开启了云审计服务后，系统开始记录HSS资源的操作。云审计服务管理控制台保存最近7天的操作记录。 查看HSS的云审计日志 1、登录管理控制台。 2、 单击页面上方的选择“管理与监控 > 云审计服务”，进入云审计服务信息页面。 3、 单击左侧导航树的“事件列表”，进入事件列表信息页面。 4、事件列表支持通过筛选来查询对应的操作事件。当前事件列表支持四个维度的组合查询，详细信息如下： “事件类型”、“事件来源”、“资源类型”和“筛选类型”。在下拉框中选择查询条件。 "事件类型”选择“管理事件”。 “事件来源”选择“HSS”。 “筛选类型”选择“按事件名称”时，还需选择某个具体的事件名称；选择“按资源ID”时，还需选择或者手动输入某个具体的资源ID；选择“按资源名称”时，还需选择或手动输入某个具体的资源名称。 “操作用户”：在下拉框中选择某一具体的操作用户，此操作用户指用户级别，而非租户级别。 “事件级别”：可选项为“所有事件级别”、“Normal”、“Warning”、“Incident”，只可选择其中一项。 “时间范围”：可在页面右上角选择查询最近1小时、最近1天、最近1周及自定义时间段的操作事件。 5、 单击“查询”，查看对应的操作事件。 6、在需要查看的记录左侧，单击展开该记录的详细信息。 7、在需要查看的记录右侧，单击“查看事件”，弹出一个窗口，显示了该操作事件结构的详细信息。

本节主要介绍安全审计 操作场景 根据云审计服务收集的日志记录，通过查询具体的、符合某一特征的记录，执行安全分析，判断用户的操作是否符合权限要求。 前提条件 已开通云审计服务且追踪器状态正常。 操作步骤 以审计最近两周云硬盘服务的创建和删除操作为例： 1. 以管理员权限登录管理控制台。 2. 单击“服务列表”，选择“管理与部署 > 云审计服务”，进入云审计服务详情页面。 3. 单击左侧导航树的“事件列表”，进入事件列表界面。 4. 在事件列表界面单击“筛选”，显示过滤条件查询框，依次选择“事件来源”>“资源类型”>“筛选类型”，单击“查询”按钮执行搜索，查看过滤结果。过滤条件查询示例：依次选择“evs”>“evs”>“按事件名称”>“createVolume”或“evs”>“evs”>“按事件名称”>“deleteVolume”，单击“查询”按钮执行搜索，查询所有创建或删除EVS的操作。 5. 单击左侧导航树的“追踪器”，进入追踪器详情页面，获取OBS桶名。 6. 参照查看已归档事件下载7天之前或者所有的事件。 7. 在操作记录中，以createVolume和deleteVolume作为关键字检索，找到对应记录。 8. 从第4步和第7步的结果中，抽取操作用户信息，甄别没有授权的操作，即用户越权操作，或不符合用户自身安全操作规范的操作。

关系数据库MySQL版提供多种日志服务和审计服务，您可以根据需要查看或开启相关服务。本文为您详细介绍关系数据库MySQL版的日志与审计。 关系数据库MySQL版提供的日志服务和审计服务如下： 支持通过管理控制台查看数据库错误日志，包括数据库主库和从库运行的错误信息，帮助您分析数据库系统中存在的问题。 错误日志的详细介绍，请参见查看错误日志。 说明 错误日志默认保留7天。 数据库慢日志用来记录执行时间超过当前慢日志阈值“longquerytime”（默认1秒）的语句，通过管理控制台查看慢日志的日志明细、统计分析情况，帮助您找出执行效率低的语句，进行优化。 慢日志的详细介绍，请参见查看慢日志 。 支持开通SQL审计功能，系统会将所有的SQL操作记录下来存入日志文件，以提供针对数据增删改查等操作的审计行为。 SQL审计的详细介绍和开通配置方法，请参见开启SQL审计日志。 关系数据库MySQL版支持设置Binlog日志参数，您可以根据需要修改相关参数。 Binlog日志的参数设置，请参见参数设置。 关系数据库MySQL版支持查看参数应用日志，您可以根据需要查看参数应用的情况。 参数应用日志介绍，请参见查看参数组应用记录。

