# 数据库活动流的 databaseActivityEventList JSON 数组
<a name="DBActivityStreams.AuditLog.databaseActivityEventList"></a>

审核日志负载是解密的 `databaseActivityEventList` JSON 数组。以下表列表按字母顺序列出了审计日志的解密 `DatabaseActivityEventList` 数组中每个活动事件的字段。

如果在 Oracle 数据库中启用了统一审计，审计记录将填充在此新的审计跟踪中。`UNIFIED_AUDIT_TRAIL` 视图通过从审计跟踪中检索审计记录以表格形式显示审计记录。启动数据库活动流时，`UNIFIED_AUDIT_TRAIL` 中的一列映射到 `databaseActivityEventList` 数组中的一个字段。

**重要**  
事件结构可能会发生变化。Amazon RDS 可能会将新字段添加到未来的活动事件中。在解析 JSON 数据的应用程序中，请确保您的代码可以忽略未知字段名称或对其采取适当操作。

## Amazon RDS for Oracle 的 databaseActivityEventList 字段
<a name="DBActivityStreams.AuditLog.databaseActivityEventList.ro"></a>

以下是 Amazon RDS for Oracle 的 `databaseActivityEventList` 字段。


| 字段 | 数据类型 | 源 | 描述 | 
| --- | --- | --- | --- | 
| `class` | 字符串 | `UNIFIED_AUDIT_TRAIL` 中的 `AUDIT_TYPE` 列 | 活动事件的类。这对应于 `UNIFIED_AUDIT_TRAIL` 视图中的 `AUDIT_TYPE` 列。Amazon RDS for Oracle 的有效值如下：[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_cn/AmazonRDS/latest/UserGuide/DBActivityStreams.AuditLog.databaseActivityEventList.html)<br />有关更多信息，请参阅 Oracle 文档中的 [UNIFIED\_AUDIT\_TRAIL](https://docs.oracle.com/en/database/oracle/oracle-database/19/refrn/UNIFIED_AUDIT_TRAIL.html#GUID-B7CE1C02-2FD4-47D6-80AA-CF74A60CDD1D)。 | 
| `clientApplication` | 字符串 | `CLIENT_PROGRAM_NAME`中的`UNIFIED_AUDIT_TRAIL` | 客户端报告的其用于连接的应用程序。由于客户端不必提供此信息，因此值可以为 null。示例值为 `JDBC Thin Client`。 | 
| `command` | 字符串 | `UNIFIED_AUDIT_TRAIL` 中的 `ACTION_NAME` 列 | 用户执行的操作名称。要了解完整操作，请同时阅读命令名称和 `AUDIT_TYPE` 值。示例值为 `ALTER DATABASE`。 | 
| `commandText` | 字符串 | `UNIFIED_AUDIT_TRAIL` 中的 `SQL_TEXT` 列 | 与事件关联的 SQL 语句。示例值为 `ALTER DATABASE BEGIN BACKUP`。 | 
| `databaseName` | 字符串 | `V$DATABASE` 中的 `NAME` 列 | 数据库的名称。 | 
| `dbid` | number | `UNIFIED_AUDIT_TRAIL` 中的 `DBID` 列 | 数据库的数字标识符。示例值为 `1559204751`。 | 
| `dbProtocol` | 字符串 | 不适用 | 数据库协议。在该测试版中，值为 `oracle`。 | 
| `dbUserName` | 字符串 | `UNIFIED_AUDIT_TRAIL` 中的 `DBUSERNAME` 列 | 已审核其操作的数据库用户的名称。示例值为 `RDSADMIN`。 | 
| `endTime` | 字符串 | 不适用 | 此字段不用于 RDS for Oracle 且始终为 Null。 | 
