数据库是企业业务的数据核心 其安全方面的问题已经成为数据泄漏和被篡改的重要根源。因此 对数据库的操作行为尤其是全量 SQL 执行记录的审计日志 就显得尤为重要。
RDS SQL审计日志记录了对数据库执行的所有操作 这些信息是系统通过网络协议分析所得 对系统CPU消耗极低 不影响SQL执行效率。RDS SQL审计日志包括但不限于如下操作
数据库的登录和退出操作。DDL Data Definition Language 操作 对数据库结构定义的SQL语句 包括CREATE、ALTER DROP、TRUNCATE、COMMENT等。DML Data Manipulation Language 操作 SQL操作语句 包括SELECT、INSERT、UPDATE、DELETE等。其他SQL执行操作 包括任何其他通过SQL执行的控制 例如回滚、控制等。SQL执行的延迟、执行结果、影响的行数等信息。审计日志采集现状目前 已支持“接入数据-RDS审计”和日志审计服务两种接入方式。
“接入数据-RDS审计”提供了简单的可视化采集方式。但是以采集目标project/logstore为第一视角 且有region化限时 对实例维度的采集不友好 project或实例较多时操作复杂。日志审计服务提供了自动化的采集能力 但是缺失了交互式的采集以及实例粒度的视图。鉴于以上的场景上的缺失 我们推出了RDS审计中心 提供可视化的交互式采集能力、自动化采集能力及采集实例对象、存储库的管理视图。
三种采集方式的差异及使用场景
RDS审计中心方式和接入数据-RDS审计方式中的采集配置是互通的。日志审计服务中的RDS SQL审计日志采集配置为独立的采集渠道 不受另外两种采集方式影响。
接下来重点介绍RDS审计中心APP。
RDS审计中心功能简介采集管理支持集中管理RDS SQL审计日志的采集状态。支持自动采集现有或未来新增RDS实例的SQL审计日志。支持集中管理存储目标库 Project、Logstore 。日志审计提供RDS SQL审计日志的实时存储、查询与分析。提供丰富的可视化报表 支持报表邮件、钉钉群订阅。提供丰富的内置告警规则 支持灵活配置告警策略 及时精准地发送告警消息。开启前提开启RDS审计中心必须创建两个角色
SLS日志审计服务关联角色AliyunServiceRoleForSLSAudit。开启RDS审计中心时 会自动创建该系统角色。已创建系统角色AliyunLogArchiveRole。实例采集状态查询开启后 点击数据接入 进入RDS审计日志接入视图。
查看RDS实例信息。例如 实例ID、实例名、地域、数据库类型、标签、SQL洞察状态、采集状态、采集目标库等。查看存储目标库信息。支持查看存储目标库的地域、数据保存时间。支持数据保存时间的调整。采集配置手动采集对未开启的实例进行开启采集操作 支持自定义选择存储目标库。对于已开启采集的实例 支持变更存储目标库和关闭采集。注意 如果后续自动化采集配置了强制性策略 会导致一些操作受限。
自动化采集在数据接入页签中 单击自动化采集配置。自动化配置提供了图形化的配置界面 有两种节点类型 条件节点、自动化采集配置节点。
条件节点可以使用阿里云账号ID、地域、实例ID、实例名、DB类型、DB版本号、标签等属性设置采集条件。
标准模式下各个条件之间为且关系。高级模式下 您可以灵活组合与嵌套条件。
自动化采集配置节点参数说明自动化采集类型选择自动化采集类型 具体说明如下 自定义存储目标库 自动采集符合条件的RDS实例的审计日志到目标Logstore中。如果存储目标库 Project、Logstore 不存在 会自动创建对应的日志库目标。自动化采集举例
绑定env prod标签的RDS MySQL实例的审计日志投递到名为rds-prod-${主账号ID}-${地域}的Project下的rds_log Logstore中。绑定env test标签的RDS MySQL实例的审计日志投递到名为rds-test-${主账号ID}-${地域}的Project下的rds_log Logstore中。其他RDS实例的审计日志的存储目标库以当前已生效的存储目标库为准。查询分析报表仪表盘说明RDS审计运营中心展示整体访问情况、活跃数据库等信息 包括操作的数据库数量、操作表格数、执行错误、累计插入行数、累计更新行数、累计删除行数、累计查询行数等。RDS审计性能中心展示运维可靠性相关指标 包括SQL执行峰值、查询带宽峰值、插入开端峰值、更新带宽峰值、删除带宽峰值、SQL平均时间、查询SQL平均时间、更新SQL平均时间、删除SQL平均时间等。RDS审计安全中心展示数据库安全相关指标 包括错误数、登录失败次数、大批量删除事件、大批量修改事件数、危险SQL执行次数、错误操作类型分布、出错客户端外网分布、错误最多的客户端等。例如 RDS审计运营中心。可以方便在所有存储目标库之间切换 查看内置报表。
告警监控RDS审计中心中已内置告警规则、SLS审计内置告警策略、SLS审计内置行动策略、SLS审计内置用户组和SLS审计内置内容模板。
常见的告警如下
RDS慢SQL检测RDS大批量数据删除告警RDS外网访问检测RDS查询SQL平均执行时间监控告警RDS数据库更新峰值监控告警RDS数据库查询峰值监控告警RDS实例释放告警RDS高频访问IP检测RDS更新SQL平均执行时间监控告警RDS登录失败次数过多告警RDS大批量数据修改事件告警RDS危险的SQL执行告警RDS SQL执行错误数过多告警使用者只需要配置简单的用户信息即可在异常发生时接收到告警通知。详细操作 见链接。
用户管理中 添加用户信息将用户加到“SLS审计内置用户组”中。下面以RDS慢日志监控为例 说明下端到端的审计流程。
服务器配置里最核心的一个要素就是带宽,这个要素也是决定服务器租用价格的主要...
2019年是蒙牛创业20周年,这家成立于内蒙古的公司是全球增长最快的乳企,2018年...
最近在面试过程中有被问到,在Java反射中Class.forName()加载类和使用ClassLoade...
据Canalys报告,由于主要云服务提供商和技术渠道加大客户投入,2020年第四季度全...
买一个 域名 和空间多少钱?买一个域名和空间需要的费用,主要看买什么样的域名...
PHP虚拟主机 哪个品牌的好?php 虚拟主机 就是支持PHP程序语言的虚拟主机,不同...
【51CTO.com原创稿件】随着移动互联网和大数据的蓬勃发展,数据即资产的理念深入...
2020年10月17日,十三届全国人大常委会第二十二次会议表决通过修订后的《未成年...
本文转载自微信公众号「Kirito的技术分享」,作者kiritomoe。转载本文请联系Kiri...
2021年5月28 日,在以 " 云上创新 " 为主题的阿里云峰会上,阿里云智能总裁张建...