本节介绍云等保专区产品的日志审计。 日志审计具备信息资产的综合性管理能力，通过对客户网络设备、安全设备、主机和应用系统日志进行全面的标准化处理，及时发现各种安全威胁、异常行为事件。为管理人员提供全局的视角，确保客户业务的不间断运营安全。通过采集网络资产设备上报的日志，实时监视网络各类操作行为及攻击信息。根据设置的规则，智能判断出各种风险行为，对风险行为进行报警。 功能 描述 全面日志采集 全面支持Syslog、SNMP、OPSec、XML、FTP及本地文件等协议，可以覆盖主流硬件设备、主机及应用，保障日志信息的全面收集。 实现信息资产（网络设备、安全设备、主机、应用及数据库）的日志获取，并通过预置的解析规则实现日志的解析、过滤及聚合。 同时可将收集的日志通过转发功能转发到其它网管平台。 大规模安全存储 内置TB级别存储设备，可以选配各种RAID级别进行数据冗余和安全保障。系统拥有多项自主知识产权的存储加密机制和查询机制，十分适合等保、密保等行业的应用要求。 智能关联分析 实现全维度、跨设备、细粒度关联分析，内置众多的关联规则，支持网络安全攻防检测、合规性检测，可轻松实现各资产间的关联分析。 脆弱性管理 能够收集和管理来自各种Web漏洞扫描工具、主机漏洞扫描工具、网络漏洞扫描工具产生的扫描结果，并实时和用户资产收到的攻击危险进行风险三维关联分析。 数据挖掘和数据预测 支持对历史日志数据进行数据挖掘分析，发现日志和事件间的潜在关联关系，并对挖掘结果进行可视化展示。系统自带多种数据统计预测算法，可以根据历史数据的规律对未来的数据发生情况进行有效预测。 可视化展示 实现对信息资产的实时监控、信息资产与客户管理、解析规则与关联规则的定义与分发、日志信息的统计与报表、海量日志的存储与快速检索以及平台的管理。 通过各种事件的归化处理，实现高性能的海量事件存储和检索优化功能，提供高速的事件检索能力。 事后的合规性统计分析处理，可对数据进行二次挖掘分析。 分布式部署和管理 平台支持分布式部署，可以在中心平台管理规则、配置策略自动分发、远程自动升级等，极大地降低了分布式部署的难度，提高了可管理性。 灵活的可扩展性 提供多种定制接口，实现强大的二次开发能力以及与第三方平台对接和扩展的能力。 了解更多日志审计相关操作内容，请下载阅读《云等保专区日志审计 v1.0 用户指南》。

数据完整性检查 采用完整性检查机制，确保存储在媒体存储中的数据在传输和存储过程中没有被篡改或损坏。天翼云媒体存储提供了数据一致性校验功能，可以避免因为网络劫持、数据缓存等原因导致的数据不一致问题。详情参考：校验上传对象的数据一致性。 建立安全审计和监控机制，通过及时检测和响应潜在的安全威胁来保护数据的安全性。天翼云媒体存储提供事件通知能力，当对象存储资源发生变动（如新对象上传、删除对象）时，可通过事件通知配置及时收到通知消息。另外，我们还提供用量统计，您可以实时查询和掌握桶中所产生的存储空间、流量与请求次数用量信息。详情参考：事件通知和用量统计。 安全审计和监控 建立安全审计和监控机制，通过及时检测和响应潜在的安全威胁来保护数据的安全性。 天翼云媒体存储提供事件通知能力，当对象存储资源发生变动（如新对象上传、删除对象）时，可通过事件通知配置及时收到通知消息。另外，我们还提供用量统计，您可以实时查询和掌握桶中所产生的存储空间、流量与请求次数用量信息。详情参考：事件通知和用量统计。 天翼云媒体存储还提供了日志存储和告警管理功能来为您的数据安全性保驾护航。其中日志存储功能可以帮您把对桶的各类访问请求记录日志进行存储，方便对桶请求的分析和审计。告警管理功能可以对使用过程中产生的响应状态码，读写请求，流量等进行监控和告警，当这些监控数据达到你自定义的告警阀值，就会发送告警信息。详情参考：日志存储和告警管理。

本章节介绍注册配置中心审计日志 概述 MSE注册配置中心控制台记录所有用户写操作，方便用户回溯 前提条件 1. 已开通微服务引擎MSE； 2. 已开通Nacos实例并且状态正常； 查看控制台审计日志 操作步骤 1. 登录微服务引擎MSE注册配置中心管理控制台，选择资源池。 2. 在左侧导航栏，选择注册配置中心 > 实例列表。 3. 在实例列表页面，单击目标实例ID、实例名称或者目标行“管理”按钮均可跳转至实例基础信息页面。 4. 选择审计日志> 控制台操作日志页面，查看当前实例的所有写操作记录。 记录项 记录说明 示例 操作时间 MSE注册配置中心控制台提交该操作的时间，精确到秒 20250330 15:39:01 操作人 操作者在天翼云的用户名，可以是主账号或者子账号的用户名 张三(xxx@chinatelecom.cn) 操作类型 数据操作类型(新增/删除/修改) 新增 操作模块 MSE注册配置中心控制台一级菜单模块 配置管理 操作详情 具体的操作记录 创建命名空间[ID:delete,名称:delete] 操作结果 当次操作的结果（成功/失败），如果结果为失败，则会附加失败原因 失败(命名空间下存在配置，禁止删除)

本文为您介绍云审计产品的定义。 云审计服务提供对各种云资源操作的记录和查询功能，用于支撑合规审计、安全分析、操作追踪和问题定位等场景，同时提供事件跟踪功能，将操作日志转储至对象存储实现永久保存。

此小节介绍云堡垒机登录日志。 登录日志里admin可查看所有用户在登录堡垒机的详细记录，其他有授权用户可查看到授权的账号数据角色的操作记录。 1.管理员登录并切换至审计角色，打开 “系统日志 > 登录日志审计”，审计范围包括登录成功与登录失败（密码错误、账号不存在等）的情况。 2.单击详情，可查看用户登录系统后访问资产的信息。 3.单击某条资产访问的详情，从更多维度展示该次访问会话的信息。

