达梦审计实时侵害检测搭建

实时侵害检测规则

当将 INI 参数 ENABLE_AUDIT 置为 2 时，开启审计实时侵害检测功能。实时侵害检测系统用于实时分析当前用户的操作，并查找与该操作相匹配的实时审计分析规则，如果规则存在，则判断该用户的行为是否是侵害行为，确定侵害等级，并根据侵害等级采取相应的响应措施。

SP_CREATE_AUDIT_RULE(

RULENAME VARCHAR(128),

OPERATION VARCHAR(30),

USERNAME VARCHAR(128),

SCHNAME VARCHAR(128),

OBJNAME VARCHAR(128),

WHENEVER VARCHAR(20),

ALLOW_IP VARCHAR(1024),

ALLOW_DT VARCHAR(1024),

INTERVAL INTEGER,

TIMES INTERGER

);

 

参数说明：

RULENAME 创建的审计实时侵害检测规则名

OPERATION 审计操作名，即DDL和DML的类型

USERNAME 用户名，没有指定或'NULL'表示所有用户

SCHNAME 模式名，没有时指定为'NULL'

OBJNAME 对象名，没有时指定为'NULL'

WHENEVER 审计时机，取值 ALL/SUCCESSFUL/FAIL

ALLOW_IP IP 列表，以’,’隔开。例如'"192.168.0.1","127.0.0.1"'

ALLOW_DT 时间串，格式如下：

ALLOW_DT::= <时间段项>{,<时间段项>}

<时间段项> ::= <具体时间段> | <规则时间段> <具体时间段> ::= <具体日期><具体时间> TO <具体日期><具体时间> <规则时间段> ::= <规则时间标志><具体时间> TO <规则时间标志><具体时间> <规则时间标志> ::= MON | TUE | WED | THURS | FRI | SAT | SUN

INTERVAL 时间间隔，单位为分钟

TIMES 次数

示例：用QQ邮箱测试，QQ邮箱需开启SMTP（开启时记住临时授权码）

zmfiirmgizvzbbch

SYSAUDITOR登录，开始实时审计

SP_SET_ENABLE_AUDIT(2);

审计表的创建、修改和删除。

SP_AUDIT_STMT('TABLE', 'NULL', 'ALL');

对SYSDBA所有操作进行审计， 不管失败和成功

SP_AUDIT_STMT('ALL', 'SYSDBA','ALL');

使用SYSDBA用户创建测试表TEST，并插入数据

创建审计规则SYSDBA用户对SYSDBA.TEST的删除记录操作为危险删除操作，不论删除成功与否，允许的IP段、时间段、频数，频数是最后2个参数。x分钟出现Y次以上就算频数超限。

SP_CREATE_AUDIT_RULE ('DANGEROUS_DELETE','DELETE', 'SYSDBA', 'SYSDBA', 'TEST', 'ALL', '"127.0.0.1"','MON "3:00:00" TO MON "18:00:00"',1, 3);

dmamon_ctl 配置dmamon.ini配置文件

审计告警工具 dmamon 用来在 DM 实时侵害检测系统检测到侵害事件且需要进行报警时可将报警信息以邮件的形式发送给指定邮箱。dmamon 的运行需要指定对应的配置文件 dmamon.ini，此配置文件只能通过工具dmamon_ctl 进行创建或修改。

保存，保存路径必须为 dmamon.ini 的绝对路径。退出之前须保存，否则修改无效

配置好 dmamon.ini 后，就可以使用 dmamon 工具进行实时审计告警了。启动命令如下

./dmamon USERID=SYSAUDITOR/SYSAUDITOR@localhost:5236 PATH=/dm8/data/DAMENG/dmamon.ini

启动之后，使用SYSDBA用户测试删除数据，发现当删除第3行数据时报错

查看qq邮箱已经收到报警邮件