本文为您介绍如何查看数据库审计日志,以及审计日志页面的相关字段。
说明:
云数据库 SQL Server 的审计日志基于扩展事件而采集,因不同类型的扩展事件所包含的字段不同,因此,您看到的审计日志可能会存在部分字段内容为空的情况。
前提条件
查看审计日志
1. 登录 SQL Server 控制台。
2. 在左侧导航栏选择数据库审计。
3. 在上方选择地域后,在审计实例页,单击审计存储状态选择已开启选项过滤出已开启审计的实例。
4. 在审计实例列表里找到目标实例(也可在搜索框通过筛选资源属性快速查找),在其操作列单击查看审计日志,跳转至审计日志页面查看对应实例的审计日志。
检索条件配置说明
在审计日志页面,您可以在检索条件中输入关键词来对审计日志进行搜索。开通数据库审计功能后,审计日志页面会默认显示部分检索条件供您使用,您也可以通过检索条件配置来自定义(增加或减少)检索条件。
默认展示的检索条件如下:
用户名、客户端主机名、数据库名、执行耗时(us)、CPU 耗时(us)。
完整的检索条件如下:
类别 | 检索条件选项 |
安全与操作追踪 | 用户名、服务器登录名、会话登录名、客户端主机名、数据库名、执行语句、访问对象、对象类型、数据库 ID、过程数据库 ID、对象 ID、事务 ID、线程 ID。 |
性能与资源消耗 | 影响行数、最后语句影响行数、执行耗时(us)、CPU 耗时(us)、逻辑读、物理读、I/O 写。 |
错误与异常监控 | 错误号、错误状态、严重性、错误消息、错误类别、错误主体。 |
工具列表
工具 | 说明 |
刷新 | 单击  |
自定义列表字段 | 单击  |
下载 | 单击   |
文件列表 | 单击   目前日志文件下载仅提供腾讯云内网地址,请通过同一地域的腾讯云服务器进行下载(例如:北京区的数据库实例审计日志请通过北京区的 CVM 下载)。 日志文件有效期为24小时,请及时下载。 每一个数据库实例的日志文件不得超过30个,请下载后及时删除清理。 若状态显示失败,可能是由于日志过多导致,请缩短时间窗口分批下载。 |
过滤及搜索项说明
在审计实例筛选框,可选择切换已开启审计服务的其他审计实例。
在时间框,默认选择近3小时,可快捷选择其他时间(近1小时、近3小时、近12小时、近24小时、近7天),也支持自定义时间段,可查看所选时间段内相关审计日志。
说明:
搜索时间段支持选取存在数据的任意时间段进行搜索,最多展示符合条件的前60000条记录。
在搜索框,选择搜索项(SQL 文本、用户名、服务器登录名、会话登录名、客户端主机名、数据库名、执行语句、访问对象、对象类型、数据库 ID、过程数据库 ID、对象 ID、事务 ID、线程 ID、影响行数、最后语句影响行、执行耗时(us)、CPU 耗时(us)、逻辑读、物理读、I/O 写、错误号、错误状态、严重性、错误消息、错误类别、错误主体等)进行搜索,可查看相关审计结果。多个关键词使用换行符分隔,表示“或”的关系。
搜索项 | 匹配项 | 说明 |
SQL 文本 | 精准包含-或/且 模糊包含-或/且 精准不包含-或/且 模糊不包含-或/且 | 请输入 SQL 文本,多个文本使用换行符分隔。默认的匹配项为:精准包含-或。 匹配规则说明 不区分大小写。 “精准包含”指 SQL 命令详情中的每个关键词需要精准匹配,例如:SQL 文本为 SELECT * FROM test_db1 join test_db2 LIMIT 1;时,在精准包含模式下可以通过:“SELECT”、“select * from”、“SELECT * FROM test_db1 join test_db2 LIMIT 1;”、“from Test_DB1”等关键词进行匹配,但无法通过“SEL”、“sel”、“test” 等关键词进行匹配。 “模糊包含”指 SQL 命令详情中的每个关键词可以模糊匹配,例如:SQL 文本为 SELECT * FROM test_db1 join test_db2 LIMIT 1;时,在模糊包含模式下可以通过:“SEL”、“sel”、“test”、“DB” 等关键词进行匹配。 “精准不包含”指 SQL 命令详情中的每个关键词需要精准过滤,例如:SQL 文本为 SELECT * FROM test_db1 join test_db2 LIMIT 1;时,在精准不包含模式下可以通过输入“SELECT”,过滤出不包含 SELECT 的日志。 “模糊不包含”指 SQL 命令详情中的每个关键词可以模糊过滤,例如:SQL 文本为 SELECT * FROM test_db1 join test_db2 LIMIT 1;时,在模糊不包含模式下可以通过输入“SEL”、“sel”、“select”过滤出不包含 SELECT 的日志。 “或”指不同关键词之间取“并集”关系,例如:输入“test_db1”、“test_db2”,可以查询到所有包含“test_db1”或者包含“test_db2”的日志。 “且”指不同关键词之间取“交集”关系,例如:输入“SELECT”、“test_db”等关键词,可以查询到所有包含“SELECT”和“test_db”的日志。 |
