查sql审计日志需先确认功能开启、时间在保留范围内、权限充足,再按时间、用户、sql类型等条件筛选;不同数据库路径各异但逻辑一致,导出后可做安全合规、故障回溯、性能分析和权限治理。
查SQL审计日志不是单纯点几下就能出结果的事,关键得先确认功能开了、时间在范围内、权限够用,再按需筛选。不同数据库产品的路径和限制差异不小,但核心逻辑一致。
确认SQL审计是否已开启
没开审计,日志就是空的。这是最常被跳过的一步:
- AnalyticDB MySQL:调用 DescribeAuditLogConfig 查状态;未开启就用 ModifyAuditLogConfig 打开
- Lindorm:进控制台 → 宽表引擎 → SQL 审计日志,页面会提示是否已开通;未开通需先操作开通
- RDS(MySQL/SQL Server):在实例页 → 自治服务 → SQL洞察和审计 → 看“审计”页签是否存在;不存在就点“开启审计日志”并勾选对应功能
- SQL Server本地部署:用 SSMS 连接后,在“对象资源管理器”中右键服务器 → 新建 → 服务器审计规范,检查是否已启用且策略处于“已启用”状态
注意日志保留时效与范围
所有主流云产品都设了硬性时间上限,超期数据自动清除,无法恢复:
- AnalyticDB 数仓版:仅支持查 最近30天内 的日志;中途关闭再开启,只保留重启后的记录
- Lindorm:默认显示最近15分钟,但可手动调整时间段;日志在达到设定保存期限后自动删除
- RDS + DAS(SQL洞察和审计):存储时长可配置,但一旦缩短,超过新时长的数据立刻清空
- 本地 SQL Server:取决于你配置的日志文件轮转策略或磁盘空间,无统一云上时限,但需人工维护归档
按实际需求设置筛选条件
原始日志量大,靠滚动翻页效率极低。善用字段过滤才能快速定位问题:
- 基础维度:时间范围、数据库名、用户名、SQL 类型(select/insert/update/delete/create/drop/alter)、执行状态(成功/失败)
- 排障强相关:客户端IP、错误信息(仅失败时有值)、请求ID(用于跨系统追踪)、连接标识符、协议类型(如 MySQL 或 Avatica)
- 关键词搜索:支持用空格表示“且”,逗号表示“或”;例如搜 "DROP TABLE, ALTER TABLE" 可查两类DDL,搜 "admin 192.168.10" 表示同时含用户名和IP
- 导出分析:RDS 和 AnalyticDB 支持导出 CSV;Lindorm 和数据库审计系统也提供下载按钮,适合离线做行为聚类或异常模式识别
结合审计目标选择使用场景
查日志不是目的,解决具体问题才是:
- 安全合规:重点看高危操作(DROP、GRANT、UPDATE sys 表)、非工作时间访问、特权账号异常登录
- 故障回溯:用错误信息 + 时间戳 + 请求ID,反向定位哪条SQL触发了锁表、慢查询或连接耗尽
- 性能分析:配合SQL洞察功能,看执行耗时、扫描行数、是否走索引,不单看语句本身
- 权限治理:统计某账号高频访问的库表,判断是否存在越权使用或僵尸账号
