式。 当该资源类型无资源ID或资源创建失败时，该字段为空。 示例：{虚拟机ID} 事件ID 操作事件日志上报到CTS后，查看事件中的traceid参数值。 输入的值需全字符匹配，不支持模糊匹配模式。 示例：01d18a1b56ee11f0ac811e229 资源类型 操作事件涉及的资源类型。 输入的值区分大小写，需全字符匹配，不支持模糊匹配模式。 各个云服务的资源类型请参见《云审计服务用户指南》的“支持审计的服务及操作列表”章节。 示例：user 操作用户 触发事件的操作用户。 下拉选项中选择一个或多个操作用户。 查看事件中的tracetype的值为“SystemAction”时，表示本次操作由服务内部触发，该条事件对应的操作用户可能为空。 事件级别 下拉选项包含“normal”、“warning”、“incident”，只可选择其中一项。 normal代表操作成功。 warning代表操作失败。 incident代表比操作失败更严重的情况，如引起其他故障等。 6. 在事件列表页面，您还可以导出操作记录文件、刷新列表、设置列表展示信息等。 1. 在搜索框中输入任意关键字，按下Enter键，可以在事件列表搜索符合条件的数据。 2. 单击“导出”按钮，云审计服务会将查询结果以.xlsx格式的表格文件导出，该.xlsx文件包含了本次查询结果的所有事件，且最多导出5000条信息。 3. 单击按钮，可以获取到事件操作记录的最新信息。 4. 单击按钮，可以自定义事件列表的展示信息。启用表格内容折行开关，可让表格内容自动折行，禁用此功能将会截断文本，默认停用此开关。 7. （可选）在新版事件列表页面，单击右上方的“返回旧版”按钮，可切换至旧版事件列表页面。

本页介绍天翼云TeleDB数据库的日志管理规则。 操作步骤 1. 切换至TeleDB控制台，在左侧导航树单击日志管理 ，进入日志管理 页面。 2. 查询错误日志 说明 错误日志记录了实例中各节点在运行过程中产生的错误信息。 在当前实例下拉框选择您需查询的实例，选择错误日志 页签，设置查询开始时间和结束时间，选择查询条件，单击查询。 查询条件可选择节点名称、IP地址、数据库名称、用户和错误信息。 3. 慢SQL查询 说明 超过指定时间的SQL 语句查询称为慢查询 ，对应语句称为慢查询语句。可以在控制台的操作日志页面查看实例的慢日志明细。 在当前实例下拉框选择您所需要查询的实例，选择慢SQL查询 页签，设置开始时间和结束时间，在下拉款中选择查询条件 ，单击查询 按钮。 查询条件可选择节点名称、IP地址、SQL语句和数据库名称。 4. 查询高频SQL日志 在当前实例下拉框选择您所需要查询的实例，选择高频SQL 页签，可选择重复次数，设置开始时间和结束时间，在下拉款中选择查询条件 ，单击查询按钮。 查询条件可选择用户名、SQL语句和数据库名称。 5. 审计日志 1. 设置审计规则 1. 在当前实例下拉框选择您所需要查询的实例，选择审计日志页签，单击审计设置，出现审计设置对话框。 2. 在审计设置对话框中，选择是否开启审计、审计粒度，单击确定完成审计设置。 当审计粒度为全局级，您可对需要进行审计和告警的动作进行选择。 当审计粒度为对象级，您需设置对象审计规则同时使用。 2. 审计规则管理 1. 在当前实例下拉框选择您所需要查询的实例，选择审计日志页签，单击审计规则管理，进入审计规则管理页面。 2. 新增审计规则 1. 在审计规则管理页面，单击新增审计规则，出现新增审计规则对话框。 2. 在新增审计规则 对话框中，输入规则名称 、选择审计对象名称 、勾选审计操作类型 、输入审计对象和选择是否开启 ，是否触发告警 ，单击确定完成新增审计规则。 3. 编辑审计规则 单击已创建审计规则所在行的编辑，可修改审计规则。 4. 删除审计规则 单击已创建审计规则所在行的删除，可删除审计规则。 3. 查看审计日志 选择审计日志 页签，在当前实例下拉框选择您需要查询的实例，设置查询开始时间和结束时间，在下拉框选择查询条件 ，单击查询 。 查询条件可选择节点名称 、审计类型 、SQL语句 、数据库名称 和用户名。

