本文档介绍如何查询和下载腾讯云分布式缓存数据库审计日志,帮助您进行日志检索和分析。
操作场景
当您面临以下运维或安全管理需求时,可通过审计日志功能进行相关操作:
多维度高效检索日志: 面对海量日志,支持通过时间范围、客户端 IP、用户账号、执行命令等条件组合过滤,帮您快速、精准地锁定目标数据。
故障排查与安全追溯: 当数据库出现异常访问、数据误删或性能瓶颈时,通过回溯历史 SQL 的执行轨迹,还原事件现场,快速界定责任并排除安全隐患。
离线分析与合规存档: 支持将检索到的审计明细导出至本地。适用于企业定期的安全合规审查、长期数据存档,或交由专门的安全团队进行深度的离线数据分析。
查询审计日志
1. 登录 腾讯云分布式缓存数据库控制台。
2. 在左侧导航栏中,选择 Distributed Cache(兼容 Redis) 菜单下的 数据库审计。
3. 在数据库审计页面上方,选择查看地域,并选择审计日志页签。
4. 在审计日志页签,可设置以下检索条件来快速定位目标数据。配置完成后,单击搜索,返回符合条件的审计日志列表。
审计实例:在审计实例的下拉列表中,选择需要查看日志的目标数据库实例。
时间范围:在时间选择区域,选择或自定义需要回溯查询的日志时间段。
说明:
单次最多支持查询7天的日志数据,超过时长需要分批查询。
执行命令:在执行命令的下拉列表中,设定匹配规则(支持选择:包含、不包含、等于、不等于),并在输入框中填写具体的命令关键字。
高级筛选(可选):单击高级筛选,展开更多选项,支持通过客户端 IP、用户账号、命令类型、数据库 ID、错误信息及执行时长进行多维度组合过滤。
5. 在审计日志列表,查看审计日志的详细信息。
字段名称 | 说明 |
执行时间 | 记录命令被提交并开始执行的精确时间戳。 |
客户端 IP | 发起访问请求的源客户端 IP 地址。常用于追溯异常访问来源或排查网络连通性问题。 |
用户账号 | 执行该命令所使用的数据库鉴权账号。 |
数据库名 | 当前操作所在的逻辑数据库索引。 |
命令类型 | 触发的具体操作指令关键字(例如字符串操作的 GET/SET,或哈希/列表操作的 HSET/LPUSH 等)。 |
节点 ID | 在分布式集群架构中,实际接收并处理该命令的底层数据节点唯一标识。 |
命令详情 | 客户端发送的完整命令请求内容。 |
执行时长(毫秒) | 数据库内核处理并完成该条命令所消耗的实际时间。该指标是排查“慢查询”和业务卡顿的关键依据。 |
错误信息 | 若命令执行失败或被安全策略拒绝,此处记录具体的报错代码或异常描述;若执行成功则通常为空或显示成功状态。 |
6. 单次最多支持查询7天的日志数据,超过时长需要分批查询
下载审计日志
您可以将审计日志导出为文件,便于离线分析和归档:
1. 在审计日志查询页面,输入查询条件,筛选审计日志。
2. 在审计日志列表上方,单击
3. 在创建日志文件的小窗口,确认实例 ID,日志时间等信息,并选择日志文件中包含的字段。
全部字段:导出日志包含的所有明细字段(如执行时间、客户端 IP、完整命令等),不受当前页面列表显示状态的影响。
与自定义列表字段联动:仅导出您当前在日志检索列表中已配置展示的字段。
4. 单击生成文件,进入审计日志文件列表页面,可查看文件生成进度,等待文件生成完成,复制文件内网下载地址。通过内网下载地址,便可以将日志文件下载于本地查看。
说明:
在生成并下载审计日志文件时,请留意以下限制与建议:
网络环境限制: 目前日志文件仅提供内网下载地址。请确保使用与数据库实例处于同一地域的云服务器进行下载(例如:北京地域的实例日志,需通过北京地域的云服务器下载)。
文件有效期: 生成的日志文件保留时间为24小时。过期后系统将自动清理链接,请您在文件生成后尽快完成下载。
导出额度限制: 单个数据库实例最多可同时保留30个日志导出文件。达到上限后将无法生成新的文件,建议您在下载到本地后,及时在控制台删除已完成的历史记录。
失败处理建议: 如果文件生成状态显示为“失败”,通常是由于单次导出的日志数据量过大导致超时或内存溢出。建议您缩短查询的时间范围,分批次进行创建和下载。
常见问题
Q1:为什么审计日志中有些命令没有记录?
1. 审计类型不匹配:您开启了"写命令"审计,但执行的命令是读命令(如 GET),不会被记录。
2. 降级保护:P99延迟超阈值时,系统自动丢弃审计数据,优先保障业务可用性。
3. 流量超限:审计流量超过限制时,部分审计数据会被丢弃。
建议检查审计类型配置、查看实例监控指标确认是否有降级发生。
Q2:为什么下载的审计日志不全,可能受哪些因素影响?
导出的日志数据如果不完整,通常由以下几种因素导致,建议您结合实际情况进行排查:
1. 导出字段选择限制:
在创建日志文件时,如果您选择了“与自定义列表字段联动”,导出的文件将严格按照当前列表展示的列进行生成,未展示的隐藏列将被过滤。如需获取所有明细,请在导出时务必选择“全部字段”。
2. 单次导出数据量触达上限:
为保障系统稳定性,单次生成的文件可能有最大条数或文件大小的限制。如果所选时间段内的日志量异常庞大,超出部分可能会被截断。建议: 缩小单次查询的时间跨度(例如将“查1天”改为“按小时查”),分批次生成和下载。
3. 日志已触发过期清理:
您所选的时间范围可能包含了已过期的日志。系统会严格按照您设置的“审计日志保存时长”(如7天或30天)自动清理过期数据,被清理的数据无法再被导出。
4. 底层采集过滤或降级(控制台亦无法查询):
规则过滤: 如果您配置的审计类型仅为“写命令”或“读命令”,未被覆盖的命令类型本身就不会被记录。
降级丢弃: 在业务高峰期,若实例延迟触发了设定的 P99 降级阈值,或瞬时流量超过采集上限,系统会为了保障主业务的高可用性而主动丢弃部分审计请求。
Q3:日志从“高频存储”落冷到“低频存储”后,还能在控制台正常搜索和查看吗?
可以正常搜索和查看。低频存储中的日志依然支持在控制台通过各种条件(如命令、IP、时间等)进行精确检索。两者的主要区别在于底层介质不同,低频存储的查询响应时间可能会比高频存储稍长,但完全可以满足长周期的事后追溯和合规审查需求。
