上一篇
昂楷数据库审计手册
昂楷数据库审计手册详述监控、告警、审计及溯源
昂楷数据库审计系统(以下简称“系统”)是一款专注于数据库操作行为监控与审计的安全产品,支持对主流数据库(如Oracle、MySQL、SQL Server、DB2等)的访问行为进行实时捕获、分析和记录,系统提供细粒度的审计策略、灵活的告警机制以及高效的日志管理功能,帮助企业满足数据安全合规要求。
安装与部署
硬件与环境要求
| 组件 | 最低要求 |
|---|---|
| 服务器配置 | CPU:4核;内存:8GB;磁盘:500GB(含日志存储空间) |
| 操作系统 | Linux(CentOS 7+/Ubuntu 18+)或 Windows Server 2016+ |
| 数据库兼容性 | 支持Oracle、MySQL、SQL Server、DB2、PostgreSQL等 |
| 网络要求 | 需与被审计数据库服务器网络互通,建议独立部署或旁路镜像模式 |
安装步骤
- 步骤1:下载安装包
从昂楷官方获取对应版本的安装包(如.tar.gz或.exe文件)。 - 步骤2:解压与初始化
- Linux:
tar -xzf AuditX.tar.gz && cd AuditX && ./install.sh - Windows:双击
AuditX-setup.exe,按向导完成安装。
- Linux:
- 步骤3:配置数据库连接
在管理界面中添加被审计数据库的IP、端口、用户名(建议专用审计账号),并测试连接。 - 步骤4:启动服务
- Linux:
systemctl start auditx - Windows:通过服务管理器启动“AuditX Service”。
- Linux:
核心功能配置
审计策略配置
系统支持按以下维度定义审计规则:
| 审计对象 | 说明 | 示例 |
|—————-|—————————————–|—————————–|
| 用户 | 指定数据库用户名(支持模糊匹配) | SELECT FROM user_logins |
| IP地址 | 限制来源/目标IP范围 | 168.1. |
| 操作类型 | 细化到SQL语句类型(SELECT、INSERT、DELETE等)| ALTER TABLE |
| 时间范围 | 设定审计生效时段(如工作时间) | 09:00-18:00 |
| 风险等级 | 标记高危操作(如DROP TABLE、TRUNCATE) | 高风险-删除表 |
告警规则设置
| 告警类型 | 触发条件 | 通知方式 |
|---|---|---|
| 异常登录 | 非白名单用户尝试登录数据库 | 邮件+Syslog |
| 批量数据导出 | 单次导出数据量超过阈值(如10万条) | 短信+企业微信 |
| 高频错误 | 同一用户连续多次执行失败 | 邮件+Webhook回调 |
日志管理与查询
日志存储与备份
- 存储路径:默认保存在
/opt/auditx/logs/(Linux)或C:AuditXlogs(Windows)。 - 备份策略:支持自动归档(按日/周压缩备份)或手动导出为
.tar.gz文件。
日志查询与分析
- 查询界面:通过关键词(用户、SQL语句、时间)快速筛选日志。
- 统计报表:生成操作频率、风险事件分布等图表,支持导出PDF/Excel。
权限与安全管理
- 角色划分
- 审计管理员:配置策略、查看日志。
- 普通用户:仅查看自身操作记录。
- 数据加密
日志传输支持SSL/TLS加密,存储时可启用AES-256加密。
- 防改动保护
启用日志水印签名,防止事后改动。
常见问题与维护
性能优化
- 调整审计缓冲区大小(默认128MB,可增至256MB)。
- 关闭不必要的审计规则(如测试环境可禁用高风险操作审计)。
故障排查
| 问题 | 解决方案 |
|---|---|
| 日志丢失 | 检查磁盘空间,确认审计服务未异常终止。 |
| 告警延迟 | 优化网络带宽,检查告警接收端(如邮件服务器)是否可达。 |
| SQL解析失败 | 升级数据库协议插件至最新版本,确保兼容被审计数据库的新版本语法。 |
相关问题与解答
问题1:如何减少审计系统对数据库性能的影响?
解答:
- 采用“旁路镜像”部署模式,避免直接串联在数据库前端。
- 精简审计规则,仅监控核心业务数据表和高风险操作。
- 开启日志异步处理功能(系统设置→性能选项),降低实时处理负载。
问题2:审计日志文件过大导致磁盘空间不足,如何处理?
解答:
- 启用日志轮转:在“系统设置→日志管理”中设置按日期/大小自动分割日志文件(如每日生成一个新文件)。
- 压缩存档:使用系统内置的“日志归档”工具,将旧日志压缩为
.tar.gz并转移至备份服务器。 - 清理策略:配置保留周期(如保留30天后自动删除),
