数据库安全服务常见问题文档版本12发布日期2021-03-22华为技术有限公司版权所有华为技术有限公司2021.
保留一切权利.
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播.
商标声明和其他华为商标均为华为技术有限公司的商标.
本文档提及的其他所有商标或注册商标,由各自的所有人拥有.
注意您购买的产品、服务或特性等应受华为公司商业合同和条款的约束,本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内.
除非合同另有约定,华为公司对本文档内容不做任何明示或默示的声明或保证.
由于产品版本升级或其他原因,本文档内容会不定期进行更新.
除非另有约定,本文档仅作为使用指导,本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保.
文档版本12(2021-03-22)版权所有华为技术有限公司i目录1产品咨询类.
11.
1什么是数据库安全审计11.
2数据库安全服务提供各服务版本支持的性能规格是多少11.
3数据库安全服务可以对华为云上的哪些数据库提供保护21.
4数据库安全服务支持哪些类型的数据库21.
5为什么购买实例后不能马上查看创建中的实例31.
6什么是区域和可用区32购买类.
52.
1购买实例时如何选择"子网"52.
2购买实例时提示配额不足时如何处理52.
3如何为数据库安全审计续费52.
4如何退订数据库安全服务63功能类.
73.
1数据库安全审计可以跨可用区使用吗73.
2数据库安全审计(旁路模式)是否会影响业务73.
3数据库安全审计支持多个帐号共享使用吗73.
4数据库安全审计可以应用于哪些场景83.
5数据库安全审计支持哪些数据库83.
6数据库安全审计支持数据库部署在哪些操作系统上93.
7数据库安全审计支持双向审计吗103.
8数据库安全审计支持TLS连接的应用吗103.
9数据库安全审计的审计数据可以保存多久103.
10数据库安全审计发生异常,多长时间用户可以收到告警通知113.
11每天发送告警总条数与每天收到的邮件数是相同的吗113.
12为什么不能在线预览数据库安全审计报表114Agent相关.
124.
1数据库安全审计的Agent提供哪些功能124.
2数据库安全审计的Agent可以安装在哪些Windows操作系统上124.
3数据库安全审计的Agent可以安装在哪些Linux操作系统上124.
4数据库安全审计Agent的进程名称是什么144.
5(Linux操作系统)安装Agent时没有安装脚本执行权限,如何处理144.
6(Linux操作系统)数据库安全审计Agent客户端日志保存在哪里14数据库安全服务常见问题目录文档版本12(2021-03-22)版权所有华为技术有限公司ii4.
7添加Agent时,在什么场景下需要选择"选择已有Agent"添加方式144.
8当数据库安全审计Agent的运行状态为"休眠中"时,如何处理154.
9待审计的RDS如果连接了多台ECS,如何部署Agent164.
10如何选择数据库安全审计的Agent安装节点174.
11如何查看数据库安全审计Agent的运行状态194.
12如何下载数据库安全审计的Agent204.
13如何卸载数据库安全审计Agent程序214.
14如何修改Agent的CPU和内存的阈值224.
15如何安装Agent(Linux操作系统)234.
16如何安装Agent(Windows操作系统)244.
17如何处理Agent与数据库安全审计实例之间通信异常284.
18Agent运行时会消耗安装节点多少资源315操作类.
325.
1如何配置数据库安全审计325.
2如何关闭数据库SSL335.
3如何设置数据库安全审计的INSERT审计策略335.
4如何验证已完成数据库安全审计配置345.
5如何对所有数据库设置数据库安全审计规则345.
6如何查看数据库安全审计的版本信息355.
7如何查看数据库安全审计所有的告警信息355.
8PC通过内网访问RDS(即应用端在云下)时,如何使用数据库安全审计366故障排查.
376.
1数据库安全审计运行正常但无审计记录.
376.
2无法使用数据库安全审计.
387日志类.
437.
1数据库安全审计的操作日志是否可以迁移437.
