MongoDB如何在Linux上進行安全審計

以下是在Linux上對MongoDB進行安全審計的步驟，需使用MongoDB企業版（社區版不支持審計功能）：

1. 前提準備

• 確保已安裝MongoDB企業版，并啟用認證（security.authorization: enabled）。
• 創建專用用戶運行MongoDB服務，避免使用root權限。

2. 配置審計功能

通過修改配置文件/etc/mongod.conf啟用審計，關鍵參數如下：

security:  
  authorization: enabled  # 啟用認證  
  auditLog:  
    destination: file    # 日志輸出方式（file/syslog）  
    format: JSON         # 日志格式（JSON/BSON）  
    path: /var/log/mongodb/audit.json  # 日志路徑  
    filter: '{ "atype": { "$in": ["authCheck", "insert", "update", "delete"] } }'  # 可選：過濾需記錄的事件類型  

• 說明：
  • atype可指定審計事件類型，如authCheck（認證檢查）、insert（插入操作）等。
  • 若需記錄系統事件（如啟動/關閉），需在filter中添加對應類型。

3. 創建日志目錄并授權

sudo mkdir -p /var/log/mongodb  
sudo chown mongodb:mongodb /var/log/mongodb  # 確保MongoDB用戶有寫入權限  

4. 重啟MongoDB服務

sudo systemctl restart mongod  

5. 驗證審計日志

• 查看日志文件內容（JSON格式）：

  cat /var/log/mongodb/audit.json | jq  # 使用jq工具格式化查看  
  

• 示例日志內容：

  {  
    "atype": "insert",  
    "ts": ISODate("2025-08-17T12:00:00Z"),  
    "localAddress": "127.0.0.1:27017",  
    "user": "admin",  
    "db": "testDB",  
    "collection": "users",  
    "operation": "insert",  
    "documentKey": { "_id": ObjectId("...") }  
  }  
  

6. 高級配置（可選）

• 日志輪轉：通過logrotate工具定期清理舊日志，避免磁盤占滿。
• 集中管理：在Kubernetes環境中，可通過ConfigMap掛載審計配置。

注意事項

• 性能影響：審計功能會增加數據庫負載，建議根據業務需求調整filter參數，避免記錄過多冗余信息。
• 權限控制：確保審計日志文件僅允許授權用戶訪問，防止敏感信息泄露。

參考來源：