管理审计范围规则
数据库安全审计默认提供一条“全审计规则”用于设置审计范围,可对所有成功连接数据库安全审计的数据库进行安全审计。
您若需指定审计范围,亦可添加审计范围规则以设置特定的数据库审计范围。
您可以查看审计范围规则列表,并可以启用、禁用、编辑或删除这些规则。
前提条件
- 数据库安全审计实例的状态为“运行中”。
- 启用、编辑和删除审计范围前,请确认审计范围的状态为“已禁用”。
- 禁用审计范围前,请确认审计范围的状态为“已启用”。
约束与限制
- 数据库安全审计默认提供一条“全审计规则”的审计范围,可以审计所有连接数据库安全审计实例的数据库。该审计规则默认开启,您只能禁用或启用该审计规则。
- 全审计规则优先级高于自定义添加的审计范围规则,若您需要重新添加审计范围规则,请禁用“全审计规则”。
管理审计范围规则
- 登录DBSS控制台。
- 单击管理控制台左上角的
,选择区域。 - 在“选择实例”下拉列表框中,选择需要配置审计范围的实例。
- 在左侧导航树中,选择。
查看审计范围规则列表
查看审计范围规则列表,相关参数说明如表1所示。
添加审计范围规则
- 在审计范围列表框左上方,单击“添加审计范围”。
- 在弹出的对话框中,设置审计范围,如图2所示,相关参数说明如表2所示。
表2 添加审计范围参数说明 参数名称
说明
取值样例
名称
自定义审计范围的名称。
audit00
数据库名称
选择“全部数据库”或选择待添加审计范围的数据库。
db03
操作类型(可选)
审计范围的操作类型,包括“登录”和“操作”。
当选择“操作”时,可以选择“全部操作”,或选择“数据定义”、“数据操作”或“数据控制”的操作。
说明:免Agent审计操作类型实际依赖于RDS的识别结果,例如,CREATE USER和CREATE TABLE操作类型的语句可能被识别为CREATE;DROP USER和DROP TABLE操作类型的语句可能被识别为DROP,SELECT FOR UPDATE操作类型的语句可能被识别为SELECT。查看SQL语句的操作类型请参见查看SQL语句详细信息。
登录
数据库账户(可选)
可选参数。输入数据库的账户名。
可增加多个账户,多个账户间用逗号隔开。
-
例外IP(可选)
可选参数。输入不需要对数据库操作行为进行审计的IP地址。
说明:例外IP规则优先级高于源IP规则,当例外IP和源IP中填写的IP地址有重叠时,将不对重叠IP的数据库操作行为进行审计。
-
源IP(可选)
可选参数。输入访问待审计数据库的IP地址或IP地址段。
IP必须为内网IP地址,支持IPv4和IPv6格式。
-
源端口(可选)
可选参数。输入访问待审计数据库的端口。
-
- 单击“确定”。
添加成功,审计范围列表新增一条状态为“已启用”的审计范围。
启用审计范围规则
在需要启用的审计范围规则所在行的“操作”列,单击“启用”,数据库安全审计将对该审计范围的数据库进行审计。
禁用审计范围规则
- 在需要禁用的审计范围规则所在行的“操作”列,单击“禁用”。
- 在弹出的对话框中,单击“确定”,可以禁用该审计范围。
禁用审计范围后,该审计范围规则将不在审计中执行。
编辑审计范围规则
仅支持编辑自定义创建的审计范围规则。
- 在需要编辑的审计范围规则所在行的“操作”列,单击“编辑”。
- 在弹出的对话框中,您可以修改审计范围,单击“确定”,进行保存。
删除审计范围规则
仅支持删除自定义创建的审计范围规则。
- 在需要删除的审计范围规则所在行的“操作”列,单击“删除”。
- 在弹出的对话框中,输入“DELETE”,单击“确定”,删除该审计范围规则。
删除审计范围规则后,如果需要对该实例设置特定的数据库审计范围,需重新添加审计范围规则。
