MongoDB教程FG071-MongoDB数据库审计与合规实战

auditLog:
destination: file
format: JSON
path: /mongodb/logs/audit.json
filter: ‘{ “atype”: { “$in”: [“authCheck”, “createCollection”, “dropCollection”, “insert”, “update”, “delete”] } }’

# 重启MongoDB
systemctl restart mongodb

配置审计过滤器：

# 配置更详细的审计过滤器
vi /mongodb/app/mongod.conf

auditLog:
destination: file
format: JSON
path: /mongodb/logs/audit.json
filter: ‘{ “$or”: [ { “atype”: “authCheck” }, { “atype”: “command”, “param.command”: { “$in”: [“find”, “insert”, “update”, “delete”] } } ] }’

3.2 合规检查配置

使用MongoDB Compass进行合规检查：

# 启动MongoDB Compass
/mongodb/app/compass/MongoDBCompass

# 连接到MongoDB
mongodb://fgedu:fgedu123@192.168.1.100:27017/admin

# 查看安全选项
选择”Security”选项卡，查看认证和授权设置

Part04-生产案例与实战讲解

4.1 审计实战

查看审计日志：

# 查看审计日志
tail -f /mongodb/logs/audit.json

# 输出日志
{ “atype” : “authCheck”, “ts” : { “$date” : “2026-04-08T10:00:00Z” }, “local” : { “ip” : “127.0.0.1”, “port” : 27017 }, “remote” : { “ip” : “192.168.1.101”, “port” : 54321 }, “users” : [ { “user” : “fgedu”, “db” : “fgedudb” } ], “roles” : [ { “role” : “readWrite”, “db” : “fgedudb” } ], “param” : { “command” : “find”, “ns” : “fgedudb.fgedu_users” }, “result” : 0 }
{ “atype” : “command”, “ts” : { “$date” : “2026-04-08T10:00:01Z” }, “local” : { “ip” : “127.0.0.1”, “port” : 27017 }, “remote” : { “ip” : “192.168.1.101”, “port” : 54321 }, “users” : [ { “user” : “fgedu”, “db” : “fgedudb” } ], “roles” : [ { “role” : “readWrite”, “db” : “fgedudb” } ], “param” : { “command” : “insert”, “ns” : “fgedudb.fgedu_users”, “documents” : [ { “_id” : ObjectId(“60a7b8c9d0e1f2a3b4c5d6e7”), “name” : “Test User”, “age” : 30, “email” : “test@fgedu.net.cn” } ] }, “result” : 0 }

分析审计日志：

# 使用MongoDB查询审计日志
/mongodb/app/bin/mongosh –host 192.168.1.100 –port 27017 -u fgedu -p fgedu123 –authenticationDatabase admin

# 导入审计日志到集合
use fgedudb
db.audit_logs.insertMany(JSON.parse(cat(‘/mongodb/logs/audit.json’)))

# 查询登录失败记录
db.audit_logs.find({ “atype”: “authCheck”, “result”: { “$ne”: 0 } })

# 查询特定用户的操作
db.audit_logs.find({ “users”: { “$elemMatch”: { “user”: “fgedu” } } })

from MongoDB视频:www.itpux.com

4.2 合规检查实战

检查用户权限：

# 连接MongoDB
/mongodb/app/bin/mongosh –host 192.168.1.100 –port 27017 -u fgeduadmin -p fgeduadmin123 –authenticationDatabase admin

# 查看所有用户
use admin
db.getUsers()

# 输出日志
[
{
“_id” : “admin.fgeduadmin”,
“userId” : UUID(“12345678-1234-5678-1234-567812345678”),
“user” : “fgeduadmin”,
“db” : “admin”,
“roles” : [
{ “role” : “userAdminAnyDatabase”, “db” : “admin” },
{ “role” : “readWriteAnyDatabase”, “db” : “admin” }
],
“mechanisms” : [ “SCRAM-SHA-1”, “SCRAM-SHA-256” ]
},
{
“_id” : “fgedudb.fgedu”,
“userId” : UUID(“87654321-4321-6543-4321-876543210987”),
“user” : “fgedu”,
“db” : “fgedudb”,
“roles” : [
{ “role” : “readWrite”, “db” : “fgedudb” }
],
“mechanisms” : [ “SCRAM-SHA-1”, “SCRAM-SHA-256” ]
}
]

检查安全配置：

# 检查认证设置
db.adminCommand({ getParameter: 1, authenticationMechanisms: 1 })

# 检查SSL设置
db.adminCommand({ getParameter: 1, ssl: 1 })

风哥提示：定期进行合规检查，确保数据库符合相关要求。

Part05-风哥经验总结与分享

5.1 审计与合规最佳实践

风哥建议的审计与合规最佳实践：

启用审计功能，记录所有关键操作
合理配置审计过滤器，避免记录过多无关信息
定期分析审计日志，发现异常操作
建立审计告警机制，及时发现安全问题
定期进行合规检查，确保符合相关要求
保存审计日志足够长的时间，满足合规要求
使用自动化工具进行审计日志分析

学习交流加群风哥QQ113257174

5.2 审计日志管理建议

审计日志管理建议：

使用专用的日志存储系统，确保审计日志的安全
定期备份审计日志，防止日志丢失
设置审计日志轮转，避免日志文件过大
对审计日志进行加密，防止日志内容泄露
建立审计日志访问控制，确保只有授权人员可以访问
定期清理过期的审计日志，优化存储空间

更多视频教程www.fgedu.net.cn

注意事项

审计功能会对数据库性能产生一定影响，应合理配置
审计日志可能会占用大量存储空间，应规划好存储容量
审计日志包含敏感信息，应妥善保护
不同的合规要求可能有不同的审计要求，应根据具体要求进行配置
定期对审计系统进行测试，确保其正常运行

本文由风哥教程整理发布,仅用于学习测试使用,转载注明出处:http://www.fgedu.net.cn/10327.html

MongoDB教程FG071-MongoDB数据库审计与合规实战

目录大纲

Part01-基础概念与理论知识

1.1 审计概述

1.2 合规要求

Part02-生产环境规划与建议

2.1 审计架构设计

2.2 合规策略制定

Part03-生产环境项目实施方案

3.1 审计配置实施