Перейти к основному содержанию
Перейти к основному содержанию

Журнал аудита базы данных

ClickHouse по умолчанию предоставляет журналы аудита базы данных. На этой странице основное внимание уделяется журналам, связанным с безопасностью. Для получения дополнительной информации о данных, записываемых системой, см. документацию по системным таблицам.

Срок хранения логов

Информация записывается непосредственно в системные таблицы и по умолчанию хранится в течение 30 дней. Этот период может быть дольше или короче и зависит от частоты слияний в системе. Пользователи могут предпринять дополнительные меры для более длительного хранения логов или экспорта логов в систему управления информацией и событиями безопасности (SIEM) для долгосрочного хранения. Подробности ниже.

Журналы, связанные с безопасностью

ClickHouse записывает события базы данных, связанные с безопасностью, в первую очередь в журналы сеансов и запросов.

system.session_log фиксирует успешные и неудачные попытки входа в систему, а также местоположение попытки аутентификации. Эту информацию можно использовать для выявления атак типа credential stuffing или атак перебором (brute force) на экземпляр ClickHouse.

Пример запроса, показывающего неудачные попытки входа

SELECT event_time
    ,type
    ,user
    ,auth_type
    ,client_address 
FROM clusterAllReplicas('default',system.session_log) 
WHERE type='LoginFailure' 
LIMIT 100

system.query_log фиксирует информацию о запросах, выполняемых в экземпляре ClickHouse. Эти данные могут быть полезны для выявления того, какие запросы выполнял злоумышленник.

Пример запроса для поиска активности пользователя "compromised_account"

SELECT event_time
    ,address
    ,initial_user
    ,initial_address
    ,forwarded_for
    ,query 
FROM clusterAllReplicas('default', system.query_log) 
WHERE user=’compromised_account’

Сохранение данных журналов в сервисах

Клиенты, которым требуется более долгосрочное хранение или повышенная надежность журналов, могут использовать материализованные представления для достижения этих целей. Дополнительные сведения о том, что такое материализованные представления, каковы их преимущества и как их реализовать, см. в наших видеоматериалах и документации по материализованным представлениям.

Экспорт журналов

Системные журналы можно записывать или экспортировать в хранилище в разных форматах, совместимых с SIEM-системами. Для получения дополнительной информации ознакомьтесь с нашей документацией по табличным функциям. Наиболее распространённые способы: