配置审核过滤器_MonogDB 中文网

参考 > 安全 > 稽核 > 配置审核过滤器

在本页面

--auditFilter 选项
例子

MongoDB Atlas中的审核

MongoDB Atlas支持对所有M10更大的集群进行审核。Atlas支持如下文所述指定JSON格式的审核过滤器，并使用Atlas审核过滤器构建器来简化审核配置。要了解更多信息，请参阅Atlas文档中的“ 设置数据库审核和配置自定义审核过滤器”。

MongoDB Enterprise 支持审核各种操作。当启用，审计工具，默认情况下，记录在列举了所有审计业务审计事件操作，细节和结果。要指定要记录的事件，审核功能包括该--auditFilter选项。

注意

开始在MongoDB中3.6，mongod并mongos 绑定默认为localhost。如果部署的成员在不同的主机上运行，或者希望远程客户端连接到部署，则必须指定--bind_ip或 net.bindIp。有关更多信息，请参见 Localhost绑定兼容性更改。

绑定到其他IP地址之前，请考虑启用“安全性检查表”中列出的访问控制和其他安全措施，以防止未经授权的访问。

`--auditFilter`选项¶

该--auditFilter选项采用以下形式的查询文档的字符串表示形式：

复制

{ <field1>: <expression1>, ... }

的<field>可以是在该监查消息的任何字段，包括在返回的字段 PARAM文档。
的<expression>是一个查询条件表达式。

要指定审核过滤器，请将过滤器文档括在单引号中，以将文档作为字符串传递。

要在配置文件中指定审核过滤器，必须使用配置文件的YAML格式。

例子¶

筛选多种操作类型¶

以下示例通过使用过滤器仅审核createCollection 和dropCollection操作：

复制

{ atype: { $in: [ "createCollection", "dropCollection" ] } }

要指定审核过滤器，请将过滤器文档括在单引号中，以将文档作为字符串传递。

复制

mongod --dbpath data/db --auditDestination file --auditFilter '{ atype: { $in: [ "createCollection", "dropCollection" ] } }' --auditFormat BSON --auditPath data/db/auditLog.bson

包括配置所需的其他选项。例如，如果您希望远程客户端连接到您的部署，或者您的部署成员在不同的主机上运行，请指定 --bind_ip。有关更多信息，请参见 Localhost绑定兼容性更改。

要在配置文件中指定审核过滤器，必须使用配置文件的YAML格式。

复制

storage:
   dbPath: data/db
auditLog:
   destination: file
   format: BSON
   path: data/db/auditLog.bson
   filter: '{ atype: { $in: [ "createCollection", "dropCollection" ] } }'

筛选单个数据库上的身份验证操作¶

该<field>可以包括在审核消息的任何领域。对于身份验证操作（即），审核消息在文档中包括一个字段。atype: "authenticate"dbparam

下面的示例通过使用过滤器仅审核authenticate针对test数据库发生的操作：

复制

{ atype: "authenticate", "param.db": "test" }

要指定审核过滤器，请将过滤器文档括在单引号中，以将文档作为字符串传递。

复制

mongod --dbpath data/db --auth --auditDestination file --auditFilter '{ atype: "authenticate", "param.db": "test" }' --auditFormat BSON --auditPath data/db/auditLog.bson

要在配置文件中指定审核过滤器，必须使用配置文件的YAML格式。

复制

storage:
   dbPath: data/db
security:
   authorization: enabled
auditLog:
   destination: file
   format: BSON
   path: data/db/auditLog.bson
   filter: '{ atype: "authenticate", "param.db": "test" }'

要过滤authenticate跨数据库的所有操作，请使用filter 。{ atype: "authenticate" }

过滤单个数据库的集合创建和删除操作¶

该<field>可以包括在审核消息的任何领域。对于集合创建和删除操作（即和），审核消息在文档中包括名称空间字段。atype: "createCollection"atype: "dropCollection"nsparam

以下示例使用过滤器仅审核针对数据库发生的createCollection和 dropCollection操作test：

注意

正则表达式需要两个反斜杠（\\）来使点（.）转义。

复制

{ atype: { $in: [ "createCollection", "dropCollection" ] }, "param.ns": /^test\\./ } }

要指定审核过滤器，请将过滤器文档括在单引号中，以将文档作为字符串传递。

复制

mongod --dbpath data/db --auth --auditDestination file --auditFilter '{ atype: { $in: [ "createCollection", "dropCollection" ] }, "param.ns": /^test\\./ } }' --auditFormat BSON --auditPath data/db/auditLog.bson

