Перейти к основному содержанию
ClickHouse по умолчанию предоставляет журналы аудита базы данных. Эта страница посвящена журналам, связанным с безопасностью. Дополнительные сведения о данных, записываемых системой, см. в документации по системным таблицам.
Хранение журналовИнформация записывается непосредственно в системные таблицы и по умолчанию хранится до 30 дней. Этот срок может быть как больше, так и меньше и зависит от частоты слияний в системе. При необходимости клиенты могут принять дополнительные меры для более длительного хранения журналов или экспортировать их в систему управления информацией и событиями безопасности (SIEM) для долгосрочного хранения. Подробности ниже.

Журналы событий безопасности

ClickHouse записывает связанные с безопасностью события базы данных в основном в журналы сеансов и запросов. system.session_log регистрирует успешные и неудачные попытки входа, а также место, откуда была предпринята попытка аутентификации. Эти сведения можно использовать для выявления атак с массовым подбором учетных данных или brute force-атак на экземпляр ClickHouse. Пример запроса, показывающего неудачные попытки входа 
select event_time
    ,type
    ,user
    ,auth_type
    ,client_address 
FROM clusterAllReplicas('default',system.session_log) 
WHERE type='LoginFailure' 
LIMIT 100
system.query_log фиксирует активность запросов, выполняемых в экземпляре ClickHouse. Эта информация может быть полезна, чтобы определить, какие запросы выполнял злоумышленник. Пример запроса для поиска действий пользователя “compromised_account” 
SELECT event_time
    ,address
    ,initial_user
    ,initial_address
    ,forwarded_for
    ,query 
FROM clusterAllReplicas('default', system.query_log) 
WHERE user=’compromised_account’

Хранение данных логов в сервисах

Клиенты, которым требуется более длительное хранение или повышенная надежность логов, могут использовать materialized views для достижения этих целей. Подробнее о materialized views, их назначении, преимуществах и способах реализации см. в наших видео и документации по materialized views.

Экспорт журналов

Системные журналы можно записывать или экспортировать в хранилище в различных форматах, совместимых с системами SIEM. Подробнее см. в нашей документации по табличным функциям. Наиболее распространённые способы:
Последнее изменение 10 июня 2026 г.