kingbase教程FG197-金仓数据库安全审计日志分析
内容简介:本文档详细介绍金仓数据库安全审计日志的分析方法和实战案例,包括审计日志的配置、收集、分析和监控等。风哥教程参考kingbase官方文档kingbase8安全管理手册、kingbase8审计日志指南等。
Part01-基础概念与理论知识
1.1 安全审计概述
安全审计是指对信息系统的安全状况进行监控、记录和分析的过程。金仓数据库的安全审计功能可以记录用户的操作行为、系统事件等,帮助管理员及时发现和处理安全问题。
1.2 审计日志类型
金仓数据库的审计日志类型包括:
- 会话审计:记录用户登录、注销等会话事件
- 语句审计:记录用户执行的SQL语句
- 对象审计:记录对数据库对象的操作
- 系统审计:记录系统级事件,如数据库启动、关闭等
1.3 审计日志格式
金仓数据库的审计日志格式包括:
- 文本格式:以文本形式存储的审计日志,学习交流加群风哥微信: itpux-com
- JSON格式:以JSON形式存储的审计日志
- CSV格式:以CSV形式存储的审计日志
Part02-生产环境规划与建议
2.1 审计日志规划
审计日志规划:
- 确定审计范围:根据安全需求确定需要审计的事件类型
- 配置审计级别:根据安全需求确定审计的详细程度
- 设置审计策略:制定审计日志的收集、存储和分析策略
2.2 存储规划
存储规划:
- 存储容量:根据审计日志的生成速度和保留时间确定存储容量
- 存储位置:选择安全可靠的存储位置,学习交流加群风哥QQ113257174
- 存储方式:使用本地存储或远程存储
- 备份策略:定期备份审计日志
2.3 分析策略
分析策略:
- 实时分析:实时监控审计日志,及时发现安全事件
- 定期分析:定期对审计日志进行分析,发现潜在的安全问题
- 异常检测:使用异常检测算法发现异常行为
- 趋势分析:分析审计日志的趋势,预测可能的安全风险
Part03-生产环境项目实施方案
3.1 审计日志配置步骤
审计日志配置步骤:
- 启用审计功能:在postgresql.conf中配置审计参数,更多视频教程www.fgedu.net.cn
- 设置审计目录:指定审计日志的存储目录
- 配置审计级别:根据安全需求配置审计级别
- 配置审计类型:指定需要审计的事件类型
- 重启数据库:使审计配置生效
3.2 日志收集与存储
日志收集与存储:
- 配置日志轮换:设置审计日志的轮换策略
- 配置日志压缩:对审计日志进行压缩,节省存储空间
- 配置远程存储:将审计日志存储到远程服务器
- 配置备份策略:定期备份审计日志,更多学习教程公众号风哥教程itpux_com
3.3 日志分析与监控
日志分析与监控:
- 使用日志分析工具:如ELK Stack、Splunk等
- 配置监控告警:设置安全事件的告警机制
- 定期审计:定期对审计日志进行分析
- 生成审计报告:定期生成审计报告
Part04-生产案例与实战讲解
4.1 审计日志配置实战
审计日志配置实战:
# 审计日志配置实战
# 步骤1:配置审计参数
$ vi /kingbase/fgdata/postgresql.conf
# 添加以下配置
audit_enabled = on
audit_directory = ‘audit’
audit_filename = ‘audit’
audit_rotation_size = 10MB
audit_rotation_age = 1d
audit_logging_process = on
audit_logging_user = on
audit_logging_database = on
audit_logging_statement = all
audit_logging_ddl = on
audit_logging_dml = on
audit_logging_select = on
audit_logging_copy = on
audit_logging_function = on
audit_logging_trigger = on
audit_logging_rule = on
audit_logging_view = on
audit_logging_sequence = on
audit_logging_type = on
audit_logging_domain = on
audit_logging_collation = on
audit_logging_conversion = on
audit_logging_cast = on
audit_logging_operator = on
audit_logging_aggregate = on
audit_logging_access_method = on
audit_logging_operator_class = on
audit_logging_opclass = on
audit_logging_tablespace = on
audit_logging_language = on
audit_logging_foreign_data_wrapper = on
audit_logging_foreign_server = on
audit_logging_user_mapping = on
audit_logging_schema = on
audit_logging_extension = on
audit_logging_event_trigger = on
audit_logging_policy = on
audit_logging_role = on
audit_logging_publication = on
audit_logging_subscription = on
# 步骤2:创建审计目录
$ mkdir -p /kingbase/fgdata/audit
