如何實(shí)現(xiàn)數(shù)據(jù)庫存儲(chǔ)過程操作審計(jì)
--禁用C2 審核跟蹤和只限成功的登錄
成都創(chuàng)新互聯(lián)10多年成都定制網(wǎng)站服務(wù);為您提供網(wǎng)站建設(shè),網(wǎng)站制作,網(wǎng)頁設(shè)計(jì)及高端網(wǎng)站定制服務(wù),成都定制網(wǎng)站及推廣,對成都水處理設(shè)備等多個(gè)方面擁有多年的網(wǎng)站設(shè)計(jì)經(jīng)驗(yàn)的網(wǎng)站建設(shè)公司。
EXEC sys.sp_configure N'c2 audit mode', N'0'
GO
RECONFIGURE WITH OVERRIDE
GO
USE [master]
GO
EXEC xp_instance_regwrite N'HKEY_LOCAL_MACHINE', N'Software\Microsoft\MSSQLServer\MSSQLServer', N'AuditLevel', REG_DWORD, 1
GO
SQLSERVER2008新增的審核功能
在sqlserver2008新增了審核功能�����,可以對服務(wù)器級別和數(shù)據(jù)庫級別的操作進(jìn)行審核/審計(jì)����,事實(shí)上��,事件通知��、更改跟蹤����、變更數(shù)據(jù)捕獲(CDC)
都不是用來做審計(jì)的���,只是某些人亂用這些功能�,也正因?yàn)閬y用這些功能導(dǎo)致踩坑
事件通知:性能跟蹤
更改跟蹤:用Sync Services來構(gòu)建偶爾連接的系統(tǒng)
變更數(shù)據(jù)捕獲(CDC):數(shù)據(jù)倉庫的ETL 中的數(shù)據(jù)抽?�。ū澈笫褂胠ogreader)
而審核是SQLSERVER專門針對數(shù)據(jù)庫安全的進(jìn)行的審核�����,記住,他是專門的���!
什么是數(shù)據(jù)庫審計(jì)?
數(shù)據(jù)庫審計(jì)是一款針對數(shù)據(jù)庫層面進(jìn)行流量監(jiān)控審計(jì)的工具���,針對數(shù)據(jù)庫進(jìn)行全面、高效���、自動(dòng)化的數(shù)據(jù)庫監(jiān)控告警和審計(jì)追溯��。在行為分析基礎(chǔ)上�����,數(shù)據(jù)庫審計(jì)可以實(shí)現(xiàn)風(fēng)險(xiǎn)行為描述�,實(shí)現(xiàn)對數(shù)據(jù)庫風(fēng)險(xiǎn)和攻擊行為的有效描述�;對違反安全策略的文房行為進(jìn)行及時(shí)告警,保證數(shù)據(jù)庫操作滿足合規(guī)要求�;通過系統(tǒng)自帶數(shù)據(jù)庫風(fēng)險(xiǎn)特征庫,迅速實(shí)現(xiàn)數(shù)據(jù)庫風(fēng)險(xiǎn)檢查和告警��。推薦你了解一下安華金和數(shù)據(jù)庫安全審計(jì)系統(tǒng)�����,這方面在業(yè)內(nèi)做的很專業(yè),安華的數(shù)據(jù)庫審計(jì)是基于數(shù)據(jù)庫通訊協(xié)議分析和SQL語法詞法的精確協(xié)議解析技術(shù)���,這種技術(shù)審計(jì)的精確度高�。
MySQL審計(jì)工具Audit插件使用
一��、介紹MySQL AUDIT
MySQL AUDIT Plugin是一個(gè)?MySQL安全審計(jì)插件��,由McAfee提供��,設(shè)計(jì)強(qiáng)調(diào)安全性和審計(jì)能力�。該插件可用作獨(dú)立審計(jì)解決方案�����,或配置為數(shù)據(jù)傳送給外部監(jiān)測工具���。支持版本為MySQL (5.1, 5.5, 5.6, 5.7)��,MariaDB (5.5, 10.0, 10.1) ��,Platform?(32 or 64 bit)�����。從Mariadb 10.0版本開始audit插件直接內(nèi)嵌了�,名稱為server_audit.so,可以直接加載使用���。
二進(jìn)制文件地址:
macfee的mysql audit插件雖然日志信息比較大����,對性能影響大���,但是如果想要開啟審計(jì)���,請斟酌。
二����、安裝使用MySQL AUDIT
# unzip audit-plugin-mysql-5.6-1.1.5-774-linux-x86_64.zip
MySQL的插件目錄為:
mysql show global variables like 'plugin_dir';
+---------------+------------------------+
| Variable_name | Value? ? ? ? ? ? ? ? ? |
+---------------+------------------------+
| plugin_dir? ? | /app/mysql/lib/plugin/ |
+---------------+------------------------+
1 row in set (0.00 sec)
復(fù)制庫文件到MySQL庫目錄下