2数据库安全审计的操作日志默认保存多久437.
3如何查看数据库安全审计的用户操作日志437.
4数据库安全审计的日志处理机制是什么447.
5数据库安全审计的审计日志是否支持备份447.
6数据库安全审计的审计日志支持直接转存OBS吗47A修订记录.
48数据库安全服务常见问题目录文档版本12(2021-03-22)版权所有华为技术有限公司iii1产品咨询类1.
1什么是数据库安全审计数据库安全审计提供旁路模式数据库安全审计功能,通过实时记录用户访问数据库行为,形成细粒度的审计报告,对风险行为和攻击行为进行实时告警.
同时,数据库安全审计可以生成满足数据安全标准(例如Sarbanes-Oxley)的合规报告,对数据库的内部违规和不正当操作进行定位追责,保障数据资产安全.
1.
2数据库安全服务提供各服务版本支持的性能规格是多少数据库安全审计支持专业版和高级版两种服务版本.
您可以根据业务需求选择相应的服务版本.
数据库安全审计各版本的性能规格说明如表1-1所示.
表1-1数据库安全审计版本性能规格说明版本支持的数据库实例系统资源要求性能参数专业版最多支持6个数据库实例CPU:8U内存:16GB硬盘:1084GB吞吐量峰值:6,000条/秒入库速率:720万条/小时6亿条在线SQL语句存储100亿条归档SQL语句存储高级版最多支持30个数据库实例CPU:16U内存:32GB硬盘:2108GB吞吐量峰值:30,000条/秒入库速率:1080万条/小时15亿条在线SQL语句存储600亿条归档SQL语句存储数据库安全服务常见问题1产品咨询类文档版本12(2021-03-22)版权所有华为技术有限公司11.
3数据库安全服务可以对华为云上的哪些数据库提供保护数据库安全服务可以对相同虚拟私有云及其子网下的ECS自建数据库、BMS自建数据库以及RDS关系型数据库提供保护.
在非同一虚拟私有云及其子网下的ECS自建数据库、BMS自建数据库和RDS关系型数据库,由于网络限制的原因不能对其提供保护.
1.
4数据库安全服务支持哪些类型的数据库数据库安全服务支持华为云的以下数据库:关系型数据库(RelationalDatabaseService,RDS)弹性云服务器(ElasticCloudServer,ECS)的自建数据库裸金属服务器(BareMetalServer,BMS)的自建数据库数据库安全审计支持数据库类型及版本如表1-2所示.
表1-2数据库安全审计支持的数据库类型和版本数据库类型版本MySQL5.
0、5.
1、5.
5、5.
6、5.
78.
0Oracle11g11.
1.
0.
6.
0、11.
2.
0.
1.
0、11.
2.
0.
2.
0、11.
2.
0.
3.
0、11.
2.
0.
4.
012c12.
1.
0.
2.
0、12.
2.
0.
1.
019cPostgreSQL7.
48.
0、8.
1、8.
2、8.
3、8.
49.
0、9.
1、9.
2、9.
3、9.
4、9.
5、9.
610.
0、10.
1、10.
2、10.
3、10.
4、10.
511SQLServer2008、2008R22012201420162017DWS1.
5GaussDBforMysqlMysql8.
0DAMENGDM8数据库安全服务常见问题1产品咨询类文档版本12(2021-03-22)版权所有华为技术有限公司2数据库类型版本KINGBASEV81.
5为什么购买实例后不能马上查看创建中的实例购买数据库安全审计时,由于数据库安全审计实例所在的虚拟机创建系统盘和网络配置需要少许时间,所以需要在虚拟机配置完成才能查看创建中的实例.
1.
6什么是区域和可用区什么是区域、可用区我们用区域和可用区来描述数据中心的位置,您可以在特定的区域、可用区创建资源.
区域(Region):从地理位置和网络时延维度划分,同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务.
