数据库活动流的 databaseActivityEventList JSON 数组 - Amazon Relational Database Service
Amazon RDS for Oracle 的 databaseActivityEventList 字段Amazon RDS for SQL Server 的 databaseActivityEventList 字段

数据库活动流的 databaseActivityEventList JSON 数组

审核日志负载是解密的 databaseActivityEventList JSON 数组。以下表列表按字母顺序列出了审计日志的解密 DatabaseActivityEventList 数组中每个活动事件的字段。

如果在 Oracle 数据库中启用了统一审计,审计记录将填充在此新的审计跟踪中。UNIFIED_AUDIT_TRAIL 视图通过从审计跟踪中检索审计记录以表格形式显示审计记录。启动数据库活动流时,UNIFIED_AUDIT_TRAIL 中的一列映射到 databaseActivityEventList 数组中的一个字段。

重要

事件结构可能会发生变化。Amazon RDS 可能会将新字段添加到未来的活动事件中。在解析 JSON 数据的应用程序中,请确保您的代码可以忽略未知字段名称或对其采取适当操作。

Amazon RDS for Oracle 的 databaseActivityEventList 字段

以下是 Amazon RDS for Oracle 的 databaseActivityEventList 字段。

字段 数据类型 描述

class

字符串

UNIFIED_AUDIT_TRAIL 中的 AUDIT_TYPE

活动事件的类。这对应于 UNIFIED_AUDIT_TRAIL 视图中的 AUDIT_TYPE 列。Amazon RDS for Oracle 的有效值如下:

  • Standard

  • FineGrainedAudit

  • XS

  • Database Vault

  • Label Security

  • RMAN_AUDIT

  • Datapump

  • Direct path API

有关更多信息,请参阅 Oracle 文档中的 UNIFIED_AUDIT_TRAIL

clientApplication

字符串

CLIENT_PROGRAM_NAME中的UNIFIED_AUDIT_TRAIL

客户端报告的其用于连接的应用程序。由于客户端不必提供此信息,因此值可以为 null。示例值为 JDBC Thin Client

command

字符串

UNIFIED_AUDIT_TRAIL 中的 ACTION_NAME

用户执行的操作名称。要了解完整操作,请同时阅读命令名称和 AUDIT_TYPE 值。示例值为 ALTER DATABASE

commandText

字符串

UNIFIED_AUDIT_TRAIL 中的 SQL_TEXT

与事件关联的 SQL 语句。示例值为 ALTER DATABASE BEGIN BACKUP

databaseName

字符串

V$DATABASE 中的 NAME

数据库的名称。

dbid

number

UNIFIED_AUDIT_TRAIL 中的 DBID

数据库的数字标识符。示例值为 1559204751

dbProtocol

字符串

不适用

数据库协议。在该测试版中,值为 oracle

dbUserName

字符串

UNIFIED_AUDIT_TRAIL 中的 DBUSERNAME

已审核其操作的数据库用户的名称。示例值为 RDSADMIN

endTime

字符串

不适用

此字段不用于 RDS for Oracle 且始终为 Null。

engineNativeAuditFields

object

UNIFIED_AUDIT_TRAIL

默认情况下,此对象为空。当您使用 --engine-native-audit-fields-included 选项启动活动流时,此对象包括以下列及其值:

ADDITIONAL_INFO
APPLICATION_CONTEXTS
AUDIT_OPTION
AUTHENTICATION_TYPE
CLIENT_IDENTIFIER
CURRENT_USER
DBLINK_INFO
DBPROXY_USERNAME
DIRECT_PATH_NUM_COLUMNS_LOADED
DP_BOOLEAN_PARAMETERS1
DP_TEXT_PARAMETERS1
DV_ACTION_CODE
DV_ACTION_NAME
DV_ACTION_OBJECT_NAME
DV_COMMENT
DV_EXTENDED_ACTION_CODE
DV_FACTOR_CONTEXT
DV_GRANTEE
DV_OBJECT_STATUS
DV_RETURN_CODE
DV_RULE_SET_NAME
ENTRY_ID
EXCLUDED_OBJECT
EXCLUDED_SCHEMA
EXCLUDED_USER
EXECUTION_ID
EXTERNAL_USERID
FGA_POLICY_NAME
GLOBAL_USERID
INSTANCE_ID
KSACL_SERVICE_NAME
KSACL_SOURCE_LOCATION
KSACL_USER_NAME
NEW_NAME
NEW_SCHEMA
OBJECT_EDITION
OBJECT_PRIVILEGES
OLS_GRANTEE
OLS_LABEL_COMPONENT_NAME
OLS_LABEL_COMPONENT_TYPE
OLS_MAX_READ_LABEL
OLS_MAX_WRITE_LABEL
OLS_MIN_WRITE_LABEL
OLS_NEW_VALUE
OLS_OLD_VALUE
OLS_PARENT_GROUP_NAME
OLS_POLICY_NAME
OLS_PRIVILEGES_GRANTED
OLS_PRIVILEGES_USED
OLS_PROGRAM_UNIT_NAME
OLS_STRING_LABEL
OS_USERNAME
PROTOCOL_ACTION_NAME
PROTOCOL_MESSAGE
PROTOCOL_RETURN_CODE
PROTOCOL_SESSION_ID
PROTOCOL_USERHOST
PROXY_SESSIONID
RLS_INFO
RMAN_DEVICE_TYPE
RMAN_OBJECT_TYPE
RMAN_OPERATION
RMAN_SESSION_RECID
RMAN_SESSION_STAMP
ROLE
SCN
SYSTEM_PRIVILEGE
SYSTEM_PRIVILEGE_USED
TARGET_USER
TERMINAL
UNIFIED_AUDIT_POLICIES
USERHOST
XS_CALLBACK_EVENT_TYPE
XS_COOKIE
XS_DATASEC_POLICY_NAME
XS_ENABLED_ROLE
XS_ENTITY_TYPE
XS_INACTIVITY_TIMEOUT
XS_NS_ATTRIBUTE
XS_NS_ATTRIBUTE_NEW_VAL
XS_NS_ATTRIBUTE_OLD_VAL
XS_NS_NAME
XS_PACKAGE_NAME
XS_PROCEDURE_NAME
XS_PROXY_USER_NAME
XS_SCHEMA_NAME
XS_SESSIONID
XS_TARGET_PRINCIPAL_NAME
XS_USER_NAME

有关更多信息,请参阅 Oracle 数据库文档中的 UNIFIED_AUDIT_TRAIL

errorMessage

字符串

不适用

此字段不用于 RDS for Oracle 且始终为 Null。

exitCode

number

UNIFIED_AUDIT_TRAIL 中的 RETURN_CODE

操作生成的 Oracle 数据库错误代码。如果操作成功,则值为 0

logTime

字符串

UNIFIED_AUDIT_TRAIL 中的 EVENT_TIMESTAMP_UTC

创建审计跟踪条目的时间戳。示例值为 2020-11-27 06:56:14.981404

netProtocol

字符串

UNIFIED_AUDIT_TRAIL 中的 AUTHENTICATION_TYPE

网络通信协议。示例值为 TCP

objectName

字符串

UNIFIED_AUDIT_TRAIL 中的 OBJECT_NAME

受操作影响的对象名称。示例值为 employees

objectType

字符串

UNIFIED_AUDIT_TRAIL 中的 OBJECT_SCHEMA

受操作影响的对象架构名称。示例值为 hr

paramList

list

UNIFIED_AUDIT_TRAIL 中的 SQL_BINDS

SQL_TEXT 关联的绑定变量列表(如有)。示例值为 parameter_1,parameter_2

pid

number

UNIFIED_AUDIT_TRAIL 中的 OS_PROCESS

Oracle 数据库进程的操作系统进程标识符。示例值为 22396

remoteHost

字符串

UNIFIED_AUDIT_TRAIL 中的 AUTHENTICATION_TYPE

客户端 IP 地址或生成会话的主机的名称。示例值为 123.456.789.123

remotePort

字符串

UNIFIED_AUDIT_TRAIL 中的 AUTHENTICATION_TYPE

客户端的端口号。Oracle 数据库环境中的典型值是 1521

rowCount

number

不适用

此字段不用于 RDS for Oracle 且始终为 Null。

serverHost

字符串

数据库主机

数据库服务器主机的 IP 地址。示例值为 123.456.789.123

serverType

字符串

不适用

数据库服务器类型。此值始终为 ORACLE

serverVersion

字符串

数据库主机

Amazon RDS for Oracle 版本、发布更新(RU)和版本更新修订(RUR)。示例值为 19.0.0.0.ru-2020-01.rur-2020-01.r1.EE.3

