数据库审计如何进行接入配置?
-
首先进入到数据库审计原子能力后先修改管理口IP,在菜单栏选择“ 系统管理+系统配置 ”进入系统配置页面,选择网络页签,点击操作列中的“编辑”。
在弹出的编辑网口对话框中修改网口的IPv4地址、子网掩码、IPv6等配置信息,点击“保存”。
如果该网口是管理口,除修改网口的IPv4地址、子网掩码、IPv6配置信息,还可设置IPv4网关。
在网口管理区域的操作列中点击是否启用开关,可启用或禁用选中的网口(管理口无法被禁用)。
-
然后添加系统需要审计的数据库,在菜单栏选择“ 资产+资产管理 ”进入资产管理页面,选择资产管理页签,点击“添加”。
在弹出的添加资产页面编辑相关信息。
如需配置其他更多信息,可点击“更多配置”,选择单向审计或双向审计,设置加密协议审计。
-
然后配置数据库的安全规则和过滤规则,在菜单栏选择“ 规则配置+安全规则 ”进入安全规则页面,选择规则管理页签,点击“推荐”,切换至“全部”。
用户也可以管理自定义的规则,新增自定义安全规则的操作方法如下:在菜单栏选择“ 规则配置+安全规则 ”进入安全规则页面,选择规则管理页签,点击“新增”。
在新增规则对话框中编辑相关信息,点击“保存”。
接着启用规则,在菜单栏选择“ 规则配置+安全规则 ”进入安全规则页面,选择规则管理页签,在规则列表中勾选目标规则,点击“启用选中项”。
在弹出对话框中勾选资产,点击“确定”,则可将已启用的规则直接应用到选择的资产上。
-
最后便于用户及时了解数据库的运行状态及安全告警信息,可查看报表订阅和告警通知,在菜单栏选择“ 报表中心+报表预览 ”进入报表预览页面,点击页面右上角的“订阅”。
进入添加订阅任务页面,编辑相关信息,点击“保存”。
系统支持多种消息通知模式,可及时将当前资产告警情况以及系统本身的状态信息提供给管理员,目前支持邮件、短信、企业微信、钉钉、SNMP、Syslog六种通知方式,详情阅读用户手册进行设置。
数据库审计是否支持备份行为的过滤,具体是怎样实现的?
可以通过设计规则来实现,如源IP是主数据库,目的IP是备数据库,这类命令全部过滤,不审计。
数据库审计Agent在服务器上生成的日志包含哪些内容?
数据库审计Agent在服务器上生成的日志只是Agent的运行日志,且日志的容量有上限,50M*7=350M,存7天,循环覆盖,单日最大是50M。
数据库审计是否支持报表导出ofd格式?
不支持。
在数据库所在服务器上,用数据库工具对数据库进行操作能审计到吗?
对应本地审计功能,通过安装Agent的方式是可以的。
用户的数据库有区分主库和备库,这种情况占用几个授权?
数据库审计对授权占用是按照“业务IP+端口”这个组合来确定的,每一个这样的组合会占用一个授权,可以结合实际主库和备库对外“业务IP+端口”的数量来确定需要的授权数。
数据库审计是否支持对于某个数据库的日志单独设置保存时长,或者单独设置日志外送?
不支持单独设置某个库的日志存留时间,但是可以对某个库单独设置日志外送任务,在外送任务建立之后,会实时转发每一条日志,但是对于设置日志外送任务之前的日志,则无法单独外送。
加密的数据库,没有密钥,是否有审计数据?
无密钥,就没有审计记录。
SSH远录登陆审计与本地审计是否支持?
SSH远程登录审计指的是,在远程通过SSH登录数据库本地的情况下,可以审计到远程的设备的IP,并不会因为此次行为的本质是数据库本地操作而止步数据库IP作为源IP。
SSH远程登录,源头IP被审计到之后,下一步会流转到本地回环审计或本地审计:
- 本地回环审计,会产生网络流量,会有审计日志,审计日志中的源IP会显示为远程登录的设备的IP,对所有支持的数据库协议都可用。
- 本地审计,无网络流量,这种情况要看数审目前支持的本地审计的矩阵,矩阵之内的,可以审计到,并且有审计日志,在矩阵之外的,审计不到,没有审计日志。