Region分为通用Region和专属Region,通用Region指面向公共租户提供通用云服务的Region;专属Region指只承载同一类业务或只面向特定租户提供业务服务的专用Region.
可用区(AZ,AvailabilityZone):一个AZ是一个或多个物理数据中心的集合,有独立的风火水电,AZ内逻辑上再将计算、网络、存储等资源划分成多个集群.
一个Region中的多个AZ间通过高速光纤相连,以满足用户跨AZ构建高可用性系统的需求.
图1-1阐明了区域和可用区之间的关系.
图1-1区域和可用区目前,华为云已在全球多个地域开放云服务,您可以根据需求选择适合自己的区域和可用区.
如何选择区域选择区域时,您需要考虑以下几个因素:数据库安全服务常见问题1产品咨询类文档版本12(2021-03-22)版权所有华为技术有限公司3地理位置一般情况下,建议就近选择靠近您或者您的目标用户的区域,这样可以减少网络时延,提高访问速度.
不过,在基础设施、BGP网络品质、资源的操作与配置等方面,中国大陆各个区域间区别不大,如果您或者您的目标用户在中国大陆,可以不用考虑不同区域造成的网络时延问题.
–在除中国大陆以外的亚太地区有业务的用户,可以选择"亚太-香港"、"亚太-曼谷"或"亚太-新加坡"区域.
–在非洲地区有业务的用户,可以选择"南非-约翰内斯堡"区域.
–在欧洲地区有业务的用户,可以选择"欧洲-巴黎"区域.
资源的价格不同区域的资源价格可能有差异,请参见华为云服务价格详情.
如何选择可用区是否将资源放在同一可用区内,主要取决于您对容灾能力和网络时延的要求.
如果您的应用需要较高的容灾能力,建议您将资源部署在同一区域的不同可用区内.
如果您的应用要求实例之间的网络延时较低,则建议您将资源创建在同一可用区内.
区域和终端节点当您通过API使用资源时,您必须指定其区域终端节点.
有关华为云的区域和终端节点的更多信息,请参阅地区和终端节点.
数据库安全服务常见问题1产品咨询类文档版本12(2021-03-22)版权所有华为技术有限公司42购买类2.
1购买实例时如何选择"子网"需要与数据库选择同一子网.
2.
2购买实例时提示配额不足时如何处理当您在购买数据库安全防护或数据库安全审计时,界面提示配额不足,请您提交工单申请配额.
提交工单的详细操作,请参见:提交工单.
2.
3如何为数据库安全审计续费在数据库安全审计到期前,用户可以通过续费操作继续使用数据库安全服务.
前提条件登录管理控制台的帐号已授权DBSSSystemAdministrator、ECSAdministrator、VPCAdministrator和BSSAdministrator权限策略,或授权TenantAdministrator权限策略.
已成功购买数据库安全审计实例.
数据库安全审计续费步骤1登录管理控制台.
步骤2单击管理控制台左上角的,选择区域或项目.
步骤3单击,选择"安全>数据库安全服务",进入数据库安全审计"总览"界面.
步骤4在左侧导航树中,选择"实例列表".
步骤5在需要续费的实例所在行中,单击"续费".
数据库安全服务常见问题2购买类文档版本12(2021-03-22)版权所有华为技术有限公司5有关续费的详细操作,请参见续费管理.
----结束2.
4如何退订数据库安全服务数据库安全服务仅支持包年/包月付费方式,购买的实例不能直接删除,仅支持退订.
如果用户不再使用,请执行退订操作.
前提条件登录管理控制台的帐号已授权DBSSSystemAdministrator、ECSAdministrator、VPCAdministrator和BSSAdministrator角色.
已成功购买数据库安全审计实例.
操作步骤步骤1登录管理控制台.
步骤2在界面右上方,单击"费用",进入"费用中心"界面.
步骤3在左侧导航树上,选择"退订与变更>退订管理".
有关退订的详细操作,请参见退订管理.
