[发明专利]数据库的运维审计方法、装置、设备及可读存储介质

说明书

本申请公开了一种数据库的运维审计方法、装置、设备及可读存储介质。本申请公开的方法包括：获取数据库所部署的主机中的主机日志数据，以及数据库中的数据库日志数据；关联主机日志数据和数据库日志数据，以确定任一个设备通过主机对数据库进行运维操作的初始操作集；根据主机日志数据绘制设备的操作时间基带，并将初始操作集中超出操作时间基带的操作确定为待审计操作；若待审计操作影响的数据量超出数据量阈值，则标记待审计操作为可疑操作，标记设备为可疑设备。本申请能够对基于主机运维数据库的相关操作进行审计，从而可弥补数据库审计漏洞。相应地，本申请提供的一种数据库的运维审计装置、设备及可读存储介质，也同样具有上述技术效果。

技术领域

本申请涉及计算机技术领域，特别涉及一种数据库的运维审计方法、装置、设备及可读存储介质。

背景技术

若运维人员直接登录数据库所部署的主机，对数据库进行运维操作，由于其操作的具体行为无法被主机记录，因此无法对这些操作行为进行审计，会造成数据库审计漏洞。当发生危险事件时，也就无法有效进行相关运维人员的溯源追踪。

因此，如何对基于主机运维数据库的相关操作进行审计，是本领域技术人员需要解决的问题。

发明内容

有鉴于此，本申请的目的在于提供一种数据库的运维审计方法、装置、设备及可读存储介质，以对基于主机运维数据库的相关操作进行审计。其具体方案如下：

第一方面，本申请提供了一种数据库的运维审计方法，包括：

获取数据库所部署的主机中的主机日志数据，以及所述数据库中的数据库日志数据；

关联所述主机日志数据和所述数据库日志数据，以确定任一个设备通过所述主机对所述数据库进行运维操作的初始操作集；

根据所述主机日志数据绘制所述设备的操作时间基带，并将所述初始操作集中超出所述操作时间基带的操作确定为待审计操作；

若所述待审计操作影响的数据量超出数据量阈值，则标记所述待审计操作为可疑操作，并标记所述设备为可疑设备。

优选地，所述获取数据库所部署的主机中的主机日志数据，以及所述数据库中的数据库日志数据，包括：

利用代理模块获取所述主机日志数据和所述数据库日志数据。

优选地，所述利用代理模块获取所述主机日志数据和所述数据库日志数据，包括：

控制所述代理模块按照日志同步策略获取所述主机日志数据和所述数据库日志数据。

优选地，所述关联所述主机日志数据和所述数据库日志数据，以确定任一个设备通过所述主机对所述数据库进行运维操作的初始操作集，包括：

基于所述主机日志数据确定所述设备的登录时间段，并将所述数据库日志数据中落入所述登录时间段的操作确定为所述初始操作集。

优选地，所述根据所述主机日志数据绘制所述设备的操作时间基带，包括：

确定预设时间段内所述设备的登录时间点和退出时间点，并根据所述登录时间点和所述退出时间点绘制所述操作时间基带。

优选地，所述若所述待审计操作影响的数据量超出数据量阈值，则标记所述待审计操作为可疑操作，并标记所述设备为可疑设备之前，还包括：

将所述初始操作集中落入所述操作时间基带中的操作确定为可信操作集；

在所述可信操作集中查询与所述待审计操作相同的目标操作，并将所述目标操作影响的数据量确定为所述数据量阈值。

优选地，还包括：

若所述待审计操作影响的数据量未超出数据量阈值，则标记所述待审计操作为可信操作，并标记所述设备为可信设备。