此章节为您介绍日志审计一些故障的处理方法 登录报错：当前实例无法访问，请检查是否在安全组开放端口8181 问题现象： 登录和日志审计实例相同vpc的机器telnet 8181端口可以连通，说明日志审计实例已启动完毕、状态正常。 解决方法： 通过浏览器开发工具获取登录地址，手动替换地址中的ip地址后在浏览器中访问。 安装Windows采集代理服务后服务启动报错 问题现象： 安装Windows采集服务后，日志审计（原生版）服务启动报错 解决方法： 请按照下图修改配置。 Linux配置脚本报错怎么解决？ 问题现象： Linux采集脚本执行报错，无法正常执行。 解决方案： 更新Rsyslog的配置文件后重启服务。 操作步骤： 1.linux主机配置日志审计流程： 使用以下指令打开/etc/rsyslog.conf文件 vi /etc/rsyslog.conf 2.在Rsyslog文件末尾添加以下内容： . @192.168.x.x 说明 “.”表示所有级别的日志都发给日志审计, IP地址填写日志审计的服务器IP地址。 3.重启Rsyslog服务 Cenots7后的重启命令：systemctl restart rsyslog.service Centos6前的重启命令：service rsyslog restart 4.配置完成后，请查看日志检索是否显示出日志的IP信息。 若没有收到查看到日志源IP，请查看端口开放建议，配置完成后，需重新按照步骤3的操作重启rsyslog服务。

本节主要介绍常见问题 一个租户下可以开通多个追踪器吗？ 目前，一个租户系统仅支持开通一个追踪器。 事件列表用于记录哪些信息？ 事件列表记录了云账户中对云服务资源新建、修改、删除等操作的详细信息。事件列表不记录查询操作的相关信息。 事件列表中的信息可以删除吗？ 不可以，根据SAC/TC及国际信息、数据安全管理部门发布的规范，审计日志必须保持客观全面、准确，因此不提供删除或修改功能。 事件文件可以存储多长时间？ 默认情况下，云审计服务管理控制台可存储最近7天内的事件文件，而对于已保存至OBS桶的历史操作记录，您可以无限期存储这些事件文件。 如果用户已开通云审计服务，但OBS桶未配置正确的策略，会出现什么情况？ 云审计服务会根据既有的OBS存储桶策略来传送事件文件。如果错误地配置OBS存储桶策略，那么云审计服务将无法传送事件文件。 被删除或有异常的OBS桶，管理控制台界面会显示相应的错误提示信息。用户可选择重新创建OBS桶或重新配置OBS桶的访问权限，操作详情请参见《对象存储服务用户指南》的“管理桶”章节。 云审计服务是否支持事件文件的关键字验证？ 支持。原则上进行关键字验证时必须包含以下字段：time、servicetype、resourcetype、tracename、tracestatus、tracetype，其他字段由各服务自己定义。 启用云审计服务是否会影响其他云服务资源的性能？ 不会。启用云审计服务不会影响其他云服务资源的性能。

此小节介绍云堡垒机字符审计。 审计对象为授权的资产数据角色产生的字符访问会话（ssh、telnet），支持查看命令列表，回放访问录屏，中断活动会话，实时播放会话，下载会话审计文件。 操作步骤 1.管理员登录并切换至“审计角色”，选择“会话日志 > 字符审计”。 2.单击“操作”列的“查看”可打开详细命令列表。 3.单击“操作”列的“播放”可使用浏览器在线播放会话。结束时间为空说明是活动会话，单击“播放”可实时观看会话，单击“中断”可中断该会话。

本章节为您介绍查询分析模块的内容。 查询分析模块包括审计日志以及报表分析，审计日志展示了所有审计日志，包括发生时间、API信息、服务端信息、客户端信息、概要（API请求与响应信息、请求结果以及对应数据标签），可以查看对应详情。报表分析包含报表中心以及订阅中心。 查看审计日志 1.登录API风险监测实例。 2.在左侧导航栏选择“查询分析 > 审计日志”，进入审计日志页面。 3.在左上角选择“筛选条件”，可以进行审计日志查询。 查询字段说明： 选项 说明 发生时间 设置日志查询的时间范围，默认为“最近1 天”。 API/URL 选择API/URL查询。 应用名称 应用的名称。 数据标签 分为请求数据标签与返回数据标签。 应用域名 应用的域名。 服务端IP 应用服务端的ip。 客户端IP 发起请求的ip。 登录账号 根据账号查询日志。 请求方法 针对邮件内容进行关键词查询。 结果 成功或失败。 请求关键字 支持对请求中的内容进行关键词查询。 响应关键字 支持对响应中的内容进行关键词查询。 文件名称 请求携带的文件名称。 文件MD5 文件的Md5值。 审计日志ID 唯一标识审计记录的ID。 会话ID 会话的ID。

此小节介绍云堡垒机图形审计。 可审计对象为授权的资产数据角色产生的图形访问会话，支持访问实时播放和回放、键盘记录、剪切板记录和中断会话。 操作步骤 1.管理员登录并切换至“审计角色”，在左侧导航栏选择 “会话日志 > 图形审计”。 2.单击“操作”列的“键盘”或“更多 > 剪切板”可查看记录，结束时间为空说明是活动会话，单击“播放”可实时观看会话，单击“中断”可中断该会话。