审计日志 操作类型 操作 ClickHouse审计日志 维护管理 授权 收回权限 认证和登录信息 ClickHouse审计日志 业务操作 创建数据库/表 插入、删除、查询、执行数据迁移任务 DBService审计日志 维护管理 备份恢复操作 HBase审计日志 DDL（数据定义）语句 创建表 删除表 修改表 增加列族 修改列族 删除列族 启用表 禁用表 用户信息修改 修改密码 用户登录 HBase审计日志 DML（数据操作）语句 put数据（针对hbase:meta表、ctmeta表和hbase:acl表） 删除数据（针对hbase:meta表、ctmeta表和hbase:acl表） 检查并put数据（针对hbase:meta表、ctmeta表和hbase:acl表） 检查并删除数据（针对hbase:meta表、ctmeta表和hbase:acl表） HBase审计日志 权限控制 给用户授权 取消用户授权 HDFS审计日志 权限管理 文件/文件夹访问权限 文件/文件夹owner信息 HDFS审计日志 文件操作 创建文件夹 创建文件 打开文件 追加文件内容 修改文件名称 删除文件/文件夹 设置文件时间属性 设置文件副本个数 多文件合并 文件系统检查 文件链接 Hive审计日志 元数据操作 元数据定义，如创建数据库、表等 元数据删除，如删除数据库、表等 元数据修改，如增加列、重命名表等 元数据导入/导出 Hive审计日志 数据维护 向表中加载数据 向表中插入数据 Hive审计日志 权限管理 创建/删除角色 授予/回收角色 授予/回收权限 Hue审计日志 服务启动 启动Hue Hue审计日志 用户操作 用户登录 用户退出 Hue审计日志 任务操作 创建任务 修改任务 删除任务 提交任务 保存任务 任务状态更新 KrbServer审计日志 维护管理 修改kerberos帐号密码 添加kerberos帐号 删除kerberos帐号 用户认证 LdapServer审计日志 维护管理 添加操作系统用户 添加组 添加用户到组 删除用户 删除组 Loader审计日志 安全管理 用户登录 Loader审计日志 元数据管理 查询connector 查询framework 查询step Loader审计日志 数据源连接管理 查询数据源连接 增加数据源连接 更新数据源连接 删除数据源连接 激活数据源连接 禁用数据源连接 Loader审计日志 作业管理 查询作业 创建作业 更新作业 删除作业 激活作业 禁用作业 查询作业所有执行记录 查询作业最近执行记录 提交作业 停止作业 Mapreduce审计日志 程序运行 启动Container请求 停止Container请求 Container结束，状态为成功 Container结束，状态为失败 Container结束，状态为中止 提交任务 结束任务 Oozie审计日志 任务管理 提交任务 启动任务 kill任务 暂停任务 恢复任务 重新运行任务 Spark2x审计日志 元数据操作 元数据定义，如创建数据库、表等 元数据删除，如删除数据库、表等 元数据修改，如增加列、重命名表等 元数据导入/导出 Spark2x审计日志 数据维护 向表中加载数据 向表中插入数据 Storm审计日志 Nimbus 提交拓扑 中止拓扑 重分配拓扑 去激活拓扑 激活拓扑 Storm审计日志 UI 中止拓扑 重分配拓扑 去激活拓扑 激活拓扑 Yarn审计日志 任务提交 提交作业到队列相关的操作 Zookeeper审计日志 权限管理 设置ZNODE访问权限 Zookeeper审计日志 ZNODE操作 创建ZNODE 删除ZNODE 设置ZNODE数据

