更新时间:2025-07-17 GMT+08:00
分享

对接CTS查看ClickHouse集群审计日志

CloudTable使用云审计服务,可以记录与CloudTable服务相关的操作事件,便于日后的查询、审计和回溯。在开启了云审计服务后,系统开始记录CloudTable服务的操作日志。云审计服务管理控制台保存最近7天的操作记录。

CloudTable的以下关键操作事件将记录审计日志,详细内容如表1所示。

表1 云审计服务支持的CloudTable操作事件列表

操作名称

事件名称

资源类型

创建集群

createCloudTableClusterV3

cluster

节点扩容

growCloudTableCluster

cluster

重启集群

rebootCloudTableCluster

cluster

设置存储配额

storageClusterAction

cluster

特性开关

modifyClusterFeatures

cluster

创建数据迁移任务

copierCreateTask

cluster

枚举数据库信息

copierListDatabaseInfo

cluster

枚举集群节点信息

copierListNodeInfo

cluster

数据迁移任务详情

copierTaskDetail

cluster

ClickHouse创建用户

createCloudTableAccount

cluster

创建角色

createRole

cluster

删除集群

deleteCloudTableClusterV2

cluster

删除角色

deleteRole

cluster

关闭集群日志

disableLTSAccess

cluster

打开集群日志

enableLTSAccessc

cluster

获取集群信息

getClusterInfo

cluster

获取数据库信息

getDatabases

cluster

获取角色信息

getRoles

cluster

获取表信息

getTables

cluster

磁盘扩容

growCloudTableDisk

cluster

规格扩容

growCloudTableFlavor

cluster

重启集群

rebootCloudTableClusterV2

cluster

重启节点

restartInstance

cluster

重启

REBOOTING

cluster

扩容

GROWING

cluster

删除

DELETING

cluster

包周期集群扩容、规格变更

changeCloudTableCluster

cluster

ClickHouse同时开启安全和非安全通道

enableBothSslAndNone

cluster

开启冷热分离

switchHotColdFeature

cluster

查杀sql

killQueryBySqlId

cluster

ClickHouse删除用户

deleteCloudTableAccount

cluster

ClickHouse更新用户

updateCloudTableAccount

cluster

开启云审计服务

使用云审计服务前需要开启云审计服务,开启云审计服务后系统会自动创建一个追踪器,系统记录的所有操作将关联在该追踪器中。目前,一个云账户系统仅支持创建一个追踪器。

  1. 在CloudTable管理控制台,选择服务列表 > 管理与部署 > 云审计服务,进入云审计服务信息页面。
  2. 开通云审计服务。

    如果您是首次使用云审计服务,在追踪器列表中还没有已创建的追踪器,则请参考《云审计服务快速入门》中的开通云审计服务章节开启云审计服务。

    如果您已开通过云审计服务了,开通时系统已为您自动创建了一个管理事件追踪器,管理事件追踪器只能有一个且不可删除。您也可以自行创建数据事件追踪器,详细内容请参见《云审计服务用户指南》中的创建追踪器

关闭审计日志

如果用户想关闭审计日志,需要在云审计服务中停用追踪器。

  1. 在CloudTable管理控制台,选择“服务列表 > 管理与监管> 云审计服务”,进入云审计服务信息页面。
  2. 通过停用追踪器,关闭审计日志。如需重新开启审计日志,只要启用追踪器即可。

    有关停用/启用追踪器的更多信息,请参考《云审计服务快速入门》中的启用/停用追踪器

查看CloudTable的云审计日志

  1. 登录管理控制台。
  2. 单击页面上方的“服务列表”,选择“管理与监管 > 云审计服务”,进入云审计服务信息页面。
  3. 单击左侧导航树的“事件列表”,进入事件列表信息页面。
  4. 单击事件列表右上方的“筛选”,设置对应的操作事件条件。

    当前事件列表支持四个维度的组合查询,详细信息如下:

    • “事件来源”、“资源类型”和“筛选类型”。
      • “事件来源”:选择“CloudTable”。
      • “资源类型”:选择“所有资源类型”,或者指定具体的资源类型。
      • “筛选类型”:选择“所有筛选类型”,或者选择以下任一选项。
        • “按事件名称”:选择该选项时,还需选择某个具体的事件名称。
        • “按资源ID”:选择该选项时,还需选择或者手动输入某个具体的资源ID。
        • “按资源名称”:选择该选项时,还需选择或手动输入某个具体的资源名称。
    • “操作用户”:在下拉框中选择某一具体的操作用户,此操作用户指用户级别,而非租户级别。
    • “事件级别”:可选项为“所有事件级别”、“normal”、“warning”、“incident”,只可选择其中一项。
    • “起始时间”、“结束时间”:可通过选择时间段查询操作事件。

  5. 单击“查询”,查看对应的操作事件。
  6. 在需要查看的事件左侧,单击展开该记录的详细信息。

    图1 事件

  7. 在需要查看的事件右侧,单击“查看事件”,弹出一个窗口,显示了该操作事件结构的详细信息。

    图2 查看事件

    关于云审计服务事件结构的关键字段详解,请参见《云审计服务用户指南》的事件结构章节。

相关文档