| `engineNativeAuditFields` | object | `UNIFIED_AUDIT_TRAIL` | 默认情况下，此对象为空。当您使用 `--engine-native-audit-fields-included` 选项启动活动流时，此对象包括以下列及其值：<pre>ADDITIONAL_INFO<br />APPLICATION_CONTEXTS<br />AUDIT_OPTION<br />AUTHENTICATION_TYPE<br />CLIENT_IDENTIFIER<br />CURRENT_USER<br />DBLINK_INFO<br />DBPROXY_USERNAME<br />DIRECT_PATH_NUM_COLUMNS_LOADED<br />DP_BOOLEAN_PARAMETERS1<br />DP_TEXT_PARAMETERS1<br />DV_ACTION_CODE<br />DV_ACTION_NAME<br />DV_ACTION_OBJECT_NAME<br />DV_COMMENT<br />DV_EXTENDED_ACTION_CODE<br />DV_FACTOR_CONTEXT<br />DV_GRANTEE<br />DV_OBJECT_STATUS<br />DV_RETURN_CODE<br />DV_RULE_SET_NAME<br />ENTRY_ID<br />EXCLUDED_OBJECT<br />EXCLUDED_SCHEMA<br />EXCLUDED_USER<br />EXECUTION_ID<br />EXTERNAL_USERID<br />FGA_POLICY_NAME<br />GLOBAL_USERID<br />INSTANCE_ID<br />KSACL_SERVICE_NAME<br />KSACL_SOURCE_LOCATION<br />KSACL_USER_NAME<br />NEW_NAME<br />NEW_SCHEMA<br />OBJECT_EDITION<br />OBJECT_PRIVILEGES<br />OLS_GRANTEE<br />OLS_LABEL_COMPONENT_NAME<br />OLS_LABEL_COMPONENT_TYPE<br />OLS_MAX_READ_LABEL<br />OLS_MAX_WRITE_LABEL<br />OLS_MIN_WRITE_LABEL<br />OLS_NEW_VALUE<br />OLS_OLD_VALUE<br />OLS_PARENT_GROUP_NAME<br />OLS_POLICY_NAME<br />OLS_PRIVILEGES_GRANTED<br />OLS_PRIVILEGES_USED<br />OLS_PROGRAM_UNIT_NAME<br />OLS_STRING_LABEL<br />OS_USERNAME<br />PROTOCOL_ACTION_NAME<br />PROTOCOL_MESSAGE<br />PROTOCOL_RETURN_CODE<br />PROTOCOL_SESSION_ID<br />PROTOCOL_USERHOST<br />PROXY_SESSIONID<br />RLS_INFO<br />RMAN_DEVICE_TYPE<br />RMAN_OBJECT_TYPE<br />RMAN_OPERATION<br />RMAN_SESSION_RECID<br />RMAN_SESSION_STAMP<br />ROLE<br />SCN<br />SYSTEM_PRIVILEGE<br />SYSTEM_PRIVILEGE_USED<br />TARGET_USER<br />TERMINAL<br />UNIFIED_AUDIT_POLICIES<br />USERHOST<br />XS_CALLBACK_EVENT_TYPE<br />XS_COOKIE<br />XS_DATASEC_POLICY_NAME<br />XS_ENABLED_ROLE<br />XS_ENTITY_TYPE<br />XS_INACTIVITY_TIMEOUT<br />XS_NS_ATTRIBUTE<br />XS_NS_ATTRIBUTE_NEW_VAL<br />XS_NS_ATTRIBUTE_OLD_VAL<br />XS_NS_NAME<br />XS_PACKAGE_NAME<br />XS_PROCEDURE_NAME<br />XS_PROXY_USER_NAME<br />XS_SCHEMA_NAME<br />XS_SESSIONID<br />XS_TARGET_PRINCIPAL_NAME<br />XS_USER_NAME</pre><br />有关更多信息，请参阅 Oracle 数据库文档中的 [UNIFIED\_AUDIT\_TRAIL](https://docs.oracle.com/database/121/REFRN/GUID-B7CE1C02-2FD4-47D6-80AA-CF74A60CDD1D.htm#REFRN29162)。 | 
