DBAudit支持从多个维度查看数据库的访问操作记录。
- 可以根据审计日志查询所有的访问行为。
- 通过告警日志查看可疑的访问行为。
- 通过会话日志可以查看每一次访问行为内所有的访问记录。
- 通过SQL模板查询SQL语句操作记录。
查询审计日志
DBAudit通过对双向数据包进行解析、识别以及还原,不仅可以对数据库操作请求进行实时审计,还可对数据库系统返回结果进行完整的还原和审计。包括SQL报文、数据库命令执行时长、执行的结果集、客户端工具、客户端IP地址、服务端端口、数据库账号、对象、执行状态、数据库类型以及报文长度等内容。
搜索审计日志
在菜单栏选择“查询分析审计日志”进入审计日志页面,选择审计日志页签,设置查询条件(时间范围、报文、资产、数据库账号、客户端IP、服务端IP、操作类型、执行状态等),点击【搜索】即可查询相关审计日志。
- 点击【更多条件】弹出更多条件对话框,勾选查询条件,点击【确定】添加相应查询条件,点击【恢复默认】可恢复至默认查询条件。
各查询条件的说明如下。
选项 | 说明 |
|---|---|
时间范围 | 设置日志查询的时间范围,默认为“最近5分钟”。 |
报文 | 审计到的SQL语句,可填多个关键字用空格隔开,表示且关系;用英文逗号隔开,表示或关系。 |
审计ID | 唯一标识审计记录的ID。 |
会话ID | 唯一标识会话记录的ID。 |
SQL模板ID | 标识SQL模板的ID。 |
资产 | 可选择资产组或资产,资产组和资产可多选和混合选择,默认为全部资产。 |
数据库账号 | 登录到数据库的账号。 |
客户端IP | 客户端IP地址,可填写IPv4和IPv6地址。 |
客户端端口 | 客户端端口号。 |
客户端MAC | 客户端的MAC地址。 |
服务端IP | 服务端IP地址,可填写IPv4或IPv6地址。 |
服务端端口 | 服务端端口号。 |
服务端MAC | 服务端的MAC地址。 |
数据库名/实例名 | 数据库名称或者实例名称。 |
对象 | 数据库的库、表、字段、视图、存储过程、函数、触发器、索引、用户、角色、权限等数据库对象 |
客户端工具 | 客户端工具名称。 |
主机名 | 客户端主机名称。 |
操作系统用户名 | 客户端所在操作系统的用户名。 |
影响行数 | SQL返回的影响行数,查询格式为M-N,如:10-10,10-20。 |
执行时长 | 执行SQL所用时长,查询格式为M-N,如:10-10,10-20,单位μs。 |
执行结果描述 | SQL语句执行完成后的结果描述,如:ORA-00942: table or view does not exist。 |
返回结果集 | Select等语句执行后产生的返回结果集。默认保存5行数据,最大保存长度64KB。可在资产管理页面,点击【编辑资产】,修改保存行数和最大保存长度。 |
关联IP/账号 | 关联用户的客户端IP和账号。 |
操作类型 | 审计到的数据库操作的类型。 |
数据库类型 | 系统支持审计的数据库类型。 |
执行状态 | 默认为全部,可选择执行成功、执行失败、未知。 |
- 设置查询结果显示列
点击设置图标,即可设置查询结果的展示列。
- 导出查询结果
点击导出图标,可将查询结果导出至本地。
- 邮件订阅
点击邮件图标,进入至日志外送页面,支持根据当前的查询条件设置邮件订阅。
在查询结果中添加查询条件
查询结果的会话ID、客户端IP、客户端工具、主机名、操作系统用户名、服务端IP、数据库账号、数据库名/实例名、关联IP、关联账号,可以通过点击以上列的内容实现添加到查询条件并进行查询。
保存查询条件
可对查询条件进行保存,方便后续查询,操作方法如下:
- 点击查询条件文本框中的【保存】。
- 在弹出的保存查询条件对话框中编辑名称,点击【确定】。
说明
名称必须为中文字符、字母、数字、下划线“_”、点“.”或短横“-”,长度不超过64字符。
点击查询条件后的展开图标,可查看已保存的查询条件。
修改查询配置
- 在审计日志页面,点击【修改】。
- 在弹出修改查询配置对话框中编辑相关信息,点击【确定】。
详细配置请参见下表。
配置项 | 说明 |
|---|---|