serviceName

字符串

数据库主机

服务的名称。示例值为 oracle-ee

sessionId

number

UNIFIED_AUDIT_TRAIL 中的 SESSIONID

审计的会话标识符。示例是 1894327130

startTime

字符串

不适用

此字段不用于 RDS for Oracle 且始终为 Null。

statementId

number

UNIFIED_AUDIT_TRAIL 中的 STATEMENT_ID

每个语句运行的数字 ID。一个语句可能会导致多个操作。示例值为 142197

substatementId

不适用

不适用

此字段不用于 RDS for Oracle 且始终为 Null。

transactionId

字符串

UNIFIED_AUDIT_TRAIL 中的 TRANSACTION_ID

在其中修改对象事务的标识符。示例值为 02000800D5030000

Amazon RDS for SQL Server 的 databaseActivityEventList 字段

以下是 Amazon RDS for SQL Server 的 databaseActivityEventList 字段。

字段 数据类型 描述

class

字符串

sys.fn_get_audit_file.class_type 映射到 sys.dm_audit_class_type_map.class_type_desc

活动事件的类。有关更多信息,请参阅 Microsoft 文档中的 SQL Server 审计(数据库引擎)

clientApplication

字符串

sys.fn_get_audit_file.application_name

客户端报告的客户端连接的应用程序(SQL Server 版本 14 及更高版本)。在 SQL Server 版本 13 中,此字段为空。

command

字符串

sys.fn_get_audit_file.action_id 映射到 sys.dm_audit_actions.name

SQL 语句的常规类别。此字段的值取决于类的值。

commandText

字符串

sys.fn_get_audit_file.statement

此字段指示 SQL 语句。

databaseName

字符串

sys.fn_get_audit_file.database_name

数据库的名称。

dbProtocol

字符串

不适用

数据库协议。该值为 SQLSERVER

dbUserName

字符串

sys.fn_get_audit_file.server_principal_name

客户端身份验证的数据库用户。

endTime

字符串

不适用

Amazon RDS for SQL Server 未使用此字段,值为空。

engineNativeAuditFields

object

sys.fn_get_audit_file 中此列未列出的每个字段。

默认情况下,此对象为空。当您使用 --engine-native-audit-fields-included 选项启动活动流时,此对象包括其他原生引擎审计字段,此 JSON 映射不返回这些字段。

errorMessage

字符串

不适用

Amazon RDS for SQL Server 未使用此字段,值为空。

exitCode

整数

sys.fn_get_audit_file.succeeded

表示启动事件的操作是否成功。此字段不能为空。对于除登录事件以外的所有事件,此字段报告权限检查是成功还是失败,但不报告操作是成功还是失败。

值包括:

  • 0 – 失败

  • 1 – 成功

logTime

字符串

sys.fn_get_audit_file.event_time

由 SQL Server 记录的事件时间戳。

netProtocol

字符串

不适用

Amazon RDS for SQL Server 未使用此字段,值为空。

objectName

字符串

sys.fn_get_audit_file.object_name

数据库对象的名称(如果正在对某个对象运行 SQL 语句)。

objectType

字符串

sys.fn_get_audit_file.class_type 映射到 sys.dm_audit_class_type_map.class_type_desc

数据库对象类型(如果正在对某个对象类型运行 SQL 语句)。

paramList

字符串

不适用

Amazon RDS for SQL Server 未使用此字段,值为空。

pid

整数

不适用

Amazon RDS for SQL Server 未使用此字段,值为空。

remoteHost

字符串

sys.fn_get_audit_file.client_ip

发出 SQL 语句的客户端的 IP 地址或主机名(SQL Server 版本 14 及更高版本)。在 SQL Server 版本 13 中,此字段为空。

remotePort

整数

不适用

Amazon RDS for SQL Server 未使用此字段,值为空。

rowCount

整数

sys.fn_get_audit_file.affected_rows

SQL 语句所影响的表行的数量(SQL Server 版本 14 及更高版本)。此字段位于 SQL Server 版本 13 中。

serverHost

字符串

数据库主机

主机数据库服务器的 IP 地址。

serverType

字符串

不适用

数据库服务器类型。值为 SQLSERVER

serverVersion

字符串

数据库主机

数据库服务器版本,例如,对于 SQL Server 2017,为 15.00.4073.23.v1.R1。

serviceName

字符串

数据库主机

服务的名称。示例值为 sqlserver-ee

sessionId

整数

sys.fn_get_audit_file.session_id

会话的唯一标识符。

startTime

字符串

不适用

Amazon RDS for SQL Server 未使用此字段,值为空。

statementId

字符串

sys.fn_get_audit_file.sequence_group_id

客户端的 SQL 语句的唯一标识符。对于生成的每个事件,标识符都不同。示例值为 0x38eaf4156267184094bb82071aaab644

substatementId

整数

sys.fn_get_audit_file.sequence_number

用于确定语句的序列号的标识符。当大型记录拆分为多条记录时,此标识符会有所帮助。

transactionId

整数

sys.fn_get_audit_file.transaction_id

事务的标识符。如果没有任何活动的事务,则该值为零。

type

字符串

生成的数据库活动流

事件类型。值为 recordheartbeat