系统组成
天融信日志收集与分析系统主要由七个子系统组成。
系统组成
日志采集子系统
日志采集子系统是整个系统的基础，负责收集各种设备、应用的日志。支持服务器直接采集和通过外部代理采集两种方式，适应不同的设备和应用日志。
日志处理子系统
日志处理子系统负责将收集到的各种格式日志进行解析、归一化处理，提供给后续模块进行分析存储。
日志管理子系统
管理该系统收集到的所有日志，包括系统自身产生的审计日志。支持日志的实时监视、查询、备份、导出管理。
日志存储子系统
日志存储子系统支持存储系统收集到的所有日志。支持按照存储时间和空间多个维度的策略进行管理，支持海量日志管理。
统计分析子系统
统计分析子系统支持实时统计分析，系统通过预置的上百种统计规则，实时统计分析收集到的日志。支持按照日、周、月、年等周期统计、展示日志分析结果。统计分析结果支持word、pdf等多种导出格式。
告警响应子系统
告警响应子系统能够根据规则对特定日志触发告警和响应动作。
管理子系统
管理子系统负责整个天融信日志收集与分析系统的配置与管理。包括系统参数配置、日志源管理等。
功能介绍
日志收集
通过配置多种类型的日志源，天融信日志收集与分析系统能够支持安全设备、网络设备、操作系统及应用协议等多种日志数据的收集。
目前，天融信日志收集与分析系统支持的日志类型主要包括：
网络设备日志
安全设备日志
主机服务器日志
各种应用系统日志
日志存储
天融信日志收集与分析系统集中存储所有收集到的日志。
集中存储
集中存储可以提高日志的安全性并方便管理。支持灵活的存储策略，可以为不同日志源设置不同的存储策略。支持存储空间上限管理，当存储空间不足时会自动删除最旧的日志，优先存储最新产生的日志。
原始格式
天融信日志收集与分析系统同时存储格式化日志和原始日志，以便能够最大限度还原原始信息，为准确取证提供保障。
日志查询
天融信日志收集与分析系统提供了多样、灵活的日志信息查询功能，方便管理员快速查找定位关键日志和准确地进行事后取证。
条件查询
支持多条件组合查询日志数据，查询结果可以导出查看。如果不输入条件，默认查询所有该时间段内日志。查询结果倒序显示，也就是最近产生的日志在前面。
支持原始日志与格式化后日志对比显示
查询结果可以同时显示符合条件的原始日志和格式化日志，可以帮助管理员更详细了解日志信息。
查询结果可导出
日志查询结果可以导出到文件中，方便离线使用。
历史日志检索
备份的历史日志可以重新导入查询，目前支持按照导出日志文件为单位进行查询管理。
统计报表
天融信日志收集与分析系统支持实时统计报表，能够根据预置的各种报表模板实时生成统计报表数据，达到快速生成并展示报表的效果。系统根据各种设备日志类型预置了丰富的报表模板，并提供日、周、月、年等统计周期。查看统计分析结果不再需要漫长的等待。
实时监视
天融信日志收集与分析系统可以实时监视系统运行状态，包括CPU、内存和磁盘空间使用率以及当前平均日志流量，方便管理员及时了解系统运行和负载情况，并能根据策略及时发出告警。
支持实时监视当前正在收集的日志。
告警响应
天融信日志收集与分析系统能够对系统状态和关键事件及时作出响应。目前支持邮件、SNMP trap、执行本地命令和声音等多种响应方式。
规划与部署
天融信日志收集与分析系统(以下简称TA-L)是一个分布式、跨平台的安全审计系统。它可以对安全系统、网络设备、操作系统、应用系统等产生的日志信息进行统一收集、集中存储，并采用先进的智能信息处理技术对其进行综合分析。通过跨平台的日志收集、告警响应和全面的安全状态分析等手段，TA-L系统可以协助用户对已发生的安全风险进行取证、查询，为提高安全管理效率提供了有力的技术武器。
用户可以根据网络的整体规模、安全需求，以及日志流量等信息进行综合分析，合理部署天融信日志收集与分析系统。
天融信日志审计拓扑
上图描述了天融信日志收集与分析系统的单级部署情况。审计服务器收集日志信息的方式如下：
1)审计服务器直接收集防火墙、路由器和交换机等主动日志源的日志信息。
2)审计服务器通过安装在远程服务器主机上的远程代理收集各种应用日志。
实际使用效果
天融信日志收集与分析系统
主页
后期逐步更新一些配置技巧与方法！

mariadb 的审计日志和mysql审计日志都是使用插件形式使用。
目前mysql企业版支持审计日志功能，percona公司的插件可替代该插件(网络了解mysql社区版可使用percona的审计插件，本人尚未实验测试。)
本次实验基于mariadb开启审计日志。
1.mariadb版本：mariadb10.1.19 在官方下载的二进制包中包含审计日志插件。
2.查看数据库是否安装插件：
SHOW VARIABLES LIKE '%plugin_dir%';