----结束数据库安全服务常见问题2购买类文档版本12(2021-03-22)版权所有华为技术有限公司63功能类3.
1数据库安全审计可以跨可用区使用吗待审计的数据库和购买的数据库安全审计实例必须在同一区域,您才能使用数据库安全审计.
如果待审计的数据库和购买的数据库安全审计实例在同一区域,但不在同一可用区,则您可以使用数据库安全审计.
例如,您在某个区域的"可用区1"购买了数据库安全审计,如图3-1所示,待审计的数据库部署在该区域的"可用区2"或"可用区3",则您可以使用购买的数据库安全审计.
图3-1在"可用区1"购买数据库安全审计3.
2数据库安全审计(旁路模式)是否会影响业务不影响.
数据库安全审计是数据库安全服务提供的旁路模式数据库审计功能,只对数据库进行审计,不影响用户业务.
3.
3数据库安全审计支持多个帐号共享使用吗数据库安全审计不支持多个帐号共享使用.
例如,如果您在某个区域通过注册华为云创建了2个帐号("domain1"和"domain2"),当您在"domain1"帐号下购买了数据库安全审计,则"domain2"帐号不能使用"domain1"的数据库安全审计.
在同一区域,一个帐号的在IAM上创建的所有IAM用户都可以共用该帐号下的数据库安全审计.
例如,您在某个区域通过注册华为云创建了1个帐号("domain1"),且"domain1"帐号在IAM中创建了2个IAM用户("sub-user01"、"sub-数据库安全服务常见问题3功能类文档版本12(2021-03-22)版权所有华为技术有限公司7user02"),如果您授权了"sub-user01"和"sub-user02"用户DBSS的权限策略,则这2个IAM用户都可以使用"domain1"的数据库安全审计.
3.
4数据库安全审计可以应用于哪些场景数据库安全审计采用数据库旁路部署方式,在不影响用户业务的提前下,可以对华为云上的RDS、ECS/BMS自建的数据库进行灵活的审计.
基于数据库风险操作,监视数据库登录、操作类型(数据定义、数据操作和数据控制)和操作对象,有效对数据库进行审计.
从风险、会话、SQL注入等多个维度进行分析,帮助您及时了解数据库状况.
提供审计报表模板库,可以生成日报、周报或月报审计报表(可设置报表生成频率).
同时,支持发送报表生成的实时告警通知,帮助您及时获取审计报表.
3.
5数据库安全审计支持哪些数据库数据库安全审计支持数据库类型及版本如表3-1所示.
表3-1数据库安全审计支持的数据库类型和版本数据库类型版本MySQL5.
0、5.
1、5.
5、5.
6、5.
78.
0Oracle11g11.
1.
0.
6.
0、11.
2.
0.
1.
0、11.
2.
0.
2.
0、11.
2.
0.
3.
0、11.
2.
0.
4.
012c12.
1.
0.
2.
0、12.
2.
0.
1.
019cPostgreSQL7.
48.
0、8.
1、8.
2、8.
3、8.
49.
0、9.
1、9.
2、9.
3、9.
4、9.
5、9.
610.
0、10.
1、10.
2、10.
3、10.
4、10.
511SQLServer2008、2008R22012201420162017DWS1.
5GaussDBforMysqlMysql8.
0数据库安全服务常见问题3功能类文档版本12(2021-03-22)版权所有华为技术有限公司8数据库类型版本DAMENGDM8KINGBASEV83.
6数据库安全审计支持数据库部署在哪些操作系统上您需要在数据库端、应用端或代理端安装Agent,将添加的数据库连接到数据库安全审计实例.
数据库安全审计的Agent可运行在Linux64位和Windows64位操作系统上,安装节点的操作系统说明如下所示.
数据库安全审计的Agent支持的Linux系统版本如表3-2所示.
表3-2Agent支持的Linux系统版本说明系统名称系统版本CentOSCentOS6.
3(64bit)CentOS6.
