--禁用C2 審核跟蹤和只限成功的登錄
成都創(chuàng)新互聯(lián)10多年成都定制網(wǎng)站服務(wù);為您提供網(wǎng)站建設(shè),網(wǎng)站制作,網(wǎng)頁設(shè)計及高端網(wǎng)站定制服務(wù),成都定制網(wǎng)站及推廣,對成都水處理設(shè)備等多個方面擁有多年的網(wǎng)站設(shè)計經(jīng)驗的網(wǎng)站建設(shè)公司。
EXEC sys.sp_configure N'c2 audit mode', N'0'
GO
RECONFIGURE WITH OVERRIDE
GO
USE [master]
GO
EXEC xp_instance_regwrite N'HKEY_LOCAL_MACHINE', N'Software\Microsoft\MSSQLServer\MSSQLServer', N'AuditLevel', REG_DWORD, 1
GO
SQLSERVER2008新增的審核功能
在sqlserver2008新增了審核功能,可以對服務(wù)器級別和數(shù)據(jù)庫級別的操作進(jìn)行審核/審計,事實上,事件通知、更改跟蹤、變更數(shù)據(jù)捕獲(CDC)
都不是用來做審計的,只是某些人亂用這些功能,也正因為亂用這些功能導(dǎo)致踩坑
事件通知:性能跟蹤
更改跟蹤:用Sync Services來構(gòu)建偶爾連接的系統(tǒng)
變更數(shù)據(jù)捕獲(CDC):數(shù)據(jù)倉庫的ETL 中的數(shù)據(jù)抽?。ū澈笫褂胠ogreader)
而審核是SQLSERVER專門針對數(shù)據(jù)庫安全的進(jìn)行的審核,記住,他是專門的!
數(shù)據(jù)庫審計是一款針對數(shù)據(jù)庫層面進(jìn)行流量監(jiān)控審計的工具,針對數(shù)據(jù)庫進(jìn)行全面、高效、自動化的數(shù)據(jù)庫監(jiān)控告警和審計追溯。在行為分析基礎(chǔ)上,數(shù)據(jù)庫審計可以實現(xiàn)風(fēng)險行為描述,實現(xiàn)對數(shù)據(jù)庫風(fēng)險和攻擊行為的有效描述;對違反安全策略的文房行為進(jìn)行及時告警,保證數(shù)據(jù)庫操作滿足合規(guī)要求;通過系統(tǒng)自帶數(shù)據(jù)庫風(fēng)險特征庫,迅速實現(xiàn)數(shù)據(jù)庫風(fēng)險檢查和告警。推薦你了解一下安華金和數(shù)據(jù)庫安全審計系統(tǒng),這方面在業(yè)內(nèi)做的很專業(yè),安華的數(shù)據(jù)庫審計是基于數(shù)據(jù)庫通訊協(xié)議分析和SQL語法詞法的精確協(xié)議解析技術(shù),這種技術(shù)審計的精確度高。
一、介紹MySQL AUDIT
MySQL AUDIT Plugin是一個?MySQL安全審計插件,由McAfee提供,設(shè)計強(qiáng)調(diào)安全性和審計能力。該插件可用作獨立審計解決方案,或配置為數(shù)據(jù)傳送給外部監(jiān)測工具。支持版本為MySQL (5.1, 5.5, 5.6, 5.7),MariaDB (5.5, 10.0, 10.1) ,Platform?(32 or 64 bit)。從Mariadb 10.0版本開始audit插件直接內(nèi)嵌了,名稱為server_audit.so,可以直接加載使用。
二進(jìn)制文件地址:
macfee的mysql audit插件雖然日志信息比較大,對性能影響大,但是如果想要開啟審計,請斟酌。
二、安裝使用MySQL AUDIT
# unzip audit-plugin-mysql-5.6-1.1.5-774-linux-x86_64.zip
MySQL的插件目錄為:
mysql show global variables like 'plugin_dir';
+---------------+------------------------+
| Variable_name | Value? ? ? ? ? ? ? ? ? |
+---------------+------------------------+
| plugin_dir? ? | /app/mysql/lib/plugin/ |
+---------------+------------------------+
1 row in set (0.00 sec)
復(fù)制庫文件到MySQL庫目錄下
# cp audit-plugin-mysql-5.6-1.1.2-694/lib/libaudit_plugin.so /app/mysql/lib/plugin/
# chmod a+x /app/mysql/lib/plugin/libaudit_plugin.so
加載Audit插件