操作场景 在您开通了云审计服务后，系统开始记录云监控资源的操作。云审计服务管理控制台保存最近7天的操作记录。 本节介绍如何在云审计服务管理控制台查看或导出最近7天的操作记录。 操作步骤 1. 登录管理控制台。 2. 在管理控制台左上角选择区域和项目。 3. 单击“服务列表”，选择“管理与部署 > 云审计服务”，进入云审计服务信息页面。 4. 单击左侧导航树的“事件列表”，进入事件列表信息页面。 5. 事件列表支持通过筛选来查询对应的操作事件。当前事件列表支持四个维度的组合查询，详细信息如下： 1. 事件来源、资源类型和筛选类型。 在下拉框中选择查询条件。 其中筛选类型选择事件名称时，还需选择某个具体的事件名称。 选择资源ID时，还需选择或者手动输入某个具体的资源ID。 选择资源名称时，还需选择或手动输入某个具体的资源名称。 2. 操作用户：在下拉框中选择某一具体的操作用户，此操作用户指用户级别，而非租户级别。 3. 事件级别：可选项为“所有事件级别”、“normal”、“warning”、“incident”，只可选择其中一项。 4. 时间范围：可选择查询最近七天内任意时间段的操作事件。 6. 在需要查看的记录左侧，单击展开该记录的详细信息，展开记录如图所示。 7. 在需要查看的记录右侧，单击“查看事件”，弹出一个窗口，如图所示，显示了该操作事件结构的详细信息。

本页介绍天翼云TeleDB数据库中审计。 数据库安全审计是企业级数据库必须提供的一个基础能力，有助于事后对访问合规性进行追溯。结合业界通用的做法，TeleDB从多个维度来提供全方位的审计能力，同时TeleDB审计通过旁路检测方式，对数据库运行效率的影响极小。 TeleDB审计主要包括粗粒度审计（audit）和细粒度审计（fga）。 粗粒度审计日志主要存储在cn的audit.log：主要针对语句级别、用户级别、对象级别，对象操作级别，主要在sql语法解析层面进行捕捉。 细粒度粒度审计日志存储在dn的audit.fga：主要是针对某个表的列属性、列的值进行审计，在sql执行器进行捕捉。 说明 两套审计规则都依赖auditadmin的审计管理员用户。 审计管理员auditadmin、安全管理员mlsadmin、数据库管理员三权分立，审计用户命名必须以audit开头。 audit和fga使用兼容：相互独立，可只用audit；可只用fga；可用audit和fga。 粗粒度audit操作步骤： 以auditadmin用户进行连接，执行审计规则audit all，会将后续的语句审计记录在$DATADIR/pglog/audit/audit.log $ ./psql h 127.0.0.1 p11111 d postgres W U auditadmin Password for user auditadmin: psql (PostgreSQL 10.0 TeleDBX V6) Type "help" for help. postgres> audit all; WARNING: AuditDefine Rcv: audit all; WARNING: AuditDefine Snd: AUDIT ALL ;AUDIT 细粒度fga操作步骤： 在每1个cn和dn都会开启1个audit logger process和1个后台进程bgworker:audit fga worker tangyujie是初始化的超级用户 $ ./psql h 127.0.0.1 p11111 d postgres W U tangyujie 步骤1: 创建插件&查看参数 create extension pgfga;show enablefga; 1.创建用户和数据库CREATE USER auditfgauser WITH SUPERUSER CREATEDB LOGIN ENCRYPTED PASSWORD 'auditfgauser';CREATE DATABASE auditfgadatabase; 2切换到auditfgadatabase数据库 c auditfgadatabase auditfgauser;create extension pgfga; 3.切换到auditfgauser用户，建表插入数据 c auditfgadatabase auditfgausercreate table foo(idx bigint, str text);insert into foo values(1, 'a'); 3.3 验证insert into foo values(2, 'b');insert into foo values(3, 'c');insert into foo values(4, 'd');select from foo; 步骤2: 制定审计规则 4.切换到 auditadmin审计管理员用户 c auditfgadatabase auditadmin 4.1 增加审计规则addpolicy（指定模式、表名、规则名, 列名、审计条件，模式，存储过程、是否开启审计，语句类型）addpolicy(objectschema,objectname,policyname,auditcolumns,auditcondition,handlerschema,handlermodule,auditenable,statementtypes,auditcolumnopts),其中auditenable必须为true才能生效，默认为true。select addpolicy(objectschema:'public', objectname:'foo',auditcolumns:'idx',policyname:'poli', auditcondition:'idx > 1');select addpolicy('public', 'foo', 'poli1','idx','idx >1','public','helloworld','true','select'); 4.2 查询pgfga插件的视图 select from pgauditfgaconf;select from pgauditfgaconfdetail ;select from pgauditfgapolicycolumnsdetail; 步骤3: 生效审计规则 4.3开启审计规则 enablepolicy（指定模式、表名、规则名），使得auditenable为trueselect enablepolicy(objectschema:'public', objectname:'foo',policyname:'poli');select enablepolicy(objectschema:'public', objectname:'foo',policyname:'poli1'); 其他函数 4.4 删除审计规则droppolicy（指定模式、表名、规则名）。 select droppolicy(objectschema:'public', objectname:'bar',policyname:'poli'); 4.5 禁用审计规则 disablepolicy（指定模式、表名、规则名），使得auditenable为false select disablepolicy(objectschema:'public', objectname:'foo',policyname:'poli1'); 审计日志管理 1. 设置设计规则 ①　在当前实例下拉框选择您所需要查询的实例，选择审计日志 页签，单击 审计设置 ，出现审计设置弹框。 ②　在审计设置 弹框中，选择 是否开启审计 、 审计粒度 ，单击确定完成审计设置。 当审计粒度为 全局级 ，您可对需要进行审计和告警的动作进行选择。 当审计粒度为 对象级 ，您需设置对象审计规则同时使用。 2. 审计规则管理 ①　在当前实例下拉框选择您所需要查询的实例，选择审计日志 页签，单击 审计规则管理 ，进入审计规则管理页面。 ②　新增审计规则 1. 在审计规则管理 页面，单击 新增审计规则 ，出现新增审计规则弹框。 2. 在新增审计规则 弹框中，输入 规则名称 、选择 审计对象名称 、勾选 审计操作类型 、输入审计对象和选择 是否开启 ， 是否触发告警 ，单击确定完成新增审计规则。 ③　编辑审计规则 单击已创建审计规则所在行的 编辑 ，可修改审计规则。 ④　删除审计规则 单击已创建审计规则所在行的 删除 ，可删除审计规则。 3. 查看审计日志 选择审计日志 页签，在当前实例下拉框选择您需要查询的实例，设置查询开始时间和结束时间，在下拉框 选择查询条件 ，单击 查询 。 查询条件可选择 节点名称 、 审计类型 、 SQL语句 、数据库名称 和 用户名 。

