数据库审计数据库访问流量采集

流量采集是数据库审计系统的基础，只有做到数据库访问流量的全采集，才能保证数据库审计的可用性和价值，目前主要的流量采集方式主要有两种：

镜像方式：采用旁路部署通过镜像方式获取数据库的所有访问流量。一般适用于传统IT架构，通过镜像方式将所有访问数据库的流量转发到数据库审计系统，来实现数据库访问流量的获取。

探针方式：为了适应“云环境”“虚拟化”及“一体机”数据库审计需求，基于“探针”方式捕获数据库访问流量。适用于复杂的网络环境，在应用端或数据库服务器部署Rmagent组件（产品提供），通过虚拟环境分配的审计管理网口进行数据传输，完成数据库流量采集。

数据库审计系统检测

数据库审计系统的“系统监测能力”，是企业运维部门关注的***，包括数据资产是否存在异常访问、失败访问或异常操作，以及数据访问详情和系统性能等运维管理问题。因此，需要通过审计系统的监测告警能力，及时发现系统风险或异常运行状况，从而进一步规范运维过程、提升运维效率。

1. 审计内容准确：由于应用系统和中间件的复杂性，使得对数据库操作所采用的技术也呈现出多样性和复杂性，这就要求审计系统具备针对复杂操作和协议的还原与审计能力，从而确保不丢失审计内容；

2. 规则命中准确：为了能够及时发现风险和异常，要求审计系统具备、灵活的策略规则能力，以及准确的规则触发机制。

数据库审计适用场景

1、数据库口令猜解

口令猜解包括撞库，是大部分数据库首步，如数据库上没有开启登录状态策略，数据库管理员无从知道登陆了数据库时间、状态等信息。

2、敏感数据越权访问

数据库中DBA、SchemaUser、Any特权用户拥有高权限，存在数据泄漏、敏感数据访问、账号密码泄漏等风险。

3、用户操作行为审计

前端应用发起的请求，无法获得单一用户操作的相关记录，记录中所有的数据库账号均为一个，及时记录下来非正常方法操作也无法做到有效追溯。

4、安全事件实时监控

发生违规事件后，缺乏有效、及时告警的方式，导致无法快速发现、***安全事件，造成严重后果。

数据库审计特性

1. 审计无漏审、错审：审计数据库中的各种访问行为，审计到操作人、操作工具、终端。不会因为执行语句过长或者链接太短，导致审计信息不完整或者漏审；

2. 分析、快速检索：能够支撑海量业务访问操作，快速分析检索，提供实时的分析结果，为告警提供支撑，避免出现延迟分析等状况；

3. 准确溯源：一旦发生数据库信息***事件，可以准确***业务数据库的操作人，责任人；

4. 报表简单，产品易用，符合监管要求：产品报表增加业务视角，进行展示，做到技术人员和管理人员都能够理解，同时满足监管需求。