看到此数据库已安装审计插件，卸载插件重新安装。
3.卸载插件
MariaDB [(none)]> UNINSTALL PLUGIN server_audit;
ERROR 1702 (HY000): Plugin 'server_audit' is force_plus_permanent and can not be unloaded
卸载插件报错，需要修改参数。
server_audit=FORCE_PLUS_PERMANENT
参数防止删除该插件参数。实验中可重启DB，实际生产中需谨慎操作。
vi /etc/my.cnf
#+#audit
#plugin_load=server_audit
#server_audit_events=connect,query_dml,query_ddl
#server_audit=FORCE_PLUS_PERMANENT
#server_audit_file_rotate_size           = 128M
#server_audit_logging                    = ON
#server_audit_file_path=/data01/mysql/log3306/server_audit.log
#sysdate_is_now                 = 1
重启mysql：
卸载成功。
MariaDB [(none)]> unINSTALL PLUGIN server_audit;
ERROR 1305 (42000): PLUGIN server_audit does not exist
MariaDB [(none)]>  show variables like '%audit%';
Empty set (0.00 sec)
4.安装插件：
MariaDB [(none)]> INSTALL PLUGIN server_audit SONAME 'libaudit_plugin.so';
ERROR 1127 (HY000): Can't find symbol 'server_audit' in library
安装报错：
原因未找到，还原my.cnf的配置文件注释，并重启mysql。
plugin_load=server_audit
server_audit_events=connect,query_dml,query_ddl
server_audit=FORCE_PLUS_PERMANENT
server_audit_file_rotate_size           = 128M
server_audit_logging                    = ON
server_audit_file_path=/data01/mysql/log3306/server_audit.log
sysdate_is_now                 = 1
发现再次安装：
MariaDB [(none)]> INSTALL PLUGIN server_audit SONAME 'libaudit_plugin.so';
ERROR 1968 (HY000): Plugin 'server_audit' already installed
MariaDB [(none)]> INSTALL PLUGIN server_audit SONAME 'libaudit_plugin.so';
ERROR 1968 (HY000): Plugin 'server_audit' already installed
Now，恐怖了。目前问题是，如果不注释配置文件，那么不能停止server_audit
+---------+------+----------------------------------------------------+
| Level   | Code | Message                                            |
+---------+------+----------------------------------------------------+
| Warning | 1620 | Plugin is busy and will be uninstalled on shutdown |
+---------+------+----------------------------------------------------+
注释掉安装找不到：Can't find symbol 'server_audit' in library
5.错误解决：
原因：安装的语法不正确。
注释掉审计日志的参数后，重启mysql
安装审计插件：
MariaDB [(none)]>  show variables like '%audit%';
Empty set (0.00 sec)
MariaDB [(none)]>  INSTALL PLUGIN server_audit SONAME 'server_audit.so';
Query OK, 0 rows affected (0.01 sec)
MariaDB [(none)]>  show variables like '%audit%';
+-------------------------------+-----------------------+
| Variable_name                 | Value                 |
+-------------------------------+-----------------------+
| server_audit_events           |                       |
| server_audit_excl_users       |                       |
| server_audit_file_path        | server_audit.log      |
| server_audit_file_rotate_now  | OFF                   |
| server_audit_file_rotate_size | 1000000               |
| server_audit_file_rotations   | 9                     |
| server_audit_incl_users       |                       |
| server_audit_logging          | OFF                   |
| server_audit_mode             | 0                     |
| server_audit_output_type      | file                  |
| server_audit_query_log_limit  | 1024                  |
| server_audit_syslog_facility  | LOG_USER              |
| server_audit_syslog_ident     | mysql-server_auditing |
| server_audit_syslog_info      |                       |
| server_audit_syslog_priority  | LOG_INFO              |
+-------------------------------+-----------------------+
15 rows in set (0.01 sec)
此时审计日志参数均为空，可以通过设置全局动态参数生效，此处为了重启mysql后依然生效，笔者使用修改my.cnf参数进行配置审计日志参数，即取消注销参数。
plugin_load=server_audit
server_audit_events=connect,query_dml,query_ddl
server_audit=FORCE_PLUS_PERMANENT
server_audit_file_rotate_size           = 128M
server_audit_logging                    = ON
server_audit_file_path=/data01/mysql/log3306/server_audit.log
sysdate_is_now                 = 1
重启mysql；安装完毕，大家千万不要像笔者这样粗心大意，文章较为混乱，望读者谨慎参考。
注：INSTALL PLUGIN audit_log SONAME 'audit_log.so'; 为mysql安装审计日志语句。
转载于:https://blog.51cto.com/10986872/2073093