数据库安全审计的日志处理机制是什么？ 数据库安全审计的审计日志存放在日志数据库中，日志的处理机制说明如下： 当日志数据库的磁盘空间使用率达到85%及以上时，系统将自动循环删除存放时间最久的审计日志（每次删除一天的审计日志），直至磁盘空间使用率为85%以下。 当日志数据库的磁盘空间使用率达到90%及以上时，数据库安全审计将停止审计功能，系统将不保存新生成的审计日志。 数据库安全审计的审计日志是否支持备份？ 数据库安全审计支持手动和自动两种备份方式。备份日志后，审计日志将备份到对象存储服务上，并自动为您创建桶，桶按用量需要单独收费。 注意 手动备份数据库审计日志会备份所有的日志，当您的日志量过大时，建议您使用自动备份。自动备份周期建议按天自动备份。 数据库安全审计的审计日志支持直接转存OBS吗？ 不支持。数据库安全审计的审计日志是存放在日志数据库中的。若您需要将日志保存于对象存储服务（OBS），请登录数据库安全服务控制台，设置备份审计日志。 数据库安全审计支持手动备份和自动备份两种模式。 自动备份支持“每天”、“每周”、“每月”三种备份周期备份审计日志。 手动备份支持“备份最近24小时日志”、“最近7天日志”、“最近30天日志”和“全部日志”四种备份范围。 当您的日志量比较大时，建议您按每天来自动备份日志。 日志备份到OBS，服务会自动为您创建桶。桶按照存储量收费。

说明：本章节会介绍如何开启数据库SQL审计日志 当您开通SQL审计功能，系统会将所有的SQL操作记录下来存入日志文件，方便用户5.12.5 下载SQL审计日志并查询。 RDS for MySQL默认关闭SQL审计功能，打开可能会有一定的性能影响，本章节指导您如何打开、修改或关闭SQL审计日志。 仅如下版本支持SQL审计功能 MySQL 5.6.43及其以上版本 MySQL 5.7.23及其以上版本 MySQL 8.0版本 当您开通SQL审计功能，系统会将所有的SQL操作记录下来，并半小时或累积到100M上传存入日志。 操作步骤 步骤1 登录管理控制台。 步骤2 单击管理控制台左上角的，选择区域和项目。 步骤3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤4 在“实例管理”页面，选择目标实例，单击实例名称，进入实例的“基本信息”页签。 步骤5 在左侧导航栏单击“SQL审计”，单击“设置SQL审计”，在弹出框中设置SQL审计日志保留策略，单击“确定”，保存设置策略。 开启或修改SQL审计 ： 单击设置为，开启SQL审计日志保留策略。 保留天数默认为7天，可设置范围为1~732天。 关闭SQL审计： 单击设置为，关闭该SQL审计。 勾选“确认关闭审计日志后，所有审计日志文件将立即删除。”复选框，表示同意删除审计日志。 SQL审计关闭后，所有审计日志都会被立即删除，不可恢复，请您谨慎操作。 不勾选“确认关闭审计日志后，所有审计日志文件将立即删除。”复选框，SQL审计关闭前的审计日志会被继续保留。

“日审总览”页面呈现统计周期内当前工作空间中整体日志审计状况。 查看日审总览 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 安全云脑 SecMaster”，进入安全云脑管理页面。 3. 在左侧导航栏选择“工作空间> 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“日志审计 > 日审总览”，进入日审总览页面。 5. 在日审总览页面查看整体日志审计状况，具体展示信息如下： 参数模块 参数说明 统计周期 日志审计的统计周期，可以在右上角设置显示周期。可以选择周期范围： 昨天 上一周 上一月 自定义：自定义日志审计报告的开始日期和结束日期。 日志存储 展示统计周期内日志总览和日志流速情况，包含以下信息： 总览 日志源数及其较上期变化 当前日志存储量及其较上期变化 日志记录总条数及其较上期变化 日志流速 日志平均每秒流入速率 日志平均每秒流入吞吐 日志平均日记录数 日志平均日存储量 日志记录数变化趋势 日志源接入流量TOP5 日志源接入数量分布TOP5 主机安全审计 统计周期内，HSS的安全日志和告警日志审计情况，包含以下信息： 活跃主机数及其较上期变化 主机登录源IP数及其较上期变化 主机告警次数及其较上期变化 活跃主机Top5 主机登录源IP分布 Top5 主机告警源IP分布 Top5 主机告警类型Top5分布 主机稀有告警类型Top5分布 公网网络审计 统计周期内，NDR的攻击日志和流量日志、DDoS的攻击日志审计情况，包含以下信息： NDR审计 公网来访流量（源IP） Top5 访问公网流量（源IP） Top5 公网来访范围（源IP） Top5 访问公网范围（源IP） Top5 网络攻击类型Top5 DDoS审计 DDoS攻击次数及其较上期变化 DDoS攻击源IP数及其较上期变化 DDoS攻击次数变化趋势 DDOS攻击来源IP Top5 应用访问审计 统计周期内，WAF的攻击日志和访问日志审计情况（核心审计对象为：应用、网络和域名），包含以下信息： 活跃域名数量及其较上期变化 WAF访问源IP数及其较上期变化 WAF攻击次数及其较上期变化 WAF拦截次数及其较上期变化 WAF访问源IP Top5 WAF攻击源IP Top5 WAF拦截源IP Top5 WAF攻击类型 Top5 活跃域名访问频次Top5 数据库访问审计 统计周期内，DBSS的告警日志审计情况（核心审计对象为：用户、数据库和操作），包含以下信息： 活跃数据库数及其较上期变化 数据库活跃用户数及其较上期变化 数据库告警源IP数及其较上期变化 SQL执行种类数及其较上期变化 活跃数据库IP Top5 数据库活跃用户Top5 SQL执行类型 Top5 数据库用户源IP数 Top5

