您可以在数据库服务器或应用服务器上安装Logtail和抓包工具,采集数据库的所有活动记录,实现数据库审计。本文介绍配置通用数据库审计的操作步骤。

前提条件

  • 已有可用的数据库。
  • 已创建Project。具体操作,请参见创建Project

操作步骤

  1. 登录日志服务控制台
  2. 日志应用区域的审计与安全页签中,单击通用数据库审计
  3. 接入配置管理页面中,单击添加
  4. 任务配置页面中,配置如下参数,然后单击下一步
    参数说明
    任务ID任务ID,支持自定义。默认情况下,通用数据库审计应用会自动分配一个ID。
    任务名称任务的名称。
    任务描述任务的描述。
    项目Project用于管理通用数据库审计应用相关资产的Project。
    区域目标Project所在地域。
  5. 审计场景查看页面中,单击下一步
    此处仅介绍审计场景,无需配置。
  6. 安装Logtail页面中,完成如下操作。
    1. 选择用于安装Logtail的服务器。
      请根据您的审计场景,选择服务器。
    2. 安装完成后,单击确认安装完毕
    3. 选择机器区域,设置机器组信息,然后单击下一步

      日志服务支持创建IP地址机器组和用户自定义标识机器组,详细参数说明请参见创建IP地址机器组创建用户自定义标识机器组

      完成此操作后,日志服务会自动生成Logtail配置,并下发到Logtail所在的服务器上。

  7. 根据安装抓包工具页面的提示信息安装和配置抓包工具。
    抓包工具需支持Logtail的Lumberjack插件,推荐使用Packetbeat。本文以安装和配置Packetbeat为例,其他工具请参见采集Beats和Logstash数据源
    1. 安装抓包工具页面中,设置请选择抓包工具Packetbeat
    2. 安装抓包工具页面中,选择目标数据库。
      通用数据库审计应用会根据您所选择的数据库提供配置信息。后续配置packetbeat.yml文件时,需使用该信息。配置Packetbeat
    3. 登录用于安装Packetbeat的服务器。
    4. 下载并安装Packetbeat。
      具体操作,请参见Packetbeat
    5. 进入Packetbeat安装包所在路径,然后编辑packetbeat.yml文件。
      请根据您在安装抓包工具中获取的配置信息进行配置。
      1. General区域,添加如下内容。

        其中gjdd62为您所创建的任务ID。

        General配置
      2. Transaction protocols区域的packetbeat.protocols节点下,添加如下内容。packetbeat.protocols
      3. Outputs区域的Logstash Output中,添加如下内容。
        重要 默认情况下Elasticsearch Output为开启状态,您需要将其关闭,即手动注释output.elasticsearch中的配置。
        Logstash Output
    6. 启动Packetbeat。
      不同操作系统对应的启动方式不同,示例如下所示。更多信息,请参见start Packetbeat
      sudo chown root packetbeat.yml
      sudo ./packetbeat -e
      如果返回如下类似信息,表示启动成功。启动Packetbeat
    完成上述操作后,日志服务开始采集数据库日志。

相关操作

您还可以在接入配置管理页签中,执行如下操作。

操作说明
查看审计日志单击目标任务对应的查看审计日志,系统将跳转至对应的Logstore中。您可以在Logstore中查看对应的原始日志,并执行查询分析操作。具体操作,请参见查询和分析日志
查看报表单击目标任务对应的查看报表,系统将跳转至对应的仪表盘页面,并展示各类审计指标。具体操作,请参见数据报表
修改任务单击目标任务对应的修改,可修改任务的名称、描述、对应的Project、Logtail配置等信息。
删除任务如果您不再使用此任务,可单击目标任务对应的删除
重要 删除任务后,不可恢复,请谨慎操作。