本文为您介绍如何查看审计事件。 当您已开通云审计服务，系统开始记录云服务资源的操作，并支持查看近7天的操作事件。 本文为您介绍如何在云审计控制台查看操作审计事件。 前提条件 已开通云审计服务。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在控制台列表页，选择“云审计”。 4. 进入云审计控制台后，点击侧边栏“事件列表”。 5. 进入事件列表页面，事件列表上方支持通过筛选条件查询。 云审计支持五个维度的组合查询，说明如下： 时间筛选：支持快速点选近30分钟、近1小时、近1天、近7天的时间范围，也支持自定义时间范围。 读写类型：支持根据事件的读写类型进行筛选。 事件级别：支持根据事件等级进行筛选，当前事件等级包括normal（代表本次操作成功）、warning（代表本次操作失败）。 操作用户：支持根据同一租户下的不同主子账号进行筛选。 事件来源、资源类型、资源筛选：支持以资源维度进行多层级的筛选，最细粒度支持具体某个资源实例的筛选。 6. 筛选条件选择完成，点击“查询”，符合条件的事件将以列表显示出来。

此小节介绍云堡垒机数据库审计。 审计对象为授权的资产数据角色在本地初始化访问方式产生的数据库会话，支持查看sql指令，会话详情。 操作步骤 1.管理员登录并切换至“审计角色”，在左侧导航栏选择“会话日志 > 数据库审计”。 2.可直接查看数据库审计的相关内容。

本章节介绍微服务云应用平台审计日志功能 概述 您可以在MSAP控制台上查看审计日志。如果当前账号为主账号，则可以查询当前账号及其所有子账号在控制台上的操作日志；如果当前账号为某个主账号的子账号，则可以查询该子账号在控制台上的操作日志。 点击审计日志，可以查看当前项目下审计日志列表。 ● 时间范围：选择开始时间和结束时间。 ● 操作人：请输入完整账号，不支持模糊匹配。 ● 选择分类：选择操作分类和具体的操作。

操作场景 内网DNS解析日志功能，可以记录内网DNS服务收到的用户解析请求和响应记录，投递至云日志服务，帮助您进行域名解析审计、分析和排障，解析日志支持导出内网权威域名解析记录和公共DNS递归解析记录日志。解析日志功能会对解析过程中的请求和应答分别生成日志。 云日志服务是天翼云打造的一款云原生日志观测分析平台产品，可为应用的海量日志数据提供大规模、低成本、集中式的平台化服务，具备一站式的日志采集、加工、查询分析、可视化、告警、投递消费等能力，全面满足应用研发、运维、服务监控与业务分析等应用场景。详细信息请参考 云日志服务产品介绍 。 说明 当前功能内测中，如果您需要试用请提工单申请，并说明所需试用的资源池，天翼云会对您的申请评估开放。 内网DNS解析日志功能内测中不收费，云日志服务会收取费用，计费说明请参考云日志服务 计费概述。 准备条件 在使用解析日志功能的资源池创建好用于接收日志的日志项目和日志单元。请参考 管理日志项目 和 管理日志单元。 操作步骤 开启解析日志 1. 登录到内网DNS控制中心页面。 2. 在列表页面中，选择“解析日志”页签。 3. 由于解析日志功能需要将日志投递至云日志服务，使用解析日志功能需要授权内网DNS服务将数据写入日志服务。在未进行授权的情况下，需要在页面进行授权（如果子账号无法进行授权，请联系主账号进行授权），点击“去授权”，在弹框中点击“确定”完成授权。 4. 使用解析日志前需要先开启云日志服务，如果当前未开启云日志服务，需要先开启。点击“去开启”，跳转至日志页面进行开启。 5. 点击“开启解析日志”，选择日志项目和日志单元： 1. 日志项目选择已创建的日志项目，或点击“新建日志项目进行创建”； 2. 日志单元选择已创建的日志单元，或点击“新建日志单元进行创建”； 6. 点击“确定”完成日志开启。

本节介绍如何进入数据库审计v2.0版本控制台，及如何使用数据库审计v2.0。 数据库审计v2.0 版本由数据库审计提供服务。 进入控制台 方式一： 1. 登录天翼云控制中心。 2. 在控制中心页面顶部选择区域。 3. 在产品服务列表页，选择“安全 > 云等保专区”，进入云等保专区控制台。 4. 在左侧导航栏，选择“数据库审计 > 数据库审计v2.0”，跳转到数据库审计控制台。 方式二： 1. 登录天翼云控制中心。 2. 在控制中心页面顶部选择区域。 3. 在产品服务列表页，选择“安全 > 数据库审计”，进入数据库审计控制台。 使用数据库审计v2.0 请参见数据库审计。

查看IAM的云审计日志 开通云审计服务后，云审计服务开始记录操作事件，包括IAM以及其他服务的操作事件，云审计服务保存最近7天的操作记录。 操作步骤 步骤 1 管理员在IAM控制台进行操作，例如登录控制台或创建IAM用户。 步骤 2 进入云审计服务控制台，查看IAM的操作记录。 步骤 3 单击，可以查看事件的基本信息。 步骤 4 单击“查看事件”，可以查看事件的结构。

