【KingbaseES】R6数据库审计:审计入侵检测
开启审计入侵检测
alter system set sysaudit.ids = true;
select sys_reload_conf();
当启动参数 sysaudit.ids 设置为true时,实时侵害检测系统会实时分析用户的操作,将其与系统中创建的实时侵害检测规则进行匹配,判断该用户操作是否是侵害行为。 当检测到侵害行为次数达到阀值时,服务器将自动断开连接。
创建入境审计规则
sysaudit.create_ids_rule(
rulename text,
actionname text,
username text,
schname text,
objname text,
when_ever text,
IP text,
start_end_time text,
interval_time int,
times int)
—————————————————————参数说明————————————————————
rulename
创建的审计入侵检测规则名,具有唯一性,大小写敏感,不可指定为null。
actionname
审计类型名,取值详见审计策略与SQL命令对应表,不可指定为null。
username
审计用户名,未设置时需要指定为null。
schname
审计模式名,未设置时需要指定为null。
objname
审计对象名,未设置时需要指定为null。
when_ever
审计时机,取值 ALL/SUCCESSFUL/FAILED ,指定为null时默认取值FAILED。
IP
审计的IP列表,以’,’隔开。例如’“192.168.0.1”,“127.0.0.1”。指定为null时为检测所有IP地址。
start_end_time
审计的时间串,指定为null时为检测所有时间,格式如下:
start_end_time ::= 具体时间段项 {, 具体时间段项}
具体时间段项 ::= 开始时间 TO 结束时间
interval_time
时间间隔,单位为分钟,不可指定为null。
times
检测次数阀值,不可指定为null。
删除入侵检测规则
sysaudit.drop_ids_rule(rulename text)
参数说明:
rulename
审计入侵检测规则名,指定为null时将删除所有入侵检测规则。
显示当前检测规则
sysaudit.show_ids_rules()
发送邮件功能
当启动参数 sysaudit.ids_mail_enable 设置为true时,可以在入侵检测达到阀值时向指定邮箱发送提示邮件。
邮件相关参数说明:
sysaudit.ids_mail_server
发送告警邮件的SMTP服务器的IP地址.
sysaudit.ids_mail_port
数据库审计实例对接发送告警邮件的服务器的端口。
端口范围1~65535。
sysaudit.ids_mail_login
登录服务器使用的用户名。
sysaudit.ids_mail_password
登录服务器的用户名对应的密码。
sysaudit.ids_mail_from
邮件中显示的发送告警邮件的邮箱地址。
sysaudit.ids_mail_to
邮件中显示的接收告警邮件的邮箱地址。
上述邮件相关参数均不可为空,否则将无法发送邮件并会警告提示。
修改参数实例:
alter system set sysaudit.ids_mail_server= 'pop.263.net';
select sys_reload_conf();
|