本文介紹了在云盾數據庫審計系統(tǒng)中查詢告警日志的具體操作。通過告警日志,您可以查詢數據庫的告警信息。
查看告警日志
步驟一:登錄數據庫審計系統(tǒng)
登錄數據庫審計系統(tǒng)。具體操作,請參見登錄數據庫審計系統(tǒng)。
在左側導航欄,選擇。
步驟二:設置查詢條件
搜索功能可以幫助您準確定位到具體操作或語句。您可以在告警日志頁面的告警日志頁簽中設置需要查詢的條件。
選擇時間范圍。
設置報文。
設置需要查詢的報文的關鍵字。多個關鍵字使用半角逗號(,)或空格隔開。使用半角逗號(,)隔開的關鍵字之間為或的關系,使用空格隔開的關鍵字之間為與的關系。
設置更多搜索條件。
告警日志頁面默認顯示常用的篩選條件,如需設置更多篩選條件,可單擊更多條件選中并設置所需條件。支持的篩選條件見下表。
篩選項
說明
告警ID
要查詢的告警ID。
審計ID
唯一標識審計記錄的ID。
會話ID
要查詢的會話ID。
SQL模板ID
要查詢的SQL模板ID。
發(fā)生時間
SQL執(zhí)行的時間。
規(guī)則類型
命中的規(guī)則類型。
規(guī)則名稱
命中的規(guī)則名稱。
告警等級
觸發(fā)的告警等級。
客戶端IP
客戶端的IP地址,支持查詢IPv4或IPv6地址。
客戶端端口
客戶端的端口號。
客戶端MAC
客戶端的MAC地址。
客戶端工具
登錄數據庫的客戶端工具。
主機名
數據庫服務器的主機名。
操作系統(tǒng)用戶名
客戶端所在操作系統(tǒng)的用戶名。
資產名稱
執(zhí)行SQL的對應的資產名稱。
服務端IP
服務端的IP地址,支持查詢IPv4或IPv6地址。
服務端端口
服務端的端口號。
服務端MAC
服務端的MAC地址。
數據庫賬號
登錄到數據庫的賬號。
數據庫類型
數據庫的類型。
數據庫名/實例名
數據庫名稱或實例名稱。
對象
數據庫的庫、表、字段、視圖、存儲過程、函數、觸發(fā)器、索引、用戶、角色、權限等數據庫對象。
報文
審計到的SQL語句,可填多個關鍵字,用空格隔開,表示同時滿足。
原始SQL長度(B)
執(zhí)行SQL的長度。
操作類型
SQL的操作類型。
影響行數
SQL的影響行數。
執(zhí)行時長
SQL的執(zhí)行時長。
執(zhí)行狀態(tài)
SQL的執(zhí)行結果,取值:
全部(默認)
未知
執(zhí)行成功
執(zhí)行失敗
執(zhí)行結果描述
SQL語句執(zhí)行完成后的結果描述,如:
ORA-00942: table or view does not exist。關聯(lián)IP
關聯(lián)用戶的客戶端IP。
關聯(lián)賬號
關聯(lián)用戶的客戶端賬號。
關聯(lián)URL
關聯(lián)用戶的客戶端URL。
執(zhí)行人
執(zhí)行SQL的用戶名。
語句描述
SQL語句的描述。
說明不同搜索條件之間為與的關系。
保存查詢條件。
設置查詢條件后,單擊保存,可以保存查詢條件。
您可以在查詢條件下拉列表中直接查看已保存的查詢條件。
單擊搜索,執(zhí)行查詢。
說明一次查詢最多可查詢到10,000條記錄。
在告警日志頁面下方查看返回記錄。
您可以單擊查詢條件右側
圖標,并在設置顯示列對話框中選中要在返回結果中顯示的列選項。
步驟三:查看告警日志詳細
查看詳細信息
在日志列表中,單擊操作列中的詳細,查看告警日志的基本信息、客戶端、服務端、請求和響應信息。
設置別名
設置客戶端IP別名
單擊客戶端IP右側的設置別名。
在新增IP別名頁面,填寫名稱、IP/網絡、備注信息后,單擊保存。
