告警日志

本文介绍了在云盾数据库审计系统中查询告警日志的具体操作。通过告警日志,您可以查询数据库的告警信息。

查看告警日志

步骤一:登录数据库审计系统

  1. 登录数据库审计系统。具体操作,请参见登录数据库审计系统

  2. 在左侧导航栏,选择查询分析 > 告警日志

步骤二:设置查询条件

搜索功能可以帮助您准确定位到具体操作或语句。您可以在告警日志页面的告警日志页签中设置需要查询的条件。

  1. 选择时间范围

  2. 设置报文

    设置需要查询的报文的关键字。多个关键字使用半角逗号(,)或空格隔开。使用半角逗号(,)隔开的关键字之间为的关系,使用空格隔开的关键字之间为的关系。

  3. 设置更多搜索条件。

    告警日志页面默认显示常用的筛选条件,如需设置更多筛选条件,可单击更多条件选中并设置所需条件。支持的筛选条件见下表。

    筛选项及说明

    筛选项

    说明

    告警ID

    要查询的告警ID。

    审计ID

    唯一标识审计记录的ID。

    会话ID

    要查询的会话ID。

    SQL模板ID

    要查询的SQL模板ID。

    发生时间

    SQL执行的时间。

    规则类型

    命中的规则类型。

    规则名称

    命中的规则名称。

    告警等级

    触发的告警等级。

    客户端IP

    客户端的IP地址,支持查询IPv4或IPv6地址。

    客户端端口

    客户端的端口号。

    客户端MAC

    客户端的MAC地址。

    客户端工具

    登录数据库的客户端工具。

    主机名

    数据库服务器的主机名。

    操作系统用户名

    客户端所在操作系统的用户名。

    资产名称

    执行SQL的对应的资产名称。

    服务端IP

    服务端的IP地址,支持查询IPv4或IPv6地址。

    服务端端口

    服务端的端口号。

    服务端MAC

    服务端的MAC地址。

    数据库账号

    登录到数据库的账号。

    数据库类型

    数据库的类型。

    数据库名/实例名

    数据库名称或实例名称。

    对象

    数据库的库、表、字段、视图、存储过程、函数、触发器、索引、用户、角色、权限等数据库对象。

    报文

    审计到的SQL语句,可填多个关键字,用空格隔开,表示同时满足。

    原始SQL长度(B)

    执行SQL的长度。

    操作类型

    SQL的操作类型。

    影响行数

    SQL的影响行数。

    执行时长

    SQL的执行时长。

    执行状态

    SQL的执行结果,取值:

    • 全部(默认)

    • 未知

    • 执行成功

    • 执行失败

    执行结果描述

    SQL语句执行完成后的结果描述,如:ORA-00942: table or view does not exist

    关联IP

    关联用户的客户端IP。

    关联账号

    关联用户的客户端账号。

    关联URL

    关联用户的客户端URL。

    执行人

    执行SQL的用户名。

    语句描述

    SQL语句的描述。

    说明

    不同搜索条件之间为的关系。

  4. 保存查询条件。

    设置查询条件后,单击保存,可以保存查询条件。

    您可以在查询条件下拉列表中直接查看已保存的查询条件。

  5. 单击搜索,执行查询。

    说明

    一次查询最多可查询到10,000条记录。

  6. 告警日志页面下方查看返回记录。

    您可以单击查询条件右侧设置图标,并在设置显示列对话框中选中要在返回结果中显示的列选项。

步骤三:查看告警日志详细

  • 查看详细信息

    日志列表中,单击操作列中的详细,查看告警日志的基本信息客户端服务端请求响应信息。

  • 设置别名

    设置客户端IP别名

    1. 单击客户端IP右侧的设置别名

    2. 新增IP别名页面,填写名称IP/网络备注信息后,单击保存

    3. 辅助功能页面,IP别名页签中,查看IP别名列表信息。

    设置数据库账号别名

    1. 单击数据库账号右侧的设置别名

    2. 新增账号别名页面,填写名称资产数据库账号备注信息后,单击保存

    3. 辅助功能页面,账号别名页签中,查看数据库账号别名列表信息。

  • 取证

    告警日志详细页面下方单击取证,在下载对话框中,单击下载,可下载本条审计日志详情的完整页面。

  • 规则配置

    告警日志详细页面下方单击此类日志不告警,选择添加到信任规则添加到规则白名单进行规则配置。

    添加到信任规则

    添加到信任规则对话框中,填写信任规则名称,在信任规则可选属性条件中,选中目标条件(可多段),单击确定

    您可以在规则配置 > 信任规则页面中查看信任规则列表信息。

    添加到规则白名单

    添加到规则白名单对话框中,填写白名单名称,选中白名单可选属性后单击确定

    您可以在规则配置 > 安全规则页面的白名单管理页签中查看白名单列表信息。

  • 单击上一条下一条可切换至临近的审计日志。

查看告警分析

步骤一:设置查询条件

搜索功能可以帮助您缩小查询范围。您可以在告警日志页面的告警分析页签中设置需要查询的条件。

  1. 单击时间范围,展开查询条件下拉菜单。查询条件支持时间范围规则名称资产数据库账号客户端IP。单击平铺所有条件,可展开所有查询条件。

    说明

    不同搜索条件之间为的关系。

  2. 单击设置设置显示列图标图标,在设置显示列对话框中选中要在返回结果中显示的列选项,单击确定

  3. 单击搜索,执行查询。在告警日志分析列表中查看查询结果。

步骤二:查看告警统计详情

  • 查看详细信息

    在查询结果列表中,单击操作列中的详情,在告警统计详情页面中,查看审计日志的规则详情告警资产告警来源触发告警的SQL模板等信息。

  • 规则详情

    • 设置信任规则资产

      单击资产数量右侧的image图标,在设置使用规则(无WHERE条件删除数据)资产选择资产组页签中,选中需要启用该规则的资产或资产组,单击确定

    • 设置规则白名单

      单击白名单数量右侧的数字,在设置规则(无WHERE条件删除数据)的白名单对话框中,查看规则白名单数据列表,单击目标白名单状态列的image图标,可以变更白名单在该规则上的启用状态。

  • 告警来源

    • 告警来源模块中,查看告警来源的列表信息。单击告警数量列的数字,跳转至告警日志页面,在告警日志页签中,查看命中该告警规则的告警日志列表。

    • 单击操作列的不再告警,在不再告警对话框中,选择满足条件方式,单击确定

      说明
      • 添加为白名单后,在此规则中,符合该白名单条件的相关操作不再产生告警。

      • 添加为信任规则后,在所有规则中,符合该信任规则条件的相关告警来源不再产生告警。更多信息,请参见规则配置

  • 触发告警的SQL模板

    • 触发告警的SQL模板模块中,查看触发告警的SQL模板列表信息。单击告警数量列的数字,跳转至告警日志页面,在告警日志页签中,查看命中该SQL模板的告警日志列表。

    • 单击操作列的不再告警,在不再告警对话框中,在方式选项中,选择添加到白名单添加到信任规则,单击确定

      说明
      • 添加为白名单后,在此规则中,符合该白名单条件的相关操作不再产生告警。

      • 添加为信任规则后,在所有规则中,符合该信任规则条件的相关告警来源不再产生告警。更多信息,请参见规则配置