如果您需要审计某类数据库操作,但无需上报告警,您可以为此类数据库操作自定义信任规则。本文介绍如何新增信任规则及信任规则的相关操作。
新增信任规则
注意 配置信任规则后,生效资产中满足该规则的请求,都不会产生告警,建议您谨慎配置。
- 登录数据库审计系统。具体操作,请参见登录数据库审计系统。
- 在左侧导航栏,选择规则配置 > 信任规则。
- 单击新增。
- 在新增规则面板,完成规则配置,并单击保存。
类别 配置项 支持的逻辑符 说明 基本信息 名称 不涉及 规则名称。长度为1~64个字符,支持中文、英文、半角句号(.)、下划线(_)和短划线(-)。 注意 同一数据库下的所有用户规则的名称不允许重复。描述 不涉及 规则描述信息。 客户端 客户端来源 等于、不等于 客户端的IP地址,支持IP和IP分组。支持填写多个值,多个值之间以半角逗号(,)分隔。例如,192.168.XX.XX,192.168.XX.XX。 客户端工具 等于、不等于 客户端使用的工具名称。支持填写多个值,多个值之间以半角逗号(,)分隔。例如,db2bp.exe,javaw.exe,plsqldev.exe。 客户端端口 不涉及 客户端的访问端口号。支持填写多个值或区间,多个值之间以半角逗号(,)分隔。例如,10-15,20,25,30-40。 客户端MAC地址 等于、不等于 客户端机器的MAC地址。支持填写多个值,多个值之间以半角逗号(,)分隔。例如,fe:58:c0:39:**:**,fe:58:c0:55:**:**。 操作系统用户 等于、不等于 客户端操作系统的登录用户名。支持填写多个值,多个值之间以半角逗号(,)分隔。例如,user01,user02。 主机名 等于、不等于 客户端的主机名。支持填写多个值,多个值之间以半角逗号(,)分隔。例如,HostUser01,HostUser02。 应用IP 等于、不等于 客户端的IP地址,支持IP和IP分组。支持填写多个值,多个值之间以半角逗号(,)分隔。例如,192.168.XX.XX,192.168.XX.XX。 应用用户名 等于、不等于 客户端的应用用户名,支持自定义和分组选择。支持填写多个值,多个值之间以半角逗号(,)分隔。例如,TestUser01,TestUser02。 服务端 服务端IP 等于、不等于 服务端的IP地址。支持填写多个值,多个值之间以半角逗号(,)分隔。例如,192.168.XX.XX,192.168.XX.XX。 服务端端口 不涉及 服务端的端口号。支持填写多个值或区间,多个值之间以半角逗号(,)分隔。例如,10-15,20,25,30-40。 数据库账号 等于、不等于 数据库的登录用户名,支持自定义和分组选择。支持填写多个值,多个值之间以半角逗号(,)分隔。例如,system,sys。 服务端MAC地址 等于、不等于 服务端所在服务器的MAC地址。支持填写多个值,多个值之间以半角逗号(,)分隔。例如,fe:58:c0:39:**:**,fe:58:c0:55:**:**。 数据库名(SID) 不涉及 服务端的数据库名。Oracle数据库输入SID,其他数据库输入数据库名称。支持填写多个值,多个值之间以半角逗号(,)分隔。 行为 对象组 不涉及 SQL语句所属的对象组。支持包含任一对象则满足、包含所有对象才满足。 操作类型 不涉及 对数据库的操作类型,取值: - DDL:Truncate、Create、Alter、Drop、Comment、Rename。
- DML:Select、Insert、Update、Delete、Call、Explain、Lock、Merge。
- DCL:Grant、Revoke。
- 其他:UNKNOWN、Savepoint、Commit、Rollback等。
SQL模板ID 不涉及 SQL模板的ID。支持填写多个值,多个值之间以半角逗号(,)分隔。 SQL关键字 不涉及 配置方式如下: - 添加条件。
在条件框中输入要匹配的报文内容,支持使用正则表达式。单击添加条件可以添加多个条件。
添加一个条件后,您可以执行正则校验,验证指定的内容是否与设置的正则表达式相匹配。操作步骤如下:- 单击条件下的正则校验。
- 在正则校验对话框,确认正则表达式,并输入校验的内容。
- 单击校验。
- 编写条件运算逻辑表达式。
通过与(&)、或(|)、非(~)和括号描述条件间的组合运算关系,条件使用序号表示,例如,“1”表示条件1。
示例: 1&2,表示有两个SQL关键字条件,且两个关键字都要满足,才命中规则。
SQL长度 大于等于 SQL语句的长度。允许的范围为1字节到65536字节。 关联表数 大于等于 SQL操作关联表的个数。SQL操作涉及表的个数大于等于此值时,数据库审计系统不审计该操作,允许输入最大值为255。 WHERE子句 不涉及 是否包含WHERE子句。取值:不判断、有WHERE子句、没有WHERE子句。 结果 执行时长 大于等于、小于等于、区间 SQL语句的执行时长。单位取值:秒、毫秒、微秒。取值范围为0~1800秒。SQL语句的执行时长属于此范围,则命中规则。 影响行数 大于等于、小于等于、区间 SQL语句的影响行数。取值范围为0~999999999。SQL操作返回的记录数或受影响的行数属于此范围,数据库审计系统不上报告警。 返回结果集 不涉及 配置方式如下: - 添加条件。
在条件框中输入要匹配的报文内容,支持使用正则表达式。单击添加条件可以添加多个条件。
添加一个条件后,您可以执行正则校验,验证指定的内容是否与设置的正则表达式相匹配。操作步骤如下:- 单击条件下的正则校验。
- 在正则校验对话框,确认正则表达式,并输入校验的内容。
- 单击校验。
- 编写条件运算逻辑表达式。
通过与(&)、或(|)、非(~)和括号描述条件间的组合运算关系,条件使用序号表示,例如,“1”表示条件1。
示例: 1&2,表示有两个SQL关键字条件,且两个关键字都要满足,才命中规则。
执行状态 不涉及 执行结果中包含的执行状态。 执行结果描述 匹配、不匹配 执行结果中包含的关键词,支持以正则表达式的方式进行匹配。 其他 生效时间 不涉及 规则的生效周期,支持自定义和分组选择。 - 为规则设置生效资产。
- 单击该规则资产数量列下的数字。
- 在设置使用规则资产对话框,选中规则生效的资产并单击确定。设置生效资产后,该规则会立即对所有已设置的资产生效。
相关操作
- 编辑信任规则
需要修改信任规则时,您可以单击目标规则操作列的编辑,修改该规则。
- 启用信任规则
为规则设置生效资产后,该规则会自动启用。您可以通过为规则设置生效资产,启用该规则。
- 禁用信任规则
规则下的资产数量为0时,该规则为禁用状态。您可以通过删除规则的生效资产,禁用该规则。
- 删除信任规则
无需再使用某个规则时,您可以单击目标规则操作列的删除,删除该规则。