在輔助功能頁面,IP別名頁簽中,查看IP別名列表信息。
設置數據庫賬號別名
單擊數據庫賬號右側的設置別名。
在新增賬號別名頁面,填寫名稱、資產、數據庫賬號、備注信息后,單擊保存。
在輔助功能頁面,賬號別名頁簽中,查看數據庫賬號別名列表信息。
取證
在告警日志詳細頁面下方單擊取證,在下載對話框中,單擊下載,可下載本條審計日志詳情的完整頁面。
規(guī)則配置
在告警日志詳細頁面下方單擊此類日志不告警,選擇添加到信任規(guī)則或添加到規(guī)則白名單進行規(guī)則配置。
添加到信任規(guī)則
在添加到信任規(guī)則對話框中,填寫信任規(guī)則名稱,在信任規(guī)則可選屬性條件中,選中目標條件(可多段),單擊確定。
您可以在頁面中查看信任規(guī)則列表信息。
添加到規(guī)則白名單
在添加到規(guī)則白名單對話框中,填寫白名單名稱,選中白名單可選屬性后單擊確定。
您可以在頁面的白名單管理頁簽中查看白名單列表信息。
單擊上一條或下一條可切換至臨近的審計日志。
查看告警分析
步驟一:設置查詢條件
搜索功能可以幫助您縮小查詢范圍。您可以在告警日志頁面的告警分析頁簽中設置需要查詢的條件。
單擊時間范圍,展開查詢條件下拉菜單。查詢條件支持時間范圍、規(guī)則名稱、資產、數據庫賬號和客戶端IP。單擊平鋪所有條件,可展開所有查詢條件。
說明不同搜索條件之間為與的關系。
單擊設置
圖標,在設置顯示列對話框中選中要在返回結果中顯示的列選項,單擊確定。單擊搜索,執(zhí)行查詢。在告警日志分析列表中查看查詢結果。
步驟二:查看告警統(tǒng)計詳情
查看詳細信息
在查詢結果列表中,單擊操作列中的詳情,在告警統(tǒng)計詳情頁面中,查看審計日志的規(guī)則詳情、告警資產、告警來源和觸發(fā)告警的SQL模板等信息。
規(guī)則詳情
設置信任規(guī)則資產
單擊資產數量右側的
圖標,在設置使用規(guī)則(無WHERE條件刪除數據)資產或選擇資產組頁簽中,選中需要啟用該規(guī)則的資產或資產組,單擊確定。設置規(guī)則白名單
單擊白名單數量右側的數字,在設置規(guī)則(無WHERE條件刪除數據)的白名單對話框中,查看規(guī)則白名單數據列表,單擊目標白名單狀態(tài)列的
圖標,可以變更白名單在該規(guī)則上的啟用狀態(tài)。
告警來源
在告警來源模塊中,查看告警來源的列表信息。單擊告警數量列的數字,跳轉至告警日志頁面,在告警日志頁簽中,查看命中該告警規(guī)則的告警日志列表。
單擊操作列的不再告警,在不再告警對話框中,選擇滿足條件和方式,單擊確定。
說明添加為白名單后,在此規(guī)則中,符合該白名單條件的相關操作不再產生告警。
添加為信任規(guī)則后,在所有規(guī)則中,符合該信任規(guī)則條件的相關告警來源不再產生告警。更多信息,請參見規(guī)則配置。
觸發(fā)告警的SQL模板
在觸發(fā)告警的SQL模板模塊中,查看觸發(fā)告警的SQL模板列表信息。單擊告警數量列的數字,跳轉至告警日志頁面,在告警日志頁簽中,查看命中該SQL模板的告警日志列表。
單擊操作列的不再告警,在不再告警對話框中,在方式選項中,選擇添加到白名單或添加到信任規(guī)則,單擊確定。
說明添加為白名單后,在此規(guī)則中,符合該白名單條件的相關操作不再產生告警。
添加為信任規(guī)則后,在所有規(guī)則中,符合該信任規(guī)則條件的相關告警來源不再產生告警。更多信息,請參見規(guī)則配置。