本文为您介绍审计日志的概述、使用场景、范围以及字段定义。

概述

MaxCompute完整地记录用户的各项操作行为,并通过阿里云ActionTrail服务将用户行为日志实时推送给ActionTrail。

您可以在ActionTrail中查看和检索用户行为日志,同时通过ActrionTrail将日志投递到日志服务项目或指定的OSS Bucket中,满足实时审计、问题回溯分析等需求。**

使用场景

MaxCompute自动将您使用MaxCompute所产生的操作日志,实时投递到ActionTrail中。您可以执行如下分析:
  • 查询历史事件及明细

    ActionTrail控制台历史事件查询页面,可以查看包括MaxCompute在内的各服务历史事件。详情请参见通过操作审计控制台查询历史事件

  • 分析实时行为事件

    使用ActionTrail的跟踪列表功能,将事件投递到OSS进行归档分析。或者投递到阿里云日志服务项目内,基于事件触发的实时日志进行分析。例如,敏感数据访问的告警处理。详情请参见创建单账号跟踪

日志范围

ActionTrail针对作业(Instance)、表(Table)、函数(Function)、资源(Resource)、用户(User)、角色(Role)和授权(Privilege)等事件的多种操作行为进行审计,如下所示。
事件类型(EventType) 事件名称(EventName) 事件描述
Instance insertJob 成功提交一个MaxCompute作业事件。
jobChange 引起MaxCompute作业状态变化的事件。例如,作业执行成功或作业被中止事件。
Table CreateTable 创建表。
ChangeTable 修改表结构信息。例如,执行ALTER TABLE命令。
DropTable 删除表。
DescribeTable 查看表结构(Desc table)。
ReadTableData 读表数据事件。
ChangeTableData 表数据变化事件。例如,INSERT INTO、INSERT OVERWRITE、Truncate和Tunnel数据导入表等操作会触发该事件。
DownloadTable Tunnel下载事件。
UploadTable Tunnel上传事件。
InstanceTunnel 下载Instance的执行结果。例如,Select查询操作会触发InstanceTunnel事件。
Function CreateFunction 创建自定义函数事件。
UpdateFunction 更新自定义函数事件。
DeleteFunction 删除自定义函数事件。
Resource CreateResource 上传资源(MaxCompute Resource)事件。
UpdateResource 更新资源(MaxCompute Resource)事件。
DeleteResource 删除资源(MaxCompute Resource)事件。
User AddUser 添加用户事件。
RemoveUser 移除用户事件。
Role CreateRole 创建角色事件。
DropRole 删除角色事件。
Privilege GrantACL ACL授权事件。
GrantLabel Label授权事件。
GrantRoles 角色授权事件。
PutRolePolicy 上传MaxCompute角色Policy事件。
RevokeACL ACL授权撤回事件。
RevokeLabel Label授权撤回事件。
RevokeRoles 角色授权撤回事件。
SetProjectPolicy 项目级别设置权限策略(Policy)事件。
SetTableLabel 设置Table的列级权限(Label)事件。
SetUserLabel 设置用户的Label权限事件。

日志字段定义

不同事件类型的字段记录了该类型事件的具体操作行为,您可以通过查看和分析事件的字段满足审计需求。
  • Instance
    字段名 说明 样例
    timestamp 事件发生时间 2019-08-06T03:33:03Z
    event_type 事件类型 JobEvent
    event_name 事件名称 JobChange
    user_id 提交作业的用户ID 1965501246548481
    user_catalog 提交作业的用户类别

    取值范围:sub、customer。

    customer
    source_ip 用户源IP 10.1.1.1
    user_agent 用户代理 JavaSDK Revision:33acd11,Version:0.30.9,JavaVersion:1.8.0_66,IP:unknown,MAC:unknown
    project_name 操作的MaxCompute项目名称 meta
    project_owner MaxCompute项目的主账户 1965501246548481
    operation_text SQL语句的内容(敏感信息) select * from m_project where ds='20190805';
    instance_id 实例ID 20190806032128370gef3eqsa
    task_name 任务名称 console_query_task_1565061688115
    task_type 任务类型

    例如,SQL、CUPID等。

    SQL
    start_time 任务开始时间 2019-08-06T11:21:28+08:00
    end_time 任务结束时间 2019-08-06T11:21:38+08:00
    input_tables 任务输入表 ["meta.s_project_ots_meta_raw"]
    output_tables 任务输出表 ["meta.s_project_owner_map"]
    input_bytes 任务读取数据量 6543210
    output_bytes 任务输出数据量 716760
    input_records 任务读取记录数 532963
    output_records 任务输出记录数 68713
    signature 任务签名

    用于判断是否是同一类作业。

    0c5cafa4aeb03e2e70f8db2e9d1e6c13
    status 任务的结束状态。 Terminated
    skynet_id 用于提交作业的DataWorks节点ID。 700002545585
    skynet_nodename 用于提交作业的DataWorks节点名称。 s_project_owner_map
    complexity SQL复杂度 1.0
    cost_cpu 作业消耗CPU 200
    cost_memory 作业消耗内存 3072
    request_id 请求ID(随机生成) 9e1e42e9-26fe-4f8a-b6e9-e31ae9384de4
    region 项目所在地域 cn-shanghai
    error_code 错误码
    error_message 错误消息
  • Table
    字段名 说明 样例
    timestamp 事件发生时间 2019-08-06T04:20:14Z
    event_type 事件类型 TableEvent
    event_name 事件名称 DropTable
    user_id 执行操作的用户ID 1965501246548481
    user_catalog 提交作业的用户类别

