mysql數(shù)據(jù)庫怎么審計 sql 審計

如何實現(xiàn)數(shù)據(jù)庫存儲過程操作審計

--禁用C2 審核跟蹤和只限成功的登錄

成都創(chuàng)新互聯(lián)10多年成都定制網(wǎng)站服務(wù);為您提供網(wǎng)站建設(shè),網(wǎng)站制作,網(wǎng)頁設(shè)計及高端網(wǎng)站定制服務(wù),成都定制網(wǎng)站及推廣,對成都水處理設(shè)備等多個方面擁有多年的網(wǎng)站設(shè)計經(jīng)驗的網(wǎng)站建設(shè)公司。

EXEC sys.sp_configure N'c2 audit mode', N'0'

GO

RECONFIGURE WITH OVERRIDE

GO

USE [master]

GO

EXEC xp_instance_regwrite N'HKEY_LOCAL_MACHINE', N'Software\Microsoft\MSSQLServer\MSSQLServer', N'AuditLevel', REG_DWORD, 1

GO

SQLSERVER2008新增的審核功能

在sqlserver2008新增了審核功能，可以對服務(wù)器級別和數(shù)據(jù)庫級別的操作進(jìn)行審核/審計，事實上，事件通知、更改跟蹤、變更數(shù)據(jù)捕獲（CDC）

都不是用來做審計的，只是某些人亂用這些功能，也正因為亂用這些功能導(dǎo)致踩坑

事件通知：性能跟蹤

更改跟蹤：用Sync Services來構(gòu)建偶爾連接的系統(tǒng)

變更數(shù)據(jù)捕獲（CDC）：數(shù)據(jù)倉庫的ETL 中的數(shù)據(jù)抽?。ū澈笫褂胠ogreader）

而審核是SQLSERVER專門針對數(shù)據(jù)庫安全的進(jìn)行的審核，記住，他是專門的！

什么是數(shù)據(jù)庫審計?

數(shù)據(jù)庫審計是一款針對數(shù)據(jù)庫層面進(jìn)行流量監(jiān)控審計的工具，針對數(shù)據(jù)庫進(jìn)行全面、高效、自動化的數(shù)據(jù)庫監(jiān)控告警和審計追溯。在行為分析基礎(chǔ)上，數(shù)據(jù)庫審計可以實現(xiàn)風(fēng)險行為描述，實現(xiàn)對數(shù)據(jù)庫風(fēng)險和攻擊行為的有效描述；對違反安全策略的文房行為進(jìn)行及時告警，保證數(shù)據(jù)庫操作滿足合規(guī)要求；通過系統(tǒng)自帶數(shù)據(jù)庫風(fēng)險特征庫，迅速實現(xiàn)數(shù)據(jù)庫風(fēng)險檢查和告警。推薦你了解一下安華金和數(shù)據(jù)庫安全審計系統(tǒng)，這方面在業(yè)內(nèi)做的很專業(yè)，安華的數(shù)據(jù)庫審計是基于數(shù)據(jù)庫通訊協(xié)議分析和SQL語法詞法的精確協(xié)議解析技術(shù)，這種技術(shù)審計的精確度高。

MySQL審計工具Audit插件使用

一、介紹MySQL AUDIT

MySQL AUDIT Plugin是一個?MySQL安全審計插件，由McAfee提供，設(shè)計強(qiáng)調(diào)安全性和審計能力。該插件可用作獨立審計解決方案，或配置為數(shù)據(jù)傳送給外部監(jiān)測工具。支持版本為MySQL (5.1, 5.5, 5.6, 5.7)，MariaDB (5.5, 10.0, 10.1) ，Platform?(32 or 64 bit)。從Mariadb 10.0版本開始audit插件直接內(nèi)嵌了，名稱為server_audit.so，可以直接加載使用。

二進(jìn)制文件地址：

macfee的mysql audit插件雖然日志信息比較大，對性能影響大，但是如果想要開啟審計，請斟酌。

二、安裝使用MySQL AUDIT

# unzip audit-plugin-mysql-5.6-1.1.5-774-linux-x86_64.zip

MySQL的插件目錄為：

mysql show global variables like 'plugin_dir';

+---------------+------------------------+

| Variable_name | Value? ? ? ? ? ? ? ? ? |

+---------------+------------------------+

| plugin_dir? ? | /app/mysql/lib/plugin/ |

+---------------+------------------------+

1 row in set (0.00 sec)

