审计管理简介
数据库审计能够对数据库操作进行细粒度的合规性审计管理,针对数据库 SQL 注入、异常操作等数据库风险行为进行记录,为数据库提供完善的安全诊断和管理功能,提高数据资产安全。
用户通过在控制台的审计管理 -> 审计规则界面配置审计规则,然后在审计管理 -> 审计策略界面设置具体数据库实例的审计策略(包含关联的审计规则,审计启停开关等),再通过审计管理 -> 审计日志界面查看具体实例的审计日志。
注意事项
开启审计后,对分布式融合数据库HTAP的系统性能会有一定的影响。
约束限制
- 审计日志使用的空间大小不能超过 5 GB。
审计规则管理
新建规则
在审计规则界面,点击新建规则按钮,在弹出的新建规则界面填写相关信息并提交。
规则名,建议小写字母、数字组合。规则的描述,建议长度在128以内。
审计规则包含了客户端IP、客户端端口、SQL命令等参数规则的定义。当所有参数规则都满足时,才会输出到审计日志。
参数规则说明:
| 参数 | 类型 | 取值说明 |
|---|---|---|
| 客户端IP | string | 数据库连接的客户端IP。 |
| 客户端端口 | number | 数据库连接的客户端端口。 |
| 数据库账户 | string | 数据库连接的账户。 |
| 数据库名称 | string | 数据库连接的当前 database 名称。 |
| SQL命令 | string | SQL 查询语句。 |
| SQL类型 | string | sql_type。 |
| 影响行数 | number | 更新操作影响的行数。 |
| 执行时间(ms) | number | 查询耗时。 |
参数规则的匹配类型说明:
| 匹配类型 | 含义 | 适用的参数类型 |
|---|---|---|
| 无 | 不含该参数规则 | string、number |
| = | 如果查询SQL 该参数的值等于特征值 | string、number |
| != | 不等于 | string、number |
| >= | 大于或等于 | number |
| < | 小于 | number |
| in | 包含子串 | string |
| ni | 不含子串 | string |
| re | 正则表达式 ,遵循 RE2 语法 | string |
如果审计规则所有参数的匹配类型都设置为无,相当于不含任何参数规则,因此基于该审计规则审计所有查询时不会输出审计日志。输出审计日志的前提是符合审计规则的所有参数规则(参数规则间是与的关系,必须同时满足)。
查看规则
在审计管理 -> 审计规则界面查看审计规则列表,点击某一个审计规则的查看按钮,可以查看该审计规则的详情。
修改规则
在审计管理 -> 审计规则界面查看审计规则列表,点击某一个审计规则的修改按钮,可以修改该审计规则的定义。
在使用中的审计规则目前不支持修改。如果要修改,先从所有应用改审计规则的实例的策略中去掉之后,才可以修改,然后再重新应用到实例的策略中去。
删除规则
在审计管理 -> 审计规则界面查看审计规则列表,点击某一个审计规则的删除按钮,可以删除该审计规则。
在使用中的审计规则目前不允许删除。如果要删除,先从所有应用改审计规则的实例的策略中去掉之后,才可以删除。
审计策略管理
在审计策略界面,选中实例之后,可以对实例的进行创建审计策略、修改审计策略、查看审计策略等操作。
一个实例目前只允许创建一条审计策略。当实例没有审计策略时,新建策略按钮可用,用户可以给实例创建对应的审计策略。
新建审计策略
新建审计策略时需要填写相关参数,具体的参数说明如下:
| 参数 | 类型 | 说明 |
|---|---|---|
| 审计规则 | 列表 | 审计策略包含的审计规则列表,支持多选。 |
| auditLogFile | string | 审计日志文件的保存路径,可自定义,如 /htap-audit/audit.log |
| auditLogRotateOnSize | number | 审计日志按大小滚动的阈值,单位MB。 |
| auditLogRotations | number | 审计日志滚动时最多保留的文件个数。审计日志占用空间上限是 auditLogRotations * auditLogRotateOnSize MB,不能超过 5 GB。 |
| auditLogFormat | string | 审计日志格式,目前只支持json。 |
| 是否启用 | 布尔 | 审计开关,选中表示审计打开,未选中表示审计关闭。 |
查看审计策略
在审计管理 -> 审计策略界面选择具体的实例,可以查看该实例的审计策略,点击审计策略的查看按钮,可以查看该审计策略的定义。
修改审计策略
在审计管理 -> 审计策略界面选择具体的实例,可以查看该实例的审计策略,点击审计策略的修改按钮,可以修改该审计策略的定义。
查看、下载审计日志
查看审计日志
在审计管理 -> 审计日志界面,选择实例和日志筛选的时间范围,点击搜索(放大镜按钮),可以查看该实例的审计日志。
点击搜索(放大镜按钮)右边的设置按钮,可以设置需要展示的列,包括有:时间、IP/端口、数据库、账号、SQ类型、SQL命令详情、影响行数、执行时间。
下载审计日志
在审计管理 -> 审计日志界面,选择是实例、时间范围,点击导出按钮,可以下载该实例对应时间范围的审计日志到本地。
