通过表格存储控制台查看审计日志_表格存储(Tablestore)-阿里云帮助中心

本文介绍如何通过表格存储的控制台查询与分析审计日志。

注意事项

由于表格存储控制台会通过CreateIndex接口检测是否支持二级索引，审计日志中会存在一些非法索引名创建的校验错误信息（API为CreateIndex、HttpStatus为400且TableName 为$$），请忽略此类日志信息。因此，使用查询与分析日志时，需要排除探测日志信息，即通过TableName != '$$'条件过滤。

检测日志示例

API: CreateIndex
AccessKeyID: TMP.3Kg4WjY7BqkMbJNwSMgzk47************************
HttpStatus: 400
InstanceName: exampleinstance
InvokerUid: 13**************
RequestID: 00060883-c926-0eff-24f1-*********
SourceIP: 10.10.XX.XX
TableName: $$
Time: 1698211968716557
UserAgent: ots-java-sdk 5.16.0

操作步骤

首次使用控制台审计日志功能时，您需要开通审计日志功能。如果已开通审计日志功能，请直接进行日志查询。

开通功能

登录表格存储控制台。
在顶部菜单栏选择资源组和地域，然后在左侧导航栏单击审计日志。
说明
首次使用审计日志时，需要完成日志服务授权，请按照页面向导完成授权。如果您未开通日志服务，请按引导提示开通日志服务。
在审计日志页面，单击开通审计日志。
在开通审计日志对话框，单击确定。
开通表格存储的审计日志功能后，在相同地域的日志服务中会自动生成一个Project以及Logstore用于存储表格存储的审计日志信息，如下图所示。
说明
请勿删除在日志服务中自动生成的Project和Logstore，否则会导致表格存储的审计日志异常。

查询与分析

表格存储审计日志集成日志服务查询和分析功能，支持秒级查询十亿到千亿级别的日志，并支持通过SQL对查询结果进行统计分析。

登录表格存储控制台。
在顶部菜单栏选择资源组和地域，然后在左侧导航栏单击审计日志。
在审计日志页面，查询时间范围或输入查询语句，单击查询/分析。

查询和分析语句由查询语句和分析语句构成，格式为查询语句|分析语句。查询语句可单独使用，分析语句必须与查询语句一起使用。

查询语句：用于日志数据的查看、简单搜索和过滤。用户使用查询语句，通过特定条件（例如时间范围、请求类型、关键字等）筛选出感兴趣的数据集。查询语句可以单独使用，具体用法请参见查询语法与功能。
分析语句：用于对日志数据进行过滤、转换、统计、聚合等操作，例如统计一段时间内数据的平均值、获取数据的同比和环比结果。分析语句必须配合查询语句一起使用，格式为查询语句|分析语句，语法说明请参见SQL分析语法与功能。

表格存储审计日志查询语句示例

查询使用最多的Top 5接口。

* | SELECT API,COUNT(API) as count where TableName != '$$' group by API order by count desc limit 5

查询对表进行删除的调用者以及删除的表信息。

* | SELECT TableName,InvokerUid,time where API = 'DeleteTable'

查询所有对exampleinstance实例下exampletable表进行操作的调用者信息以及执行的操作。

* | SELECT API,InvokerUid,from_unixtime(time/1000000,'Asia/shanghai') as time where InstanceName = 'exampleinstance' and TableName = 'exampletable'

页面功能说明

直方图

将鼠标悬浮在绿色数据块上时，您可以查看该数据块代表的时间范围和日志命中次数。
双击绿色数据块，您可以查看更细时间粒度的日志分布，同时原始日志页签中将同步展示指定时间范围内的查询结果。

原始日志

日志详情

日志字段详情

表格存储支持的操作日志字段说明请参见下表。

说明

日志字段中还会包括日志服务的如下预留字段：

__source__：日志来源。固定取值为log_service，表示日志来源于日志服务。
__topic__：日志主题，用于存储表格存储日志的Logstore名称。固定取值为table_store_audit_log。

字段	示例	说明
API	CreateTable	API名称。
AccessKeyID	LTAI********************	阿里云账号或者RAM用户的AccessKey ID。
HttpStatus	200	HTTP状态码。
IndexName	exampleindex	操作的索引名称。
InstanceName	exampleinstance	表格存储实例名称。
InvokerUid	13**************	调用接口的阿里云账号ID。
RequestID	000607f9-2465-7617-a0cb-************	请求ID，用于唯一标识一次请求。
SourceIP	10.10.10.10	请求来源的IP地址。
TableName	exampletable	操作的表名称。
Time	1697616499144229	操作的时间戳。单位为微秒（μs）。
UserAgent	ots-java-sdk 5.16.1	客户端的SDK版本。

单击表格或原始，切换日志格式。
> 下载日志：可下载日志到本地。具体操作，请参见下载日志。
> JSON设置：设置JSON展示类型和展示级别。
> 事件配置：为原始日志事件配置。
：复制日志内容。
：SLS Copilot，基于日志内容总结信息、查找错误信息等。

显示字段
- 在显示字段区域，单击目标字段后的，将索引字段从显示字段中清除，右侧的日志信息中不再显示。
- ：收藏视图。在区域5设置显示字段后，可以收藏显示视图。在区域4上方的下拉列表选择视图。
  > tag设置：将字段设置为系统Tag。
索引字段
- 在索引字段区域，单击目标字段后的，将字段添加到显示字段中，在右侧的日志信息中显示。
- ：查看字段的基本分布情况、统计指标等信息。具体操作，请参见字段设置。

统计图表

统计图表是日志服务根据查询与分析语句渲染出的结果。日志服务提供表格、线图、柱状图等多种图表类型。执行查询和分析语句后，您可以在统计图表页签中查看可视化的查询和分析结果。

本页签其他功能说明：

添加到仪表盘：仪表盘是日志服务提供的实时数据分析大盘。单击添加到仪表盘，将查询和分析结果以图表形式保存到仪表盘中。具体操作，请参见可视化概述。
另存为定时SQL：日志服务提供定时SQL功能，用于定时分析数据、存储聚合数据、投影与过滤数据。具体操作，请参见工作原理。
交互事件：交互事件是数据分析中不可缺少的功能之一，通过改变数据维度的层次、变换分析的粒度从而获取数据中更详尽的信息。具体操作，请参见为仪表盘添加交互事件实现下钻分析。

日志聚类

在日志聚类页签中，单击开启日志聚类，可实现在采集日志时聚合相似度高的日志。具体操作，请参见日志聚类。

SQL增强

单击图标后选择增强SQL或完全精确，开启SQL独享版。当您在使用SQL分析时，如果数据量较大，日志服务无法在一次查询中完整分析这个时间段内的所有日志。通过开启SQL独享版，增加计算资源，可以提升单次分析的数据量。如需设置默认开启，请参见SQL独享版。

告警

单击右上角图标，将查询和分析结果另存为告警。具体操作，请参见快速设置日志告警。

计费说明

使用表格存储审计日志功能时，在日志服务中会创建Logstore用于存储日志以及使用日志服务查询与分析日志。日志服务会收取相应的存储费用、资源消耗费用等。更多信息，请参见日志服务计费概述。