mysql INSTALL PLUGIN AUDIT SONAME 'libaudit_plugin.so';
查看版本
mysql show global status like '%audit%';
+------------------------+-----------+
| Variable_name? ? ? ? ? | Value? ? |
+------------------------+-----------+
| Audit_protocol_version | 1.0? ? ? |
| Audit_version? ? ? ? ? | 1.1.2-694 |
+------------------------+-----------+
2 rows in set (0.00 sec)
開啟Audit功能
mysql SET GLOBAL audit_json_file=ON;
Query OK, 0 rows affected (0.00 sec)
執(zhí)行任何語句(默認(rèn)會記錄任何語句),然后去mysql數(shù)據(jù)目錄查看mysql-audit.json文件(默認(rèn)為該文件)。
當(dāng)然,我們還可以通過命令查看audit相關(guān)的命令。
mysql SHOW GLOBAL VARIABLES LIKE '%audit%';
其中我們需要關(guān)注的參數(shù)有:
1、audit_json_file
是否開啟audit功能。
2、audit_json_log_file
記錄文件的路徑和名稱信息。
3、audit_record_cmds
audit記錄的命令,默認(rèn)為記錄所有命令??梢栽O(shè)置為任意dml、dcl、ddl的組合。如:audit_record_cmds=select,insert,delete,update。還可以在線設(shè)置set global audit_record_cmds=NULL。(表示記錄所有命令)
4、 audit_record_objs
audit記錄操作的對象,默認(rèn)為記錄所有對象,可以用SET GLOBAL audit_record_objs=NULL設(shè)置為默認(rèn)。也可以指定為下面的格式:audit_record_objs=,test.*,mysql.*,information_schema.*。
5、audit_whitelist_users
用戶白名單。
三、查看審計數(shù)據(jù)
插入一些數(shù)據(jù),查看一下mysql-audit.json文件信息(json格式),如下:
$ cat /app/mysql/data/mysql-audit.json
{"msg-type":"activity","date":"1517989674556","thread-id":"3","query-id":"39","user":"root","priv_user":"root","ip":"","host":"localhost","connect_attrs":{"_os":"Linux","_client_name":"libmysql","_pid":"1331209","_client_version":"5.6.27","_platform":"x86_64","program_name":"mysql"},"pid":"3472328296227680304","os_user":"0000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000","appname":"0000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000","rows":"10","cmd":"select","objects":[{"db":"sbtest","name":"sbtest1","obj_type":"TABLE"}],"query":"select * from sbtest1 limit 10"}
審計記錄文件一般存放在mysql的數(shù)據(jù)目錄下。
隨著信息泄露事件的頻發(fā),數(shù)據(jù)庫安全產(chǎn)品逐漸進(jìn)入大眾視野。在數(shù)據(jù)庫安全產(chǎn)品中,數(shù)據(jù)庫審計大概是用戶方最為熟悉的一款產(chǎn)品了。在不影響業(yè)務(wù)系統(tǒng)正常運轉(zhuǎn)的情況下,數(shù)據(jù)庫審計產(chǎn)品能夠?qū)?shù)據(jù)庫的操作訪問行為進(jìn)行追蹤審計,這也是大多數(shù)用戶將其作為數(shù)據(jù)庫安全標(biāo)配采購的重要原因。本文時代新威為您科普什么是數(shù)據(jù)庫審計,數(shù)據(jù)庫審計的作用和原理有哪些,一起來看看吧!
什么是數(shù)據(jù)庫審計?
