DM8的审计

最新推荐文章于 2024-04-06 07:30:00 发布
最新推荐文章于 2024-04-06 07:30:00 发布
阅读量248 收藏 1
点赞数
分类专栏: 达梦数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42323331/article/details/108980122
版权

1 审计介绍

在DM系统中,专门为审计设置了开关,要使用审计功能首先要打开审计开关。审计开关由过程VOID SP_SET_ENABLE_AUDIT(param int);控制,过程执行完后会立即生效,param有三种取值:

  1. 关闭审计
  2. 打开普通审计
  3. 打开普通审计和实时审计
  • 只要审计功能被启用,系统级的审计记录就会产生;
  • 在进行数据库审计时,审计员之间没有区别,可以审计所有数据库对象,也可取消其他审计员的审计设置;
  • 语句级审计不针对特定的对象,只针对用户;
  • 对象级审计针对指定的用户与指定的对象进行审计;
  • 在设置审计时,审计选项不区分包含关系,都可以设置; 在设置审计时,审计时机不区分包含关系,都可以进行设置;
  • 如果用户执行的一条语句与设置的若干审计项都匹配,只会在审计文件中生成一条审计记录。

1.1 审计的打开与关闭

SP_SET_ENABLE_AUDIT (1);           ######打开
SP_SET_ENABLE_AUDIT (0);           ######关闭

1.2 审计级别介绍

审计级别说明
系统级系统的启动与关闭,此级别的审计无法也无需由用户进行设置,只要审计开关打开就会自动生成对应审计记录
语句级导致影响特定类型数据库对象的特殊SQL或语句组的审计。如AUDIT TABLE 将审计CREATE TABLE、ALTER TABLE和DROP TABLE等语句
对象级审计作用在特殊对象上的语句。如test表上的INSERT语句

1.3 语句级审计

1.3.1 SP_AUDIT_STMT

SP_AUDIT_STMT(TYPE,USERNAME,WHENEVER);

TYPE 语句级审计选项
USERNAME 用户名,NULL表示不限制
WHENEVER 审计时机,可选的取值为:

  • ALL:所有的
  • SUCCESSFUL:操作成功时
  • FAIL:操作失败时

审计表的创建、修改和删除。

SP_AUDIT_STMT('TABLE', 'NULL', 'ALL');

对SYSDBA创建用户成功进行审计。

SP_AUDIT_STMT('USER', 'SYSDBA', 'SUCCESSFUL');

对用户USER2进行的表的修改和删除进行审计,不管失败和成功。

SP_AUDIT_STMT('UPDATE TABLE', 'USER2', 'ALL'); 
SP_AUDIT_STMT('DELETE TABLE', 'USER2', 'ALL');

1.3.2 SP_NOAUDIT_STMT

取消对表的创建、修改和删除的审计。

SP_NOAUDIT_STMT('TABLE', 'NULL', 'ALL');

取消对SYSDBA创建用户成功进行审计。

SP_NOAUDIT_STMT('USER', 'SYSDBA', 'SUCCESSFUL');

取消对用户USER2进行的表的修改和删除的审计。

SP_NOAUDIT_STMT('UPDATE TABLE', 'USER2', 'ALL'); 
SP_NOAUDIT_STMT('DELETE TABLE', 'USER2', 'ALL');

1.4 对象审计

1.4.1 SP_AUDIT_OBJECT

SP_SUDIT_OBJECT(TYPE,USERNAME,SCHNAME,COLNAME,WHENEVER);

TYPE 对象级审计选项,即上表中的第一列
USERNAME 用户名
SCHNAME 模式名,为空时置’null’
TVNAME 表、视图、存储过程名不能为空
COLNAME 列名
WHENEVER 审计时机,可选的取值为:

  • ALL:所有的
  • SUCCESSFUL:操作成功时
  • FAIL:操作失败时

对SYSDBA对表PERSON.ADDRESS进行的添加和修改的成功操作进行审计。

SP_AUDIT_OBJECT('INSERT', 'SYSDBA', 'PERSON', 'ADDRESS', 'SUCCESSFUL'); 
SP_AUDIT_OBJECT('UPDATE', 'SYSDBA', 'PERSON', 'ADDRESS', 'SUCCESSFUL');