要在配置文件中指定审核过滤器，必须使用配置文件的YAML格式。

复制

storage:
   dbPath: data/db
security:
   authorization: enabled
auditLog:
   destination: file
   format: BSON
   path: data/db/auditLog.bson
   filter: '{ atype: { $in: [ "createCollection", "dropCollection" ] }, "param.ns": /^test\\./ } }'

按授权角色过滤¶

以下示例通过使用过滤器来审核具有数据库readWrite角色的用户的test操作，包括具有从继承角色的角色的用户readWrite：

复制

{ roles: { role: "readWrite", db: "test" } }

要指定审核过滤器，请将过滤器文档括在单引号中，以将文档作为字符串传递。

复制

mongod --dbpath data/db --auth --auditDestination file --auditFilter '{ roles: { role: "readWrite", db: "test" } }' --auditFormat BSON --auditPath data/db/auditLog.bson

要在配置文件中指定审核过滤器，必须使用配置文件的YAML格式。

复制

storage:
   dbPath: data/db
security:
   authorization: enabled
auditLog:
   destination: file
   format: BSON
   path: data/db/auditLog.bson
   filter: '{ roles: { role: "readWrite", db: "test" } }'

在读取和写入操作过滤器¶

要在审核中进行捕获read和write操作，还必须使审核系统能够使用auditAuthorizationSuccess参数记录授权成功。 [1]

注意

auditAuthorizationSuccess与仅记录授权失败相比，启用会使性能下降更多。

下面的例子来审计find()， insert()，remove()， update()，save()，和 findAndModify()使用该滤波器的操作：

复制

{ atype: "authCheck", "param.command": { $in: [ "find", "insert", "delete", "update", "findandmodify" ] } }

要指定审核过滤器，请将过滤器文档括在单引号中，以将文档作为字符串传递。

复制

mongod --dbpath data/db --auth --setParameter auditAuthorizationSuccess=true --auditDestination file --auditFilter '{ atype: "authCheck", "param.command": { $in: [ "find", "insert", "delete", "update", "findandmodify" ] } }' --auditFormat BSON --auditPath data/db/auditLog.bson

要在配置文件中指定审核过滤器，必须使用配置文件的YAML格式。

复制

storage:
   dbPath: data/db
security:
   authorization: enabled
auditLog:
   destination: file
   format: BSON
   path: data/db/auditLog.bson
   filter: '{ atype: "authCheck", "param.command": { $in: [ "find", "insert", "delete", "update", "findandmodify" ] } }'
setParameter: { auditAuthorizationSuccess: true }

过滤集合的读写操作¶

要在审核中进行捕获read和write操作，还必须使审核系统能够使用auditAuthorizationSuccess参数记录授权成功。 [1]

注意

auditAuthorizationSuccess与仅记录授权失败相比，启用会使性能下降更多。

下面的例子来审计find()， insert()，remove()， update()，save()，以及 findAndModify()为集合操作 orders在数据库中test使用过滤器：

复制

{ atype: "authCheck", "param.ns": "test.orders", "param.command": { $in: [ "find", "insert", "delete", "update", "findandmodify" ] } }

要指定审核过滤器，请将过滤器文档括在单引号中，以将文档作为字符串传递。

复制

mongod --dbpath data/db --auth --setParameter auditAuthorizationSuccess=true --auditDestination file --auditFilter '{ atype: "authCheck", "param.ns": "test.orders", "param.command": { $in: [ "find", "insert", "delete", "update", "findandmodify" ] } }' --auditFormat BSON --auditPath data/db/auditLog.bson

要在配置文件中指定审核过滤器，必须使用配置文件的YAML格式。

复制

storage:
   dbPath: data/db
security:
   authorization: enabled
auditLog:
   destination: file
   format: BSON
   path: data/db/auditLog.bson
   filter: '{ atype: "authCheck", "param.ns": "test.orders", "param.command": { $in: [ "find", "insert", "delete", "update", "findandmodify" ] } }'
setParameter: { auditAuthorizationSuccess: true }

也可以看看

配置审核，审核，系统事件审核消息

[1]	（1，2）可以启用`auditAuthorizationSuccess` 参数不启用`--auth`; 但是，所有操作都将返回成功以进行授权检查。

MongoDB 中文手册

配置审核过滤器

--auditFilter选项¶

例子¶

筛选多种操作类型¶

筛选单个数据库上的身份验证操作¶

过滤单个数据库的集合创建和删除操作¶

按授权角色过滤¶

在读取和写入操作过滤器¶

过滤集合的读写操作¶

`--auditFilter`选项¶