达梦审计实时侵害检测搭建
实时侵害检测规则
当将 INI 参数 ENABLE_AUDIT 置为 2 时,开启审计实时侵害检测功能。实时侵害检测系统用于实时分析当前用户的操作,并查找与该操作相匹配的实时审计分析规则,如果规则存在,则判断该用户的行为是否是侵害行为,确定侵害等级,并根据侵害等级采取相应的响应措施。
SP_CREATE_AUDIT_RULE(
RULENAME VARCHAR(128),
OPERATION VARCHAR(30),
USERNAME VARCHAR(128),
SCHNAME VARCHAR(128),
OBJNAME VARCHAR(128),
WHENEVER VARCHAR(20),
ALLOW_IP VARCHAR(1024),
ALLOW_DT VARCHAR(1024),
INTERVAL INTEGER,
TIMES INTERGER
);
参数说明:
RULENAME 创建的审计实时侵害检测规则名
OPERATION 审计操作名,即DDL和DML的类型
USERNAME 用户名,没有指定或'NULL'表示所有用户
SCHNAME 模式名,没有时指定为'NULL'
OBJNAME 对象名,没有时指定为'NULL'
WHENEVER 审计时机,取值 ALL/SUCCESSFUL/FAIL
ALLOW_IP IP 列表,以’,’隔开。例如'"192.168.0.1","127.0.0.1"'
ALLOW_DT 时间串,格式如下:
ALLOW_DT::= <时间段项>{,<时间段项>}
<时间段项> ::= <具体时间段> | <规则时间段> <具体时间段> ::= <具体日期><具体时间> TO <具体日期><具体时间> <规则时间段> ::= <规则时间标志><具体时间> TO <规则时间标志><具体时间> <规则时间标志> ::= MON | TUE | WED | THURS | FRI | SAT | SUN
INTERVAL 时间间隔,单位为分钟
TIMES 次数
示例:用QQ邮箱测试,QQ邮箱需开启SMTP(开启时记住临时授权码)
zmfiirmgizvzbbch
SYSAUDITOR登录,开始实时审计
SP_SET_ENABLE_AUDIT(2);
审计表的创建、修改和删除。
SP_AUDIT_STMT('TABLE', 'NULL', 'ALL');
对SYSDBA所有操作进行审计, 不管失败和成功
SP_AUDIT_STMT('ALL', 'SYSDBA','ALL');
使用SYSDBA用户创建测试表TEST,并插入数据
创建审计规则SYSDBA用户对SYSDBA.TEST的删除记录操作为危险删除操作,不论删除成功与否,允许的IP段、时间段、频数,频数是最后2个参数。x分钟出现Y次以上就算频数超限。
SP_CREATE_AUDIT_RULE ('DANGEROUS_DELETE','DELETE', 'SYSDBA', 'SYSDBA', 'TEST', 'ALL', '"127.0.0.1"','MON "3:00:00" TO MON "18:00:00"',1, 3);
dmamon_ctl 配置dmamon.ini配置文件
审计告警工具 dmamon 用来在 DM 实时侵害检测系统检测到侵害事件且需要进行报警时可将报警信息以邮件的形式发送给指定邮箱。dmamon 的运行需要指定对应的配置文件 dmamon.ini,此配置文件只能通过工具dmamon_ctl 进行创建或修改。
保存,保存路径必须为 dmamon.ini 的绝对路径。退出之前须保存,否则修改无效
配置好 dmamon.ini 后,就可以使用 dmamon 工具进行实时审计告警了。启动命令如下
./dmamon USERID=SYSAUDITOR/SYSAUDITOR@localhost:5236 PATH=/dm8/data/DAMENG/dmamon.ini
启动之后,使用SYSDBA用户测试删除数据,发现当删除第3行数据时报错
查看qq邮箱已经收到报警邮件
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· 记一次.NET内存居高不下排查解决与启示
· 探究高空视频全景AR技术的实现原理
· 理解Rust引用及其生命周期标识(上)
· 浏览器原生「磁吸」效果!Anchor Positioning 锚点定位神器解析
· 没有源码,如何修改代码逻辑?
· 全程不用写代码,我用AI程序员写了一个飞机大战
· MongoDB 8.0这个新功能碉堡了,比商业数据库还牛
· 记一次.NET内存居高不下排查解决与启示
· DeepSeek 开源周回顾「GitHub 热点速览」
· 白话解读 Dapr 1.15:你的「微服务管家」又秀新绝活了