本章节为您介绍审计日志的相关内容。 当系统根据既定配置成功捕获到客户端的访问行为时，它会详尽地记录审计日志。这些日志为用户提供了一个全面的视角，以查看所有触发审计的 SQL语句的详细信息。 为了方便您快速定位和分析，数据库安全网关支持在审计日志页面根据时间范围、客户端 IP、数据库账号、报文内容等多个维度进行灵活的筛选操作，从而确保用户能够迅速获取所需的关键信息。 检索审计日志 1.在左侧菜单栏选择“查询分析 > 审计日志”进入审计日志页面。 2.设置查询条件（如时间范围、资产、操 作类型等） ，单击“搜索”即可查询相关审计日志。 3.可单击查询条件下方的“更多条件”，在更多条件对话框中勾选需要的查询条件 ，单击“确认”即可添 加相应的查询条件 ，单击“恢复默认”可以恢复至默认查询条件。 查看审计日志详情 1.在左侧菜单栏选择“查询分析 > 审计日志”进入审计日志页面。 2.在审计日志列表中，单击日志条目右侧的“详情”可以查看该审计记录的详细信息，包括审计记录的基本信息、客户端信息、服务端信息、 请求详情、返回详情。 3.单击审计日志详情窗口右下角的“上一条”或“下一条”可切换查看临近的审计日志。 4.在日志详细中 ，单击“取证”即可弹出下载框 ，等待文件生成成功后 ，单击“下载”即可下载.png 图片格式的审计日志详情文件。

此小节介绍云堡垒机文件传输审计。 可审计对象为授权的资产数据角色产生的文件传输会话（ftp、sftp）、账号数据角色产生的文件管理操作、个人目录文件操作，支持文件操作记录查看。 操作步骤 1.管理员登录并切换至“审计角色”，在左侧导航栏选择“会话日志 > 文件传输审计”。 2.单击“操作”列的“查看”可查看文件操作审计列表。

本章节主要介绍在DRDS控制台查看操作日志的步骤。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择【产品 > 数据库 > 关系型数据库 > 分布式关系型数据库】，进入分布式关系型数据库产品页面。然后单击【管理控制台】，进入【概览】页面。 2. 在左侧导航栏，选择【DRDS > 操作日志】，进入操作日志列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在操作日志列表页面，可以查看到用户在控制台执行的各项操作，包括来源、用户名、操作分类、操作类型、操作对象名称、状态、操作对象ID以及操作时间。 4. 在列表页，可对操作分类、操作类型、操作对象、操作内容、用户名以及操作时间进行筛选查询。其中，所支持的操作分类包括：DBPROXY（DRDS实例）、DBPROXYGROUP（DRDS实例分组）、RDS，操作对象包括各个分类下的实例。 对于各操作分类，所支持查看的操作类型如下表所示： 操作分类 操作类型 :: DBPROXY 新增关联RDS DBPROXY 删除关联RDS DBPROXY 启动参数设置 DBPROXY 执行ddl语句 DBPROXY ddl审计设置 DBPROXY 创建库表 DBPROXY 删除库表 DBPROXY 分片规则设置 DBPROXY 删除用户 DBPROXYGROUP 分组属性设置 DBPROXYGROUP 新增/修改黑/白名单 DBPROXYGROUP 删除黑/白名单 DBPROXYGROUP 关联RDS属性设置 DBPROXYGROUP 新增分组DML审计 DBPROXYGROUP 更新分组DML审计 DBPROXYGROUP 删除分组DML审计 DBPROXYGROUP 新建用户分组 DBPROXYGROUP 修改用户分组 RDS 删除RDS集群 RDS 新增RDS集群 RDS 删除节点 RDS 新增节点 RDS 修改节点 说明 上述表格记录了所支持查看的操作类型。不在表格中记录的操作类型，操作日志列表将不会展示。 操作日志发布之前的历史任务也会进行展示。

本节介绍了开启APIServer审计日志的用户指南。 应用场景 Kubernetes 审计（Auditing） 功能提供了与安全相关的、按时间顺序排列的记录集， 记录每个用户、使用 Kubernetes API 的应用以及控制面自身引发的活动。通过APIServer审计日志可以追踪用户对集群的操作行为。更进一步的，通过使用日志中心可以将集群的APIServer审计日志持久化到云日志服务，从而长时间追踪APIServer请求。 前提条件 已创建专有版集群，具体操作请参见 用户指南 > 集群管理 > 新建集群 。若已有集群，无需重复操作。 拥有集群master节点的root或sudo权限，能够远程登录节点执行命令。 操作步骤 以下步骤需要在集群所有master节点执行（可在集群菜单 节点管理 > 节点 查看master节点，一般有3个或5个） 增加apiserver审计策略文件 在集群master节点，新增 /etc/kubernetes/auditpolicy.yaml 文件 plaintext apiVersion: audit.k8s.io/v1 This is required. kind: Policy 不要为RequestReceived阶段中的所有请求生成审核事件。 omitStages: "RequestReceived" rules: 以下请求被手动确定为高容量和低风险，因此请取消这些请求。 level: None users: ["system:kubeproxy"] verbs: ["watch"] resources: group: "" core resources: ["endpoints", "services"] level: None users: ["system:unsecured"] namespaces: ["kubesystem"] verbs: ["get"] resources: group: "" core resources: ["configmaps"] level: None users: ["kubelet"]