本文介绍了日志与审计的相关说明。 RDSPostgreSQL提供了多种日志服务与审计服务，您可根据需要查看或开启相关服务。 操作审计 RDSPostgreSQL记录了用户针对实例的关键操作，可用于支撑安全分析、合规审计和问题定位等常见应用场景。 操作日志的详细介绍和查看方法，请参见操作日志。 日志 RDSPostgreSQL当前提供多项日志监控服务，帮助用户定位分析问题，优化查询语句。 支持查看实例中，执行过慢的SQL执行情况，并可根据SQL关键字、执行时间等进行筛选，协助用户分析优化，提升业务效率。详细介绍请参见慢日志。 支持查看错误日志，通过日志情况分析系统中存在的问题。详细请参见错误日志。

本文主要介绍查看云审计日志。 操作场景 开启了云审计服务后，系统开始记录CCE资源的操作。云审计服务管理控制台保存最近7天的操作记录。 操作步骤 步骤 1 登录管理控制台。 步骤 2 在管理控制台左上角单击图标，选择区域。 步骤 3 单击页面上方的“服务列表”，选择“管理与部署 > 云审计服务”，进入云审计服务信息页面。 步骤 4 单击左侧导航树的“事件列表”，进入事件列表信息页面。 步骤 5 事件列表支持通过筛选来查询对应的操作事件。当前事件列表支持四个维度的组合查询，详细信息如下： 事件来源、资源类型和筛选类型。 在下拉框中选择查询条件。其中，事件来源选择“CCE”。 当筛选类型选择事件名称时，还需选择某个具体的事件名称。 选择资源ID时，还需选择或者手动输入某个具体的资源ID。 选择资源名称时，还需选择或手动输入某个具体的资源名称。 操作用户：在下拉框中选择某一具体的操作用户，此操作用户指用户级别，而非租户级别。 事件级别：可选项为“所有事件级别”、“normal”、“warning”、“incident”，只可选择其中一项。 时间范围：可选择查询最近七天内任意时间段的操作事件。 步骤 6 在需要查看的记录左侧，单击展开该记录的详细信息，展开记录如下图所示。 图 展开记录 步骤 7 在需要查看的记录右侧，单击“查看事件”，将会弹出一个窗口显示该操作事件结构的详细信息。 图查看事件

本文介绍了云防火墙（原生版）产品的病毒防护日志功能。 约束条件 最多支持查看最近7天的日志。 查看日志列表 1. 登录云防火墙（原生版）控制台。 2. 在左侧导航栏，选择“日志审计 > 病毒防护日志”，进入病毒防护日志页面。 3. 在页面上方切换防火墙实例。 4. 查询日志：该列表可根据命中时间、应用、病毒名称、协议、MD5、动作、目的端口、目的IP地址、源端口、源IP地址进行筛选。 5. 病毒防护日志列表包括命中时间、源IP地址、源端口、目的IP地址、目的端口、协议、应用、动作、病毒名称、MD5。 导出日志 说明 最多支持导出10000条数据。 单击“导出”，可以将查询列表中的日志记录导出为csv格式。

本章介绍如何查看操作记录。 云审计服务支持的主机迁移服务关键操作列表 表 云审计服务支持的主机迁移服务操作列表 操作名称 资源类型 事件名称 添加源端信息 sourceServer addSource 删除源端信息 sourceServer removeSource 更新源端名称 sourceServer updateSourceName 创建任务 addTask addTask 删除任务 deleteTask deleteTask 启动任务 updateTask taskstart 停止任务 updateTask taskstop 同步任务 updateTask tasksync 更新任务进度 updateTaskProgress updateTaskProgress 保存模板 addTemplate addTemplate 修改模板 updateTemplate update 删除模板 deleteTemplate deleteTemplate 批量删除模板 deleteTemplates deleteTemplates 操作响应结果 TaskCommand processCommandResult 查询审计事件 操作场景 用户进入云审计服务创建管理类追踪器后，系统开始记录云服务资源的操作。在创建数据类追踪器后，系统开始记录用户对OBS桶中数据的操作。云审计服务管理控制台会保存最近7天的操作记录。 本节介绍如何在云审计服务管理控制台查看或导出最近7天的操作记录： 在新版事件列表查看审计事件 在旧版事件列表查看审计事件 使用限制 单账号跟踪的事件可以通过云审计控制台查询。多账号的事件只能在账号自己的事件列表页面去查看，或者到组织追踪器配置的OBS桶中查看，也可以到组织追踪器配置的CTS/system日志流下面去查看。 用户通过云审计控制台只能查询最近7天的操作记录。如果需要查询超过7天的操作记录，您必须配置转储到对象存储服务(OBS)，才可在OBS桶里面查看历史文件。否则，您将无法追溯7天以前的操作记录。 云上操作后，1分钟内可以通过云审计控制台查询管理类事件操作记录，5分钟后才可通过云审计控制台查询数据类事件操作记录。

