IBM Cloud Docs
审计

审计

IBM Cloud Activity Tracker 允许您使用 LogDNA 服务实例将 Db2 诊断日志 (db2diag.log) 从 IBM Cloud 实例转发到您自己的 Log Analysis 。 选择启用日志转发允许您使用 Log Analysis 在组织所需的时间段内保留这些日志,或者搜索或分析日志。

作为安全主管,审计员或管理者,您可以使用 IBM Cloud® Activity Tracker 服务来跟踪用户和应用程序如何与 IBM Cloud中的 Db2 Warehouse on Cloud 服务进行交互。

IBM Cloud Activity Tracker 会记录哪些用户发起的活动更改了 IBM Cloud 中服务的状态。 您可以使用此服务来调查异常活动和关键操作,并满足监管审计需求。 此外,还可以在发生操作时收到相关警报。 收集的事件符合 Cloud Auditing Data Federation (CADF) 标准。 有关更多信息,请参阅 IBM Cloud Activity Tracker的入门教程。

根据下表,具有 LogDNA 集成的 Activity Tracker 可用于区域中的 IBM® Db2® Warehouse on Cloud 部署:

表 1. Activity Tracker 区域
部署区域 Activity Tracker 区域
达拉斯 us-south
华盛顿州 us-east
法兰克福 eu-de
伦敦 eu-gb
悉尼 au-syd
东京 jp-tok
多伦多 ca-tor

具有 LogDNA 供应的 Activity Tracker

供应服务后,将自动从同一区域中的所有 IBM® Db2® Warehouse on Cloud 部署转发事件。

可以从其 目录页面 或现有 可观察性仪表板供应服务。

带有 LogDNA 服务的 Activity Tracker 具有可供使用的轻量套餐,但它仅提供流式事件。 要利用标记,导出,保留和其他功能,需要使用其中一个 付费套餐

事件字段

Activity Tracker 事件的公共字段的描述位于 " 事件字段 " 页面上。

事件列表

下表列出了从 IBM® Db2® Warehouse on Cloud 部署发送到 Activity Tracker 的事件:

操作 描述
<service_id>.backup-scheduled.create 已创建部署的调度备份。 如果备份失败,那么消息中将包含 "-failure" 标志。
<service_id>.backup.create 已创建部署的备份。 如果备份失败,那么消息中将包含 "-failure" 标志。
<service_id>.backup.restore 已创建从备份复原。 如果尝试复原失败,那么消息中将包含 "-failure" 标志。
<service_id>.restore.start 已创建从备份复原。 如果尝试复原失败,那么消息中将包含 "-failure" 标志。
<service_id>.user-password.update 已更新用户的密码。 如果尝试更新用户密码失败,那么消息中将包含 "-failure" 标志。
<service_id>.user.create 已创建用户。 如果尝试创建用户失败,那么消息中将包含 "-failure" 标志。
<service_id>.user.delete 已删除用户。 如果尝试删除用户失败,那么消息中将包含 "-failure" 标志。
<service_id>.table.delete 已删除表。 如果尝试删除用户失败,那么消息中将包含 "-failure" 标志。
<service_id>.token.create 已创建令牌。 如果尝试创建用户失败,那么消息中将包含 "-failure" 标志。
<service_id>.token.delete 已删除令牌。 如果尝试删除用户失败,那么消息中将包含 "-failure" 标志。
<service_id>.privilege.update 已授予特权。 如果尝试删除用户失败,那么消息中将包含 "-failure" 标志。
<service_id>.privilege.revoke 已撤销特权。 如果尝试删除用户失败,那么消息中将包含 "-failure" 标志。
<service_id>.database-connection.list 列出活动的数据库连接。 如果尝试删除用户失败,那么消息中将包含 "-failure" 标志。
<service_id>.database-connection.stop 终止数据库连接。 如果尝试删除用户失败,那么消息中将包含 "-failure" 标志。
<service_id>.lock.enable 无限期锁定用户帐户。 如果尝试删除用户失败,那么消息中将包含 "-failure" 标志。
<service_id>.lock.disable 解锁用户帐户。 如果尝试删除用户失败,那么消息中将包含 "-failure" 标志。
<service_id>.policy.list 列出可用策略。 如果尝试删除用户失败,那么消息中将包含 "-failure" 标志。
<service_id>.policy.update 已更新策略。 如果尝试删除用户失败,那么消息中将包含 "-failure" 标志。
<service_id>.policy.delete 已删除策略。 如果尝试删除用户失败,那么消息中将包含 "-failure" 标志。
<service_id>.schema.create 已创建模式。 如果尝试删除用户失败,那么消息中将包含 "-failure" 标志。