对SYSDBA对表PERSON.ADDRESS的ADDRESS1列进行的修改成功的操作进行审计。

SP_AUDIT_OBJECT('UPDATE','SYSDBA','PERSON','ADDRESS','ADDRESS1','SUCCESSFUL');

1.4.2 SP_NOAUDIT_OBJECT

取消对SYSDBA对表PERSON.ADDRESS进行的添加和修改的成功操作的审计。

SP_NOAUDIT_OBJECT('INSERT', 'SYSDBA', 'PERSON', 'ADDRESS', 'SUCCESSFUL'); 
SP_NOAUDIT_OBJECT('UPDATE', 'SYSDBA', 'PERSON', 'ADDRESS', 'SUCCESSFUL');

取消对SYSDBA对表PERSON.ADDRESS的ADDRESS1列进行的修改成功操作的审计。

SP_NOAUDIT_OBJECT('UPDATE','SYSDBA','PERSON','ADDRESS','ADDRESS1','SUCCESSFUL');

1.5 语句序列审计

1.5.1 SP_AUDIT_SQLSEQ_*

建立语句序列审计规则需要先调用SP_AUDIT_SQLSEQ_START,之后调用若干次SP_AUDIT_SQLSEQ_ADD,每次加入一条SQL语句,审计规则中的SQL语句顺序根据加入SQL语句的顺序确定,最后调用SP_AUDIT_SQLSEQ_END完成规则的建立。
例如,建立一个语句序列审计规则AUDIT_SQL1。

SP_AUDIT_SQLSEQ_START('AUDIT_SQL1'); 
SP_AUDIT_SQLSEQ_ADD('AUDIT_SQL1', 'SELECT NAME FROM TEST1;'); 
SP_AUDIT_SQLSEQ_ADD('AUDIT_SQL1', 'SELECT ID FROM TEST2;'); 
SP_AUDIT_SQLSEQ_ADD('AUDIT_SQL1', 'SELECT * FROM TEST3;'); 
SP_AUDIT_SQLSEQ_END('AUDIT_SQL1');

1.5.2 SP_AUDIT_SQLSEQ_DEL

删除语句序列审计规则AUDIT_SQL1。

SP_AUDIT_SQLSEQ_DEL('AUDIT_SQL1');

2 审计文件管理

审计文件命名格式为“AUDIT_GUID_创建时间.log”
审计文件的大小可以通过DM的INI参数AUDIT_MAX_FILE_SIZE指定。

2.1 AUDIT_FILE_FULL_MODE

  • 置为1时,将删除最老的审计文件,直至有足够的空间创建新审计文件。若将所有可以删除的审计文件都删除后空间仍旧不够,则数据库会挂起不再处理任何请求,直至磁盘空间被清理出足够创建新审计文件的空间;当将AUDIT_FILE_FULL_MODE
  • 置为2时,将不再写审计记录,默认值为1。AUDIT_FILE_FULL_MODE为静态参数,可通过系统过程SP_SET_PARA_VALUE进行修改,但是修改需要重新启动DM数据库服务器才能生效。

2.2 SP_DROP_AUDIT_FILE

TIME_STR:指定的时间字符串
TYPE:审计文件类型,0表示删除普通审计文件,1表示删除实时审计文件
例如,指定删除2015-12-6 16:30:00以前的普通审计文件。

SP_DROP_AUDIT_FILE('2015-12-6 16:30:00',0);

2.3 SP_AUDIT_SET_ENC

DM审计文件支持文件加密,审计管理员可使用下面的系统过程设置审计文件加密。

SP_AUDIT_SET_ENC(NAME,KEY);