本小节介绍日志审计(原生版)应用场景,主要是响应合规性要求、日志审计监管、日志关联分析等场景。 场景一：响应合规场景 采用日志审计监测、记录和存储网络运行状态和安全事件等信息，实现对系统的全面监控和细致记录，配合多种审计策略，快速定位溯源，全面提升系统服务水平以及网络安全管理水平，满足网络安全法规及等级保护的相关要求。 产品优势能力 产品具备海量日志存储能力，并可以长时间地保存大量日志信息，同时采用了多种技术手段，实现高效地日志数据处理和存储，降低性能负担，确保用户在实现合规性的同时，仍能维持系统的服务水平。 通过深度分析安全设备的日志信息，可以及时检测潜在的安全威胁，并结合溯源分析追踪攻击者的行为路径和攻击手法，更好地了解攻击者的意图和方法，帮助快速发现并阻止潜在的攻击，减少安全事件造成的损失。 场景二：运维分析场景 针对中大型企业设备多，系统多，难以统一监管问题，采用日志审计将所有设备、用户行为日志统一监管，贯穿从边界到核心资产的全流程运维监控，以及扩展对关键数据等资产的保护。 产品优势能力 提供实时流的日志分析监控，通过邮件方式及时通知用户，提高运维的响应及时率。 仪表盘灵活查看不同设备的整体运行情况，通过定时任务，统计一天到一周、月、季度的业务数据运维情况。 借助统计报表掌握业务趋势，通过接口调用统计为扩容、性能问题排查提供参考信息。 场景三：审计分析场景 基于大数据架构的日志审计系统，针对各类系统的日志进行集中采集、管理、存储、统计，分析的系统，实现高效统一管理资产日志并提供实时检索，可视化交互分析，聚合分析，实时告警，报表等功能。

手动备份数据库审计日志 1. 登录管理控制台。 2. 单击右上角的 ，选择区域。 3. 选择“安全 > 数据库安全服务”，进入数据库安全审计“总览”界面。 4. 在左侧导航树中，选择“设置”，进入设置界面。 5. 在“选择实例”下拉列表框中，选择需要设置备份的实例，选择“备份与恢复”页签。 6. 单击“手动备份”，在弹出的对话框中，选择“备份范围”并设置访问密钥的AK和SK，如下图所示。 7. 单击“确定”。 恢复数据库审计日志 数据库审计日志备份成功后，您可以根据需要恢复数据库的审计日志。 注意 日志数据恢复风险较大，在恢复日志数据前，请您确认备份的日志数据的准确性或完整性。 1. 登录管理控制台。 2. 单击右上角的 ，选择区域。 3. 选择“安全 > 数据库安全服务”，进入数据库安全审计“总览”界面。 4. 在左侧导航树中，选择“设置”，进入设置界面。 5. 在“选择实例”下拉列表框中，选择需要恢复日志的实例，选择“备份与恢复”页签。 6. 在需要恢复数据库审计的备份日志所在的“操作”列，单击“恢复日志”。 7. 在弹出的提示框中，单击“确定”。

日志审计(原生版)(LAS Log Audit Service)是一款全方位保障云上安全的审计产品。通过接入用户网络、主机、安全、数据库以及应用系统设备产生的海量日志信息,为用户提供日志的安全存储、检索、监测、告警等能力,帮助用户满足等保合规要求。