执行语句 用户名 服务器登录名 会话登录名 客户端主机名 数据库名 访问对象 对象类型 错误消息 错误类别 错误主体 | 精准包含 模糊包含 精准不包含 模糊不包含 | 请输入关键词,多个关键词使用换行符分隔。默认的匹配项为:精准包含。 |
数据库 ID 过程数据库 ID 对象 ID 错误号 错误状态 严重性 事务 ID 线程 ID | 等于 不等于 | 请输入关键词,多个关键词使用换行符分隔。默认的匹配项为:等于。 匹配规则说明 “等于”指搜索项中的每个关键词需要精准匹配,例如:数据库 ID 为10时,在等于模式下可以通过“10”关键词进行匹配,但无法通过“1”、“0”关键词进行匹配。 “不等于”指搜索项中的每个关键词需要精准过滤,例如:数据库 ID 为10时,在不等于模式下通过“10”关键词过滤出数据库 ID 不为10的日志。 |
影响行数 最后语句影响行数 执行耗时(us) CPU 耗时(us) 逻辑读 物理读 I/O 写 | 区间格式 | 格式为 M-N,例如:10-100。 |
审计字段
云数据库 SQL Server 的审计日志中支持如下字段。
序号 | 字段名 | 字段说明 |
1 | 时间 | 日志生成的时间,可精确到毫秒,格式为:2025-08-28 19:52:36.104。 |
2 | 用户名 | 执行操作的用户名。 |
3 | 服务器登录名 | 触发事件的服务器主体的名称。 |
4 | 会话登录名 | 发起触发事件的会话的服务器主体的名称。 |
5 | 客户端主机名 | 客户端的主机名称。 |
6 | 客户端应用名称 | 客户端的应用程序名称。 |
7 | 数据库名称 | 当前的数据库名称或连接的数据库名称。 |
8 | SQL 文本 | - |
9 | 执行语句 | 触发事件的语句文本,或应用程序通过调用远程服务的方式(RPC)来运行的语句文本。 |
10 | 访问对象 | 拥有执行语句的对象(例如:表、视图、存储过程等)的名称,或被 RPC 引用的对象的名称。 |
11 | 对象类型 | 已执行完毕语句的模块(例如:存储过程、函数等)的类型。 |
12 | 返回值 | RPC 的返回值。 |
13 | 影响行数 | RPC 返回的行数,或该执行语句影响的行数。 |
14 | 最后语句影响行 | 执行语句的最后影响行计数。 |
15 | 执行耗时(us) | 自用户登录以来经过的时间(微秒)。 执行语句所花费的时间(微秒)。 完成 RPC 所花费的时间(微秒)。 |
16 | CPU 耗时(us) | 用户在该会话期间消耗的 CPU 时间(微秒)。 执行语句消耗的 CPU 时间(微秒)。 |
17 | 逻辑读 | 会话期间用户发出的逻辑页读取次数。 RPC 发出的逻辑页读取次数。 执行语句发出的逻辑页读取次数。 |
18 | 物理读 | 会话期间用户发出的物理页读取次数。 RPC 发出的物理页读取次数。 执行语句发出的物理页读取次数。 |
19 | I/O 写 | 会话期间用户发出的页写入次数。 执行语句发出的页写入次数。 RPC 发出的页写入次数。 |
20 | 错误号 | - |
21 | 错误状态 | - |
22 | 严重性 | - |
23 | 错误消息 | - |
24 | 错误类别 | - |
25 | 错误主体 | - |
26 | 是否用户定义 | 此字段指示错误是用户定义的错误(true)还是系统错误(false)。 |
27 | 是否被捕获 | 此字段指示错误是否被 Transact-SQL TRY/CATCH 块拦截。 |
28 | 执行计划参数 | 参数化查询计划缓存条目的计划句柄。 |
29 | 数据库 ID | 数据库 ID 或连接的数据库 ID。 |
30 | 过程数据库 ID | 此字段包含已执行完毕语句的模块(例如:存储过程、函数等)所属数据库的 ID。 |
31 | 对象 ID | 此字段包含已执行完毕语句的模块(例如:存储过程、函数等)的 ID。 |
32 | 事务 ID | 在支持事务的存储引擎中,每个事务都有一个唯一的事务 ID。这个 ID 用于标识特定的事务。 |
33 | 线程 ID | 当前系统线程 ID。 |
34 | 输出参数(xml) | RPC 返回的输出参数。 |
