跳到主要内容

审计追踪(Audit Trail)

企业版功能
AUDIT TRAIL是企业版功能。 如需获取许可证,请联系 Databend 支持团队

Databend 的系统历史表 (System History Tables) 会自动捕获数据库活动的详细记录,为合规性 (Compliance) 和安全监控 (Security Monitoring) 提供完整的审计追踪 (Audit Trail)。

支持对用户以下活动进行审计:

  • 查询执行 - 完整的 SQL 执行审计追踪 (query_history)
  • 数据访问 - 数据库对象访问和修改 (access_history)
  • 身份验证 - 登录尝试和会话跟踪 (login_history)

可用的审计表

Databend 提供了五个系统历史表,用于捕获数据库活动的不同方面:

用途关键用例
query_history完整的 SQL 执行审计追踪性能监控、安全审计、合规报告
access_history数据库对象访问和修改数据血缘 (Data Lineage) 追踪、合规审计、变更管理 (Change Management)
login_history身份验证尝试和会话安全监控、失败登录检测、访问模式分析

审计用例与示例

安全监控

监控失败的登录尝试

跟踪身份验证失败,以识别潜在的安全威胁和未经授权的访问尝试。

-- 检查失败的登录尝试(安全审计)
SELECT event_time, user_name, client_ip, error_message
FROM system_history.login_history
WHERE event_type = 'LoginFailed'
ORDER BY event_time DESC;

示例输出:

event_time: 2025-06-03 06:07:32.512021
user_name: root1
client_ip: 127.0.0.1:62050
error_message: UnknownUser. Code: 2201, Text = User 'root1'@'%' does not exist.

合规报告

跟踪数据库模式 (Schema) 变更

监控 DDL 操作,以满足合规性和变更管理要求。

-- 审计 DDL 操作(合规追踪)
SELECT query_id, query_start, user_name, object_modified_by_ddl
FROM system_history.access_history
WHERE object_modified_by_ddl != '[]'
ORDER BY query_start DESC;

CREATE TABLE 操作示例:

query_id: c2c1c7be-cee4-4868-a28e-8862b122c365
query_start: 2025-06-12 03:31:19.042128
user_name: root
object_modified_by_ddl: [{"object_domain":"Table","object_name":"default.default.t","operation_type":"Create"}]

审计数据访问模式

跟踪谁在何时访问了哪些数据,以满足合规性和数据治理要求。

-- 追踪数据访问以符合合规要求
SELECT query_id, query_start, user_name, base_objects_accessed
FROM system_history.access_history
WHERE base_objects_accessed != '[]'
ORDER BY query_start DESC;

运营监控

完整的查询执行审计

维护所有 SQL 操作的全面记录,包括用户信息和计时信息。

-- 包含用户和计时信息的完整查询审计
SELECT query_id, sql_user, query_text, query_start_time, query_duration_ms, client_address
FROM system_history.query_history
WHERE event_date >= TODAY() - INTERVAL 7 DAY
ORDER BY query_start_time DESC;

示例输出:

query_id: 4e1f50a9-bce2-45cc-86e4-c7a36b9b8d43
sql_user: root
query_text: SELECT * FROM t
query_start_time: 2025-06-12 03:31:35.041725
query_duration_ms: 94
client_address: 127.0.0.1

有关每个审计表及其特定字段的详细信息,请参阅系统历史表参考文档。

开始使用 Databend Cloud
低成本
快速分析
多种数据源
弹性扩展
注册