配置通用数据库审计

您可以在数据库服务器或应用服务器上安装Logtail和抓包工具,采集数据库的所有活动记录,实现数据库审计。本文介绍配置通用数据库审计的操作步骤。

前提条件

操作步骤

  1. 登录日志服务控制台

  2. 日志应用区域的审计与安全页签中,单击通用数据库审计

  3. 接入配置管理页面中,单击添加

  4. 任务配置页面中,配置如下参数,然后单击下一步

    参数

    说明

    任务ID

    任务ID,支持自定义。默认情况下,通用数据库审计应用会自动分配一个ID。

    任务名称

    任务的名称。

    任务描述

    任务的描述。

    项目Project

    用于管理通用数据库审计应用相关资产的Project。

    区域

    目标Project所在地域。

  5. 审计场景查看页面中,单击下一步

    此处仅介绍审计场景,无需配置。

  6. 安装Logtail页面中,完成如下操作。

    1. 选择用于安装Logtail的服务器。

      请根据您的审计场景,选择服务器。

    2. 安装完成后,单击确认安装完毕

    3. 选择机器区域,设置机器组信息,然后单击下一步

      日志服务支持创建IP地址机器组和用户自定义标识机器组,详细参数说明请参见创建IP地址机器组创建用户自定义标识机器组

      完成此操作后,日志服务会自动生成Logtail配置,并下发到Logtail所在的服务器上。

  7. 根据安装抓包工具页面的提示信息安装和配置抓包工具。

    抓包工具需支持Logtail的Lumberjack插件,推荐使用Packetbeat。本文以安装和配置Packetbeat为例,其他工具请参见采集Beats和Logstash数据源

    1. 安装抓包工具页面中,设置请选择抓包工具Packetbeat

    2. 安装抓包工具页面中,选择目标数据库。

      通用数据库审计应用会根据您所选择的数据库提供配置信息。后续配置packetbeat.yml文件时,需使用该信息。配置Packetbeat

    3. 登录用于安装Packetbeat的服务器。

    4. 下载并安装Packetbeat。

      具体操作,请参见Packetbeat

    5. 进入Packetbeat安装包所在路径,然后编辑packetbeat.yml文件。

      请根据您在安装抓包工具中获取的配置信息进行配置。

      1. General区域,添加如下内容。

        其中gjdd62为您所创建的任务ID。

        General配置

      2. Transaction protocols区域的packetbeat.protocols节点下,添加如下内容。packetbeat.protocols

      3. Outputs区域的Logstash Output中,添加如下内容。

        重要

        默认情况下Elasticsearch Output为开启状态,您需要将其关闭,即手动注释output.elasticsearch中的配置。

        Logstash Output

    6. 启动Packetbeat。

      不同操作系统对应的启动方式不同,示例如下所示。更多信息,请参见start Packetbeat

      sudo chown root packetbeat.yml
      sudo ./packetbeat -e

      如果返回如下类似信息,表示启动成功。启动Packetbeat

    完成上述操作后,日志服务开始采集数据库日志。

相关操作

您还可以在接入配置管理页签中,执行如下操作。

操作

说明

查看审计日志

单击目标任务对应的查看审计日志,系统将跳转至对应的Logstore中。您可以在Logstore中查看对应的原始日志,并执行查询分析操作。具体操作,请参见查询和分析日志

查看报表

单击目标任务对应的查看报表,系统将跳转至对应的仪表盘页面,并展示各类审计指标。具体操作,请参见数据报表

修改任务

单击目标任务对应的修改,可修改任务的名称、描述、对应的Project、Logtail配置等信息。

删除任务

如果您不再使用此任务,可单击目标任务对应的删除

重要

删除任务后,不可恢复,请谨慎操作。