MongoDB的审计功能可以帮助你记录数据库的操作日志，包括用户的查询、插入、更新、删除等行为，以及系统管理操作。MongoDB从版本 3.0 开始支持审计功能，但从 MongoDB Enterprise 版本才可以使用。以下是详细步骤，教你如何开启和配置 MongoDB 审计功能。

1. 确保使用的是 MongoDB Enterprise 版本

审计功能仅在 MongoDB Enterprise 中提供，因此需要确保你正在使用的是 MongoDB Enterprise 版本。你可以通过以下命令检查版本：

bash

mongod --version

如果版本信息中显示的是 MongoDB Enterprise，则表示你可以使用审计功能。如果使用的是社区版（Community Edition），则无法启用此功能。

2. 配置 MongoDB 审计功能

要启用 MongoDB 的审计功能，你需要修改 MongoDB 的配置文件 (mongod.conf)。

2.1 编辑 mongod.conf 配置文件

在 MongoDB 配置文件中启用审计功能，按照以下步骤进行：

打开你的 mongod.conf 配置文件（通常在 /etc/mongod.conf 或 /etc/mongodb.conf，具体路径取决于你的系统和 MongoDB 安装方式）。

在配置文件中添加或修改审计配置部分：

yaml

auditLog:
destination: file # 审计日志输出到文件
format: JSON # 日志格式，可以选择 JSON 或 BSON
path: /var/log/mongodb/audit.json # 审计日志文件路径
filter: ‘{ atype: { $in: [“createCollection”, “insert”] } }’ # 过滤器，定义要记录的操作（此例记录创建集合和插入操作）

destination：指定审计日志的存储位置，支持 file 或 syslog。
format：指定日志的格式，支持 JSON 或 BSON。
path：指定日志文件的路径。
filter：定义一个 JSON 格式的过滤条件来选择要记录的操作。

2.2 配置审计日志的过滤器

filter 字段允许你定义要审计的操作类型。你可以使用 MongoDB 的查询语言来选择要审计的事件。以下是一些常见的审计操作：

{ atype: "authCheck" }：审计身份验证操作。
{ atype: "create" }：审计数据库对象创建操作。
{ atype: "update" }：审计更新操作。
{ atype: "drop" }：审计删除操作。
{ atype: { $in: ["insert", "update"] } }：审计插入和更新操作。

可以根据需要调整这些条件来细化你希望审计的操作类型。

2.3 启动 MongoDB 服务

在修改完 mongod.conf 配置文件之后，需要重启 MongoDB 服务以使配置生效。使用以下命令重启 MongoDB：

bash

sudo systemctl restart mongod

或者如果你使用的是 mongod 命令行启动 MongoDB，也可以直接通过命令行重启服务：

bash

mongod --config /etc/mongod.conf

3. 查看审计日志

如果配置正确，MongoDB 将开始记录审计日志到你指定的文件中。你可以通过以下命令查看日志：

bash

cat /var/log/mongodb/audit.json

或者使用 tail 命令实时查看日志更新：

bash

tail -f /var/log/mongodb/audit.json

4. 配置审计日志的存储和管理

审计日志可能会迅速增长，因此你需要设置日志轮转或其他日志管理策略。你可以使用操作系统的日志管理工具（如 logrotate）来处理这些日志文件的轮转。

以下是一个简单的 logrotate 配置示例：

bash

/var/log/mongodb/audit.json {
daily
rotate 7
compress
missingok
notifempty
}

5. 审计操作的详细信息

审计日志中记录的信息通常包括：

操作类型 (atype)：如 insert、update、drop 等。
操作目标 (ns)：如操作的数据库和集合名称。
用户信息 (user)：发起操作的用户。
时间戳 (date)：操作发生的时间。
请求来源 (client)：发起操作的客户端信息。
操作细节 (param)：与操作相关的详细信息，如插入的数据、更新的字段等。

例如，一条记录可能会类似于以下内容（JSON 格式）：

json

{
“atype”: “insert”,
“ns”: “test.users”,
“user”: {
“user”: “admin”,
“db”: “admin”
},
“client”: “127.0.0.1:12345”,
“date”: ISODate(“2024-12-26T10:30:00Z”),
“param”: {
“document”: { “_id”: 1, “name”: “Alice”, “age”: 30 }
}
}

6. 启用和禁用审计

如果你想暂时禁用审计日志，可以将 auditLog 配置从 mongod.conf 中移除或设置为空。  
如果想恢复审计日志功能，可以重新启用审计配置并重新启动 MongoDB 服务。

7. 高级配置和优化

审计日志格式：如果你需要以 BSON 格式存储审计日志，可以将 format 设置为 BSON。  
网络安全：如果你的 MongoDB 集群是公开可访问的，确保审计日志中不包含敏感数据。使用加密和访问控制来保护日志文件。

总结

通过配置 mongod.conf 来启用审计日志，你可以记录 MongoDB 中的各种操作，如身份验证、数据修改等。审计日志有助于审查数据库活动、检测潜在的恶意操作和合规性审核。配置后，需要定期检查和管理日志文件，以防止其占用过多磁盘空间。