$ chown kingbase:kingbase /kingbase/fgdata/audit
# 步骤3:重启数据库
$ systemctl restart kingbase
# 步骤4:验证审计配置
$ ksql -U system -d fgedudb -c “SHOW audit_enabled;”
# 输出日志
audit_enabled
—————
on
(1 row)
# 步骤5:测试审计日志
$ psql -h fgedu.localhost -p 54321 -U fgedu -d fgedudb -c “INSERT INTO fgedu_test (id, name) VALUES (1, ‘fgedudb’);”
# 查看审计日志
$ cat /kingbase/fgdata/audit/audit.log
# 输出日志
2026-04-09 10:00:00.000 CST [1234]: [1-1] user=fgedu,db=fgedudb,app=psql,client=127.0.0.1 LOG: AUDIT: SESSION,1,1,WRITE,INSERT,,,INSERT INTO fgedu_test (id, name) VALUES (1, ‘fgedudb’);,”
4.2 日志收集与管理
日志收集与管理:
# 日志收集与管理
# 步骤1:配置日志轮换
$ vi /etc/logrotate.d/kingbase-audit
/kingbase/fgdata/audit/audit.log {
daily
rotate 30
compress
delaycompress
missingok
postrotate
systemctl reload kingbase
endscript
}
# 步骤2:测试日志轮换
$ logrotate -f /etc/logrotate.d/kingbase-audit
# 查看轮换后的日志
$ ls -la /kingbase/fgdata/audit/
# 输出日志
total 20
drwxr-xr-x 2 kingbase kingbase 4096 Apr 9 10:00 .
drwxr-xr-x 4 kingbase kingbase 4096 Apr 9 09:00 ..
-rw——- 1 kingbase kingbase 1024 Apr 9 10:00 audit.log
-rw——- 1 kingbase kingbase 512 Apr 9 09:00 audit.log.1.gz
# 步骤3:配置远程日志存储
$ vi /etc/rsyslog.conf
# 添加以下配置
*.* @remote-server:514
# 重启rsyslog
$ systemctl restart rsyslog
# 步骤4:配置日志备份
$ vi /root/backup_audit.sh
#!/bin/bash
# backup_audit.sh
# from:www.itpux.com.qq113257174.wx:itpux-com
# web: `http://www.fgedu.net.cn`
BACKUP_DIR=”/backup/audit”
AUDIT_DIR=”/kingbase/fgdata/audit”
mkdir -p ${BACKUP_DIR}
tar -czf ${BACKUP_DIR}/audit_backup_$(date +%Y%m%d%H%M%S).tar.gz ${AUDIT_DIR}
find ${BACKUP_DIR} -name “audit_backup_*” -mtime +30 -delete
$ chmod +x /root/backup_audit.sh
$ crontab -e
# 添加定时任务,每天凌晨2点执行备份
0 2 * * * /root/backup_audit.sh
4.3 日志分析工具使用
日志分析工具使用:
# 日志分析工具使用
# 步骤1:安装ELK Stack
# 安装Elasticsearch
$ rpm –import https://artifacts.elastic.co/GPG-KEY-elasticsearch
$ cat > /etc/yum.repos.d/elasticsearch.repo << EOF
[elasticsearch]
name=Elasticsearch repository for 7.x packages
baseurl=https://artifacts.elastic.co/packages/7.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=1
autorefresh=1
type=rpm-md
EOF
$ yum install -y elasticsearch
$ systemctl start elasticsearch
$ systemctl enable elasticsearch
# 安装Logstash
$ cat > /etc/yum.repos.d/logstash.repo << EOF
[logstash]
name=Logstash repository for 7.x packages
baseurl=https://artifacts.elastic.co/packages/7.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=1
autorefresh=1
type=rpm-md
EOF
$ yum install -y logstash
# 安装Kibana
$ cat > /etc/yum.repos.d/kibana.repo << EOF
[kibana]
name=Kibana repository for 7.x packages