审计日志 操作类型 操作 ClickHouse审计日志 维护管理 授权 收回权限 认证和登录信息 ClickHouse审计日志 业务操作 创建数据库/表 插入、删除、查询、执行数据迁移任务 DBService审计日志 维护管理 备份恢复操作 HBase审计日志 DDL（数据定义）语句 创建表 删除表 修改表 增加列族 修改列族 删除列族 启用表 禁用表 用户信息修改 修改密码 用户登录 HBase审计日志 DML（数据操作）语句 put数据（针对hbase:meta表、ctmeta表和hbase:acl表） 删除数据（针对hbase:meta表、ctmeta表和hbase:acl表） 检查并put数据（针对hbase:meta表、ctmeta表和hbase:acl表） 检查并删除数据（针对hbase:meta表、ctmeta表和hbase:acl表） HBase审计日志 权限控制 给用户授权 取消用户授权 HDFS审计日志 权限管理 文件/文件夹访问权限 文件/文件夹owner信息 HDFS审计日志 文件操作 创建文件夹 创建文件 打开文件 追加文件内容 修改文件名称 删除文件/文件夹 设置文件时间属性 设置文件副本个数 多文件合并 文件系统检查 文件链接 Hive审计日志 元数据操作 元数据定义，如创建数据库、表等 元数据删除，如删除数据库、表等 元数据修改，如增加列、重命名表等 元数据导入/导出 Hive审计日志 数据维护 向表中加载数据 向表中插入数据 Hive审计日志 权限管理 创建/删除角色 授予/回收角色 授予/回收权限 Hue审计日志 服务启动 启动Hue Hue审计日志 用户操作 用户登录 用户退出 Hue审计日志 任务操作 创建任务 修改任务 删除任务 提交任务 保存任务 任务状态更新 KrbServer审计日志 维护管理 修改kerberos帐号密码 添加kerberos帐号 删除kerberos帐号 用户认证 LdapServer审计日志 维护管理 添加操作系统用户 添加组 添加用户到组 删除用户 删除组 Loader审计日志 安全管理 用户登录 Loader审计日志 元数据管理 查询connector 查询framework 查询step Loader审计日志 数据源连接管理 查询数据源连接 增加数据源连接 更新数据源连接 删除数据源连接 激活数据源连接 禁用数据源连接 Loader审计日志 作业管理 查询作业 创建作业 更新作业 删除作业 激活作业 禁用作业 查询作业所有执行记录 查询作业最近执行记录 提交作业 停止作业 Mapreduce审计日志 程序运行 启动Container请求 停止Container请求 Container结束，状态为成功 Container结束，状态为失败 Container结束，状态为中止 提交任务 结束任务 Oozie审计日志 任务管理 提交任务 启动任务 kill任务 暂停任务 恢复任务 重新运行任务 Spark2x审计日志 元数据操作 元数据定义，如创建数据库、表等 元数据删除，如删除数据库、表等 元数据修改，如增加列、重命名表等 元数据导入/导出 Spark2x审计日志 数据维护 向表中加载数据 向表中插入数据 Storm审计日志 Nimbus 提交拓扑 中止拓扑 重分配拓扑 去激活拓扑 激活拓扑 Storm审计日志 UI 中止拓扑 重分配拓扑 去激活拓扑 激活拓扑 Yarn审计日志 任务提交 提交作业到队列相关的操作 Zookeeper审计日志 权限管理 设置ZNODE访问权限 Zookeeper审计日志 ZNODE操作 创建ZNODE 删除ZNODE 设置ZNODE数据

此小节介绍云堡垒机数据库审计。 审计对象为授权的资产数据角色在本地初始化访问方式产生的数据库会话，支持查看sql指令，会话详情。 操作步骤 1.管理员登录并切换至“审计角色”，在左侧导航栏选择“会话日志 > 数据库审计”。 2.可直接查看数据库审计的相关内容。

购买步骤（二类节点） 1. 登录天翼云控制中心。 2. 选择“安全 > 数据库审计”，进入数据库审计实例管理页面。 3. 单击右上角的“立即购买”，进入数据库审计实例购买页。 4. 在订购页面，配置实例相关参数。 参数 说明 地域 选择数据库审计实例的地域。 尽量选择距离您更近的地域以提高访问速；购买完成后不支持修改地域。 可用区域 部分地域拥有多个可用区，选择其中一个可用区购买数据库审计实例；购买完成后不支持修改可用区。 CPU分类 选择实例的CPU架构。部分地域提供了X86和ARM架构，实际支持情况以订购页为准。 数据库审计名称 输入该数据库审计实例的名称。 实例数量 选择数据库审计的实例数量。 配套弹性云主机 配置数据库审计实例所需的云主机规格，不同实例规格所需的云主机规格详见产品规格。 数据库审计云主机：云主机的规格，即CPU、内存规格。不支持升降配。 系统盘：云主机的系统盘规格，根据您服务自身需求选择具体容量大小，不支持降配。 数据盘：云主机的数据盘规格，根据您服务自身需求选择具体容量大小，不支持降配。 虚拟私有云 选择数据库审计实例所属的VPC。 安全组 选择数据库审计实例所属的安全组。为正常使用数据库审计，请手动开通如下安全组规则：TCP协议1443、13001与13002入方向。 子网 选择数据库审计实例所属的子网。 弹性IP 绑定数据库审计实例的弹性IP。 若购买时未绑定弹性IP，等开通完成后，请在云主机手动同步绑定选择的弹性IP，具体操作请参考：绑定弹性公网IP。 管理员初始帐密 为数据库审计实例的超级管理员设置初始密码。 用户名：默认为超级管理员admin，不支持修改。 登录密码：设置初始密码。 确认密码：二次确认密码。 5. 选择“购买时长”，拖动时间轴设置购买时长。 支持开启“到期自动续费”，当服务到期前，系统会自动按照默认的续订周期生成续费订单并进行续费，无须用户手动续费。 6. 确认参数配置无误后，阅读《天翼云数据库审计产品服务协议》并勾选“我已阅读并同意《天翼云数据库审计产品服务协议》”，单击“提交订单”。 7. 在订单详情页确认内容是否正确，确认无误后单击“立即支付”，在后续跳转页中完成支付即成功购买数据库审计服务。

本节介绍如何查看日志审计列表及如何进行日志设置。 日志审计会记录事件的操作时间、用户名、来源IP、操作类型、所属模块、是否执行成功、操作行为等信息。 查看日志审计列表 1. 登录容器安全卫士控制台。 2. 在左侧导航栏，选择“平台管理 > 日志审计”，进入日志审计页面。 3. 查看日志审计列表：日志列表上方支持按照“用户名”、“操作行为”、“来源IP”、“操作类型”、“所属模块”、“是否执行成功”和操作时间段进行筛选查看。系统默认筛选出近一个月内的日志信息。 日志审计参数说明： 参数 说明 操作时间 记录的操作行为发生的时间。 用户名 操作用户的用户名。 来源IP 操作用户的IP地址。 操作类型 操作类型分为更新、查看、删除、登录/退出、未知这些类型。 所属模块 操作行为对应的功能模块，包括仪表盘、告警响应、镜像安全、容器安全、节点安全、平台管理、安装配置等模块。 是否执行成功 分为“执行成功”和“执行失败”两种类型。 操作行为 具体的操作行为信息。 日志设置 1. 登录容器安全卫士控制台。 2. 在左侧导航栏，选择“平台管理 > 日志审计”，进入日志审计页面。 3. 单击页面右上角的“设置”图标，进入日志设置页面。 4. 可选择是否开启用户“查看类型的操作记录审计”，设置“操作审计保留时间”。 5. 单击“保存”，完成配置。