| `errorMessage` | 字符串 | 不适用 | 此字段不用于 RDS for Oracle 且始终为 Null。 | 
| `exitCode` | number | `UNIFIED_AUDIT_TRAIL` 中的 `RETURN_CODE` 列 | 操作生成的 Oracle 数据库错误代码。如果操作成功，则值为 `0`。 | 
| `logTime` | 字符串 | `UNIFIED_AUDIT_TRAIL` 中的 `EVENT_TIMESTAMP_UTC` 列 | 创建审计跟踪条目的时间戳。示例值为 `2020-11-27 06:56:14.981404`。 | 
| `netProtocol` | 字符串 | `UNIFIED_AUDIT_TRAIL` 中的 `AUTHENTICATION_TYPE` 列 | 网络通信协议。示例值为 `TCP`。 | 
| `objectName` | 字符串 | `UNIFIED_AUDIT_TRAIL` 中的 `OBJECT_NAME` 列 | 受操作影响的对象名称。示例值为 `employees`。 | 
| `objectType` | 字符串 | `UNIFIED_AUDIT_TRAIL` 中的 `OBJECT_SCHEMA` 列 | 受操作影响的对象架构名称。示例值为 `hr`。 | 
| `paramList` | list | `UNIFIED_AUDIT_TRAIL` 中的 `SQL_BINDS` 列 | 与 `SQL_TEXT` 关联的绑定变量列表（如有）。示例值为 `parameter_1,parameter_2`。 | 
| `pid` | number | `UNIFIED_AUDIT_TRAIL` 中的 `OS_PROCESS` 列 | Oracle 数据库进程的操作系统进程标识符。示例值为 `22396`。 | 
| `remoteHost` | 字符串 | `UNIFIED_AUDIT_TRAIL` 中的 `AUTHENTICATION_TYPE` 列 | 客户端 IP 地址或生成会话的主机的名称。示例值为 `123.456.789.123`。 | 
| `remotePort` | 字符串 | `UNIFIED_AUDIT_TRAIL` 中的 `AUTHENTICATION_TYPE` 列 | 客户端的端口号。Oracle 数据库环境中的典型值是 `1521`。 | 
| `rowCount` | number | 不适用 | 此字段不用于 RDS for Oracle 且始终为 Null。 | 
| `serverHost` | 字符串 | 数据库主机 | 数据库服务器主机的 IP 地址。示例值为 `123.456.789.123`。 | 
| `serverType` | 字符串 | 不适用 | 数据库服务器类型。此值始终为 `ORACLE`。 | 
| `serverVersion` | 字符串 | 数据库主机 | Amazon RDS for Oracle 版本、发布更新（RU）和版本更新修订（RUR）。示例值为 `19.0.0.0.ru-2020-01.rur-2020-01.r1.EE.3`。 | 
| `serviceName` | 字符串 | 数据库主机 | 服务的名称。示例值为 `oracle-ee`。 | 
| `sessionId` | number | `UNIFIED_AUDIT_TRAIL` 中的 `SESSIONID` 列 | 审计的会话标识符。示例是 `1894327130`。 | 
| `startTime` | 字符串 | 不适用 | 此字段不用于 RDS for Oracle 且始终为 Null。 | 
| `statementId` | number | `UNIFIED_AUDIT_TRAIL` 中的 `STATEMENT_ID` 列 | 每个语句运行的数字 ID。一个语句可能会导致多个操作。示例值为 `142197`。 | 
| `substatementId` | 不适用 | 不适用 | 此字段不用于 RDS for Oracle 且始终为 Null。 | 
| `transactionId` | 字符串 | `UNIFIED_AUDIT_TRAIL` 中的 `TRANSACTION_ID` 列 | 在其中修改对象事务的标识符。示例值为 `02000800D5030000`。 | 

