无法在审计日志页面查询到日志,如何处理?
最近更新时间: 2024-10-17 17:10:00
现象描述
已购买数据安全审计 SaaS 型,却无法在审计日志页面查询到审计日志,如下图所示:
可能原因
未正确添加对应数据库或未开启审计权限。
数据库在本地操作,未经过网络。
数据库开启了 SSL 加密。
未正确部署 Agent。
检查是否添加资产并且开启审计权限
步骤1:检查是否已在数据资产页面 中,添加对应数据库,并开启审计权限。只有已添加,且开启审计权限的数据库,才可正常审计。
步骤2:检查添加的资产 IP 是否与客户端访问连接串中的 IP 地址相同。例如,添加的资产 IP 为内网 IP,而客户端使用外网 IP 访问数据库,则无法审计该操作,应将外网 IP 也配置在数据资产中才可正常审计;对于数据库集群,配置为主节点地址,但实际通过集群地址访问数据库,也无法审计该操作,应配置为集群地址才可正常审计。
步骤3:由于数据安全审计通过 Agent 抓取网络流量方式获取日志,因此如果在安装 Agent 的数据库服务器上直接通过 MySQL 命令登录不走网络,将无法审计到数据。可以在数据资产页面 增加一个 IP 为127.0.0.1的资产并开启审计权限,并且 MySQL 命令后面带上-h 127.0.0.1
参数就可以审计到数据。
检查是否开启了SSL
步骤1:在数据库中,输入如下命令,确认是否开启了 SSL 加密。
showglobal variables like '%ssl%';
步骤2:如下图所示,若 have_ssl 的值为 YES,则表明已经开启了 SSL,需要关闭 SSL 后才能审计到。
检查是否正确部署Agent
步骤1:检查是否采用合适的 Agent 安装包,需要确保使用了与部署位置相对应的 Agent 安装包,才能正常审计。
步骤2:若部署 Agent 的机器为 Windows 操作系统,请确保安装目录中不包含空格。
步骤3:若 Agent 部署在应用服务器上,检查该服务器是否执行过对需审计数据库的 SQL 操作。在其他服务器上执行的 SQL 无法被本 Agent 采集到。