本章节主要介绍云搜索服务如何查看审计日志。 在您开启了云审计服务后，系统会记录云搜索服务的相关操作，且控制台保存最近7天的操作记录。本节介绍如何在云审计服务管理控制台查看最近7天的操作记录。 操作步骤 1.登录云审计服务管理控制台。 2.在管理控制台左上角单击图标，选择区域。 3.在左侧导航栏中，单击“事件列表”，进入“事件列表”页面。 4.事件列表支持通过筛选来查询对应的操作事件。当前事件列表支持四个维度的组合查询，详细信息如下： 事件来源、资源类型和筛选类型。 a.在下拉框中选择查询条件。 b.其中筛选类型选择事件名称时，还需选择某个具体的事件名称。 c.选择资源ID时，还需输入某个具体的资源ID。 d.选择资源名称时，还需选择或手动输入某个具体的资源名称。 操作用户：在下拉框中选择某一具体的操作用户，此操作用户指用户级别，而非租户级别。 事件级别：可选项为“所有事件级别”、“normal”、“warning”、“incident”，只可选择其中一项。 时间范围：可选择查询最近七天内任意时间段的操作事件。 5.在需要查看的事件左侧，单击展开该事件的详细信息。 6.单击需要查看的事件“操作”列的“查看事件”，可以在弹窗中查看该操作事件结构的详细信息。 更多关于云审计服务事件结构的信息，请参见《云审计服务用户指南》。

此小节介绍云堡垒机文件传输审计。 可审计对象为授权的资产数据角色产生的文件传输会话（ftp、sftp）、账号数据角色产生的文件管理操作、个人目录文件操作，支持文件操作记录查看。 操作内容 1.管理员登录并切换至“审计角色”，选择“会话日志 > 文件传输审计”。 2.单击“操作”列的“查看”可查看文件操作审计列表。

资产是指系统需要审计管理的数据库系统、网站等信息系统。 添加资产后，系统可对资产进行安全审计。 添加资产 添加资产包括单个添加和批量导入两种方式。 1. 在左侧菜单栏选择“资产 > 资产管理”进入“资产管理”页面，选择“资产管理”页签，单击“添加”。 2. 在弹出的“添加资产”窗口编辑相关信息。参数填写规则可参见下表。 参数 参数说明 保存时启用推荐的规则 勾选此选项，则保存时添加的资产会使用系统推荐的规则。 不勾选此选项，保存时添加的资产不会使用系统推荐的规则。 类型 设置资产类型，包括关系型、非关系型、大数据、图形、全文、文档、键值、其他、天翼云RDS等。 说明 若添加天翼云RDS资产，还需要在“系统管理 > 日志采集方式”中开启接收天翼云RDS日志。 资产组 设置资产所属的资产组。 名称 填写资产的名称，必须为中文字符、字母、数字、下划线“”、点“.”或短横“”，长度不超过64字符。 操作系统 设置资产所在主机的操作系统。 IP端口 设置资产所在主机的IP及端口号。 说明 本地运维行为审计是指通过安装本地Agent捕获本地数据库客户端程序中实际响应的SQL指令，实现对本地运维人员数据库操作行为的审计，支持Oracle、PostgreSQL、MySQL、SQL Server等主流数据库。 当使用本地运维行为审计方式时，需要添加回环IP地址127.0.0.1和端口号，端口号需根据数据库类型进行填写。 如果使用的IP类型为IPv6，IP地址需填写为“::1”。 3. 如需配置其他更多信息，可点击“更多配置”，选择单向审计或双向审计，设置加密协议审计。参数填写规则可参见下表。 参数 参数说明 流量方向 单向审计：审计内容包括请求信息、客户端信息、服务端信息，不包括返回结果集。 双向审计：审计内容包括请求信息、客户端信息、服务端信息、返回结果集。 保持行数 取值范围：0~999，0表示不保存返回结果。最大保存内容为64KB。 最大保存长度 取值范围：1~64KB，确保整行显示。 解密私钥 加密协议导入解密私钥，目前支持MySQL、SQL Server、HTTPS加密解析，证书支持导入和编辑两种方式。 证书密码 安全证书的密码。 4. 配置完成后，单击“保存”即可完成资产添加。 说明 资产添加之后，需要确认部署模式。若选择流量代理模式，需要部署Agent程序才能完成数据库审计。

本章节为您介绍云审计支持哪些关键操作 云审计服务（Cloud Trace Service，简称CTS），是云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 开启了云审计服务后，系统开始记录云堡垒机实例的相关操作，云审计服务管理控制台将保存最近7天的操作记录。 操作名称 资源类型 事件名称 启动堡垒机实例 cbh StartInstance 关闭堡垒机实例 cbh StopInstance 重启堡垒机实例 cbh RebootInstance 升级堡垒机实例 cbh UpgradeInstance 回退升级的堡垒机实例 cbh RollbackInstance 重置堡垒机实例admin密码 cbh ResetInstancePassword 重置堡垒机实例admin登录方式 cbh ResetInstanceLoginMethod 删除故障云堡垒机实例 cbh DeleteInstance 变更堡垒机实例 cbh ResizeInstance 创建堡垒机实例 cbh CreateInstance 堡垒机实例绑定弹性公网IP cbh InstallInstanceEip 堡垒机实例解绑弹性公网IP cbh UninstallInstanceEip 修改堡垒机实例安全组 cbh UpdateInstanceSecurityGroup 切换堡垒机虚拟私有云 cbh SwitchInstanceVpc

本文为您介绍云审计服务的应用场景。 合规审计 助力企业用户业务系统符合监管标准，轻松通过等保、IT合规设计认证要求。 安全分析 对用户操作进行详细的记录，可用于越权分析、关键资源变更分析等。 操作追踪 当用户的资源出现异常变更时，云审计所记录的操作日志能帮助用户快速溯源，简化运维。 问题定位 云资源故障时，可通过事件列表快速检索事发时的可疑操作，极大程度提升问题定位的效率。

