转储数据库审计日志
DWS 记录您的数据库中的连接和用户活动相关信息。这些审计日志信息有助于您监控数据库以确保安全或进行故障排除或定位历史操作记录。当前这些审计日志默认存储于数据库中,您还可以将审计日志转储到OBS中使负责监控数据库中活动的用户更方便的查看这些日志信息。
您可以在DWS 管理控制台进行如下操作:
- 开启审计日志转储
- 修改审计日志转储
- 查看审计日志转储记录
- 关闭审计日志转储
开启审计日志转储
DWS 集群创建成功后,您可以为集群开启审计日志转储,将审计日志转储到OBS中,方便查看。
开启审计日志转储前需满足如下条件:
开启审计日志转储具体操作如下:
- 登录DWS 管理控制台。
- 在左侧导航栏中,单击“集群管理”。
- 在集群列表中,单击您想要开启审计日志转储的集群的名称,然后在左侧导航栏单击“安全设置”。
- 在“审计配置”区域中,开启审计日志转储。
表示开启状态。
表示关闭状态。
每个区域的每个项目首次开启审计日志转储功能时,系统将提示您需创建名称为“DWSAccessOBS”的委托,委托创建成功后,DWS 可以将审计日志转储至OBS中。默认情况下,只有云帐号或拥有Security
Administrator权限的用户才具备查询委托和创建委托的权限。帐号中的IAM用户,默认没有查询委托和创建委托的权限,此时需联系有权限的用户在当前页面完成对DWS 的委托授权。
- OBS桶:存储审计数据的OBS桶名称。如果没有可选择的OBS桶,可以单击“查看OBS桶”进入OBS管理控制台创建新的OBS桶,具体操作请参见《对象存储服务用户指南》中的“控制台指南 > 管理桶 > 创建桶”章节。
- OBS路径:在OBS中存储审计文件的自定义目录。多级目录可用“/”进行分隔,不能以“/”开头。路径取值范围:1~50个字符。如果填写的OBS路径不存在时,系统会先创建该OBS路径再进行转储。
- 转储周期(分):根据用户配置的时间,周期性的将数据转储到OBS中。取值范围:5~43200。单位为分钟。
- 单击“应用”。
“配置状态”显示为“应用中”,表示系统正在保存配置。
等待一段时间后再次刷新“配置状态”,当显示为“已同步”,表示已保存配置并生效。
修改审计日志转储
开启审计日志转储后,您可以对转储配置进行修改,如修改日志存放的OBS桶和路径,转储周期等。
修改审计日志转储具体操作如下:
- 登录DWS 管理控制台。
- 在左侧导航栏中,单击“集群管理”。
- 在集群列表中,单击您想要修改审计日志转储的集群的名称,然后在左侧导航栏单击“安全设置”。
- 在“审计配置”区域中,修改审计日志转储配置。
- 单击“应用”。
“配置状态”显示为“应用中”,表示系统正在保存配置。
等待一段时间后再次刷新“配置状态”,当显示为“已同步”,表示已保存配置并生效。
查看审计日志转储记录
开启审计日志转储后,您可以通过OBS查看转储的审计日志。
查看审计日志转储记录具体操作如下:
- 登录DWS 管理控制台。
- 在左侧导航栏中,单击“集群管理”。
- 在集群列表中,单击您想要查看审计日志转储记录的集群的名称,然后在左侧导航栏单击“安全设置”。
- 在“审计配置”区域中,单击“查看转储记录”。
- 在弹出的“审计日记转储记录”弹出框中,单击“查看OBS桶”,进入OBS管理控制台。
- 选择日志存放的OBS桶和文件夹进入查看具体的日志文件。
您可以选择将日志文件下载,解压并打开查看。审计日志文件字段说明如下。
详见下表:审计日志文件字段说明
| 名称 | 描述 |
|---|---|
| time | 操作时间 |
| type | 操作类型 |
| result | 操作结果 |
| username | 执行操作的用户名 |
| database | 数据库名称 |
| client_conninfo | 客户端连接信息 |
| object_name | 操作对象名称 |
| detail_info | 执行操作详细信息 |
| node_name | 节点名称 |
| thread_id | 线程ID |
| local_port | 本地端口号 |
| remote_port | 远端端口号 |
关闭审计日志转储
审计日志转储开启后,如果您不想将审计日志转储到OBS中,您可以将审计日志转储关闭。
关闭审计日志转储具体操作如下:
- 登录DWS 管理控制台。
- 在左侧导航栏中,单击“集群管理”。
- 在集群列表中,单击您想要关闭审计日志转储的集群的名称,然后在左侧导航栏单击“安全设置”。
- 在“审计配置”区域中,关闭审计日志转储开关。
表示关闭状态。
- 单击“应用”。
“配置状态”显示为“应用中”,表示系统正在保存配置。
等待一段时间后再次刷新“配置状态”,当显示为“已同步”,表示已保存配置并生效。