日志审计系统简介
什么是日志审计？
综合日志审计平台，通过集中采集信息系统中的系统安全事件、用户访问记录、系统运行日志、系统运行状态等各类信息，经过规范化、过滤、归并和告警分析等处理后，以统一格式的日志形式进行集中存储和管理，结合丰富的日志统计汇总及关联分析功能，实现对信息系统日志的全面审计。
通过日志审计系统，企业管理员随时了解整个IT系统的运行情况，及时发现系统异常事件；另一方面，通过事后分析和丰富的报表系统，管理员可以方便高效地对信息系统进行有针对性的安全审计。遇到特殊安全事件和系统故障，日志审计系统可以帮助管理员进行故障快速定位，并提供客观依据进行追查和恢复。[百度百科]
为什么需要日志审计平台？

日志审计的合规要求，由于网络安全法的颁布实施，由原先的不合规转变成了不合法。如果不对要求的相关日志不做留存6个月以上，一旦追查，将面临法律责任。
安全运营的挑战。随着网络设备的增多，以及服务器数量的增多，如果没有统一的综合日志审计平台，那么需要登录到每台设备上查看日志，不利于运维人员管理。而且众多设备会产生海量的日志，无法有效管理。多种设备形成信息孤岛，日志无法关联分析。通过统一的日志审计平台，将所有设备日志都收集到日志平台进行统一管理，统一分析。

日志审计的核心目标：

多源数据归一化
日志存储集中化
关联分析自动化
安全态势立体化

日志审计的主要功能
设计思路：
统一日志采集：

对不同日志源 (主机系统、网络设备、安全设备、应用中间件、数据库等)所产生的日志进行收集，实现日志的集中管理和存储。支持解析任意格式、任意来源的日志，通过解析规则标准化。
使用无代理的方式收集日志。
支持代理方式的日志收集。

关联分析：

预置多种事件关联规则。
定位外部威胁、黑客攻击、内部违规操作，设备异常。
简单灵活定义关联规则。

实时告警：

通过邮件、短信、声音对发生的告警进行及时通知，并可通过接口调用自动运行程序或脚本。
通过告警策略定义，对各类风险 和事件进行及时告警或预警，提升运维效率。

日志取证分析：

深入分析原始日志事件，快速定位问题的根本原因。
生成取证报表，例如攻击威胁报表、Windows/Linux系统审计报表以及合规性审计报表等。

监管合规：

提供Windows审计、Linux审计、PCI、SOX、ISO27001等合规性报表。
支持创建自定义合规性报表

日志审计系统产品功能结构：

图：日志审计系统产品功能结构
日志审计系统的主要工作原理是，通过日志采集器，各种设备将日志推送到日志审计平台，然后日志审计平台通过日志解析，日志过滤，日志聚合等进行关联分析，从而进行告警，统计报表，也可以进行资产管理，日志检索等。
日志的转发方式：
日志转发一般可以通过：Syslog转发，Kafka转发，http转发。
日志收集一般支持：Syslog、SNMP等日志协议。
日志审计系统常见模块：


日志事件获取模块：安全事件监控系统是实时掌握全网的安全威胁状况的重要手段之一。通过事件监控模块监控各个网络设备、主机系统等日志信息，以及安全产品的安全事件报警信息等，及时发现正在和已经发生的安全事件，通过响应模块采取措施，保证网络和业务系统的安全、可靠运行。


资产管理模块：资产管理实现对网络安全管理平台所管辖的设备和系统对象的管理。它将其所辖IP设备资产信息按其重要程度分类登记入库，并为其他安全管理模块提供信息接口。


规则库模块：规则库已支持主流网络设备、主机系统、数据库系统等，而且还应涵盖已经部署的安全系统，包括防火墙系统、防病毒系统等。并提供新日志格式适配功能，支持从安全运营中心平台接收新日志解析映射规则配置。用户可以根据该适配功能，对新日志格式进行自行适配。