<service_id> 字段指示 Cloud Databases 部署的类型。 例如, dashdbmessages-for-rabbitmq

查看事件

您可以使用 LogDNA 通过部署的 " 管理 " 页面的 可观察性 选项卡访问 Activity Tracker 。 管理 Activity Tracker 按钮链接到 IBM Cloud 帐户中所有 Activity Tracker 实例的主列表。 选择要在其中设置要转发的数据库日志的实例。 IBM Cloud Activity Tracker 每个位置只能有一个实例。 单击 查看 Activity Tracker 以查看事件。

将事件活动转发到服务后,可以通过单击时间戳记左侧的箭头将每个事件展开到详细视图。

带有 LogDNA 服务的 Activity Tracker 提供了 搜索过滤导出 事件,以便您可以为用例定制保留时间。 您还可以使用它来配置 警报

使用 Db2 审计工具进行数据库审计

您可以使用内置 Db2 审计工具来监视 IBM® Db2® Warehouse on Cloud 实例中的数据访问。 此功能部件除了提供先前描述的审计功能外,还提供数据库级别的审计。 使用 Db2 审计工具来生成和维护一系列预定义数据库事件的审计跟踪,包括尝试访问或处理数据库对象,用户认证, SQL 语句执行,甚至访问审计日志。 使用审计日志来揭示将识别系统误用的使用模式,进而采取行动消除此类误用。

强烈建议在与 Db2WoC 实例相同的区域和平台 (IBM Cloud Object Storage 或 AWS S3) 中配置 COS 存储区。

在初始配置之前,必须收集以下信息:

注: 强烈建议在与 Db2WoC 实例相同的区域和平台 (IBM Cloud Object Storage 或 AWS S3) 中配置 COS 存储区。

Cloud Object Storage 凭证

IBM COS

例如,

cos_hmac_keys:
  access_key_id:      7exampledonotusea6440da12685eee02
  secret_access_key:  8not8ed850cddbece407exampledonotuse43r2d2586

AWS S3

例如,

	access key ID: AKIAIOSFODNN7EXAMPLE
	secret access key: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY

Cloud Object Storage 存储区名称

您必须创建将存储审计记录的存储区。 您将需要在初始配置期间保存存储区名称。 建议您不要将此存储区用于其他用途。 请考虑使用适当的加密,访问管理和数据保留来安全地配置存储区。

对于成本控制度量,应将配额设置为 相关存储区 ,并设置 到期规则

审计记录成功上载到云对象存储区后,您可以在控制台中预览文件。 要查看较大的审计日志子集,请参阅 审计策略。 归档审计日志的 格式 是 DEL ,它用逗号分隔文本。 您可以在系统中重新格式化和处理此文件以进行进一步分析。

启用审计

要启用数据库审计,请打开 Web 控制台,选择 "管理" ,然后浏览至 "审计" 选项卡。 单击 "启用审计" 按钮。 配置后,通过定义并激活至少一个策略来完成设置。

您可以创建新的远程存储器别名或使用现有的远程存储器别名。 建议您配置专用 COS 存储区以进行审计。 要确保将审计日志写入 COS 存储区,请将 "对象路径" 留空。 仅提供 COS 存储区就足够了,因为审计设施在写入时自动生成对象名。

有关 Db2 Warehouse on Cloud的审计的更多信息,请参阅 审计策略准则