通過Table Store控制台查看審計日誌 - Tablestore

本文介紹如何通過Table Store的控制台查詢與分析審計日誌。

注意事項

由於Table Store控制台會通過CreateIndex介面檢測是否支援二級索引，審計日誌中會存在一些非法索引名建立的校正錯誤資訊（API為CreateIndex、HttpStatus為400且TableName 為$$），請忽略此類日誌資訊。因此，使用查詢與分析日誌時，需要排除探測日誌資訊，即通過TableName != '$$'條件過濾。

檢測日誌樣本

API: CreateIndex
AccessKeyID: TMP.3Kg4WjY7BqkMbJNwSMgzk47************************
HttpStatus: 400
InstanceName: exampleinstance
InvokerUid: 13**************
RequestID: 00060883-c926-0eff-24f1-*********
SourceIP: 10.10.XX.XX
TableName: $$
Time: 1698211968716557
UserAgent: ots-java-sdk 5.16.0

操作步驟

首次使用控制台審計日誌功能時，您需要開通審計日誌功能。如果已開通審計日誌功能，請直接進行日誌查詢。

開通功能

登入Table Store控制台。
在頂部功能表列選擇資源群組和地區，然後在左側導覽列單擊審計日誌。
說明
首次使用審計日誌時，需要完成Log Service授權，請按照頁面嚮導完成授權。如果您未開通Log Service，請按引導提示開通Log Service。
在審計日誌頁面，單擊開通審計日誌。
在開通審計日誌對話方塊，單擊確定。
開通Table Store的審計日誌功能後，在相同地區的Log Service中會自動產生一個Project以及Logstore用於儲存Table Store的審計日誌資訊，如下圖所示。
說明
請勿刪除在Log Service中自動產生的Project和Logstore，否則會導致Table Store的審計日誌異常。

查詢與分析

Table Store審計日誌整合Log Service查詢和分析功能，支援秒級查詢十億到千億層級的日誌，並支援通過SQL對查詢結果進行統計分析。

登入Table Store控制台。
在頂部功能表列選擇資源群組和地區，然後在左側導覽列單擊審計日誌。
在審計日誌頁面，查詢時間範圍或輸入查詢語句，單擊查詢/分析。

查詢和分析語句由查詢語句和分析語句構成，格式為查詢語句|分析語句。查詢語句可單獨使用，分析語句必須與查詢語句一起使用。

查詢語句：用於日誌資料的查看、簡單搜尋和過濾。使用者使用查詢語句，通過特定條件（例如時間範圍、請求類型、關鍵字等）篩選出感興趣的資料集。查詢語句可以單獨使用，具體用法請參見查詢文法與功能。
分析語句：用於對日誌資料進行過濾、轉換、統計、彙總等操作，例如統計一段時間內資料的平均值、擷取資料的同比和環比結果。分析語句必須配合查詢語句一起使用，格式為查詢語句|分析語句，文法說明請參見SQL分析文法與功能。

Table Store審計日誌查詢語句樣本

查詢使用最多的Top 5介面。

* | SELECT API,COUNT(API) as count where TableName != '$$' group by API order by count desc limit 5

查詢對錶進行刪除的調用者以及刪除的表資訊。

* | SELECT TableName,InvokerUid,time where API = 'DeleteTable'

查詢所有對exampleinstance執行個體下exampletable表進行操作的調用者資訊以及執行的操作。

* | SELECT API,InvokerUid,from_unixtime(time/1000000,'Asia/shanghai') as time where InstanceName = 'exampleinstance' and TableName = 'exampletable'

頁面功能說明

長條圖

將滑鼠懸浮在綠色資料區塊上時，您可以查看該資料區塊代表的時間範圍和日誌叫用次數。
雙擊綠色資料區塊，您可以查看更細時間粒紋的日誌分布，同時原始日誌頁簽中將同步展示指定時間範圍內的查詢結果。

原始日誌

日誌詳情

日誌欄位詳情

Tablestore支援的動作記錄欄位說明請參見下表。

說明

日誌欄位中還會包括Simple Log Service的如下預留欄位：

__source__：日誌來源。固定取值為log_service，表示日誌來源於Simple Log Service。
__topic__：日誌主題，用於儲存Tablestore日誌的Logstore名稱。固定取值為table_store_audit_log。

欄位	樣本	說明
API	CreateTable	API名稱。
AccessKeyID	LTAI********************	阿里雲帳號或者RAM使用者的AccessKey ID。
HttpStatus	200	HTTP狀態代碼。
IndexName	exampleindex	操作的索引名稱。
InstanceName	exampleinstance	Tablestore執行個體名稱。
InvokerUid	13**************	調用介面的阿里雲帳號ID。
RequestID	000607f9-2465-7617-a0cb-************	請求ID，用於唯一標識一次請求。
SourceIP	10.10.10.10	請求來源的IP地址。
TableName	exampletable	操作的表名稱。
Time	1697616499144229	操作的時間戳記。單位為微秒（μs）。
UserAgent	ots-java-sdk 5.16.1	用戶端的SDK版本。

單擊表格或原始，切換日誌格式。
> 下載日誌：可下載日誌到本地。具體操作，請參見下載日誌。
> JSON設定：設定JSON展示類型和展示層級。
> 事件配置：為原始日誌事件配置。
：複製日誌內容。
：SLS Copilot，基於日誌內容總結資訊、尋找錯誤資訊等。

顯示欄位
- 在顯示欄位地區，單擊目標欄位後的，將索引欄位從顯示欄位中清除，右側的日誌資訊中不再顯示。
- ：收藏視圖。在地區5設定顯示欄位後，可以收藏顯示視圖。在地區4上方的下拉式清單選擇視圖。
  > tag設定：將欄位設定為系統Tag。
索引欄位
- 在索引欄位地區，單擊目標欄位後的，將欄位添加到顯示欄位中，在右側的日誌資訊中顯示。
- ：查看欄位的基本分布情況、統計指標等資訊。具體操作，請參見欄位設定。

統計圖表

統計圖表是Simple Log Service根據查詢與分析語句渲染出的結果。Simple Log Service提供表格、線圖、柱狀圖等多種圖表類型。執行查詢和分析語句後，您可以在統計圖表頁簽中查看可視化的查詢和分析結果。

本頁簽其他功能說明：

添加到儀錶盤：儀錶盤是Simple Log Service提供的即時資料分析大盤。單擊添加到儀錶盤，將查詢和分析結果以圖表形式儲存到儀錶盤中。具體操作，請參見可視化概述。
另存新檔定時SQL：Simple Log Service提供定時SQL功能，用於定時分析資料、儲存彙總資料、投影與過濾資料。具體操作，請參見工作原理。
互動事件：互動事件是資料分析中不可缺少的功能之一，通過改變資料維度的層次、變換分析的粒度從而擷取資料中更詳盡的資訊。具體操作，請參見為儀錶盤添加互動事件實現下鑽分析。