说明 运维安全中心（云堡垒机）仅支持二类节点部署的云审计服务。 开启了云审计服务后，系统开始记录运维安全中心（云堡垒机）实例的操作。云审计服务管理控制台保存最近7天的操作记录。 操作步骤 1. 登录管理控制台。 2. 单击管理控制台左上角的，选择区域。 3. 在页面左上角单击，选择“管理与部署> 云审计服务”，进入云审计服务信息页面。 4. 单击左侧导航树的“事件列表”，进入事件列表信息页面。 5. 事件列表支持通过筛选来查询对应的操作事件。当前事件列表支持四个维度的组合查询，详细信息如下： “事件来源”、“资源类型”和“筛选类型”。 在下拉框中选择查询条件，例如：依次选择“CBH”>“cbh”>“按事件名称”>“createInstance”，单击“查询”，查询所有创建CBH实例的操作。 事件名称：选择具体的事件名称，例如createInstance。 资源ID：选择或者手动输入需要查看审计日志的CBH实例ID。 资源名称：选择或手动输入需要查看审计日志的CBH实例名称。 “操作用户”：在下拉框中选择某一具体的操作用户，此操作用户指用户级别，而非租户级别。 “事件级别”：可选项为“所有事件级别”、“normal”、“warning”、“incident”，只可选择其中一项。 “起始时间”、“结束时间”：可通过选择时间段查询操作事件。 6. 在需要查看的记录左侧，单击展开该记录的详细信息。 7. 在需要查看的记录右侧，单击“查看事件”，查看该操作事件结构的详细信息。

本节介绍如何查看日志审计列表及如何进行日志设置。 日志审计会记录事件的操作时间、用户名、来源IP、操作类型、所属模块、是否执行成功、操作行为等信息。 查看日志审计列表 1. 登录容器安全卫士控制台。 2. 在左侧导航栏，选择“平台管理 > 日志审计”，进入日志审计页面。 3. 查看日志审计列表：日志列表上方支持按照“用户名”、“操作行为”、“来源IP”、“操作类型”、“所属模块”、“是否执行成功”和操作时间段进行筛选查看。系统默认筛选出近一个月内的日志信息。 日志审计参数说明： 参数 说明 操作时间 记录的操作行为发生的时间。 用户名 操作用户的用户名。 来源IP 操作用户的IP地址。 操作类型 操作类型分为更新、查看、删除、登录/退出、未知这些类型。 所属模块 操作行为对应的功能模块，包括仪表盘、告警响应、镜像安全、容器安全、节点安全、平台管理、安装配置等模块。 是否执行成功 分为“执行成功”和“执行失败”两种类型。 操作行为 具体的操作行为信息。 日志设置 1. 登录容器安全卫士控制台。 2. 在左侧导航栏，选择“平台管理 > 日志审计”，进入日志审计页面。 3. 单击页面右上角的“设置”图标，进入日志设置页面。 4. 可选择是否开启用户“查看类型的操作记录审计”，设置“操作审计保留时间”。 5. 单击“保存”，完成配置。