5(64bit)CentOS6.
8(64bit)CentOS6.
9(64bit)CentOS7.
0(64bit)CentOS7.
1(64bit)CentOS7.
2(64bit)CentOS7.
3(64bit)CentOS7.
4(64bit)CentOS7.
5(64bit)CentOS7.
6(64bit)CentOS7.
8(64bit)CentOS8.
0(64bit)DebianDebian7.
5.
0(64bit)Debian8.
2.
0(64bit)Debian8.
8.
0(64bit)Debian9.
0.
0(64bit)FedoraFedora24(64bit)Fedora25(64bit)SUSESUSE11SP4(64bit)SUSE12SP1(64bit)SUSE12SP2(64bit)数据库安全服务常见问题3功能类文档版本12(2021-03-22)版权所有华为技术有限公司9系统名称系统版本UbuntuUbuntu14.
04(64bit)Ubuntu16.
04(64bit)Ubuntu18.
04(64bit)EulerEuler2.
2(64bit)Euler2.
3(64bit)OracleLinuxOracleLinux6.
9(64bit)OracleLinux7.
4(64bit)数据库安全审计的Agent支持的Windows系统版本如下所示:–WindowsServer2008R2–WindowsServer2012R2–WindowsServer2016–Windows7–Windows103.
7数据库安全审计支持双向审计吗数据库安全审计支持双向审计.
双向审计是对数据库的请求和响应都进行审计.
数据库安全审计默认使用双向审计.
3.
8数据库安全审计支持TLS连接的应用吗不支持.
TLS(TransportLayerSecurity)连接的应用是加密的,无法使用数据库安全审计功能.
3.
9数据库安全审计的审计数据可以保存多久数据库安全审计支持将在线和归档的审计数据至少保存180天的功能.
由于审计数据存放在日志数据库中,而日志数据库的硬盘容量可能影响保存时长.
为了确保审计数据满足保存时长要求,建议您通过以下方式处理:根据业务数据库审计数据实际情况,选择购买的数据库安全审计版本–审计数据容量较小:购买基础版–审计数据容量较大:购买专业版或高级版数据库安全审计各版本的规格说明如所表3-3示.
备份审计日志有关备份审计日志的详细操作,请参见备份数据库审计日志.
数据库安全服务常见问题3功能类文档版本12(2021-03-22)版权所有华为技术有限公司10表3-3数据库安全审计版本性能规格说明版本支持的数据库实例系统资源要求性能参数专业版最多支持6个数据库实例CPU:8U内存:16GB硬盘:1084GB吞吐量峰值:6,000条/秒入库速率:720万条/小时6亿条在线SQL语句存储100亿条归档SQL语句存储高级版最多支持30个数据库实例CPU:16U内存:32GB硬盘:2108GB吞吐量峰值:30,000条/秒入库速率:1080万条/小时15亿条在线SQL语句存储600亿条归档SQL语句存储说明数据库实例通过数据库IP+数据库端口计量.
如果同一数据库IP具有多个数据库端口,数据库实例数为数据库端口数.
1个数据库IP只有1个数据库端口,即为一个数据库实例;1个数据库IP具有N个数据库端口,即为N个数据库实例.
例如:用户有2个数据库资产分别为IP1和IP2,IP1有一个数据库端口,则为1个数据库实例;IP2有3个数据库端口,则为3个数据库实例.
IP1和IP2合计为4个数据库实例,选择服务版本规格时需要大于或等于4个数据库实例,即选用专业版(最多支持审计6个数据库实例).
本表中在线SQL语句的条数,是按照每条SQL语句的容量为1KB来计算的.
3.
10数据库安全审计发生异常,多长时间用户可以收到告警通知在数据库安全审计正常运行的情况下,从系统发生异常到收到告警通知最大时延不超过5分钟.
当您设置告警通知后,在数据库安全审计正常运行的情况下,当数据库安全审计实例资源(CPU、内存和磁盘)超过设置的告警阈值时,系统产生告警通知.
