本文为您介绍通过控制台新建规则模板。
说明
2023年09月25日起,规则模板与审计实例的关系由初始化调整为强关联,修改规则模板的内容会同步影响已绑定该规则模板的实例所应用的审计规则。
规则内容的同一个参数字段中最多可配置5个特征串,多个特征串之间使用英文竖线“|”分隔。
操作步骤
1. 登录 TDSQL-C MySQL 版控制台。
2. 在左侧导航栏选择数据库审计。
3. 选择地域后,单击规则模板。
4. 在模板列表,单击新建规则模板。
5. 在新建规则模板窗口下完成如下配置后,单击确定。
参数 | 说明 |
规则模板名称 | 仅支持数字、英文大小写字母、中文以及特殊字符 -_./()[]()+=::@,不能以数字开头,最多30个字符。 |
规则内容 | 说明: 在规则内容下可单击添加增加参数字段。 在规则内容下的操作列可单击删除去掉不需要的参数字段及条件,但至少需保留一个参数字段及条件。 |
风险等级 | 为新建的规则模板选择风险等级,支持选项为低风险、中风险、高风险。 |
告警策略 | 为新建的规则模板选择告警策略,支持选项为不发送告警、发送告警。 说明: |
规则模板备注 | 仅支持数字、英文大小写字母、中文以及特殊字符-_./()[]()+=::@,不能以数字开头,最多200个字符。 |
规则内容详情及示例
说明
可以配置单个或多个规则。
不同规则之间,是与的关系,表示需同时满足。
一个规则内不同特征串之间是或的关系,表示多者间只需满足其中一个。
同一个规则只可加一条,例如同是数据库名,在一个模板中要么仅支持包含,要么仅支持不包含。
参数字段 | 匹配类型 | 特征串 |
客户端 IP | 包含、不包含、等于、不等于、正则 | 最多可配置5个客户端 IP,使用英文竖线分隔。 |
用户名 | 包含、不包含、等于、不等于、正则 | 最多可配置5个用户名,使用英文竖线分隔。 |
数据库名 | 包含、不包含、等于、不等于、正则 | 最多可配置5个数据库名,使用英文竖线分隔。 |
SQL 命令详情 | 包含、不包含 | 最多可配置5句 SQL 命令,使用英文竖线分隔。 |
SQL 类型 | 等于、不等于 | 可选类型:Alter、Changeuser、Create、delete、drop、execute、insert、login、logout、other、replace、select、set、update,最多可选择5个 SQL 类型。 |
影响行数 | 大于、小于 | 选择影响行数。 |
返回行数 | 大于、小于 | 选择返回行数。 |
扫描行数 | 大于、小于 | 选择扫描行数。 |
执行时间 | 大于、小于 | 选择执行时间,单位微秒。 |
示例
若用户设置的规则内容为:数据库名,包含 a、b、c,客户端 IP 包含 IP1、IP2、IP3,则该规则过滤出的审计日志为:数据库名包含 a 或 b 或 c 且客户端 IP 包含 IP1 或 IP2 或 IP3 的审计日志。