本页介绍天翼云TeleDB数据库的审计日志相关操作。 注意 审计日志模块只有超级管理员才能进入。 SQL审计 SQL审计日志记录了用户于何时对哪个数据源执行了什么类型的SQL语句，并对该操作给出 high 、 medium 、low三种等级的风险评估。对数据源的记录最精细可以审计到表级别 ，同时也会记录SQL执行的结果、查询耗时、影响行数等信息。若执行失败，会记录对应的报错信息。 SQL审计搜SQL审计支持的搜索项包括执行时间、SQL类型、风险等级、操作用户、实例名称、实例地址、库名/模式名、表名、功能、执行状态。其中操作用户、实例名称、实例地址、库名/模式名、表名等搜索项支持模糊搜索。若用户想清除已经选择的搜索项，可以单击重置按钮。 SQL审计详情除上述基本信息外，单击详情按钮，弹出的详情界面还会展示具体的执行语句。 SQL审计对象SQL审计对象包括来自查询窗口、可视化编辑、元数据管理三个功能模块的SQL语句，审计的SQL语句类型为SELECT、INSERT、CREATETABLE、CREATESELECT、INSERTSELECT、ALTERTABLE、CREATEDATABASE、ALTERDATABASE、CREATESCHEMA、ALTERSCHEMA、REVOKE、GRANT、DROPDATABASE、DROPSCHEMA、DROPTABLE、DELETE、UPDATE、TRUNCATE。 SQL审计导出SQL审计支持导出当前页记录到本地，导出格式可以选择csv或者xlsx两种。用户先按需求选择搜索项，然后单击查询，再单击导出按钮，选择文件格式后，即可将SQL审计日志记录下载到本地。用户可以通过调整分页数下载更多的审计日志记录。

天翼云日志服务支持采集计算、存储、网络安全、数据库等多种天翼云云产品的日志数据。以下介绍具体已支持的云产品以及日志类型。 概述 自动采集机制 当您开通云产品日志采集功能时，系统将自动从云产品中收集相关日志至指定的日志项目与日志单元，部分云产品已支持自动创建目标日志项目与日志单元，具体可见各云产品详细的操作说明。 停止计费的步骤说明 若需停止云产品日志采集的计费，需从数据采集和存储资源两方面操作： 1. 关闭日志采集：进入对应云产品的控制台，关闭日志服务集成功能开关。 2. 清理存储资源：在云日志服务控制台中删除对应云产品的 日志项目与日志单元。 支持的云产品以及日志类型 以下为已对接云日志服务的云产品： 云产品 日志类型 备注 弹性云主机 文本日志 物理机 文本日志 云容器引擎 容器标准输出 容器文件日志 分布式容器云平台CCEONE 容器标准输出 容器文件日志 弹性容器实例ECI 容器实例日志 关系型数据库MySQL版 数据库慢日志、错误日志 当前白名单试用中，如有需求请提交工单反馈。 关系型数据库PostgreSQL版 数据库慢日志、错误日志 当前白名单试用中，如有需求请提交工单反馈。 关系数据库SQL Server 数据库慢日志、错误日志 当前白名单试用中，如有需求请提交工单反馈。 分布式关系型数据库 数据库慢日志、错误日志 当前白名单试用中，如有需求请提交工单反馈。 文档数据库 数据库慢日志、错误日志 当前白名单试用中，如有需求请提交工单反馈。 对象存储 访问日志 分布式缓存Redis 命令审计日志 重平衡日志 应用服务网格 控制面（control plane）、数据面（sidecar）日志以及应用服务网格网关日志 函数计算 函数调用日志 云审计 云服务操作日志 弹性负载均衡ELB 访问日志 NAT网关 会话日志 云搜索 Elasticsearch、OpenSearch、Logstash实例日志，包括运行日志（含错误日志）、GC日志、慢索引日志、慢查询日志、Logstash运行日志 翼MR 集群组件日志 微服务引擎云原生网关 网关访问日志 虚拟私有云VPC 流日志 当前白名单试用中，如有需求请提交工单反馈。 内网DNS DNS解析日志 SDWAN 流日志 当前白名单试用中，如有需求请提交工单反馈。 云安全中心 云堡垒机操作日志； 云防火墙威胁日志； 服务器安全卫士漏洞信息、弱口令、告警日志； 数据库审计日志； Web应用防火墙告警日志； 云等保专区V1.0日志 服务器安全卫士 告警日志 网页防篡改 告警日志

