在Debian系统上对MongoDB进行安全审计,可按以下步骤操作:
启用审计功能
编辑配置文件 /etc/mongod.conf,在 security 部分添加审计配置:
security:
auditLog:
destination: file # 日志输出到文件
format: JSON # 日志格式(可选JSON/BSON)
path: /var/log/mongodb/audit.json # 日志路径
# filter: '{ "atype": { "$in": ["createCollection", "dropCollection"] } }' # 可选:过滤特定操作
重启MongoDB使配置生效:sudo systemctl restart mongod。
配置日志存储与权限
确保日志目录存在且MongoDB有写入权限:
sudo mkdir -p /var/log/mongodb
sudo chown mongodb:mongodb /var/log/mongodb
可选:配置审计过滤器
若需记录特定操作(如仅记录集合创建/删除),可在配置文件中使用 auditFilter 字段(JSON格式),例如:
filter: '{ "atype": "createCollection" }' # 仅记录创建集合操作
监控与分析日志
定期查看审计日志,可使用工具(如 grep、awk)过滤关键信息,或结合日志分析工具监控异常行为。
说明:以上配置适用于MongoDB企业版或支持审计的版本,社区版可能需通过其他方式实现(如第三方工具)。具体步骤可参考MongoDB官方文档。