参数说明:
NAME 加密算法名。
KEY 加密密钥。

3 审计信息查阅

查询SYSAUDITOR.SYSAUDIT

4 审计实时侵害检测

4.1 创建与删除实时侵害检测规则

当执行SP_SET_ENABLE_AUDIT (2);时,具有AUDIT DATABASE权限的用户可以使用下面的系统过程创建实时侵害检测规则。

SP_CREATE_AUDIT_RULE—创建审计

RULENAME 创建的审计实时侵害检测规则名
OPERATION 审计操作名
USERNAME 用户名,没有指定或'NULL'表示所有用户
SCHNAME 模式名,没有时指定为'NULL'
OBJNAME 对象名,没有时指定为'NULL'
WHENEVER 审计时机,取值ALL/SUCCESSFUL/FAIL
ALLOW_IP IP列表,以‟,‟隔开。例如'"192.168.0.1","127.0.0.1"'
ALLOW_DT 时间串,格式如下:
ALLOW_DT::= <时间段项>{,<时间段项>} <时间段项> ::= <具体时间段> | <规则时间段> <具体时间段> ::= <具体日期><具体时间> TO <具体日期><具体时间> <规则时间段> ::= <规则时间标志><具体时间> TO <规则时间标志><具体时间> <规则时间标志> ::= MON | TUE | WED | THURS | FRI | SAT | SUN
INTERVAL 时间间隔,单位为分钟
TIMES 次数

例1,创建一个审计实时侵害检测规则DANGEROUS_SESSION,该规则检测每个星期一8:00至9:00的所有非本地SYSDBA的登录动作。

SP_CREATE_AUDIT_RULE ('DANGEROUS_SESSION','CONNECT', 'SYSDBA', 'NULL', 'NULL', 'ALL', '"127.0.0.1"','MON "8:00:00" TO MON "9:00:00"',0, 0);

例2,创建一个审计实时侵害检测规则PWD_CRACK,该规则检测可能的口令暴力破解行为。

SP_CREATE_AUDIT_RULE ('PWD_CRACK','CONNECT', 'NULL', 'NULL', 'NULL', 'FAIL', 'NULL','NULL',1, 50);

例3,删除已创建的实时侵害检测规则DANGEROUS_SESSION。

SP_DROP_AUDIT_RULE ('DANGEROUS_SESSION');

删除审计

删除已创建的实时侵害检测规则DANGEROUS_SESSION。

SP_DROP_AUDIT_RULE ('DANGEROUS_SESSION');

实时侵害检测

当执行SP_SET_ENABLE_AUDIT (2);时,实时侵害检测系统会实时分析用户的操作,将其与系统中创建的实时侵害检测规则进行匹配,判断该用户操作是否是侵害行为。
为了界定不同侵害行为对系统的危害情况,实时侵害检测系统定义了四种级别的侵害等级,从四级到一级侵害行为严重程度递增。这样根据用户操作匹配的实时侵害检测规则来可以判断其属于哪一级的侵害行为。
四种侵害等级如下:

  • 四级:操作只违反了IP或者时间段设置之一,且对应累计次数在规定时间间隔内没有达到门限值,或者没有门限值设置;
  • 三级:操作同时违反了IP和时间段设置,且累计次数在规定时间间隔内没有达到门限值,或者没有门限值设置;
  • 二级:操作的IP和时间段都正常,且累计次数在规定时间间隔内达到了门限值;
  • 一级:操作只违反了IP或时间段设置之一,且对应累计次数在规定时间间隔内达到了门限值,或者操作同时违反了IP和时间段设置,且累计次数在规定时间间隔内达到了门限值。

实时侵害检测规则的设置,使得某些操作可能会触发多条审计分析规则,也就是说可能存在多条审计分析规则同时匹配的情况。在这种情况下,需要把操作记录保存到所有匹配的、同时规定了操作频率门限值的审计分析规则下,并且使用这些审计分析规则对该操作进行分析,从所有满足的侵害等级中选择一个最高的侵害等级进行响应。
DM实时侵害检测系统根据侵害检测结果做出相应的安全审计响应,由低到高四个等级分别为:

  • 四级响应:实时报警生成,对四级侵害行为进行响应。当系统检测到四级侵害行为时,生成报警信息;
  • 三级响应:违例进程终止,对三级侵害行为进行响应。当系统检测到三级侵害行为时,终止当前操作(用户当前连接仍然保持)。同时生成报警信息;
  • 二级响应:服务取消,对二级侵害行为进行响应。当系统检测到二级侵害行为时,强制断开用户当前连接,退出登录。同时生成报警信息;
  • 一级响应:账号锁定或失效,对一级侵害行为进行响应。当系统检测到一级侵害行为时,强制断开用户当前连接,退出登录,并且锁定账号或使账号失效。同时生成报警信息。

这些安全审计相应动作中除了生成报警信息,其余的都由DM数据库服务器即可完成。生成报警信息的实现包括DM数据库服务器将报警信息写入一个专门的日志文件,由DM的审计告警工具dmamon实时分析这个日志文件,发现报警信息并将报警信息以邮件的形式发送给指定的邮箱。

审计告警工具dmamon

审计告警工具dmamon用来在DM实时侵害检测系统检测到侵害事件且需要进行报警时可将报警信息以邮件的形式发送给指定邮箱。
dmamon的运行需要指定对应的配置文件dmamon.ini,此配置文件只能通过工具dmamon_ctl进行创建或修改。

创建或修改dmamon

使用dmamon_ctl工具创建或修改dmamon.ini。
启动dmamon_ctl工具的命令格式为: dmamon_ctl [FILE =value] 或 dmamon_ctl [FILE =value] DCR_INI= value
参数说明:
FILE:用来指定需要编辑的dmamon.ini的路径。创建dmamon.ini时,可以不指定FILE参数。
DCR_INI:在ASM环境中,用来指定dmdcr.ini路径。非ASM环境不用指定。
例如:

dmamon_ctl FILE=c:\dmamon.ini
命令说明
EDIT修改INI文件信息
ADD增加接收者的邮件地址信息
REMOVE删除接收者的邮件地址信息
SHOW显示当前控制文件的内容
SAVE保存,保存路径必须为dmamon.ini的绝对路径。退出之前须保存,否则修改无效
EXIT退出当前程序
HELP显示帮助信息

使用dmamon

例如:

dmamon USERID=SYSAUDITOR/SYSAUDITOR FILE=c:\dmamon.ini
阿毛dd
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
DM8审计
qq_54040611的博客
04-11 389
举例:对DMTEST.PROD表的修改进行审计,无论是否操作成功。
DM8审计
twotreeslanch的博客
12-31 458
审计机制是 DM 数据库管理系统安全管理的重要组成部分之一。 DM 数据库除了提供数据安全保护措施外,还提供对日常事件的事后审计监督。 DM 具有一个灵活的审计子系统,可以通过它来记录系统级事件、个别用户的行为以及对数据库对象的访问。通过考察、跟踪审计信息,数据库审计员可以查看用户访问的形式以及曾试图对该系统进行的操作,从而采取积极、有效的应对措施。 一、DM8审计级别 DM 允许在三个级别上进行审计设置,分别是系统级、语句级和对象级。 系统级:系统的启动与关闭,此级别的审计无法也无需由用户进行设置,只要审
达梦DM8审计功能
weixin_52814866的博客
05-30 4373
达梦数据库DM8之数据库审计功能 审计机制是DM数据库管理系统安全管理的重要组成部分之一。DM数据库除了提供数据安全保护措施外,还提供对日常事件的事后审计监督。DM具有一个灵活的审计子系统,可以通过它来记录系统级事件、个别用户的行为以及对数据库对象的访问。通过考察、跟踪审计信息,数据库审计员可以查看用户访问的形式以及曾试图对该系统进行的操作,从而采取积极、有效的应对措施。 1. 审计开关 在DM系统中,专门为审计设置了开关,要使用审计功能首先要打开审计开关。审计开关由过程 ...
达梦数据库如何开启数据库审计
最新发布
文牧之的博客
04-06 1275
达梦数据库如何开启数据库审计
DM8数据库审计
Robo's Blog【海阔凭鱼跃,天高任鸟飞】
02-09 1318
审计机制是DM数据库管理系统安全管理的重要组成部分之一。DM具有一个灵活的审计子系统,可以通过它来记录系统级事件、个别用户的行为以及对数据库对象的访问。 审计开关 ENABLE_AUDIT参数为达梦数据库审计开关,DM8该参数为READ ONLY只读类型,不能使用SP_SET_PARA_NAME函数修改此参数,可以通过SP_SET_ENABLE_AUDIT动态设置。语法如下: VOID SP_SET_ENABLE_AUDIT ( PARAM INT ) 参数说明: PARA...
DM8新特性初探.docx
06-14
6. **安全功能增强**:DM8加强了强制访问控制、存储加密、资源限制和实时审计,进一步保障数据安全。 7. **JDBC接口优化**:JDBC接口重新设计,降低资源消耗,提升性能,使得应用程序与数据库交互更加高效。 8. **...
达梦数据库.zip / DM8DataBase
08-03
达梦数据库(DM8DataBase)是一款由中国达梦公司自主研发的高性能、高可用、安全可靠的大型数据管理系统。它集成了最新的数据库技术和创新功能,旨在满足企业级应用的各种需求,如数据仓库、大数据处理、云计算环境...
DM8数据库sql文档.rar
08-13
DM8数据库与SQL在Node.js开发中的应用详解》 在现代信息技术中,数据库系统扮演着至关重要的角色,尤其在企业级应用开发中。DM8是达梦公司推出的一款高性能、高可靠性的关系型数据库管理系统,它具备强大的数据...
数据库-国产数据库-达梦数据库-DM8-文档及驱动程序包
09-02
达梦数据库(DM8)是国产数据库领域的一款重要产品,专为满足国内用户对数据管理与分析的需求而设计。这款数据库管理系统集成了多种先进的技术,包括高性能、高可用性、安全性以及大数据处理能力,旨在提供稳定可靠...
dm8_20210603_x86_win_64_ent
03-11
【标题】"dm8_20210603_x86_win_64_ent" 指的是一款名为 DM8 的数据库管理系统,适用于Windows 64位操作系统的企业版。DM8是达梦数据库公司推出的一款高性能、高可用性的关系型数据库产品,20210603可能是该版本的...
攻略|达梦数据库审计(如何设置审计并查看审计记录)
s380636的博客
01-26 2190
/ 这是我的第205篇文章 / 达梦干货攻略 【Date:2021.04.07】 MY ARTICLE 达梦数据库非安全版除了数据库管理员SYSDBA之外,还设有数据库审计员SYSAUDITOR,数据库审计员可以设置要审计的对象和操作、定义新的数据库审计员、查看和分析审计记录,通过设置审计,几乎可以跟踪任何人在系统内执行的任何操作,为事后追查提供便利,这里为大家介绍如何设置审计并查看审计记录。 GAN HUO 开启数据库审计功能 在manager工具或disql工具使用SY..
达梦数据库审计
yudukbinxyz的博客
09-05 1946