本文介绍如何关闭审计日志。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择【产品 > 数据库 > 关系型数据库 > 关系数据库SQL Server版】，进入关系数据库SQL Server产品页面。然后单击【管理控制台】，进入TeleDB数据库【概览】页面。 2. 在左侧导航栏，选择【SQL Server > 实例管理】，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例【基本信息】页面。 4. 单击【日志】标签页，然后单击【审计日志】。 5. 在审计日志页面，单击【审计日志】按钮，打开审计日志设置的弹窗。 6. 单击【审计日志采集】开关按钮，选择“关闭”，然后单击确认，关闭审计日志采集功能。

操作场景 在您开通了云审计服务后，系统开始记录云监控资源的操作。云审计服务管理控制台保存最近7天的操作记录。 本节介绍如何在云审计服务管理控制台查看或导出最近7天的操作记录。 操作步骤 1. 登录管理控制台。 2. 在管理控制台左上角选择区域和项目。 3. 单击“服务列表”，选择“管理与部署 > 云审计服务”，进入云审计服务信息页面。 4. 单击左侧导航树的“事件列表”，进入事件列表信息页面。 5. 事件列表支持通过筛选来查询对应的操作事件。当前事件列表支持四个维度的组合查询，详细信息如下： 1. 事件来源、资源类型和筛选类型。 在下拉框中选择查询条件。 其中筛选类型选择事件名称时，还需选择某个具体的事件名称。 选择资源ID时，还需选择或者手动输入某个具体的资源ID。 选择资源名称时，还需选择或手动输入某个具体的资源名称。 2. 操作用户：在下拉框中选择某一具体的操作用户，此操作用户指用户级别，而非租户级别。 3. 事件级别：可选项为“所有事件级别”、“normal”、“warning”、“incident”，只可选择其中一项。 4. 时间范围：可选择查询最近七天内任意时间段的操作事件。 6. 在需要查看的记录左侧，单击展开该记录的详细信息，展开记录如图所示。 7. 在需要查看的记录右侧，单击“查看事件”，弹出一个窗口，如图所示，显示了该操作事件结构的详细信息。

本节介绍了开启APIServer审计日志的用户指南。 应用场景 Kubernetes 审计（Auditing） 功能提供了与安全相关的、按时间顺序排列的记录集， 记录每个用户、使用 Kubernetes API 的应用以及控制面自身引发的活动。通过APIServer审计日志可以追踪用户对集群的操作行为。更进一步的，通过使用日志中心可以将集群的APIServer审计日志持久化到云日志服务，从而长时间追踪APIServer请求。 前提条件 已创建专有版集群，具体操作请参见 用户指南 > 集群管理 > 新建集群 。若已有集群，无需重复操作。 拥有集群master节点的root或sudo权限，能够远程登录节点执行命令。 操作步骤 以下步骤需要在集群所有master节点执行（可在集群菜单 节点管理 > 节点 查看master节点，一般有3个或5个） 增加apiserver审计策略文件 在集群master节点，新增 /etc/kubernetes/auditpolicy.yaml 文件 plaintext apiVersion: audit.k8s.io/v1 This is required. kind: Policy 不要为RequestReceived阶段中的所有请求生成审核事件。 omitStages: "RequestReceived" rules: 以下请求被手动确定为高容量和低风险，因此请取消这些请求。 level: None users: ["system:kubeproxy"] verbs: ["watch"] resources: group: "" core resources: ["endpoints", "services"] level: None users: ["system:unsecured"] namespaces: ["kubesystem"] verbs: ["get"] resources: group: "" core resources: ["configmaps"] level: None users: ["kubelet"]

