如何避免数据库行为监控系统部署问题.docx

PAGE 1 PAGE 1 如何避免数据库行为监控系统部署问题 在部署数据库行为监控（DAM）系统时有两个常见的问题：数据采集的精确?????性问题和DAM系统的性能问题。这篇文章，我们将争论如何避开掉入DAM的上述陷进中。  不当的监控方式会影响审计的精确?????性  DAM产品一个常常被忽视的缺点就是网络监视。对于非关键的数据库基础设施，通过网络监视采集SQL行为是可行的。但假如出于合规需要，则选择代理型的DAM产品。这类产品通过在数据库平台上安装代理来检测全部的数据库连接，包括管理员的行为。  上述两种采集方式都能够收集各种原始SQL语句，包括嵌入在查询中的变量，而这是系统自带的审计以及大部分其他采集方式所无法做到的。然而，对于网络流量检测和基于代理的检测两种部署方式而言，在数据收集的精确?????性和完整性方面有着很大的差别。在高负载的状况下，某些方法就会丢失数据包。由于丢失查询语句很少被留意到，通常不会引起什么埋怨。但是假如正在对一组事务（译注：事务即Transaction，属于数据库管理系统的术语，相当于一组数据库操作的集合）进行SOX合规审计，那么丢失的事务记录将导致审计失效。  其次个不易察觉的严峻问题是DAM系统收集SQL语句返回信息的力量很弱。全部的查询都会产生响应，一般是一组数据，有时候则仅仅是一个标志胜利或者失败的返回码。假如一个查询失败，查询没有被真正执行，这就意味着数据库没有发生变化。近我做的一项非正式的调查显示某个产品仅仅能够收集45%的微软SQL Server数据库的返回信息，以及15%的Oracle返回信息。仅仅由于一条查询恳求被收集到了，并不意味着它就能够成为审计线索的合法部分，还要看这个查询恳求的响应信息。  正是由于这些缘由，在合规审计的背景下，的部署方式是将网络代理方式或者内存扫描器方式与系统自身的审计数据收集方式结合起来。将系统自身的审计信息与（通过网络检测或者代理检测等方式获得的）包含在原始查询中的数据结合起来，供应了一种两全其美的确保数据精确?????性的方法。  策略过载和性能过载  性能依旧是数据库行为监控系统需要关注的一个问题。对于任何一款平安产品，随着在产品中生效的策略数量的增长，行为分析所需的整体计算开销会消失超负荷。每条收集到的查询语句或者事务执行语句都要匹配全部的策略，策略数量从20条增长到40条与每天分析的事务数从200万条到400万一样，都会对性能产生影响。因此，DAM产品的性能极限既取决于分析的事务数，也取决于生效的策略数。  要使得DAM产品性能维持在可接受的水平，可以遵循以下几条指南：  1）行为分析策略会使得行为资料数据随行为分析的进行而增长。应当尽量保持行为资料数据化，由于对这些资料的分析更加简单。  2）要打算DAM系统何时匹配这些策略。在收集到记录（即行为资料数据）后进行策略匹配，还是在将记录存储到DAM产品后再进行策略匹配？存储延迟和对收集到的记录的再查询都会造成额外的计算开销，明显对产品供应商而言不是一个好的选择。  3）要对策略进行优化，尽量使得策略匹配过程中快和简洁的部分被首先执行。这就跟查询语句的优化是一个道理，策略的规章表达方式对于性能会产生戏剧性的影响。重新*估和优化那些策略规章，同时，必要的话，让DAM供应商重写那些低效的规章。  :