阿里云日志服务作为行业领先的日志大数据解决方案，一站式提供数据收集、清洗、分析、可视化和告警功能。日志审计APP提供多账户下跨多云产品审计相关日志进行实时自动化中心化采集，并提供审计需要的存储、查询、信息汇总支持。覆盖Actiontrail、OSS、SLB、RDS、DRDS、API网关等基础产品并支持自由对接到其他生态产品或自有SOC中心。

一、背景

《简化云上等保，阿里云发布日志审计服务》中详细介绍了日志审计的相关背景。总体来说有如下几点：

• 日志审计是法律刚性需求。网络安全法及等保2.0都对日志审计提出了要求，包括相关日志留存时间及日志集中收集、分析能力。

• 日志审计是客户安全合规依赖的基础。日志审计有以下集中形式：

  • 客户有成熟的内部合规团队，可以直接消费原生各类日志。
  • 客户也可以直接使用日志审计服务提供的审计支持，直接构建并输出合规审计信息。
  • 客户有安全中心（SOC）可以直接消费日志审计中日志。
    
• 日志审计是安全防护的重要一环。长期、可靠、无篡改的日志记录与审计支持来持续安全问题发现解决的时间。

二、日志审计典型场景

• 基础需求：大部分中小企业客户需要自动化采集存储日志。他们的主要诉求是满足《网络安全等保2.0标准》中的最低要求，并脱离手工维护。
• 高级需求：跨国企业、大企业以及部分中型企业，存在多个部门之间独立结算并且在阿里云账号的使用上各自隔离，但是在审计的时候，需要自动化、统一采集相关日志。他们的主要诉求是除上述的基础诉求外，还希望中心化采集日志并支持多个账号的简单管理。这部分企业一般拥有审计系统，因此对日志审计的需求是能够实时、简单的对接。
• 更上层的需求：拥有专门合规团队的大公司，他们需要对日志进行监控、告警和分析。一部分客户采集数据到审计系统中进行操作。另一部分客户（尤其是计划在云上搭建一套新审计系统的客户）可以使用日志服务提供的审计支持（查询、分析、告警、可视化等）进行审计操作。
• 最顶端需求：拥有专业成熟审计合规团队的大企业，一般拥有自己的安全中心或审计系统，他们的核心需求是对接数据进行统一操作。

三、阿里云日志服务

日志服务作为行业领先的日志大数据解决方案，提供一站式数据采集、清洗、分析、可视化和告警功能。一直很好的支持日志服务相关场景：DevOps、运营、安全、审计。

1、审计服务APP

2、技术功能及优势

• 实时中心化采集

  • 多云产品支持: 支持阿里云SLB、OSS、RDS等多个主流产品。
  • 一键式采集：一次性配置采集策略后，即可完成跨账号自动实时发现新资源 并实时采集日志。
  • 跨账号：支持将多个主账号下的日志采集到一个主账号下的Project中。
  • 中心化存储：将采集到的日志存储到某个地域的中心化Project中，方便后续查询分析、可视化与告警、二次开发等。

• 支持丰富的审计功能

  • 继承日志服务现有的所有功能，包括查询分析、加工、报表、告警、导出等功能，支持审计场景下中心化的审计等需求。
  • 生态开放对接：与开源软件、阿里云大数据产品、第三方SOC软件无缝对接，充分发挥数据价值。

阿里云日志服务审计APP的上述优势，可以很好的满足上文提到的日志审计典型场景。

3、产品支持

日志审计服务在继承现有日志服务所有功能外，还支持多账户下实时自动化、中心化采集云产品日志并进行审计，以及支持审计所需的存储、查询及信息汇总。覆盖基础（ActionTrail）、存储（OSS、NAS）、网络（SLB、API网关）、数据库（RDS、DRDS）、安全（WAF、Cloud Firewall、云安全中心）等产品以及支持自由对接其他生态产品或自有SOC中心。

四、全局数据视图

为了丰富日志审计APP监控、告警、分析方面的能力，我们提供了日志审计全局视图及云产品的全局视图。可以方便用户查看日志的整体分布及变化趋势。

1、日志审计全局数据视图

2、云产品全局数据视图

2.1、OSS全局数据视图

2.2、RDS全局数据视图

2.3、SLB全局数据视图

五、DRDS接入

DRDS 是一款基于 MySQL 存储、采用分库分表技术进行水平扩展的分布式 OLTP 数据库服务产品，支持 RDS for MySQL 以及 POLARDB for MySQL，产品目标旨在提升数据存储容量、并发吞吐、复杂计算效率三个方面的扩展性需求。
数据库作为企业业务的数据核心，对数据库的操作行为尤其是所有SQL执行的行为进行记录并审计的日志，就显得尤为重要。分布式关系型数据库 DRDS 接入日志审计APP，不仅能够完成DRDS日志的一键采集，而且可以对 SQL 执行状况、性能指标、安全问题的实时诊断分析能力。

1、DRDS日志审计支持

• 支持一键实时采集，并自动识别新建或删除实例。
• 支持跨账号采集。
• 支持中心化日志存储。

• 丰富的SQL审计分析能力，方便用户对DRDS日志进行查询分析、加工、报表、告警、导出能力。SQL执行日志包括了对数据库进行的所有SQL操作，DRDS提供的SQL执行日志通过网络监听的方式收集，对实际执行几乎没有性能的影响，包括但不限于如下类型的SQL执行以及信息提取：

  • DDL（Data Definition Language）：基于SQL的对数据库结构定义的SQL，例如CREATE、ALTER
    DROP、TRUNCATE、COMMENT等
  • DML（Data Manipulation Language）：SQL操作语句，包括SELECT、INSERT、UPDATE、DELETE等
  • 其他SQL执行，包括任何其他通过SQL执行的控制，例如回滚、控制等
  • 失败的SQL执行也会被记录
  • 对SQL执行的时间、执行结果、影响的行数等信息的提取
  • 支持多SQL的事务执行关联
  • 支持对SQL提取模板、类型解析
  • 支持历史执行的导入

2、DRDS报表分析

报表具体SQL分析详见 DRDS SQL审计与分析。

2.1、实时数据库访问异常排查与问题分析，事务、SQL模板类读写延时等

2.2、安全分析，重要表格、异常SQL类型、异常删除修改、危险SQL攻击等分析

2.3、运营分析，活跃数据库与表格，关键数据添加修改删除动向