审计
作为安全主管,审计员或管理者,您可以使用 IBM Cloud® Activity Tracker 服务来跟踪用户和应用程序如何与 IBM Cloud中的 Db2 on Cloud 服务进行交互。
IBM Cloud Activity Tracker 会记录哪些用户发起的活动更改了 IBM Cloud 中服务的状态。 您可以使用此服务来调查异常活动和关键操作,并满足监管审计需求。 此外,还可以在发生操作时收到相关警报。 收集的事件符合 Cloud Auditing Data Federation (CADF) 标准。 有关更多信息,请参阅 IBM Cloud Activity Tracker的入门教程。
根据下表,具有 LogDNA 集成的 Activity Tracker 可用于区域中的 IBM® Db2® on Cloud部署:
| 部署区域 | Activity Tracker 区域 |
|---|---|
| 达拉斯 | us-south |
| 华盛顿州 | us-east |
| 法兰克福 | eu-de |
| 伦敦 | eu-gb |
| 悉尼 | au-syd |
| 东京 | jp-tok |
| 圣保罗 | br-sao |
| 多伦多 | ca-tor |
具有 LogDNA 供应的 Activity Tracker
供应服务后,将从同一区域中的所有 IBM® Db2® on Cloud 部署自动转发事件。
带有 LogDNA 服务的 Activity Tracker 具有可供使用的轻量套餐,但它仅提供流式事件。 要利用标记,导出,保留和其他功能,需要使用其中一个 付费套餐。
事件字段
Activity Tracker 事件的公共字段的描述位于 " 事件字段 " 页面上。
事件列表
下表列出了从 IBM® Db2® on Cloud 部署发送到 Activity Tracker 的事件:
| 操作 | 描述 |
|---|---|
<service_id>.backup-scheduled.create |
已创建部署的调度备份。 如果备份失败,那么消息中将包含 "-failure" 标志。 |
<service_id>.backup.create |
已创建部署的备份。 如果备份失败,那么消息中将包含 "-failure" 标志。 |
<service_id>.backup.restore |
已创建从备份复原。 如果尝试复原失败,那么消息中将包含 "-failure" 标志。 |
<service_id>.restore.start |
已创建从备份复原。 如果尝试复原失败,那么消息中将包含 "-failure" 标志。 |
<service_id>.user-password.update |
已更新用户的密码。 如果尝试更新用户密码失败,那么消息中将包含 "-failure" 标志。 |
<service_id>.user.create |
已创建用户。 如果尝试创建用户失败,那么消息中将包含 "-failure" 标志。 |
<service_id>.user.delete |
已删除用户。 如果尝试删除用户失败,那么消息中将包含 "-failure" 标志。 |
<service_id>.resources.scale |
已执行缩放操作。 如果缩放操作失败,那么消息中将包含 "-failure" 标志。 |
<service_id>.privilege.update |
已授予已撤销的特权。 如果尝试删除用户失败,那么消息中将包含 "-failure" 标志。 |
<service_id>.whitelisted-ips-list.update |
已修改允许列表。 如果尝试修改允许列表失败,那么消息中将包含 "-failure" 标志。 |
<service_id>.serviceendpoints.update |
已更改服务端点配置。 如果操作失败,那么消息中将包含 "-failure" 标志。 |
<service_id>.schema.create |
已创建模式。 如果尝试删除用户失败,那么消息中将包含 "-failure" 标志。 |
<service_id>.privilege.revoke |
已撤销特权。 如果尝试删除用户失败,那么消息中将包含 "-failure" 标志。 |
<service_id>.database-connection.list |
列出活动的数据库连接。 如果尝试删除用户失败,那么消息中将包含 "-failure" 标志。 |
<service_id>.database-connection.stop |
终止数据库连接。 如果尝试删除用户失败,那么消息中将包含 "-failure" 标志。 |
<service_id> 字段指示 Cloud Databases 部署的类型。 例如, db2 , dashdb-for-transactions 或 messages-for-rabbitmq。
查看事件
您可以使用 LogDNA 通过部署的 " 管理 " 页面的 可观察性 选项卡访问 Activity Tracker 。 管理 Activity Tracker 按钮链接到 IBM Cloud 帐户中所有 Activity Tracker 实例的主列表。 选择要在其中设置要转发的数据库日志的实例。 IBM Cloud Activity Tracker 每个位置只能有一个实例。 单击 查看 Activity Tracker 以查看事件。
将事件活动转发到服务后,可以通过单击时间戳记左侧的箭头将每个事件展开到详细视图。
带有 LogDNA 服务的 Activity Tracker 提供了 搜索, 过滤和 导出 事件,以便您可以为用例定制保留时间。 您还可以使用它来配置 警报。
数据库审计
您可以使用内置 Db2 审计工具来监视 IBM® Db2® on Cloud 实例中的数据访问。 使用 Db2 审计工具来生成和维护一系列预定义数据库事件的审计跟踪,包括尝试访问或处理数据库对象,用户认证, SQL 语句执行,甚至访问审计日志。 使用审计日志来揭示将识别系统误用的使用模式,然后采取行动来消除此类误用。
有关 Db2 on Cloud的审计的更多信息,请参阅 审计策略准则。
您还可以使用以下方法来审计和跟踪对数据库的更改:
- 通过创建
CHANGE HISTORY事件监视器,您可以查询事件监视器表以确定数据库中已完成的操作以及操作人员。 有关更多信息,请参阅CHANGE HISTORY事件监视器。
对 SYSCAT.AUDITPOLICIES, SYSIBMADM.PRIVILEGES和 SYSCAT.AUDITUSE 。 这仅影响已向 PUBLIC 显式分配这些特权的客户机。 客户机可以选择向 PUBLIC 重新添加特权。
有关审计和跟踪数据库更改的更多信息,请参阅: 如何审计或跟踪更改?。