復(fù)制庫文件到MySQL庫目錄下

# cp audit-plugin-mysql-5.6-1.1.2-694/lib/libaudit_plugin.so /app/mysql/lib/plugin/

# chmod a+x /app/mysql/lib/plugin/libaudit_plugin.so

加載Audit插件

mysql INSTALL PLUGIN AUDIT SONAME 'libaudit_plugin.so';

查看版本

mysql show global status like '%audit%';

+------------------------+-----------+

| Variable_name? ? ? ? ? | Value? ? |

+------------------------+-----------+

| Audit_protocol_version | 1.0? ? ? |

| Audit_version? ? ? ? ? | 1.1.2-694 |

+------------------------+-----------+

2 rows in set (0.00 sec)

開啟Audit功能

mysql SET GLOBAL audit_json_file=ON;

Query OK, 0 rows affected (0.00 sec)

執(zhí)行任何語句(默認(rèn)會記錄任何語句)，然后去mysql數(shù)據(jù)目錄查看mysql-audit.json文件(默認(rèn)為該文件)。

當(dāng)然，我們還可以通過命令查看audit相關(guān)的命令。

mysql SHOW GLOBAL VARIABLES LIKE '%audit%';

其中我們需要關(guān)注的參數(shù)有：

1、audit_json_file

是否開啟audit功能。

2、audit_json_log_file

記錄文件的路徑和名稱信息。

3、audit_record_cmds

audit記錄的命令，默認(rèn)為記錄所有命令?？梢栽O(shè)置為任意dml、dcl、ddl的組合。如：audit_record_cmds=select,insert,delete,update。還可以在線設(shè)置set global audit_record_cmds=NULL。(表示記錄所有命令)

4、 audit_record_objs

audit記錄操作的對象，默認(rèn)為記錄所有對象，可以用SET GLOBAL audit_record_objs=NULL設(shè)置為默認(rèn)。也可以指定為下面的格式：audit_record_objs=,test.*,mysql.*,information_schema.*。

5、audit_whitelist_users

用戶白名單。

三、查看審計數(shù)據(jù)

插入一些數(shù)據(jù)，查看一下mysql-audit.json文件信息（json格式），如下：

$ cat /app/mysql/data/mysql-audit.json

{"msg-type":"activity","date":"1517989674556","thread-id":"3","query-id":"39","user":"root","priv_user":"root","ip":"","host":"localhost","connect_attrs":{"_os":"Linux","_client_name":"libmysql","_pid":"1331209","_client_version":"5.6.27","_platform":"x86_64","program_name":"mysql"},"pid":"3472328296227680304","os_user":"0000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000","appname":"0000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000","rows":"10","cmd":"select","objects":[{"db":"sbtest","name":"sbtest1","obj_type":"TABLE"}],"query":"select * from sbtest1 limit 10"}

審計記錄文件一般存放在mysql的數(shù)據(jù)目錄下。

什么是數(shù)據(jù)庫審計？

隨著信息泄露事件的頻發(fā)，數(shù)據(jù)庫安全產(chǎn)品逐漸進(jìn)入大眾視野。在數(shù)據(jù)庫安全產(chǎn)品中，數(shù)據(jù)庫審計大概是用戶方最為熟悉的一款產(chǎn)品了。在不影響業(yè)務(wù)系統(tǒng)正常運轉(zhuǎn)的情況下，數(shù)據(jù)庫審計產(chǎn)品能夠?qū)?shù)據(jù)庫的操作訪問行為進(jìn)行追蹤審計，這也是大多數(shù)用戶將其作為數(shù)據(jù)庫安全標(biāo)配采購的重要原因。本文時代新威為您科普什么是數(shù)據(jù)庫審計，數(shù)據(jù)庫審計的作用和原理有哪些，一起來看看吧！