    取值范围:sub、customer。

    customer
    request_id 请求ID 5D4903BA83C08908CCEC9E34
    project_name 资源所在的项目 meta
    project_owner 项目所属者的主账户 1965501246548481
    operation_text 操作的具体内容 INSERT_OVERWRITE_PARTITION
    object_type 操作资源类型,即为TABLE TABLE
    object_name 资源名称 tbl
    source 操作Table的方式

    包含:INSTANCE、TUNNEL和SYSTEM。

    INSTANCE
    correlation_id 资源操作的关联ID

    包含:InstanceID、TunnelID。

    20190806055554100ga8ir4pr2
    region 项目所在的地域 cn-shanghai
    error_code 错误码
    error_message 错误消息
  • Function
    字段名 说明 样例
    timestamp 事件发生时间 2019-08-06T04:20:14Z
    event_type 事件类型 TableEvent
    event_name 事件名称 DropTable
    user_id 执行操作的用户ID 1965501246548481
    user_catalog 提交作业的用户类别

    取值范围:sub、customer。

    customer
    request_id 请求ID 5D4903BA83C08908CCEC9E34
    project_name 资源所在项目 meta
    project_owner 项目所属者的主账户 1965501246548481
    Function 函数名称 case_detecting
    region 项目所在的地域 cn-shanghai
    error_code 错误码
    error_message 错误消息
  • Resource
    字段名 说明 样例
    timestamp 事件发生时间 2019-08-06T04:20:14Z
    event_type 事件类型 TableEvent
    event_name 事件名称 DropTable
    user_id 执行操作的用户ID 1965501246548481
    user_catalog 提交作业的用户类别。

    取值范围:sub、customer。

    customer
    request_id 请求ID 5D4903BA83C08908CCEC9E34
    project_name 资源所在的项目 meta
    project_owner 项目所属者的主账户 1965501246548481
    Resource 资源名称 fastjson-1.2.48-158892824578086453694_0.jar
    region 项目所在的地域 cn-shanghai
    error_code 错误码
    error_message 错误消息
  • User
    字段名 说明 样例
    timestamp 事件发生时间 2019-08-06T04:20:14Z
    event_type 事件类型 UserEvent
    event_name 事件名称 AddUser
    user_id 提交作业的用户ID 1965501246548481
    user_catalog 提交作业的用户类别

    取值范围:sub、customer。

    customer
    source_ip 用户源IP 10.154.184.179
    request_id 请求ID 5D4903BA83C08908CCEC9E34
    project_name 操作的项目名称 meta
    project_owner 项目所属者的主账户 1965501246548481
    operation_text 操作内容 ADD USER ALIYUN$antccopblvxjgsss@aliyun.com
    principal 被添加的账户名 aliyun$antccopblvxjgsss@aliyun.com
    region 项目所在的地域 cn-shanghai
    error_code 错误码
    error_message 错误消息
  • Role
    字段名 说明 样例
    timestamp 事件发生时间 2019-08-06T04:20:14Z
    event_type 事件类型 RoleEvent
    event_name 事件名称 CreateRole
    user_id 执行作业的用户ID 1965501246548481
    user_catalog 提交作业的用户类别

    取值范围:sub、customer。

    customer
    source_ip 用户源IP 10.154.184.179
    request_id 请求ID 5D4903BA83C08908CCEC9E34
    project_name 操作的项目名称 meta
    project_owner 项目所属者的主账户 1965501246548481
    operation_text 操作内容 drop role test;
    principal 被添加的账户名 test
    region 项目所在的地域 cn-shanghai
    error_code 错误码
    error_message 错误消息
  • Privilege
    字段名 说明 样例
    timestamp 事件发生时间 2019-08-06T04:20:14Z
    event_type 事件类型 PrivilegeEvent
    event_name 事件名称 GrantACL
    user_id 执行作业的用户ID 1965501246548481
    user_catalog 提交作业的用户类别

    取值范围:sub、customer。

    customer
    source_ip 用户源IP 10.154.184.179
    request_id 请求ID 5D4903BA83C08908CCEC9E34
    current_project 操作的项目名称 meta_dev
    project_name 资源所在的项目 meta
    project_owner 项目所属者的主账户 1965501246548481
    operation_text 操作内容 GRANT Describe,Select ON TABLE ads_dy_mkt_union_room_ctag_cm TO USER RAM$ferrodx:superset_admin;
    principal 被授予权限的账户或角色名 aliyun$antccopblvxjgsss@aliyun.com
    object_type 操作的资源类型

    包含:PROJECT、TABLE和USER。

    TABLE
    object_name 资源名 ads_dy_mkt_union_room_ctag_cm
    region 项目所在的地域 cn-shanghai
    error_code 错误码
    error_message 错误消息