怎么基于SLS構建RDS審計合規監控

今天給大家介紹一下怎么基于SLS構建RDS審計合規監控。文章的內容小編覺得不錯，現在給大家分享一下，覺得有需要的朋友可以了解一下，希望對大家有所幫助，下面跟著小編的思路一起來閱讀吧。

我們注重客戶提出的每個要求，我們充分考慮每一個細節，我們積極的做好成都做網站、網站制作、成都外貿網站建設服務，我們努力開拓更好的視野，通過不懈的努力，成都創新互聯贏得了業內的良好聲譽，這一切，也不斷的激勵著我們更好的服務客戶。 主要業務：網站建設,網站制作,網站設計,微信平臺小程序開發,網站開發,技術開發實力，DIV+CSS，PHP及ASP，ASP.Net，SQL數據庫的技術開發工程師。

背景

數據庫是企業業務的數據核心，其安全方面的問題在傳統環境中已經成為泄漏和被篡改的重要根源。因此，對數據庫的操作行為尤其是全量 SQL 執行記錄的審計日志，就顯得尤為重要。
SLS聯合RDS推出RDS SQL審計功能，將RDS SQL審計日志實時投遞到SLS中；SLS提供實時查詢、可視化分析、告警等功能。
RDS SQL審計日志記錄了對數據庫執行的所有操作，這些信息是系統通過網絡協議分析所得，對系統CPU消耗極低，不影響SQL執行效率。RDS SQL審計日志包括但不限于如下操作：
? 數據庫的登錄和退出操作。
? DDL（Data Definition Language）操作：對數據庫結構定義的SQL語句，包括CREATE、ALTER DROP、TRUNCATE、COMMENT等。
? DML（Data Manipulation Language）操作：SQL操作語句，包括SELECT、INSERT、UPDATE、DELETE等。
? 其他SQL執行操作，包括任何其他通過SQL執行的控制，例如回滾、控制等。
? SQL執行的延遲、執行結果、影響的行數等信息。
此外，SLS還針對RDS的操作合規進行監控，及時發現RDS的配置異常，確保數據庫安全。

RDS日志審計--采集

目前RDS SQL審計日志采集到SLS有兩種方式：
? 云產品采集渠道
優點：少量且同地域實例采集場景下配置簡單。
缺點：不支持跨地域、跨賬號；不支持實例動態發現。如果需要跨地域跨賬號，需要自建數據加工任務。
? 日志審計渠道
優點：
支持跨賬號、跨地域中心化采集，便于審計報表分析。
支持實例發現，一鍵開啟自動采集；并支持通過采集策略控制采集范圍。
缺點：
需要AK授權或手動授權來開啟日志審計APP。
會自動開啟采集實例的SQL洞察功能，且不支持自動關閉。如果需要關閉SQL洞察，需要首先整體關閉日志審計RDS采集功能或者通過采集策略控制實例不采集，然后到RDS控制臺逐個實例關閉SQL洞察。

云產品采集渠道

單賬號同地域采集場景（只能將RDS審計日志采集到同地域的日志庫中）

? SLS控制臺首頁“接入數據”區域，選擇“RDS 審計”。下文以采集張家口實例為例說明。

? 因為采集的實例位于張家口，所以需要在張家口新建或者選擇已存在的project及logstore。
? 注意：采集的RDS實例審計日志僅支持同地域采集。

? “數據源配置”頁，完成RAM授權后可以查看張家口所有的RDS實例信息，默認日志投遞功能是關閉的。之后可以根據日志采集需求，勾選相應的“開通投遞”按鈕，開啟對應實例的日志投遞功能。

? 至此就完成了SQL審計日志的采集開啟，跳轉到上述配置的logstore下即可查看RDS實例日志。

跨地域、跨賬號采集場景

因為云產品采集渠道有只能將RDS審計日志采集到同地域的日志庫的限制，所以要打破這個限時實現跨賬號跨地域采集，就必須要自建跨域或者跨賬號數據加工任務。
因為自建數據加工任務需要比較復雜的授權，這里不再詳細介紹。如有需要，詳見：
1、配置自定義角色授權
2、最佳實踐：跨地域傳輸數據
3、最佳實踐：多目標Logstore數據分發 中的“跨賬號分發”部分。

由此可見，云產品采集渠道僅僅在簡單采集場景下具有便捷采集的優勢，但是在處理跨地域、跨賬號采集時不僅數據同步鏈路較長，而且還需要比較復雜的授權過程；而且當實例變更（甚至新的實例出現）時，需要手動維護同步鏈路，維護成本極高。而日志審計渠道恰恰可以很好的解決跨地域、跨賬號采集，實例變更維護成本高的痛點。

日志審計采集渠道

日志審計授權

建議使用阿里云RAM用戶操作。
? 創建阿里云RAM用戶，并賦予該用戶AliyunRAMFullAccess、AliyunLogFullAccess權限，創建AK。
? 登錄上述RAM用戶，在SLS控制臺選擇“日志審計服務”。

