1、配置邮箱的 smtp (这里以QQ邮箱为例)
2、SYSAUDITOR登录,开始实时审计
SP_SET_ENABLE_AUDIT(2);
3、设置匹配规则
--审计USER01用户对SYSDBA.T1的删除记录操作,不论删除成功与否 SP_AUDIT_OBJECT('DELETE', 'USER01', 'SYSDBA', 'T1', 'ALL'); |
SYSAUDITOR设置审计和审计分析规则 --审计USER01用户对SYSDBA.T1的删除记录操作,不论删除成功与否 SP_AUDIT_OBJECT('DELETE', 'USER01', 'SYSDBA', 'T1', 'ALL'); --审计规则USER01用户对SYSDBA.T1的删除记录操作为危险删除操作,不论删除成功与否,允许的IP段、时间段、频数,频数是最后2个参数。x分钟出现Y次以上就算频数超限。 SP_CREATE_AUDIT_RULE ('DANGEROUS_DELETE','DELETE', 'USER01', 'SYSDBA', 'T1', 'ALL', '"127.0.0.1"','MON "3:00:00" TO MON "5:00:00"',1, 3); |
4、dmamon_ctl 配置dmamon.ini配置文件
5、开启dm实时审计监控服务
6、进行相关数据库操作,测试是否能实时报警
USER01插入一条记录 insert into SYSDBA.T1 values(666); | 插入成功 |
USER01删除记录,并将delete语句一分钟内执行三次 --按道理说,该步骤执行的删除语句匹配了上述审计分析规则,因为操作的时间段不在允许的时间段,而且频数超限,因此会生成1级报警信息并自动发送到RESEIVER列表的邮箱地址。并且服务会被终止。 delete from SYSDBA.T1; | 三次delete均执行成功 第一次影响1条记录 第二次影响0条记录 第三次影响0条记录 并且服务被迫断开,显示“通信异常” |
USER01重连服务器。 | 连接失败 显示“错误号:2508 登录失败次数超过限制” |
7、收到报警邮件