【数审DAS3000】【SQL审计】sql部分字段未审计到的问题排查

所甜甜发表于:2021年04月01日 11:24:08更新于:2021年04月01日 11:45:42

【问题描述】

1.1   应用账号未审计到

image.png

1.2   数据库账号未审计到

image.png

【适用场景】

通用

【原因分析】

3.1   应用账号无法审计原因分析

数据库是三层架构,镜像的是客户端到应用的流量,应用账号未正常提取

(应用账号和数据库账号不会同时存在,应用账号存在于是客户端到应用的流量,数据库账号存在于应用与数据库之前的流量)

3.2   数据库账号未审计到原因分析

3.2.1    数审设备未收到过包含数据库账号的语句

3.2.2    数据库账号加密

【解决办法】

4.1   应用账号无法审计解决办法

4.1.1    镜像客户端到应用的流量

4.1.2    如仍未提取到应用帐户,可以采用提取工号的方式解决。语句中工号的位置不确定,需要手动通过配置工号提取的方式实现了应用账号位置显示相关工号

image.png

4.2   数据库账号未审计到解决办法

4.2.1    数审设备未收到过包含数据库账号的语句

重新登入登出数据库,数据库sql语句流量中不包含数据库账号,需要收到包含数据库账号的语句之后,才能代填到审计日志中

4.2.2    数据库账号加密

如sqlserver2008数据库对于登陆信息做了加密,镜像流量中的加密过的登陆流量是无法解析的,需要配置扩展配置,在模块中填写“具有查看用户登陆历史视图权限的用户”,在设备审计到登陆信息无法解析时,数据库审计会使用扩展配置中填写的用户,去反查sql server数据库中的登陆历史视图中的记录信息,获取到数据库账号名等信息。

image.png