过滤规则概述
过滤规则的功能是根据某些特定的条件过滤一些操作,系统对这些操作不审计,从而节省设备的磁盘空间,将有限的资源用来存储更有价值的审计数据。
过滤规则的过滤方式有三种:
- 按IP过滤:设置某些IP地址为信任的IP地址,系统对这些IP地址发起的SQL请求不审计。
- 按SQL模板过滤:设置SQL模板为可信任的模板,当访问的SQL语句的模板是设置的过滤模板,则不进行审计。
- 按规则过滤:指按照特定的条件进行审计过滤,规则包括客户端信息、服务端信息、SQL请求和SQL结果等条件。
添加按IP过滤规则
按IP过滤则是将新增的客户端IP认为是白名单,不审计该IP下任何信息。新增按IP过滤规则的操作方法如下:
注意此处添加的不审计的IP默认使用旁路镜像和Agent日志采集方式的全部资产有效。即添加后,资产中有符合上述不审计IP条件的客户端和服务端均不做任何审计,请谨慎添加。
1.在左侧菜单栏选择“规则配置 > 过滤规则”进入过滤规则页面,选择按“按IP过滤”页签。
2.单击“新增”,进入新增IP过滤页面,编辑名称和不审计的IP。详细配置请参见下表。
配置项 | 说明 |
---|---|
名称 | 必须为中文字符、字母、数字、下划线“_”、点“.”或短横“-”,长度不超过64字符。 |
不审计的IP | 格式为“IP/掩码长度”,可配置多组,用“,”隔开。例如:1.2.3.4/32,10.0.0.0/8。 |
3.填写完成后,单击“保存”,即可完成按IP过滤规则的配置。
启用按SQL模板过滤规则
按SQL模板过滤是为用户提供常见的可信任的SQL模板,减少误告警,提高告警准确率。系统内置部分常见数据库的常见非违规SQL语句模板,且默认对全部对应的数据库生效。具体操作步骤如下:
1.在左侧菜单栏选择“规则配置 > 过滤规则”进入过滤规则页面,选择按“按SQL模板过滤”页签。
2.勾选需要启用或禁用SQL模板,单击“启用选中项”。
3.在弹出的对话框中单击“确认”,即可启用SQL模板过滤规则。
按规则过滤
按规则过滤是为用户提供自定义的过滤规则,支持用户按照特定的条件设置过滤规则,规则包括客户端信息、服务端信息、SQL请求和SQL结果等条件。在资产上启用了过滤规则后,符合规则的内容则不会被审计。
添加按规则过滤的规则的操作方法与添加安全规则的方法相同,请参见规则管理。
添加自定义过滤规则后,需要在资产上启用过滤规则后才能生效,具体操作步骤如下:
1.在左侧菜单栏选择“规则配置 > 过滤规则”进入过滤规则页面,选择按“按规则过滤”页签。
2.勾选需要启用的规则,单击“启用选中项”。
3.在弹出的选择资产对话框中勾选资产,单击“确定”。