本小节介绍日志审计(原生版)产品定义。 产品介绍 日志审计（原生版）（LAS Log Audit Service）通过实时不间断采集设备、主机、操作系统、数据库以及应用系统产生的海量日志信息，进行集中化存储，为您提供安全存储、检索、审计、告警、报表等能力，帮助您满足等保合规要求。 产品功能 天翼云日志审计（原生版）系统具备资产管理、日志检索、日志审计、多维报表等功能。 资产集中管理：提供集中化的统一管理平台，将所有的日志信息收集到平台中，进行信息资产的统一日志管理。 高速日志检索：基于海量数据的高速检索能力，可以实现多重条件组合的快速检索和精确定位。 实时日志审计报警：对归并处理的日志进行实时动态分析，及时发现网络非法访问、数据违规操作、系统进程异常、设备故障等高危安全事件通过邮件、短信等方式进行报警。 丰富多维日志报表：丰富合规报表预设，支持全方位自定义报表导出，实现数据库系统、数据库服务器、网络设备的多维立体审计。 产品架构 天翼云日志审计（原生版）系统产品架构包含数据采集层、处理层、存储层、引擎层、业务层、可视化。 采集层：提供开放式的信息采集接口，实现对用户环境内各类IT资产以及所采用的各厂商安全产品或安全系统进行主动或被动的日志采集。 处理层：实现对采集到的数据做统一规范化，对数据进行关键信息提取，标签化分类，过滤，归并等数据ETL操作，为后续的数据分析做准备。 存储层：实现海量安全大数据的分布式存储，提供结构化数据和非结构化数据的存储能力，并为上层的数据分析应用提供高效的数据库功能支撑。 引擎层：综合数据处理分析的能力提供层，提供由大数据技术和架构支撑的快速检索和数据关联发掘功能。是支撑上层数据呈现和分析结果输出的计算引擎层，提供丰富的大数据统计、关联分析、数据挖掘以及态势分析能力，是系统的分析处理的核心。该层提供了基础数据处理引擎，包括流式计算引擎、复杂事件处理引擎、全文检索引擎、关联分析引擎等。 业务层：实现用户基于平台的标准化数据，依托平台报表工具，日志检索工具，分析引擎，实现用户自身业务相关的安全管理以及数据分析，监控，处置，保障业务的安全稳定。 可视化：实现对平台的数据处理，数据分析，报表分析，处置结果等通过图表可视化的方式呈现。

本章节介绍API审计日志功能 概述 API审计日志功能通常用于记录和跟踪用户在操作服务网格控制台时产生的写行为，便于管理者对控制台的行为进行追溯。审计日志内容主要记录了执行时间、操作类型、操作结果状态以及操作人等关键信息。同时，用户可以通过执行时间、操作人以及业务类型等多种条件进行数据筛选和查看。 操作 在控制台>网格安全中心> 审计日志菜单下，即可看到相关的日志信息，如下图：

本小节介绍云日志审计采集器配置方法。 新增采集器： 点击【日志采集】→【采集控制器】→【新增】，如下图所展示。 类型：选择"事件采集器"； 标准化策略：选择系统内置对应的模版，系统将自动关联； IP范围：填写准确IP地址以便系统能够识别。

本文介绍了云防火墙（原生版）产品的入侵防御日志功能。 约束条件 最多支持查看最近7天的日志。 查看日志列表 1. 登录云防火墙（原生版）控制台。 2. 在左侧导航栏，选择“日志审计 > 入侵防御日志”，进入入侵防御日志页面。 3. 在页面上方切换防火墙实例。 4. 查询日志：该列表可根据命中时间、应用、攻击类型、攻击等级、判断来源、目的IP地址、源IP地址、方向进行筛选。 5. 入侵防御日志列表包括发生时间、源IP地址、源端口、目的IP地址、目的端口、应用、攻击类型、等级、命中规则ID、命中规则名称、判断来源、方向和防御状态。 导出日志 说明 最多支持导出10000条数据。 单击“导出”，可以将查询列表中的日志记录导出为csv格式。

本文主要介绍 基本概念 追踪器 使用云审计服务前需要开通云审计服务，开通云审计服务时系统会自动创建一个追踪器。该追踪器会自动识别并关联当前租户所使用的所有云服务，并将当前租户的所有操作记录在该追踪器中。 目前，一个租户仅支持创建1个管理追踪器和100个数据追踪器。 事件 事件即云审计服务追踪并保存的云服务资源的操作日志。您可以通过“事件”了解到谁在什么时间对系统哪些资源做了什么操作。 事件分为以下两类： 管理事件 指云服务上报的事件。 数据事件 指OBS服务上报的读写操作事件。 事件列表 事件列表记录了租户对云服务资源新建、修改、删除等操作的详细信息。事件列表最多显示近7天的事件。 事件文件 事件文件是系统自动生成的事件集，云审计服务将按照服务、转储周期两个维度，生成多个事件文件，同步保存至用户指定的OBS桶中。通常情况下，单个服务在单个转储周期内产生的所有事件仅会压缩生成一个事件文件，但在事件数量较多时，系统会根据当前负载情况调整每个事件文件包含的事件数。 事件文件的格式为json，呈现事件的原始内容如图所示。 事件文件示例