审计日志 操作类型 操作 DBService审计日志 维护管理 备份恢复操作 HBase审计日志 DDL（数据定义）语句 创建表 删除表 修改表 增加列族 修改列族 删除列族 启用表 禁用表 用户信息修改 修改密码 用户登录 HBase审计日志 DML（数据操作）语句 put数据（针对hbase:meta表、ctmeta表和hbase:acl表） 删除数据（针对hbase:meta表、ctmeta表和hbase:acl表） 检查并put数据（针对hbase:meta表、ctmeta表和hbase:acl表） 检查并删除数据（针对hbase:meta表、ctmeta表和hbase:acl表） HBase审计日志 权限控制 给用户授权 取消用户授权 Hive审计日志 元数据操作 元数据定义，如创建数据库、表等 元数据删除，如删除数据库、表等 元数据修改，如增加列、重命名表等 元数据导入/导出 Hive审计日志 数据维护 向表中加载数据 向表中插入数据 Hive审计日志 权限管理 创建/删除角色 授予/回收角色 授予/回收权限 HDFS审计日志 权限管理 文件/文件夹访问权限 文件/文件夹owner信息 HDFS审计日志 文件操作 创建文件夹 创建文件 打开文件 追加文件内容 修改文件名称 删除文件/文件夹 设置文件时间属性 设置文件副本个数 多文件合并 文件系统检查 文件链接 Mapreduce审计日志 程序运行 启动Container请求 停止Container请求 Container结束，状态为成功 Container结束，状态为失败 Container结束，状态为中止 提交任务 结束任务 LdapServer审计日志 维护管理 添加操作系统用户 添加组 添加用户到组 删除用户 删除组 KrbServer审计日志 维护管理 修改kerberos帐号密码 添加kerberos帐号 删除kerberos帐号 用户认证 Loader审计日志 安全管理 用户登录 Loader审计日志 元数据管理 查询connector 查询framework 查询step Loader审计日志 数据源连接管理 查询数据源连接 增加数据源连接 更新数据源连接 删除数据源连接 激活数据源连接 禁用数据源连接 Loader审计日志 作业管理 查询作业 创建作业 更新作业 删除作业 激活作业 禁用作业 查询作业所有执行记录 查询作业最近执行记录 提交作业 停止作业 Hue审计日志 服务启动 启动Hue Hue审计日志 用户操作 用户登录 用户退出 Hue审计日志 任务操作 创建任务 修改任务 删除任务 提交任务 保存任务 任务状态更新 Zookeeper审计日志 权限管理 设置ZNODE访问权限 Zookeeper审计日志 ZNODE操作 创建ZNODE 删除ZNODE 设置ZNODE数据 Storm审计日志 Nimbus 提交拓扑 中止拓扑 重分配拓扑 去激活拓扑 激活拓扑 Storm审计日志 UI 中止拓扑 重分配拓扑 去激活拓扑 激活拓扑

本小节为云防火墙功能类常见问题。 通过日志审计功能可查看哪些信息？ 在“日志审计”页面，可以详细查看每一条用户攻击信息，包括攻击发生时间、攻击类型、危险等级、源端口、源IP、目的IP、目的端口等信息。 云防火墙支持哪些维度的访问控制？ 云防火墙当前支持基于五元组、IP地址组、服务组、域名、黑名单、白名单设置ACL访问控制策略；也支持基于IPS（intrusion prevention system，入侵防御系统）设置访问控制。 IPS支持观察模式和阻断模式，当您选择阻断模式时，云防火墙根据IPS规则检测出符合攻击特征的流量进行阻断。具体配置步骤请参考配置访问控制策略。 云防火墙攻击日志，为什么显示还未纳入防护的EIP？ 云防火墙会将所有受到攻击的EIP信息做收集，以便您更好的配置防御策略。

介绍云审计服务对接微服务引擎。 云审计服务支持的CSE操作列表 CSE通过云审计服务（Cloud Trace Service，简称CTS）为您提供云服务资源的操作记录，记录内容包括您从控制台或者API发起的云服务资源操作请求以及每次请求的结果，供您查询、审计和回溯使用。 如果您需要收集、记录或者查询Nacos引擎和ServiceComb引擎的操作日志，需要先帮助中心 > 云审计 > 计费说明 > 申请云审计服务。通过云审计服务可查看Nacos和ServiceComb引擎最近7天的操作记录，支持记录的操作日志详情见下表。 表 云审计服务支持的Nacos引擎操作列表 操作类型 资源类型 事件名称 创建引擎 engine CreateEngineJob 删除引擎 engine DeleteEngineJob 创建服务 service createService 修改服务 service modifyService 删除服务 service deleteService 发布配置 config publishConfig 删除配置 config deleteConfig 创建命名空间 namespace createNamespace 修改命名空间 namespace modifyNamespace 删除命名空间 namespace deleteNamespace 表 云审计服务支持的ServiceComb引擎操作列表 操作类型 资源类型 事件名称 创建引擎 engine createEngine 删除引擎 engine deleteEngine 升级或变更引擎 engine upgradeOrModifyEngine 创建引擎备份任务 engine createEnginebackup 删除引擎备份任务 engine deleteEnginebackup 创建引擎恢复任务 engine createEnginerecovery 创建引擎备份策略 engine createEnginebackupstrategy 删除引擎备份策略 engine deleteEnginebackupstrategy 更新引擎备份策略 engine updateEnginebackupstrategy 更新灰度发布规则 engine ModifyDarklaunch 删除灰度发布 engine DeleteDarklaunch 修改配置项 engine ModifyConfig 新增配置项 engine CreateConfig 删除配置项 engine DeleteConfig 更新治理规则 engine ModifyGovernpolicy 更新微服务 engine modifyMicroservice 创建微服务 engine createMicroservice 删除微服务 engine deleteMicroservice 创建微服务标签 engine createMicroserviceTag 更新微服务标签 engine updateMicroserviceTag 删除微服务标签 engine deleteMicroserviceTag 创建微服务规则 engine createMicroserviceRule 更新微服务规则 engine updateMicroserviceRule 删除微服务规则 engine deleteMicroserviceRule 创建微服务契约 engine createMicroserviceSchema 更新微服务契约 engine updateMicroserviceSchema 删除微服务契约 engine deleteMicroserviceSchema 更新微服务依赖关系 engine updateMicroserviceDependency 更新微服务属性 engine updateMicroserviceProperty 更新微服务 engine updateMicroservice 更新监控阈值 engine updateThreshold 更新自定义规则 engine updateItemmeta 删除自定义规则 engine DeleteItemmeta 执行配置项清理 engine executeConfigcleanup 更新微服务实例状态 engine updateInstanceStatus 更新微服务实例属性 engine updateInstanceProperty 创建微服务实例 engine createInstance 删除微服务实例 engine deleteInstance

