语句规则是针对SQL模板所设置的规则。语句规则可以帮助您基于安全规则,更好的细化您业务的规则。本文介绍了如何在数据库审计系统中管理数据库下的语句规则。

背景信息

添加语句规则后,您可以做如下操作:

  • 在语句规则页面启用或禁用语句规则。当规则为告警审计时,审计记录命中启用的语句规则后,会触发风险告警。
  • 语句规则内的元素设置的越多,规则就越细化,SQL模板要满足语句规则内设置的全部条件才会命中。

添加语句规则

  1. 登录云盾数据库审计系统。
    具体操作,请参见登录数据库审计系统
  2. 在左侧导航栏,选择规则配置 > 语句规则页面。
  3. 语句规则管理页签,选择数据库后单击添加图标,新建自定义语句规则。
    语句规则
  4. 语句规则管理右侧添加规则区域,配置规则信息,单击保存
    类别 配置项 说明
    基本信息 规则名称 规则名称。
    说明 同一数据库下的所有自定义规则的名称不允许重复。
    风险级别 命中规则后触发的告警等级,取值:高、中、低、信任。
    访问来源 来源IP 访问数据库来源IP地址,如:192.168.0.1~192.168.0.128。

    如果需要所有来源都允许访问数据库,IP地址可设置为0.0.0.0~255.255.255.255。

    数据库用户 数据库所使用的用户名,可添加多个用户名。
    客户端工具 访问数据库所使用的客户端工具名称。
    MAC地址 访问数据库设备的MAC地址。
    操作系统用户 访问数据库所使用的操作系统名称。
    主机名 访问数据库所使用的计算机主机名。
    服务(实例)名 访问的数据库实例名。
    应用身份 应用客户端IP 应用关联客户端IP地址。
    应用用户 应用关联用户名。
    响应动作 控制动作 此项目不需要配置,仅用于提示。
    审计 可配置告警审计、仅审计和不审计三种方式。
    • 告警审计:系统审计该类语句规则,并上报告警。
    • 仅审计:系统仅审计该类语句规则,不上报告警。
    • 不审计:系统不审计该类语句规则。
    时间限制设置 时间限制设置 规则的生效周期,取值:任意时间、每天、每周、每月。
    自定义规则添加成功后,可以在左侧的规则导航树中看到已添加的自定义规则。在自定义规则信息页,您可以执行编辑、删除操作。语句规则

内置SQL模板过滤

提供常用的SQL语句模板,如客户端工具访问数据库产生的SQL,启用内置SQL后,与此模板匹配的SQL将不记录到审计日志中,可节省审计的存储空间。

  1. 登录云盾数据库审计系统。
    具体操作,请参见登录数据库审计系统
  2. 在左侧导航栏,选择规则配置 > 语句规则页面。
  3. 单击内置SQL模板过滤页签,单击全部启用,启用内置SQL模板规则。
    内置SQL模板当前仅支持过滤Oracle、MySQL、SQLServer数据库。语句模板