## Amazon RDS for SQL Server 的 databaseActivityEventList 字段
<a name="DBActivityStreams.AuditLog.databaseActivityEventList.rss"></a>

以下是 Amazon RDS for SQL Server 的 `databaseActivityEventList` 字段。


| 字段 | 数据类型 | 源 | 描述 | 
| --- | --- | --- | --- | 
| `class` | 字符串 | ` sys.fn_get_audit_file.class_type` 映射到 `sys.dm_audit_class_type_map.class_type_desc` | 活动事件的类。有关更多信息，请参阅 Microsoft 文档中的 [SQL Server 审计（数据库引擎）](https://learn.microsoft.com/en-us/sql/relational-databases/security/auditing/sql-server-audit-database-engine?view=sql-server-ver16)。 | 
| `clientApplication` | 字符串 | `sys.fn_get_audit_file.application_name` | 客户端报告的客户端连接的应用程序（SQL Server 版本 14 及更高版本）。在 SQL Server 版本 13 中，此字段为空。 | 
| `command` | 字符串 | `sys.fn_get_audit_file.action_id` 映射到 `sys.dm_audit_actions.name` | SQL 语句的常规类别。此字段的值取决于类的值。 | 
| `commandText` | 字符串 | `sys.fn_get_audit_file.statement` | 此字段指示 SQL 语句。 | 
| `databaseName` | 字符串 | `sys.fn_get_audit_file.database_name` | 数据库的名称。 | 
| `dbProtocol` | 字符串 | 不适用 | 数据库协议。该值为 `SQLSERVER`。 | 
| `dbUserName` | 字符串 | `sys.fn_get_audit_file.server_principal_name` | 客户端身份验证的数据库用户。 | 
| `endTime` | 字符串 | 不适用 | Amazon RDS for SQL Server 未使用此字段，值为空。 | 
| `engineNativeAuditFields` | object | `sys.fn_get_audit_file` 中此列未列出的每个字段。 | 默认情况下，此对象为空。当您使用 `--engine-native-audit-fields-included` 选项启动活动流时，此对象包括其他原生引擎审计字段，此 JSON 映射不返回这些字段。 | 
| `errorMessage` | 字符串 | 不适用 | Amazon RDS for SQL Server 未使用此字段，值为空。 | 
| `exitCode` | 整数 | `sys.fn_get_audit_file.succeeded` | 表示启动事件的操作是否成功。此字段不能为空。对于除登录事件以外的所有事件，此字段报告权限检查是成功还是失败，但不报告操作是成功还是失败。<br />值包括：[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_cn/AmazonRDS/latest/UserGuide/DBActivityStreams.AuditLog.databaseActivityEventList.html) | 
| `logTime` | 字符串 | `sys.fn_get_audit_file.event_time` | 由 SQL Server 记录的事件时间戳。 | 
| `netProtocol` | 字符串 | 不适用 | Amazon RDS for SQL Server 未使用此字段，值为空。 | 
| `objectName` | 字符串 | `sys.fn_get_audit_file.object_name` | 数据库对象的名称（如果正在对某个对象运行 SQL 语句）。 | 
| `objectType` | 字符串 | `sys.fn_get_audit_file.class_type` 映射到 `sys.dm_audit_class_type_map.class_type_desc` | 数据库对象类型（如果正在对某个对象类型运行 SQL 语句）。 | 
| `paramList` | 字符串 | 不适用 | Amazon RDS for SQL Server 未使用此字段，值为空。 | 
| `pid` | 整数 | 不适用 | Amazon RDS for SQL Server 未使用此字段，值为空。 | 
| `remoteHost` | 字符串 | `sys.fn_get_audit_file.client_ip` | 发出 SQL 语句的客户端的 IP 地址或主机名（SQL Server 版本 14 及更高版本）。在 SQL Server 版本 13 中，此字段为空。 | 
| `remotePort` | 整数 | 不适用 | Amazon RDS for SQL Server 未使用此字段，值为空。 | 
| `rowCount` | 整数 | `sys.fn_get_audit_file.affected_rows` | SQL 语句所影响的表行的数量（SQL Server 版本 14 及更高版本）。此字段位于 SQL Server 版本 13 中。 | 
| `serverHost` | 字符串 | 数据库主机 | 主机数据库服务器的 IP 地址。 | 
| `serverType` | 字符串 | 不适用 | 数据库服务器类型。值为 `SQLSERVER`。 | 
| `serverVersion` | 字符串 | 数据库主机 | 数据库服务器版本，例如，对于 SQL Server 2017，为 15.00.4073.23.v1.R1。 | 
| `serviceName` | 字符串 | 数据库主机 | 服务的名称。示例值为 `sqlserver-ee`。 | 
| `sessionId` | 整数 | `sys.fn_get_audit_file.session_id` | 会话的唯一标识符。 | 
| `startTime` | 字符串 | 不适用 | Amazon RDS for SQL Server 未使用此字段，值为空。 | 
| `statementId` | 字符串 | `sys.fn_get_audit_file.sequence_group_id` | 客户端的 SQL 语句的唯一标识符。对于生成的每个事件，标识符都不同。示例值为 `0x38eaf4156267184094bb82071aaab644`。 | 
| `substatementId` | 整数 | `sys.fn_get_audit_file.sequence_number` | 用于确定语句的序列号的标识符。当大型记录拆分为多条记录时，此标识符会有所帮助。 | 
| `transactionId` | 整数 | `sys.fn_get_audit_file.transaction_id` | 事务的标识符。如果没有任何活动的事务，则该值为零。 | 
| `type` | 字符串 | 生成的数据库活动流 | 事件类型。值为 `record` 或 `heartbeat`。 |