本小节介绍日志审计(原生版)日志检索用户指南。 日志审计（原生版）支持通过列表和统计图的方式，更直观的展示采集到的日志情况。 说明 日志审计（原生版）的日志信息默认保存180天。 前提条件 已成功接入资产，并且已配置采集方式。完成前置步骤您可以通过列表/统计图方式，查看采集的日志数据。 事件列表 查询日志 1. 登录日志审计（原生版）控制台。 2. 在左侧导航栏选择“事件分析 > 日志检索”进行日志检索，系统默认展示事件列表并且显示最近5分钟日志。 3. 您可在页面上方的查询框中，通过检索/CSL方式输入查询条件，选择查询时间，单击查询按钮，即可查询日志。 新增查询条件 说明 您也可以通过日志审计（原生版）预设的查询条件进行日志检索。 1. 进入“日志检索”页面。 2. 在搜索框中填写查询条件，单击页面上的按钮。 3. 在弹出的对话框中填写查询条件的相关参数。 参数 参数说明 取值样例 是否另存 开启：新增一个查询条件 关闭：覆盖原来相同的条件名称的查询条件。仅存在同名的条件名称时可以选择关闭“是否另存”。 条件名称 填写查询条件的条件名称。 Test 条件分组 通过下拉框选择此查询条件所属的条件分组。 通用查询组 保存时间 选择是否保存查询条件的时间。 保存 条件描述 填写该查询条件的描述。 4. 填写完成后，单击“确定”保存，将当前查询条件保存到左侧查询条件组中。下次直接点击该查询条件即可自动查询日志信息。

日志审计(原生版)(LAS Log Audit Service)是一款全方位保障云上安全的审计产品。通过接入用户网络、主机、安全、数据库以及应用系统设备产生的海量日志信息,为用户提供日志的安全存储、检索、监测、告警等能力,帮助用户满足等保合规要求。

此小节介绍数据库审计的部署架构。 天翼云数据库审计架构图 天翼云数据库审计从产品部署架构可以自下而上分为数据采集、协议解析、风险识别、数据存储四个部分，在管理控制侧分成日志查询、仪表盘与报表、数据开发和分布式统一管理。 数据采集层的功能是接入需要审计的流量信息，并对流量二三层网络协议和TCP层协议进行解析，提取IP、端口等信息，并根据过滤规则去除不需要进行审计的流量。 协议解析层的功能是按照各种不同数据库的传输协议解析数据包中包含的有效信息，提取出数据库名称、SQL语句、客户端工具等信息，天翼云数据库审计在协议解析领域已积累十三年的解析经验，对数据库协议有着较深的理解，对协议的解析精确且全面。 风险识别功能将解析出来的SQL语句和安全规则进行匹配，以此来发现SQL语句中存在的可疑风险；规则匹配是采用基于DFA状态机的AC算法，该算法实现多条安全规则只需进行一次匹配，实现了高效的规则匹配。如果规则匹配的过程中没有发现风险，那么需要将SQL预计进行字段标准化形成一条审计日志，如果发现了风险，还会根据风险级别相应的产生一条标准化的告警日志，为了达到审计日志和告警日志可回溯，需要将日志进行存储，此时入库程序就会将产生的日志存储到磁盘当中。 当需要查询审计日志和风险日志时，天翼云数据库审计的数据输出模块提供了Web端查询功能，并可将这些日志信息通过Syslog、Kafka等方式发送到第三方平台。同时天翼云数据库审计的系统管理模块提供丰富的管理功能，包括了规则管理、软件升级等功能。

此小节介绍云堡垒机字符审计。 审计对象为授权的资产数据角色产生的字符访问会话（ssh、telnet），支持查看命令列表，回放访问录屏，中断活动会话，实时播放会话，下载会话审计文件。 操作步骤 1.管理员登录并切换至“审计角色”，在左侧导航栏选择“会话日志 > 字符审计”。 2.单击“操作”列的“查看”可打开详细命令列表。 3.单击“操作”列的“播放”可使用浏览器在线播放会话。结束时间为空说明是活动会话，单击“播放”可实时观看会话，单击“中断”可中断该会话。