最大返回条数 | 查询时返回查询结果的最大条目数,取值范围:1~1,000,000,默认为100,000。 |
最大查询时间 | 最大查询时长,取值范围:1~3,600,单位为秒。默认为10秒。查询时间设置过短可能查询不到最大返回条数。 |
查看审计日志详细信息
在查询结果列表中,在操作列下点击【详细】,可查看审计日志的详细信息。
点击客户端IP右边的【设置别名】,可以带着IP跳转到新增或者编辑IP别名页面。
点击数据库账号右边的【设置别名】,可以带着数据库账号跳转到新增或者编辑账号别名页面。
点击【C/S应用用户名提取】,弹出新增C/S应用身份识别配置对话框,包括设置资产、SQL模板、以及参数的位置,点击【确定】。设置C/S应用用户名提取后,该设置将新增至C/S应用身份识别列表中。
在审计日志详情页面右下角点击【**取证】**弹出下载对话框,可下载本条审计日志详情的完整页面。点击【**上一条】**或【**下一条】**可切换至临近的审计日志。
在审计日志详情页面的请求部分,点击【**SQL模板】**可查看该报文的SQL模板,点击【**过滤改模板】**可以将该SQL模板添加过滤条件,也可以将已经添加为过滤条件的SQL模板取消过滤。详情请参见按SQL模板过滤。
分析筛选
在审计日志页面,启用分析筛选开关,可以对已查询的审计日志结果进行分析和二次查询。
每次分析拉取1万条审计日志进行分析,如果超过1万条可点击【分析更多】再拉取1万条审计日志与上1万条审计日志一起进行分析。
柱状图显示在分析范围内的审计日志在时间上的分布情况。
点击任一维度(如“客户端IP”)的展开图标,在弹出的对话框中可以查看该维度的审计日志分布情况。勾选对应内容,点击【确定】,即可进行二次查询。
分析维度请参见下表。
分析维度 | 说明 |
|---|---|
数据库账号 | 对首次查询结果根据数据库账号维度进行统计。 |
客户端IP | 对首次查询结果根据客户端IP维度进行统计。 |
客户端工具 | 对首次查询结果根据客户端工具维度进行统计。 |
操作系统用户名 | 对首次查询结果根据操作系统用户名维度进行统计。 |
服务端IP | 对首次查询结果根据服务端IP维度进行统计。 |
操作类型 | 对首次查询结果根据操作类型维度进行统计。 |
数据库名/实例名 | 对首次查询结果根据数据库名/实例名维度进行统计。 |
表名 | 对首次查询结果根据表名维度进行统计。 |
主机名 | 对首次查询结果根据主机名维度进行统计。 |
执行状态 | 对首次查询结果根据执行状态维度进行统计。 |
执行时长 | 对首次查询结果根据执行时长维度进行统计。 |
影响行数 | 对首次查询结果根据影响行数维度进行统计。 |
TOP SQL
数据库是较大型的应用,对于繁忙的数据库,需要消耗大量的内存、CPU、IO、网络资源。SQL优化是数据库优化的手段之一,而为了达到SQL优化的最佳效果,您首先需要了解最消耗资源的SQL(Top SQL)。
在菜单栏选择“查询分析审计日志”进入审计日志页面,选择TOP SQL页签,可设置过滤条件(时间范围、资产、Top数量、平均执行时长、执行次数、总执行时长),查询符合过滤条件的TOP SQL信息。
在平均执行时长TOP、执行次数TOP和总执行时长TOP的TOP SQL分析列表中点击执行次数对应的显示列,可以跳转到审计日志页面。
在执行时长TOP的TOP SQL分析列表中,点击审计日志ID可以跳转到审计日志页面查看更详细的日志信息。
查询告警日志
当系统根据安全规则捕捉到异常访问时,会根据匹配的安全规则的级别产生相应级别的告警信息。系统支持在告警日志页面查看的所有产生告警的SQL语句的信息和告警等级等相关内容,并可以根据时间、字段和告警等级、规则名称等条件进行筛选。
告警日志
查询告警日志的操作方法如下:
在菜单栏选择“查询分析告警日志”进入告警日志页面,选择告警日志页签,设置查询条件(如时间范围、报文、资产等),点击【搜索】即可查询相关告警日志。
在告警日志列表中,点击右侧操作列中的【详细】可以查看该告警记录的详细信息,包括告警记录基本信息、客户端信息、服务端信息、请求详情、响应详情。