统计报表功能：具备强大的统计功能，可快速生成多种专业化的报表并支持自定义图表的设定集展示。


权限管理模块：超级管理员可根据用户角色分配平台查看、操作各模块的权限，用户可以访问而且只能访问自己被授权的资源


日志审计平台的部署方式
硬件产品部署方式：
一般日志审计系统采用旁路部署即可，只要到达全部设备网络可通即可。
支持单机部署和分布式部署。
云日志审计系统部署方式：
云日志审计部署一般要求到全网设备可通信即可。


参考资料：
https://baike.baidu.com/item/综合日志审计平台/4839703?fr=aladdin
https://www.venustech.com.cn/article/type/1/221.html

https://www.dbappsecurity.com.cn/show-62-31-1.html
https://blog.51cto.com/lidefu/1390903

概述
数据库审计(简称DBAudit)能够实时记录网络上的数据库活动，对数据库操作进行细粒度审计的合规性管理，对数据库遭受到的风险行为进行告警，对攻击行为进行阻断。它通过对用户访问数据库行为的记录、分析和汇报，用来帮助用户事后生成合规报告、事故追根溯源，同时加强内外部数据库网络行为记录，提高数据资产安全。
数据库审计是数据库安全技术之一，数据库安全技术主要包括：数据库漏扫、数据库加密、数据库防火墙、数据脱敏、数据库安全审计系统。
一、审计系统特点
完整性：独一无二的多层业务关联审计，可针对WEB层、应用中间层、数据层各层次进行关联审计
细粒度：细粒度的审计规则、精准化的行为检索及回溯、全方位的风险控制。
有效性：独有专利技术实现对数据库安全的各类攻击风险和管理风险的有效控制；灵活的、可自定义的审计规则满足了各类内控和外审的需求(有效控制误操作、越权操作、恶意操作等违规行为)
公正性：基于独立审计的工作模式，实现了数据库管理与审计的分离，保证了审计结果的真实性、完整性、公正性
零风险：无需对现有数据库进行任何更改或增加配置，即可实现零风险部署
高可靠：提供多层次的物理保护、掉电保护、自我监测及冗余部署，提升设备整体可靠性
易操作：充分考虑国内用户的使用和维护习惯，提供Web-based全中文操作界面及在线操作提示
二、实现mysql审计方案
mysql服务器自身没有提供审计功能,但是如果想实现MySQL数据库审计，一般有以下几种方法：
1)使用init-connect + binlog的方法进行mysql的操作审计
2)MySQL audit—SQL审计插件or第三方开源审计插件：libaudit_plugin.so 来完成MySQL的审计工作
3)基于360开源数据库流量审计MySQL Sniffer
4)使用ELK处理MySQL数据库审计日志(ELK日志分析功能是很强大的)
5)Mysql bin-log日志进行实时存储和行为分析 当触发设定的规则就实现记录和告警
6)开启mysql监控，实施监控日志和用户命令的操作 ，这类往往是一个平台或者软件开发结果集
三、sql审计插件
server_audit是一款内嵌在mariadb的审计插件，在mysql中同样适用，主要用于记录用户操作。
1、下载插件
到网站(https://bintray.com/version/files/mcafee/mysql-audit-plugin/release/1.1.7-805)下载插件audit-plugin-mysql-5.7-1.1.7-80
2、上传到服务器并解压缩
unzip audit-plugin-mysql-5.7-1.1.7-805-linux-x86_64.zip 
3、查看mysql的插件目录:
show global variables like 'plugin_dir';
4、拷贝libaudit_plugin.so到mysql插件目录:
cp /opt/audit-plugin-mysql-5.7-1.1.7-805/lib/libaudit_plugin.so /usr/lib64/mysql/plugin/chmod 755 /usr/lib64/mysql/plugin/libaudit_plugin.so
5、安装libaudit_plugin.so插件
install plugin audit soname 'libaudit_plugin.so';--插件安装成功后有这些全局变量show variables like '%audit%';
6、开启审计功能
set global audit_json_file=1;--查看加载的插件select * from INFORMATION_SCHEMA.PLUGINS where PLUGIN_NAME like '%AUDIT%';
7、修改配置文件
在my.cnf增加如下内容，并重启数据库
#audit审计参数plugin-load=AUDIT=libaudit_plugin.soaudit_json_file=on #开启日志插件audit_json_log_file=/data/log/mysql-audit.json #记录文件的路径和名称信息audit_record_cmds='insert,delete,update,create,drop,alter,grant,truncate' #audit记录的命令
8、查看审计日志
tail -f /data/log/mysql-audit.json
觉得有用的朋友多帮忙转发哦！后面会分享更多devops和DBA方面的内容，感兴趣的朋友可以关注下~