查看审计日志 操作场景 开启了云审计服务后，系统开始记录镜像服务相关的操作。云审计服务会保存最近1周的操作记录。 本小节介绍如何在云审计服务管理控制台查看最近1周的操作记录。 操作步骤 1. 登录管理控制台。 2. 单击“服务列表”，选择“管理与部署 > 云审计服务”。 3. 单击左侧导航树的“事件列表”。 4. 事件记录了云资源的操作详情，设置筛选条件，单击“筛选”。 当前事件列表支持四个维度的组合查询，详细信息如下： − 操作用户、事件来源、资源类型和筛选类型。 在下拉框中选择查询条件。其中，“事件来源”选择“IMS”。 其中， 筛选类型选择“按资源ID”时，还需手动输入某个具体的资源ID，目前仅支持全字匹配模式的查询。 − 操作用户：在下拉框中选择某一具体的操作用户。 − 事件级别：可选项为“所有事件级别”、“Normal”、“Warning”、“Incident”，只可选择其中一项。 − 时间范围：可根据需要进行选择时间范围，本示例选择“最近1周”。 5. 在需要查看的事件左侧，单击 展开该事件的详细信息。 展开事件 6. 在需要查看的事件右侧，单击“查看事件”，弹出一个窗口，显示了该操作事件结构的详细信息。

本章节主要介绍云搜索服务如何查看审计日志。 在您开启了云审计服务后，系统会记录云搜索服务的相关操作，且控制台保存最近7天的操作记录。本节介绍如何在云审计服务管理控制台查看最近7天的操作记录。 操作步骤 1.登录云审计服务管理控制台。 2.在管理控制台左上角单击图标，选择区域。 3.在左侧导航栏中，单击“事件列表”，进入“事件列表”页面。 4.事件列表支持通过筛选来查询对应的操作事件。当前事件列表支持四个维度的组合查询，详细信息如下： 事件来源、资源类型和筛选类型。 a.在下拉框中选择查询条件。 b.其中筛选类型选择事件名称时，还需选择某个具体的事件名称。 c.选择资源ID时，还需输入某个具体的资源ID。 d.选择资源名称时，还需选择或手动输入某个具体的资源名称。 操作用户：在下拉框中选择某一具体的操作用户，此操作用户指用户级别，而非租户级别。 事件级别：可选项为“所有事件级别”、“normal”、“warning”、“incident”，只可选择其中一项。 时间范围：可选择查询最近七天内任意时间段的操作事件。 5.在需要查看的事件左侧，单击展开该事件的详细信息。 6.单击需要查看的事件“操作”列的“查看事件”，可以在弹窗中查看该操作事件结构的详细信息。 更多关于云审计服务事件结构的信息，请参见《云审计服务用户指南》。

大数据/AI 天翼云超融合服务等级协议 AI开发平台（AI创作间）服务等级协议 翼MapReduce（MRS）服务等级协议 数据治理中心 DataArts Studio服务等级协议 云搜索服务（ES）服务等级协议 数据治理中心 DataArts Studio服务等级协议 数据湖探索（DLI）服务等级协议 数据仓库服务（DWS）服务等级协议 实时计算翼Flink服务等级协议 天翼云大数据管理平台 DataWings服务等级协议 管理工具 云监控服务等级协议 应用性能管理服务等级协议 甄选应用 网站ipv6升级服务等级协议 中国电信天翼云翼学安服务等级协议 好生意服务等级协议 天翼云学习先锋服务等级协议 翼来单服务等级协议 天翼云万应工场服务等级协议 商企云财税服务等级协议 商企云财税（SaaS版）服务等级协议 智能商业平台服务等级协议 天翼企业服务等级协议 天翼数字播报员服务等级协议 天翼云云网助手服务等级协议 电脑维护服务等级协议 EMM手机管家服务等级协议 设备管家服务等级协议 网管专家服务服务等级协议 天翼云中望CAD产品等级协议 天翼云中望3D产品等级协议 天翼云优签云链电子签约云平台产品等级协议 天翼云蓝信安全移动工作平台产品等级协议 天翼云智慧教育中台产品服务等级协议 天翼云村村享数字乡村服务等级协议 天翼云图AR云GO服务等级协议 天翼云翼网控服务等级协议 天翼云翼展览服务等级协议 物流云宝服务等级协议 智能组网华东版（云WIFI）产品服务等级协议 天翼云云网智慧管理平台服务等级协议 天翼云孚云办公平台服务等级协议 天翼云翼IT业务监控服务等级协议 翼云数据管理服务等级协议 天翼云快销产品服务等级协议 天翼云翼备份服务等级协议 天翼云云推广服务等级协议 天翼云翼内容管家服务等级协议 翼党务服务等级协议 天翼云翼恢复服务等级协议 天翼云达梦数据库服务等级协议 天翼云翼通行服务等级协议 天翼云翼见守护服务等级协议 天翼云翼安全生产管理服务等级协议 天翼统信操作系统服务等级协议 天翼云翼能碳双控管理服务等级协议 天翼云签服务等级协议 天翼云翼企云服务等级协议 天翼云翼安全邮箱服务等级协议 天翼云翼竹云身份管理平台服务等级协议 天翼云翼天唧融合办公平台服务等级协议 天翼云翼浩辰CAD服务等级协议 天翼企业邮箱服务等级协议 安全邮箱（央企SaaS）产品服务等级协议 翼瑞雪数字化学习平台服务等级协议 翼政企协同应用服务平台服务等级协议 新华融翼服务等级协议 天翼云智能组网服务等级协议 天翼云翼数据共享交换平台服务等级协议 翼永信数字办公服务等级协议 天翼云企业云盘服务等级协议