# cp audit-plugin-mysql-5.6-1.1.2-694/lib/libaudit_plugin.so /app/mysql/lib/plugin/
# chmod a+x /app/mysql/lib/plugin/libaudit_plugin.so
加載Audit插件
mysql INSTALL PLUGIN AUDIT SONAME 'libaudit_plugin.so';
查看版本
mysql show global status like '%audit%';
+------------------------+-----------+
| Variable_name? ? ? ? ? | Value? ? |
+------------------------+-----------+
| Audit_protocol_version | 1.0? ? ? |
| Audit_version? ? ? ? ? | 1.1.2-694 |
+------------------------+-----------+
2 rows in set (0.00 sec)
開啟Audit功能
mysql SET GLOBAL audit_json_file=ON;
Query OK, 0 rows affected (0.00 sec)
執(zhí)行任何語句(默認(rèn)會(huì)記錄任何語句),然后去mysql數(shù)據(jù)目錄查看mysql-audit.json文件(默認(rèn)為該文件)���。
當(dāng)然�����,我們還可以通過命令查看audit相關(guān)的命令���。
mysql SHOW GLOBAL VARIABLES LIKE '%audit%';
其中我們需要關(guān)注的參數(shù)有:
1���、audit_json_file
是否開啟audit功能。
2��、audit_json_log_file
記錄文件的路徑和名稱信息����。
3、audit_record_cmds
audit記錄的命令�����,默認(rèn)為記錄所有命令����?��?梢栽O(shè)置為任意dml����、dcl、ddl的組合�����。如:audit_record_cmds=select,insert,delete,update����。還可以在線設(shè)置set global audit_record_cmds=NULL。(表示記錄所有命令)
4�、 audit_record_objs
audit記錄操作的對象,默認(rèn)為記錄所有對象���,可以用SET GLOBAL audit_record_objs=NULL設(shè)置為默認(rèn)����。也可以指定為下面的格式:audit_record_objs=,test.*,mysql.*,information_schema.*�。
5、audit_whitelist_users
用戶白名單�����。
三��、查看審計(jì)數(shù)據(jù)
插入一些數(shù)據(jù)�����,查看一下mysql-audit.json文件信息(json格式),如下:
$ cat /app/mysql/data/mysql-audit.json
{"msg-type":"activity","date":"1517989674556","thread-id":"3","query-id":"39","user":"root","priv_user":"root","ip":"","host":"localhost","connect_attrs":{"_os":"Linux","_client_name":"libmysql","_pid":"1331209","_client_version":"5.6.27","_platform":"x86_64","program_name":"mysql"},"pid":"3472328296227680304","os_user":"0000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000","appname":"0000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000","rows":"10","cmd":"select","objects":[{"db":"sbtest","name":"sbtest1","obj_type":"TABLE"}],"query":"select * from sbtest1 limit 10"}
審計(jì)記錄文件一般存放在mysql的數(shù)據(jù)目錄下�����。
什么是數(shù)據(jù)庫審計(jì)����?
隨著信息泄露事件的頻發(fā),數(shù)據(jù)庫安全產(chǎn)品逐漸進(jìn)入大眾視野��。在數(shù)據(jù)庫安全產(chǎn)品中����,數(shù)據(jù)庫審計(jì)大概是用戶方最為熟悉的一款產(chǎn)品了。在不影響業(yè)務(wù)系統(tǒng)正常運(yùn)轉(zhuǎn)的情況下��,數(shù)據(jù)庫審計(jì)產(chǎn)品能夠?qū)?shù)據(jù)庫的操作訪問行為進(jìn)行追蹤審計(jì)�,這也是大多數(shù)用戶將其作為數(shù)據(jù)庫安全標(biāo)配采購的重要原因。本文時(shí)代新威為您科普什么是數(shù)據(jù)庫審計(jì)��,數(shù)據(jù)庫審計(jì)的作用和原理有哪些�,一起來看看吧����!
什么是數(shù)據(jù)庫審計(jì)��?