數(shù)據(jù)庫審計是指對審計日志和事務(wù)日志進(jìn)行審查,從而跟蹤數(shù)據(jù)和數(shù)據(jù)庫結(jié)構(gòu)的變化。數(shù)據(jù)庫可以這樣進(jìn)行設(shè)置:捕捉數(shù)據(jù)和元數(shù)據(jù)的改變,以及存儲這些資料的數(shù)據(jù)庫所做的修改。典型的審計報告應(yīng)該包括以下內(nèi)容:完成的數(shù)據(jù)庫操作、改變的數(shù)據(jù)值、執(zhí)行該項操作的人,以及其他幾項屬性。這些審計功能被植入到所有的關(guān)系數(shù)據(jù)庫平臺中,并確保生成的記錄文件具有較高的準(zhǔn)確性和完整性,就好像在數(shù)據(jù)庫中存儲的數(shù)據(jù)一樣。此外,審計跟蹤還能把一系列的語句轉(zhuǎn)化為合理的事務(wù),并提供業(yè)務(wù)流程取證(forensic)分析所需的業(yè)務(wù)環(huán)境。
不過,審計功能也存在限制,例如不能對數(shù)據(jù)訪問語句(通常稱之為SELECT語句)進(jìn)行審計。另外,本地數(shù)據(jù)庫審計很難捕捉到用戶認(rèn)可的原始查詢(query)和變量(variables),只能從綜合的角度對事件做出記錄,而日志則可以捕捉到改變前后的數(shù)據(jù)值。這也使得審計跟蹤在檢測已改變的內(nèi)容時,比檢測已訪問的內(nèi)容更為有效。
對數(shù)據(jù)庫活動和狀態(tài)進(jìn)行取證檢查時,審計可以準(zhǔn)確的把握事件的本質(zhì)。對SELECT語句(用戶查看數(shù)據(jù)時會使用)進(jìn)行檢查時,因為本地平臺缺乏對這些語句的收集能力,即便利用高級選項實現(xiàn)了這項操作,也會導(dǎo)致性能受到極大損失。既然有簡單的方法可以高效地對SELECT語句進(jìn)行登記(cataloging)(例如,登入失敗、嘗試查看信用證信息),為什么企業(yè)還要選擇在本地數(shù)據(jù)庫審計功能上增加其他的數(shù)據(jù)收集資源。不管怎樣,內(nèi)置的數(shù)據(jù)庫審計功能可以生成事務(wù)認(rèn)證和法規(guī)控制的核心信息。
數(shù)據(jù)庫審計作用:
數(shù)據(jù)庫審計通過旁路部署,能夠?qū)崟r記錄網(wǎng)絡(luò)上的數(shù)據(jù)庫活動,對數(shù)據(jù)庫操作進(jìn)行細(xì)粒度審計的合規(guī)性管理,對數(shù)據(jù)庫遭受到的風(fēng)險行為進(jìn)行告警。它通過對用戶訪問數(shù)據(jù)庫行為的記錄、分析和匯報,用來幫助用戶事后生成合規(guī)搜索報告、事后追根溯源,同時加強(qiáng)內(nèi)外部數(shù)據(jù)庫網(wǎng)絡(luò)行為記錄,提高數(shù)據(jù)資產(chǎn)安全。
數(shù)據(jù)庫審計原理:
數(shù)據(jù)庫審計系統(tǒng)對來自應(yīng)用系統(tǒng)客戶端和dba對數(shù)據(jù)庫的訪問行為進(jìn)行全面審計,不僅審計sql語句,還對ftp、telnet等遠(yuǎn)程訪問進(jìn)行審計。系統(tǒng)詳細(xì)記錄查詢、刪除、增加、修改等行為及操作結(jié)果,對危險操作還可實時預(yù)警,及時阻止,從而達(dá)到保護(hù)數(shù)據(jù)庫的良好效果。
黑格爾曾說,“存在即合理”,用在數(shù)據(jù)安全領(lǐng)域,對數(shù)據(jù)庫審計的運用同樣適用。時代新威認(rèn)為數(shù)據(jù)庫審計是當(dāng)下最經(jīng)濟(jì)、最貼身、最有效的數(shù)據(jù)保鏢,同時我國信息化建設(shè)想要長遠(yuǎn)持續(xù)發(fā)展,數(shù)據(jù)庫審計是必然選擇。
分享文章:mysql數(shù)據(jù)庫怎么審計 sql 審計
本文地址:http://muchs.cn/article30/hjecpo.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供微信小程序、網(wǎng)站內(nèi)鏈、商城網(wǎng)站、定制開發(fā)、虛擬主機(jī)、品牌網(wǎng)站建設(shè)
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源: 創(chuàng)新互聯(lián)