baseurl=https://artifacts.elastic.co/packages/7.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=1
autorefresh=1
type=rpm-md
EOF
$ yum install -y kibana
$ systemctl start kibana
$ systemctl enable kibana
# 步骤2:配置Logstash
$ vi /etc/logstash/conf.d/kingbase-audit.conf
input {
file {
path => “/kingbase/fgdata/audit/audit.log”
start_position => “beginning”
sincedb_path => “/dev/null”
}
}
filter {
grok {
match => {
“message” => “%{TIMESTAMP_ISO8601:timestamp} \[%{NUMBER:pid}\]: \[%{NUMBER:line}-%{NUMBER:line_num}\] user=%{USER:user},db=%{USER:db},app=%{DATA:app},client=%{IP:client} LOG: AUDIT: %{WORD:audit_type},%{NUMBER:session_id},%{NUMBER:command_id},%{WORD:action},%{WORD:statement_type},,,%{GREEDYDATA:sql},”
}
}
date {
match => [“timestamp”, “yyyy-MM-dd HH:mm:ss.SSS z”]
target => “@timestamp”
}
}
output {
elasticsearch {
hosts => [“fgedu.localhost:9200”]
index => “kingbase-audit-%{+YYYY.MM.dd}”
}
stdout {
codec => rubydebug
}
}
# 步骤3:启动Logstash
$ systemctl start logstash
$ systemctl enable logstash
# 步骤4:访问Kibana
# 打开浏览器,访问 http://fgedu.localhost:5601
# 步骤5:创建索引模式
# 在Kibana中,选择Management > Index Patterns > Create index pattern
# 输入索引模式:kingbase-audit-*
# 步骤6:查看审计日志
# 在Kibana中,选择Discover,查看审计日志
# 步骤7:创建可视化
# 在Kibana中,选择Visualize,创建可视化图表
# 步骤8:创建仪表盘
# 在Kibana中,选择Dashboard,创建仪表盘
4.4 安全事件检测与响应
安全事件检测与响应:,from DB视频:www.itpux.com
# 安全事件检测与响应
# 步骤1:配置安全事件告警
$ vi /etc/logstash/conf.d/kingbase-audit-alert.conf
input {
elasticsearch {
hosts => [“fgedu.localhost:9200”]
index => “kingbase-audit-*”
query => “{\”query\”: {\”bool\”: {\”must\”: [{\”match\”: {\”statement_type\”: \”DROP\”}}, {\”match\”: {\”action\”: \”WRITE\”}}]}}”
schedule => “*/5 * * * *”
}
}
output {
email {
to => “security@fgedu.net.cn”
from => “kibana@fgedu.net.cn”
subject => “[Security Alert] DROP statement detected”
body => “A DROP statement was detected in the Kingbase audit logs.\n\nDetails:\nUser: %{user}\nDatabase: %{db}\nIP: %{client}\nSQL: %{sql}\nTimestamp: %{timestamp}”
via => “smtp”
options => {
smtpIporHost => “smtp.fgedu.net.cn”
smtpPort => “25”
smtpUser => “kibana”
smtpPassword => “password”
useTLS => true
}
}
}
# 步骤2:测试安全事件检测
$ psql -h fgedu.localhost -p 54321 -U fgedu -d fgedudb -c “DROP TABLE fgedu_test;”
# 步骤3:查看告警邮件
# 检查security@fgedu.net.cn邮箱,应该收到告警邮件
# 步骤4:响应安全事件
# 1. 确认事件:验证是否为误操作或恶意行为
# 2. 采取措施:如恢复数据、修改权限等
# 3. 记录事件:将事件记录到安全事件日志中
# 4. 改进措施:根据事件原因,改进安全策略
Part05-风哥经验总结与分享
5.1 审计日志分析常见问题与解决方案
审计日志分析常见问题与解决方案:
- 日志量过大:配置合适的审计级别,避免记录过多无关信息
- 存储空间不足:配置日志轮换和压缩,定期清理过期日志
- 分析效率低:使用日志分析工具,如ELK Stack、Splunk等
