配置审计
在本页
MONGODB ATLAS中的审计:
MongoDB Atlas支持对所有M10更大的集群进行审计。
Atlas支持指定“配置审计过滤器”中所述的JSON格式的审计过滤器, 并使用Atlas审计过滤器构建器来简化审计配置。
要了解更多信息,请参阅Atlas文档中的“设置数据库审计和配置自定义审计过滤器”。
MongoDB 企业版支持审计各种操作。
完整的审计解决方案必须涉及所有 mongod
服务器 和 mongos
路由器过程。
审计工具可以将审计事件写入到控制台、syslog(Windows上不提供该 选项)、JSON文件或BSON文件。有关审计的操作和审计日志消息的详细信息,请参阅系统事件审计消息系统事件审计消息。
启用和配置审计输出
使用该--auditDestination
选项可以启用审计并指定在何处输出审计事件。
警告
对于分片群集,如果对mongos
实例启用审计,则必须对群集中的所有mongod
实例(即分片和配置服务器)启用审计。
输出到Syslog
要启用审计并将审计事件以JSON格式打印到syslog(在Windows上该选项不可用),请为--auditDestination
设置为syslog。例如:
包括配置所需的其他选项。例如,如果您希望远程客户端连接到您的部署,或者您的部署成员在不同的主机上运行,请指定 --bind_ip。有关更多信息,请参见 Localhost绑定兼容性更改。
重要
绑定到其他IP地址之前,请考虑启用范围控制和其他 绑定到其他IP地址之前,请考虑启用“安全性检查表” 中列出的访问控制和其他安全措施,以防止未经授权的访问。
警告
syslog消息限制可能导致审计消息被截断。审计系统不会在发生截断时检测到截断或错误。
您也可以在配置文件中指定以下选项:
输出到控制台
要启用审计并将审计事件打印到标准输出(即stdout),请为--auditDestination
指定参数为'console'。例如:
包括配置所需的其他选项。例如,如果您希望远程客户端连接到您的部署,或者您的部署成员在不同的主机上运行,请指定 --bind_ip。有关更多信息,请参见 Localhost绑定兼容性更改。
重要
绑定到其他IP地址之前,请考虑启用“安全性检查表”中列出的访问控制和其他安全措施,以防止未经授权的访问。
您也可以在配置文件中指定以下选项:
输出到JSON文件¶
要启用审计并将审计事件打印为BSON二进制格式的文件,请指定以下选项:
选项 值
--auditDestination
file
--auditDestination
file
--auditFormat
JSON
--auditFormat
JSON
--auditPath
输出文件名,接受完整路径名或相对路径名。
例如,以下选项启用审计并将审计事件记录到相对路径'data/db/auditLog.json'的文件中:
包括配置所需的其他选项。例如,如果您希望远程客户端连接到您的部署,或者您的部署成员在不同的主机上运行,请指定--bind_ip参数。有关更多信息,请参见Localhost绑定兼容性更改。
重要:
绑定到其他IP地址之前,请考虑启用“安全性检查表”中列出的访问控制和其他安全措施,以防止未经授权的访问。
审计文件与服务器日志文件同时旋转。
您也可以在配置文件中指定以下选项:
注意
与以BSON格式打印到文件相比,以JSON格式打印审计事件到文件的性能降低服务器性能。
输出到BSON文件 ¶
要启用审计并将审计事件打印为BSON二进制格式的文件,请指定以下选项:
选项 值
--auditDestination
file
--auditDestination
file
--auditFormat
BSON
--auditFormat
BSON
--auditPath
输出文件名,接受完整路径名或相对路径名。
例如,以下选项启用审计并将审计事件记录到相对路径'data/db/auditLog.bson'的文件中:
例如,如果您希望远程客户端连接到您的部署,或者您的部署成员在不同的主机上运行,请指定--bind_ip
。更多信息请查看Localhost绑定兼容性更改。
重要
绑定到其他IP地址之前,请考虑启用“安全性检查表”中列出的访问控制和其他安全措施,以防止未经授权的访问。
审计文件与服务器日志文件同时旋转。
您也可以在配置文件中指定以下选项:
要查看文件的内容,请将文件传递给MongoDB实用程序 bsondump。例如,以下内容将审计日志转换为可读格式并输出到终端:
原文链接:https://docs.mongodb.com/manual/tutorial/configure-auditing/
译者:谢伟成
最后更新于