? 首次進入需要進行授權才能開啟。這里輸入第一步創建的AK，并選擇審計日志存儲的中心Project地域即可。

? 如果出現如下頁面說明已經授權完成。之后就可以根據采集日志的需要開啟對應的云產品日志，例如這里需要采集操作審計（Actiontrail）日志及RDS SQL審計日志。

配置SQL審計采集

本文重點描述如何開啟RDS SQL審計日志并通過采集策略管理日志采集范圍。SQL審計日志開啟首先需要進行采集策略配置。完整的語法說明詳見采集策略文檔。這里列出一些常用的策略方案。
? 采集特定區域的實例日志。例如：只采集杭州、上海的實例。

? 不采集特定標簽的實例。例如：給測試實例打上type標簽取值test。

? 只采集限定的實例日志。

SQL審計

RDS日志審計--報表

基于SLS的SQL審計日志提供了3張審計報表：
? RDS審計中心：主要展現了所有數據庫的SQL執行指標、分布、趨勢等信息。例如：PV、UV、操作數據庫/數據表等的統計。
? RDS審計安全中心：主要展現了所有數據庫的失敗SQL和危險SQL，以及大批量刪除或修改事件的詳情、分布和趨勢等。
? RDS審計性能中心：主要展現了所有數據庫的具體性能指標，例如SQL執行峰值、SQL執行的平均時間、慢SQL的具體分布與來源等。

RDS日志審計--告警

SLS日志審計新發布了內置告警規則，其中針對于RDS SQL審計提供了19條內置規則（后續還會不斷擴展）。

規則查看

通過SLS首頁-> 日志審計服務-> 控制臺左側審計告警 -> 規則配置/告警規則，就可以進入審計告警規則配置頁面。規則主要分為兩類：
? SQL審計類規則（RDS安全）：主要針對SQL的執行異常進行監控。例如，慢SQL、或批量刪除等。
? 前提：通過日志審計APP開通RDS SQL審計日志采集。
? RDS操作合規規則：主要是基于CIS規則，對RDS的操作配置進行監控。
? 前提：通過日志審計APP開通Actiontrail操作日志采集。

告警配置

行動策略配置
? 釘釘渠道通知
? 下圖樣例：所有告警都發送釘釘通知。

? 短信/語音渠道通知：
? 下圖樣例：當告警級別大于嚴重時，向“SLS審計內置用戶組”發送語音告警。具體的通知人的電話等情況，詳見創建用戶和用戶組。

告警樣例

接下來，我們用兩個具體的例子來介紹RDS審計告警的使用。

SQL審計樣例--慢SQL審計

開啟告警
? 根據用戶需要設置告警參數。例如，慢SQL檢測閾值，過濾白名單等。
? 點擊開啟按鈕，告警即可開啟。

構造異常
? 測試數據集

# 表結構MySQL> desc test;
+-----------------+------------------+------+-----+---------+----------------+| Field           | Type             | Null | Key | Default | Extra          |
+-----------------+------------------+------+-----+---------+----------------+
| id              | int(10) unsigned | NO   | PRI | NULL    | auto_increment || title           | varchar(100)     | NO   | MUL | NULL    |                |
| author          | varchar(40)      | NO   |     | NULL    |                || submission_date | date             | YES  | MUL | NULL    |                |
+-----------------+------------------+------+-----+---------+----------------+
4 rows in set (0.04 sec)

# 數據
mysql> select * from test limit 5;
+----+--------+---------+-----------------+
| id | title  | author  | submission_date |+----+--------+---------+-----------------+|  1 | title1 | author1 | 2021-01-12      |
|  2 | title1 | author1 | 2021-01-12      ||  3 | title1 | author1 | 2021-01-12      |
|  4 | title1 | author1 | 2021-01-12      ||  5 | title1 | author1 | 2021-01-12      |
+----+--------+---------+-----------------+

? 慢SQL

# 使用索引字段group bymysql> select title, count(1) as cnt from test where submission_date='2021-01-12' group by title;
+--------+-------+
| title  | cnt   |
+--------+-------+
| title1 | 59392 |
| title2 |  8448 |
+--------+-------+2 rows in set (0.06 sec)

# 索引字段經過運算后group by，使得索引失效。
mysql> select title, count(1) as cnt from test where day(submission_date)=12 group by title;
+--------+-------+
| title  | cnt   |
+--------+-------+
| title1 | 59392 |
| title2 |  8448 |
+--------+-------+2 rows in set (0.58 sec)

? 告警監控到慢SQL，并發起告警通知。

RDS操作合規樣例--實例訪問白名單異常配置

以上就是怎么基于SLS構建RDS審計合規監控的全部內容了，更多與怎么基于SLS構建RDS審計合規監控相關的內容可以搜索創新互聯之前的文章或者瀏覽下面的文章進行學習哈！相信小編會給大家增添更多知識,希望大家能夠支持一下創新互聯！

標題名稱：怎么基于SLS構建RDS審計合規監控
網頁路徑：http://m.kartarina.com/article26/pphocg.html

成都網站建設公司_創新互聯，為您提供手機網站建設、定制開發、域名注冊、外貿建站、用戶體驗、網站改版

廣告

聲明：本網站發布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網站立場，如需處理請聯系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經允許不得轉載，或轉載時需注明來源： 創新互聯