当触发的规则为统计规则告警时,需要进入告警详情页面才能查看客户端、服务端等信息。统计规则是根据不同维度来对多条审计日志进行统计展示,存在多条日志客户端IP/连接工具/数据库类型/SQL模板一致但报文等信息不一致的情况,所以必须进入至告警详情页面才可查看。
在告警日志页面,点击统计规则告警项操作列的【详细】,进入告警日志详细页面,点击【统计数据】,可查看客户端、数据库账号等信息。
告警分析
- 在菜单栏选择“查询分析告警日志”进入告警日志页面,选择告警分析页签,可设置过滤条件(时间范围、规则名称、资产、数据库账号、客户端IP),查询符合过滤条件的告警信息。
- 点击操作列下的【详情】,可查看告警统计详情,包含规则详情、告警资产、各资产下的告警趋势、告警来源(维度包含客户端IP和数据库账号)和触发告警的SQL模板。
- 在规则详情区域点击资产数量链接可编辑已启用该规则的资产,点击白名单数量链接可以编辑该规则上启用的白名单。
- 在告警资产区域点击规则启用状态开关可以变更规则在某资产上的启用状态。
- 在告警来源区域,点击操作列下的【不再告警】。
- 在弹出的不再告警对话框中编辑相关信息,点击【确定】。
将满足条件的客户端IP添加到信任规则和添加到规则白名单。对于普通规则产生的告警,选择【添加到白名单】,点击【确定】。添加为白名单后,系统对于此规则符合选中项的条件的相关操作不再产生告警。
选择【添加到信任规则】,点击【确定】。添加为信任规则后,对于资产符合信任规则可选属性的将不再发生告警。
- 在触发告警的SQL模板区域,点击操作列下的【不再告警】。
- 在弹出的不再告警对话框中编辑相关信息,点击【确定】。
将满足条件的SQL模板添加到信任规则和添加到规则白名单。对于普通规则产生的告警:
- 选择【添加到白名单】,点击【确定】。添加为白名单后,系统对于此规则符白名单的条件的相关操作不再产生告警。
- 选择【添加到信任规则】,点击【确定】。添加为信任规则后,对于资产符合信任规则的行为将不再发生告警。有关规则的更多信息,请参考规则配置。
查询会话日志
会话(Session)是客户端与数据库服务器之间的不中断的SQL请求和响应序列。一个会话中可能包含一个或多个SQL请求和响应。
可以根据会话的状态将其分成在线会话和历史会话。
- 在线会话指的是会话还没有结束,仍然有后续的请求或响应。
- 历史会话指的是已经结束的会话,会话双方已经断开了本次会话的连接。
会话的基本四元素是指客户端IP、客户端端口、服务端IP和服务端端口。会话的四元素可以定位在同时刻的唯一会话信息。系统支持查看历史会话和在线会话,并支持通过会话信息查看一次会话过程中产生的所有请求或响应日志。
查询历史会话
在菜单栏选择“查询分析会话日志”进入会话日志页面,选择历史会话页签,设置查询条件(如时间范围、资产等),点击【搜索】即可查询相关历史会话。
点击操作列中的【**详细】**可查看会话详情。
查询在线会话
在会话日志页面,选择在线会话页签,设置查询条件(如客户端IP等),点击【搜索】即可查询相关在线会话。
点击累计审计日志数量列对应的数字可跳转到审计日志页面查看属于该会话的日志。
查询SQL模板
SQL模板(SQL Template)是去参数化的S QL语句。系统支持将访问数据库系统的SQL语句使用的模板信息提取并存储到磁盘中,用户可以通过Web页面查看SQL模板集合。通常认为应用在访问数据库时使用的模板是固定的,如果出现了新的SQL模板,可以怀疑是否是存在异常访问行为。
系统可对审计结果去参数化的SQL模板进行查询,操作方法如下:
- SQL模板默认为开启状态,如需关闭SQL模版,需要点击【修改】,弹出SQL模版数量上限配置对话框,关闭SQL模板收集开关,关闭后SQL模板数量将不再增加。
- 系统可对审计结果去参数化的SQL模板进行查询。
在菜单栏选择“查询分析SQL模板”进入SQL模板页面,设置查询条件(如时间范围、SQL模板等),点击【搜索】即可查询相关SQL模板。
说明
SQL模板数量默认最大为30万条,点击【修改】修改此配置。
- 在SQL模板列表中点击【**详细】**可以查看该SQL模板记录的详细信息,包括基本信息、模板、首次发生报文、不审计匹配的报文和数据库信息。其中请求详情中可以查看报文,返回详情可以查看SQL语句的返回信息。