操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择【产品 > 数据库 > 关系型数据库 > 关系数据库SQL Server版】，进入关系数据库SQL Server产品页面。然后单击【管理控制台】，进入TeleDB数据库【概览】页面。 2. 在左侧导航栏，选择【SQL Server > 实例管理】，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例【基本信息】页面。 4. 单击【日志】标签页，然后单击【审计日志】。 5. 在审计日志页面，点击【审计日志】按钮，打开审计日志设置的弹窗。 6. 单击【审计日志采集】开关按钮，选择“开启”，然后单击确认，开启审计日志采集功能。

审计信息筛选 根据5W1H（What、Where、When、Who、Why、How）分析模型进行规则设置，提供丰富的规则条件配置方法。 内置900多条安全相关的审计分析规则。 根据采集到的数据进行数据分析和产生行为模型。 审计结果查询。 预警与报表 提供Syslog、短信、邮件、SNMP、钉钉、企业微信等告警通知方式，可第一时间通知管理人员。 可与综合日志审计分析平台等进行日志的整合。 内置23种高价值、符合法律法规的分析报表，可从数据库账号增删、密码修改、权限变更、高危操作、违规告警、账号复用、数据库性能分析等维度进行分析。 提供自定义报表功能，可根据客户的业务需要，选择不同的维度和指标对审计数据进行统计和分析。 进入控制台 1. 登录云等保专区控制台。 2. 在左侧导航选择“数据库审计 > 数据库审计v1.0”，进入数据库审计v1.0资源列表页面。 3. 单击目标资源操作列的“配置”，跳转到数据库审计v1.0控制台。 使用数据库审计v1.0 了解更多数据库审计相关操作内容，请下载阅读《云等保专区数据库审计 v1.0 用户指南》。 开启IPv6防护 数据库审计不支持IPv4和IPv6的切换。若需要开启IPv6防护，请确保在购买数据库审计资源时，所选子网已开启IPv6，否则需要重新购买。 购买数据库审计时，选择的子网已启用IPv6，则自动开启IPv6防护。 购买数据库审计时，选择的子网未启用IPv6，则需重新下单数据库审计，确保其所选子网已开启IPv6。详细操作请参见创建IPv4/IPv6双栈子网、购买云等保专区。

数据库审计是否支持备份行为的过滤，具体是怎样实现的？ 可以通过设计规则来实现，如源IP是主数据库，目的IP是备数据库，这类命令全部过滤，不审计。 数据库审计Agent在服务器上生成的日志包含哪些内容？ 数据库审计Agent在服务器上生成的日志只是Agent的运行日志，且日志的容量有上限，50M7350M，存7天，循环覆盖，单日最大是50M。 数据库审计是否支持报表导出ofd格式？ 不支持。 在数据库所在服务器上，用数据库工具对数据库进行操作能审计到吗？ 对应本地审计功能，通过安装Agent的方式是可以的。 用户的数据库有区分主库和备库，这种情况占用几个授权？ 数据库审计对授权占用是按照“业务IP+端口”这个组合来确定的，每一个这样的组合会占用一个授权，可以结合实际主库和备库对外“业务IP+端口”的数量来确定需要的授权数。 数据库审计是否支持对于某个数据库的日志单独设置保存时长，或者单独设置日志外送？ 不支持单独设置某个库的日志存留时间，但是可以对某个库单独设置日志外送任务，在外送任务建立之后，会实时转发每一条日志，但是对于设置日志外送任务之前的日志，则无法单独外送。 加密的数据库，没有密钥，是否有审计数据？ 无密钥，就没有审计记录。 SSH远录登陆审计与本地审计是否支持？ SSH远程登录审计指的是，在远程通过SSH登录数据库本地的情况下，可以审计到远程的设备的IP，并不会因为此次行为的本质是数据库本地操作而止步数据库IP作为源IP。 SSH远程登录，源头IP被审计到之后，下一步会流转到本地回环审计或本地审计： 本地回环审计，会产生网络流量，会有审计日志，审计日志中的源IP会显示为远程登录的设备的IP，对所有支持的数据库协议都可用。 本地审计，无网络流量，这种情况要看数审目前支持的本地审计的矩阵，矩阵之内的，可以审计到，并且有审计日志，在矩阵之外的，审计不到，没有审计日志。