數(shù)據(jù)庫審計(jì)是指對審計(jì)日志和事務(wù)日志進(jìn)行審查�����,從而跟蹤數(shù)據(jù)和數(shù)據(jù)庫結(jié)構(gòu)的變化����。數(shù)據(jù)庫可以這樣進(jìn)行設(shè)置:捕捉數(shù)據(jù)和元數(shù)據(jù)的改變�,以及存儲(chǔ)這些資料的數(shù)據(jù)庫所做的修改。典型的審計(jì)報(bào)告應(yīng)該包括以下內(nèi)容:完成的數(shù)據(jù)庫操作�、改變的數(shù)據(jù)值、執(zhí)行該項(xiàng)操作的人�,以及其他幾項(xiàng)屬性。這些審計(jì)功能被植入到所有的關(guān)系數(shù)據(jù)庫平臺(tái)中�����,并確保生成的記錄文件具有較高的準(zhǔn)確性和完整性�,就好像在數(shù)據(jù)庫中存儲(chǔ)的數(shù)據(jù)一樣。此外����,審計(jì)跟蹤還能把一系列的語句轉(zhuǎn)化為合理的事務(wù)���,并提供業(yè)務(wù)流程取證(forensic)分析所需的業(yè)務(wù)環(huán)境。
不過����,審計(jì)功能也存在限制,例如不能對數(shù)據(jù)訪問語句(通常稱之為SELECT語句)進(jìn)行審計(jì)��。另外���,本地?cái)?shù)據(jù)庫審計(jì)很難捕捉到用戶認(rèn)可的原始查詢(query)和變量(variables)�����,只能從綜合的角度對事件做出記錄�����,而日志則可以捕捉到改變前后的數(shù)據(jù)值��。這也使得審計(jì)跟蹤在檢測已改變的內(nèi)容時(shí)�����,比檢測已訪問的內(nèi)容更為有效����。
對數(shù)據(jù)庫活動(dòng)和狀態(tài)進(jìn)行取證檢查時(shí)�,審計(jì)可以準(zhǔn)確的把握事件的本質(zhì)。對SELECT語句(用戶查看數(shù)據(jù)時(shí)會(huì)使用)進(jìn)行檢查時(shí)���,因?yàn)楸镜仄脚_(tái)缺乏對這些語句的收集能力���,即便利用高級選項(xiàng)實(shí)現(xiàn)了這項(xiàng)操作,也會(huì)導(dǎo)致性能受到極大損失�����。既然有簡單的方法可以高效地對SELECT語句進(jìn)行登記(cataloging)(例如�,登入失敗、嘗試查看信用證信息)�,為什么企業(yè)還要選擇在本地?cái)?shù)據(jù)庫審計(jì)功能上增加其他的數(shù)據(jù)收集資源。不管怎樣���,內(nèi)置的數(shù)據(jù)庫審計(jì)功能可以生成事務(wù)認(rèn)證和法規(guī)控制的核心信息���。
數(shù)據(jù)庫審計(jì)作用:
數(shù)據(jù)庫審計(jì)通過旁路部署,能夠?qū)崟r(shí)記錄網(wǎng)絡(luò)上的數(shù)據(jù)庫活動(dòng)�,對數(shù)據(jù)庫操作進(jìn)行細(xì)粒度審計(jì)的合規(guī)性管理���,對數(shù)據(jù)庫遭受到的風(fēng)險(xiǎn)行為進(jìn)行告警。它通過對用戶訪問數(shù)據(jù)庫行為的記錄��、分析和匯報(bào)�����,用來幫助用戶事后生成合規(guī)搜索報(bào)告����、事后追根溯源,同時(shí)加強(qiáng)內(nèi)外部數(shù)據(jù)庫網(wǎng)絡(luò)行為記錄�,提高數(shù)據(jù)資產(chǎn)安全。
數(shù)據(jù)庫審計(jì)原理:
數(shù)據(jù)庫審計(jì)系統(tǒng)對來自應(yīng)用系統(tǒng)客戶端和dba對數(shù)據(jù)庫的訪問行為進(jìn)行全面審計(jì)�����,不僅審計(jì)sql語句�,還對ftp、telnet等遠(yuǎn)程訪問進(jìn)行審計(jì)���。系統(tǒng)詳細(xì)記錄查詢���、刪除�、增加����、修改等行為及操作結(jié)果���,對危險(xiǎn)操作還可實(shí)時(shí)預(yù)警�����,及時(shí)阻止�����,從而達(dá)到保護(hù)數(shù)據(jù)庫的良好效果��。
黑格爾曾說���,“存在即合理”,用在數(shù)據(jù)安全領(lǐng)域�,對數(shù)據(jù)庫審計(jì)的運(yùn)用同樣適用。時(shí)代新威認(rèn)為數(shù)據(jù)庫審計(jì)是當(dāng)下最經(jīng)濟(jì)����、最貼身�����、最有效的數(shù)據(jù)保鏢���,同時(shí)我國信息化建設(shè)想要長遠(yuǎn)持續(xù)發(fā)展,數(shù)據(jù)庫審計(jì)是必然選擇����。
分享文章:mysql數(shù)據(jù)庫怎么審計(jì) sql 審計(jì)
網(wǎng)站鏈接:
http://weahome.cn/article/hjecpo.html
重慶分公司
重慶分公司