什么是數(shù)據(jù)庫審計？

數(shù)據(jù)庫審計是指對審計日志和事務(wù)日志進(jìn)行審查，從而跟蹤數(shù)據(jù)和數(shù)據(jù)庫結(jié)構(gòu)的變化。數(shù)據(jù)庫可以這樣進(jìn)行設(shè)置：捕捉數(shù)據(jù)和元數(shù)據(jù)的改變，以及存儲這些資料的數(shù)據(jù)庫所做的修改。典型的審計報告應(yīng)該包括以下內(nèi)容：完成的數(shù)據(jù)庫操作、改變的數(shù)據(jù)值、執(zhí)行該項操作的人，以及其他幾項屬性。這些審計功能被植入到所有的關(guān)系數(shù)據(jù)庫平臺中，并確保生成的記錄文件具有較高的準(zhǔn)確性和完整性，就好像在數(shù)據(jù)庫中存儲的數(shù)據(jù)一樣。此外，審計跟蹤還能把一系列的語句轉(zhuǎn)化為合理的事務(wù)，并提供業(yè)務(wù)流程取證（forensic）分析所需的業(yè)務(wù)環(huán)境。

不過，審計功能也存在限制，例如不能對數(shù)據(jù)訪問語句（通常稱之為SELECT語句）進(jìn)行審計。另外，本地數(shù)據(jù)庫審計很難捕捉到用戶認(rèn)可的原始查詢（query）和變量（variables），只能從綜合的角度對事件做出記錄，而日志則可以捕捉到改變前后的數(shù)據(jù)值。這也使得審計跟蹤在檢測已改變的內(nèi)容時，比檢測已訪問的內(nèi)容更為有效。

對數(shù)據(jù)庫活動和狀態(tài)進(jìn)行取證檢查時，審計可以準(zhǔn)確的把握事件的本質(zhì)。對SELECT語句（用戶查看數(shù)據(jù)時會使用）進(jìn)行檢查時，因為本地平臺缺乏對這些語句的收集能力，即便利用高級選項實現(xiàn)了這項操作，也會導(dǎo)致性能受到極大損失。既然有簡單的方法可以高效地對SELECT語句進(jìn)行登記（cataloging）（例如，登入失敗、嘗試查看信用證信息），為什么企業(yè)還要選擇在本地數(shù)據(jù)庫審計功能上增加其他的數(shù)據(jù)收集資源。不管怎樣，內(nèi)置的數(shù)據(jù)庫審計功能可以生成事務(wù)認(rèn)證和法規(guī)控制的核心信息。

數(shù)據(jù)庫審計作用：

數(shù)據(jù)庫審計通過旁路部署，能夠?qū)崟r記錄網(wǎng)絡(luò)上的數(shù)據(jù)庫活動，對數(shù)據(jù)庫操作進(jìn)行細(xì)粒度審計的合規(guī)性管理，對數(shù)據(jù)庫遭受到的風(fēng)險行為進(jìn)行告警。它通過對用戶訪問數(shù)據(jù)庫行為的記錄、分析和匯報，用來幫助用戶事后生成合規(guī)搜索報告、事后追根溯源，同時加強(qiáng)內(nèi)外部數(shù)據(jù)庫網(wǎng)絡(luò)行為記錄，提高數(shù)據(jù)資產(chǎn)安全。

數(shù)據(jù)庫審計原理：

數(shù)據(jù)庫審計系統(tǒng)對來自應(yīng)用系統(tǒng)客戶端和dba對數(shù)據(jù)庫的訪問行為進(jìn)行全面審計，不僅審計sql語句，還對ftp、telnet等遠(yuǎn)程訪問進(jìn)行審計。系統(tǒng)詳細(xì)記錄查詢、刪除、增加、修改等行為及操作結(jié)果，對危險操作還可實時預(yù)警，及時阻止，從而達(dá)到保護(hù)數(shù)據(jù)庫的良好效果。

黑格爾曾說，“存在即合理”，用在數(shù)據(jù)安全領(lǐng)域，對數(shù)據(jù)庫審計的運用同樣適用。時代新威認(rèn)為數(shù)據(jù)庫審計是當(dāng)下最經(jīng)濟(jì)、最貼身、最有效的數(shù)據(jù)保鏢，同時我國信息化建設(shè)想要長遠(yuǎn)持續(xù)發(fā)展，數(shù)據(jù)庫審計是必然選擇。

分享文章：mysql數(shù)據(jù)庫怎么審計 sql 審計
本文地址：http://muchs.cn/article30/hjecpo.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供微信小程序、網(wǎng)站內(nèi)鏈、商城網(wǎng)站、定制開發(fā)、虛擬主機(jī)、品牌網(wǎng)站建設(shè)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)