本文主要介绍查看已归档事件 操作场景 云审计服务会定时将跟踪到的事件以事件文件的形式按周期保存至OBS桶。事件文件是按照服务、转储周期两个维度生成的事件集，系统会根据当前负载情况调整每个事件文件包含的事件数。 本节介绍如何在OBS中通过下载事件文件查看已保存至OBS桶的历史操作记录。 前提条件 已在云审计服务中成功配置追踪器。配置方法请参见《云审计服务用户指南》的“配置追踪器”章节。 操作步骤 1.登录管理控制台。 2.选择“服务列表 > 管理与部署 > 云审计服务 CTS”，进入云审计服务页面。 3.单击左侧导航树的“追踪器”，进入追踪器信息页面。 4.单击“转储OBS桶”下的指定的OBS桶名称，页面跳转到OBS管理控制台中对应OBS桶的对象管理界面。 5.在OBS桶中选择需要查看的历史事件，按照事件文件存储路径选择“OBS桶名 > CloudTraces > 地区标示 > 时间标示：年 > 时间标示：月 > 时间标示：日 > 服务类型目录” ，文件将下载到浏览器默认下载路径，如需要将事件文件保存到自定义路径下，请单击右侧的“下载为”按键。 事件文件存储路径： OBS 桶名 >CloudTraces> 地区标示 > 时间标示：年 > 时间标示：月 > 时间标示：日 > 服务类型目录 例如：User Define>CloudTraces>region>2016>5>19>ECS 事件文件命名格式： 操作事件文件前缀 CloudTrace 区域标示 日志文件上传至 OBS 的时间标示：年 月 日 T 时 分 秒 Z 系统随机生成字符 .json.gz 例如： File Prefix CloudTraceregion20160530T162056Z21d36ced8c8af71e.json.gz 说明 OBS桶名和事件前缀为用户设置，其余参数均为系统自动生成。 关于云审计服务事件结构的关键字段详解，请参见“事件结构”和“事件样例”。 6.文件下载到本地后，通过解压可以得到与压缩包同名的json文件，下载解压后的json文件如图21所示，通过记事本等txt文档编辑软件即可查看到保存的追踪日志信息。 图下载解压后的json文件

此章节为您介绍数据库审计操作日志相关的内容。 操作日志 系统可记录所有用户的操作。审计员或超级管理员可以通过查看操作日志来审计其他用户的操作。 查询审计日志 在左侧菜单栏选择“系统管理 > 操作日志”进入操作日志页面，可根据时间范围、用户、来源IP、操作名称、操作类型、操作内容和操作结果来搜索相应操作日志。点击图标可导出操作日志。 日志外送 操作日志外送通知是指将操作日志发送至指定的接收者，支持SYSLOG和KAFKA两种方式。 添加操作日志外送任务的操作方法如下： 1.在左侧菜单栏选择“系统管理 > 操作日志”进入“操作”页面，选择“日志查询”页签，单击“添加”。 2.在弹出添加操作日志外送任务对话框，编辑相关信息，单击“保存”。

本小节介绍日志审计(原生版)检索日志。 日志审计（原生版）支持通过列表和统计图的方式，更直观的展示采集到的日志情况。 前提条件 已成功接入资产，并且已配置采集方式。完成前置步骤您可以通过列表/统计图方式，查看采集的日志数据。 查询日志 1. 登录日志审计（原生版）控制台。 2. 在左侧导航栏选择“事件分析 > 日志检索”进行日志检索，系统默认展示事件列表并且显示最近5分钟日志。 3. 您可在页面上方的查询框中输入想要查看的日志，选择查询时间，单击查询按钮，即可成功查询。 说明 您也可以通过日志审计（原生版）预设的查询条件进行日志检索。 新增查询条件 1. 进入“日志检索”页面。 2. 在搜索框中填写查询条件，单击页面上的按钮。 3. 在弹出的对话框中填写保存查询条件的相关参数。 参数 参数说明 取值样例 是否另存 仅存在同名的条件名称可以不选择“是否另存”。 条件名称 填写查询条件的条件名称。 Test 条件分组 选择此查询条件所属的条件分组。 通用查询组 条件描述 填写该条件的描述。

此小节介绍天翼云日志审计(原生版)服务等级。 天翼云日志审计服务等级协议

本小节介绍日志审计(原生版)产品功能类常见问题。 日志审计（原生版）采用何种接入方案？ windows设备通过agent采集，优点在于能够快速地集成现有数据，形成数据能力。 其他设备通过syslog采集snmptrap方式采集，优点在于不侵入应用系统，相关数据的准备由数据源系统自行准备，有利于数据源系统开展数据责任授权及控制扩散范围。 日志审计（原生版）采集日志需要做哪些操作？ 进入日志审计后，您需要先配置采集资产，针对采集日志样式进行配置，以及配置对应告警规则。配置完成后，触发日志，可在平台中检索采集到的日志和告警结果。涉及配置流程如下： 日志审计（原生版）如何实现自适应采集解析能力？ 通过数据自适应，将采集到多种类型、多种格式的原始事件信息根据预先配置的解析规则进行解析，支持正则解析，分隔符解析，json解析，keyvalue形式解析，实现新增日志类型无需开发能力。且日志解析结果已内置支持80+个字段，并支持动态扩展。 日志审计（原生版）如何实现检索分析？ 检索分析功能底层基于elasticsearch索引支持检索功能，为用户提供日志检索及分析能力，支持字段高级逻辑搜索和全文检索，提供丰富的字段用于索引、检索，字段可由用户自定义添加配置，可支持用户自定义时间范围内检索数据，并支持对检索数据进行导出。