- 误报率高:优化告警规则,减少误报
- 安全事件响应慢:建立完善的安全事件响应流程
5.2 审计日志分析最佳实践
审计日志分析最佳实践:
- 配置合适的审计级别:根据安全需求配置审计级别,避免过度审计
- 使用日志分析工具:使用ELK Stack、Splunk等工具进行日志分析
- 定期分析审计日志:定期对审计日志进行分析,发现潜在的安全问题
- 建立安全事件响应流程:建立完善的安全事件响应流程,及时处理安全事件
- 定期备份审计日志:定期备份审计日志,确保数据安全
- 培训安全人员:对安全人员进行培训,提高安全意识和技能
5.3 审计日志分析脚本分享
以下是一个审计日志分析脚本示例:
#!/bin/bash
# audit_log_analysis.sh
# from:www.itpux.com.qq113257174.wx:itpux-com
# web: `http://www.fgedu.net.cn`
# 配置信息
AUDIT_DIR=”/kingbase/fgdata/audit”
ANALYSIS_DIR=”/root/audit_analysis”
# 记录日志
log() {
echo “$(date ‘+%Y-%m-%d %H:%M:%S’) – $1” >> audit_log_analysis.log
}
# 创建分析目录
create_analysis_dir() {
log “创建分析目录”
mkdir -p ${ANALYSIS_DIR}
log “分析目录创建完成”
}
# 分析登录失败事件
analyze_login_failure() {
log “分析登录失败事件”
grep “LOGIN_FAILURE” ${AUDIT_DIR}/audit.log > ${ANALYSIS_DIR}/login_failure.log
if [ -s ${ANALYSIS_DIR}/login_failure.log ]; then
log “发现登录失败事件”
cat ${ANALYSIS_DIR}/login_failure.log
else
log “未发现登录失败事件”
fi
}
# 分析危险操作
analyze_dangerous_operations() {
log “分析危险操作”
grep -E “DROP|TRUNCATE|DELETE” ${AUDIT_DIR}/audit.log > ${ANALYSIS_DIR}/dangerous_operations.log
if [ -s ${ANALYSIS_DIR}/dangerous_operations.log ]; then
log “发现危险操作”
cat ${ANALYSIS_DIR}/dangerous_operations.log
else
log “未发现危险操作”
fi
}
# 分析权限变更
analyze_permission_changes() {
log “分析权限变更”
grep -E “GRANT|REVOKE” ${AUDIT_DIR}/audit.log > ${ANALYSIS_DIR}/permission_changes.log
if [ -s ${ANALYSIS_DIR}/permission_changes.log ]; then
log “发现权限变更”
cat ${ANALYSIS_DIR}/permission_changes.log
else
log “未发现权限变更”
fi
}
# 生成分析报告
generate_report() {
log “生成分析报告”
cat > ${ANALYSIS_DIR}/audit_report_$(date +%Y%m%d).txt << EOF
# 金仓数据库审计日志分析报告
## 分析时间
$(date ‘+%Y-%m-%d %H:%M:%S’)
## 登录失败事件
$(if [ -s ${ANALYSIS_DIR}/login_failure.log ]; then echo “发现登录失败事件”; else echo “未发现登录失败事件”; fi)
## 危险操作
$(if [ -s ${ANALYSIS_DIR}/dangerous_operations.log ]; then echo “发现危险操作”; else echo “未发现危险操作”; fi)
## 权限变更
$(if [ -s ${ANALYSIS_DIR}/permission_changes.log ]; then echo “发现权限变更”; else echo “未发现权限变更”; fi)
## 详细信息
### 登录失败事件
$(cat ${ANALYSIS_DIR}/login_failure.log 2>/dev/null || echo “无”)
### 危险操作
$(cat ${ANALYSIS_DIR}/dangerous_operations.log 2>/dev/null || echo “无”)
### 权限变更
$(cat ${ANALYSIS_DIR}/permission_changes.log 2>/dev/null || echo “无”)
EOF
log “分析报告生成完成”
}
# 主函数
main() {
log “开始审计日志分析”
create_analysis_dir
analyze_login_failure
analyze_dangerous_operations
analyze_permission_changes
generate_report
log “审计日志分析完成”
}
# 执行主函数
main
风哥提示:安全审计日志分析是数据库安全的重要组成部分,通过对审计日志的分析,可以及时发现和处理安全问题,保障数据库的安全运行。
本文由风哥教程整理发布,仅用于学习测试使用,转载注明出处:http://www.fgedu.net.cn/10327.html