,如果某个会 话依次执行了这些 SQL 语句,就会触发审计,是语句级与对象级的结合。系统级 系统的启动与关闭,此级别的审计无法也无需由用户进行设置,只要审计开 关打开就会自动生成对应审计记录 ,类似oracle的dba审计。7.4 实时侵害检测系统用于实时分析当前用户的操作,则判断该用户的行为是否是侵害行为,确定侵害等级,并根据侵害 等级采取相应的响应措施。通过考察、跟踪 审计信息,数据库审计员可以查看用户访问的形式以及曾试图对该系统进行的操作,从而采 取积极、有效的应对措施。
达梦数据库常见的安全检查项目
m0_58466865的博客
11-06 2227
保护数据,以防不合法的使用所造成的数据泄露、更改或破坏,数据库安全性极为重要,本文讲述了达梦数据库安全检查时几个比较常见检查项目。
达梦7中数据库审计的使用
qq_35123651的博客
06-02 1034
文章目录前言一、DM系统管理员二、审计开关1.审计的相关参数2.打开审计功能三、审计级别总结 前言 数据库审计主要用于监视并记录对数据库服务器的各类操作行为,并记入审计日志或数据库中以便日后进行跟踪、查询、分析,以实现对用户操作的监控和审计审计是一项非常重要的工作,也是数据安全体系的重要组成部分。 本文使用的数据库版本为DM7。 一、DM系统管理员 为了保证数据库系统的安全性,DM 数据库采用“三权分立”或“四权分立”的安全机制,“三权分立”时系统内置三种系统管理员,包括数据库管理员、数据库安..
DM8:达梦数据库审计配置
qq_37358909的博客
06-01 1720
 在进行数据库审计时,审计员之间没有区别,可以审计所有数据库对象,也可取消其他审计员的审计设置; 如果用户执行的一条语句与设置的若干审计项都匹配,只会在审计文件中生成一条审计记录。 在设置审计时,审计时机不区分包含关系,都可以进行设置; 在设置审计时,审计选项不区分包含关系,都可以设置; 只要审计功能被启用,系统级的审计记录就会产生; 对象级审计针对指定的用户与指定的对象进行审计; 语句级审计不针对特定的对象,只针对用户;
达梦数据库(DM)实时审计环境搭建
啦卡的博客
10-27 612
1、配置邮箱的 smtp (这里以QQ邮箱为例) 2、SYSAUDITOR登录,开始实时审计 SP_SET_ENABLE_AUDIT(2); 3、设置匹配规则 --审计USER01用户对SYSDBA.T1的删除记录操作,不论删除成功与否 SP_AUDIT_OBJECT('DELETE','USER01','SYSDBA','T1','ALL'); SYSAUDITOR设置审计审计分析规则 --审计USER01用户对SYSDBA.T1的删...
达梦数据库-审计
达梦数据库技术贴
08-01 1655
千里之行始于足下,梦想不付之行动,终究是纸上谈兵 经过一段时间的达梦DCP培训让学习了好多支持点。让我对达梦的理解更加深刻。 今天为大家说一说达梦数据的审计系统 审计开关在达梦数据库dm.ini配置文件中。ENABLE_AUDIT来控制的,有三种取值 ENABLE_AUDIT=0 —关闭审计 ENABLE_AUDIT=1 —打开普通审计 ENABLE_AUDIT=2 —打开普通审计和实时审计 在普通版中,ENABLE_AUDIT=0 在安全版中,ENABLE_AUDIT=2 注意:审计
数据文件与日志文件介绍(DM8:达梦数据库)
qq_37358909的博客
07-05 3245
数据库软件是一套数据管理系统的集合,数据最终会存储到操作系统的物理文件中,还有相关的日志文件;即用户通过创建表空间相关操作生成的表空间。点击跳转,查看配置步骤每个 RLOG_PKG 都有对应的序号属性,称之为包序号(PKG SEQNO),日志包生成时按照序号连续递增。包序号包括本地包序号(LSEQ)和全局包序号(GSEQ),本地包序号是节点内唯一、连续递增的值,用于校验联机日志连续性;全局包序号由数据守护集群的主备库共同维护,具有全局唯一、连续、递增的特性,用于校验归档日志的连续性。
达梦数据库审计步骤
liuguigeng56的专栏
09-17 493
审计作用:对日常事件的审计监督。 审计记录的事件包括系统级事件和用户对数据库对象的操作行为。通过考察、跟踪审计信息,审计员可以查看用户的访问形式,也可以查看用户对系统所做的操作,根据审计信息可以采取积极、有效的应对措施来确保数据库安全。 1、审计开关:SP_SET_ENABLE_AUDIT (1); 查询V$DM_INI的ENABLE_AUDIT的值。 2、审计规则的设置与取消:SP_AUDIT_STMT('UPDATE TABLE', 'USER2', 'ALL'); S...
深入理解DM数据库审计:设置、权限与范围
首先,开启DM的审计功能非常重要,审计开关位于控制台Console的服务器参数ENABLE_AUDIT中,可以设置为1(普通审计)、2(普通审计和实时审计)或0(关闭审计)。审计功能启用后,DM会记录指定审计对象的操作,如系统...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值