本文为您介绍如何升级日志审计(原生版)实例规格。 当日志审计实例的资产规格不能满足需求时，可对实例规格进行升级，扩大纳管的资产数上限、增加数据盘容量。 系统影响 升级实例规格期间日志审计系统不可用，业务中断，但不影响主机资源运行。 约束限制 仅支持升级实例规格，暂不支持降级，若需要降级，请先备份相关数据，退订日志审计实例后重新订购新实例。 前提条件 仅2.0.0及以上版本支持升级实例规格。 仅“运行状态”为“已关机”的实例支持升级实例规格。 升级步骤 1. 登录日志审计（原生版）控制台。 2. 单击页面顶部的区域选择框，选择区域。 3. 选择需要升级实例规格的实例，选择“操作”列的“更多 > 变更规格”。 4. 在变更规格页面中选择需要升级的规格、存储扩容大小。 说明 资产规格、数据盘扩容不可同时进行，每次仅能选择其中一项升级。 仅“一类节点”区域的实例支持数据盘扩容。日志审计（原生版）支持的区域请参见支持的区域。 5. 阅读并同意《天翼云日志审计产品服务协议》后，单击“确认”。在订单详情页面根据提示完成支付。 后台自动进行变更规格操作，实例状态更新为“变配中”，整个变更规格过程需10分钟左右。 6. 变更完成后，实例状态恢复为“已关机”。单击“启动”，启动实例。 待实例运行状态变为“运行中”，即可正常使用日志审计实例。

为确保DRDS高效、稳定运行，需对应用可能运行的SQL语句进行审计，找出不符合规范的语句，拒绝语句执行或者对用户提示警告，即通过DML审计规则可以实现SQL黑名单的功能。除默认常用的DML审计规则外，您还可以根据实际情况新增DML审计规则。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 分布式关系型数据库 ，进入分布式关系型数据库产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择DRDS > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，找到目标实例，单击操作 列的管理 ，进入实例基本信息页面。 4. 在左侧目录单击数据库安全 ，然后单击数据库审计 页签，进入DML审计页面。 您可以在审计日志列表中查看目标分组和分片的审计日志，包括时间、数据库、语句、用户、客户端、审计方式和审计信息。 5. 选中目标分组，单击查看或修改审计 规则，进入DML审计规则面板。 6. 在审计规则列表上方，单击新增DML审计配置。 7. 在对话框中，配置审计规则参数，然后单击确定。 参数 说明 DML审计规则 审计规则的名称。 审计类型 审计匹配规则，取值范围： 参数化sql匹配 原始sql匹配 正则式匹配 SQL 当审计类型 设置为参数化sql匹配 或原始sql匹配时，需要输入审计的SQL语句。 正则表达式 当审计类型 设置为正则式匹配时，需要输入审计的正则表达式。 审计方式 支持配置为拒绝 或警告。 注意 对于审计方式 为拒绝 的审计规则，DRDS实例直接向前端提示报错信息，拒绝语句执行。 对于审计方式 为警告的审计规则，DRDS实例会将语句的相关信息记录到审计日志中，该日志可提供给开发人员对SQL语句进行参考优化，您可以在审计日志中查看相关信息。

本章主要介绍ALM12001 审计日志转储失败 。 告警解释 根据本地历史数据备份策略，集群的审计日志需要转储到第三方服务器上。系统每天零晨3点开始周期性检测转储服务器，如果转储服务器满足配置条件，审计日志可以成功转储。审计日志转储失败，系统产生此告警。如果第三方服务器的转储目录磁盘空间不足，或者用户修改了转储服务器的用户名、密码或转储目录，将会导致审计日志转储失败。 告警属性 告警ID 告警级别 是否自动清除 12001 次要 是 告警参数 参数名称 参数含义 来源 产生告警的集群或系统名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 对系统的影响 系统本地最多只能保存50个转储文件，如果该故障持续存在于转储服务器，本地审计日志可能丢失。 可能原因 网络连接异常。 转储服务器的用户名、密码或转储目录不满足配置条件。 转储目录的磁盘空间不足。 处理步骤 检查网络连接是否正常 1. 在FusionInsight Manager界面，选择“审计 > 配置”，进入审计日志转储配置页面。 2. 查看转储配置页面中当前的SFTP IP值是否合法有效。 以root 用户登录到任一管理节点，执行ping命令检查SFTP服务器和集群之间的网络连接是否正常。 是，执行步骤5。 否，执行步骤3。 3. 修复网络连接，然后重新配置SFTP服务端密码，单击“确定”，重新下发一次配置。 4. 2分钟后，查看告警列表中，该告警是否已清除。 是，处理完毕。 否，执行步骤5。