用户约在5分钟内可以收到告警通知.
3.
11每天发送告警总条数与每天收到的邮件数是相同的吗是的.
一条告警信息对应一个通知邮件.
3.
12为什么不能在线预览数据库安全审计报表如果您需要在线预览报表,请使用GoogleChrome或MozillaFireFox浏览器.
数据库安全服务常见问题3功能类文档版本12(2021-03-22)版权所有华为技术有限公司114Agent相关4.
1数据库安全审计的Agent提供哪些功能使用数据库安全审计功能,必须在数据库节点或应用节点安装Agent.
数据库安全审计的Agent主要提供以下功能:获取访问数据库流量将流量数据上传到审计系统接收审计系统配置命令上报数据库状态监控数据4.
2数据库安全审计的Agent可以安装在哪些Windows操作系统上使用数据库安全审计功能,必须在数据库节点或应用节点安装Agent.
数据库安全审计的Agent支持安装在以下Windows64操作系统上:WindowsServer2008R2WindowsServer2012R2WindowsServer2016Windows7Windows104.
3数据库安全审计的Agent可以安装在哪些Linux操作系统上使用数据库安全审计功能,必须在数据库节点或应用节点安装Agent.
数据库安全审计的Agent支持安装在Linux64位操作系统,系统版本说明如表4-1所示.
数据库安全服务常见问题4Agent相关文档版本12(2021-03-22)版权所有华为技术有限公司12表4-1Agent支持的Linux系统版本说明系统名称系统版本CentOSCentOS6.
3(64bit)CentOS6.
5(64bit)CentOS6.
8(64bit)CentOS6.
9(64bit)CentOS7.
0(64bit)CentOS7.
1(64bit)CentOS7.
2(64bit)CentOS7.
3(64bit)CentOS7.
4(64bit)CentOS7.
5(64bit)CentOS7.
6(64bit)CentOS7.
8(64bit)CentOS8.
0(64bit)DebianDebian7.
5.
0(64bit)Debian8.
2.
0(64bit)Debian8.
8.
0(64bit)Debian9.
0.
0(64bit)FedoraFedora24(64bit)Fedora25(64bit)SUSESUSE11SP4(64bit)SUSE12SP1(64bit)SUSE12SP2(64bit)UbuntuUbuntu14.
04(64bit)Ubuntu16.
04(64bit)Ubuntu18.
04(64bit)EulerEuler2.
2(64bit)Euler2.
3(64bit)OracleLinuxOracleLinux6.
9(64bit)OracleLinux7.
4(64bit)数据库安全服务常见问题4Agent相关文档版本12(2021-03-22)版权所有华为技术有限公司134.
4数据库安全审计Agent的进程名称是什么Linux操作系统Agent客户端进程名称为:"/opt/dbss_audit_agent/bin/audit_agent"安装Agent后,您可以参照以下操作步骤,查看Agent程序的运行状态.
步骤1使用跨平台远程访问工具(例如PuTTY)以root用户通过SSH方式,登录Agent的安装节点.
步骤2执行以下命令,查看Agent程序的运行状态.
ps-ef|grepaudit_agent如果界面回显以下信息,说明Agent程序运行正常.
/opt/dbss_audit_agent/bin/audit_agent如果界面无回显信息,说明Agent程序运行异常.
----结束Windows操作系统Agent安装完成后,在Windows任务管理器中,可以查看Agent的进程"dbss_audit_agent".
4.
5(Linux操作系统)安装Agent时没有安装脚本执行权限,如何处理如果在安装Agent时,没有安装脚本的执行权限,请在安装Agent的节点上执行以下命令,添加安装脚本的执行权限:chmod+xinstall.
sh4.
6(Linux操作系统)数据库安全审计Agent客户端日志保存在哪里Agent客户端日志存放路径为:"/opt/dbss_audit_agent/log/audit_agent.
log"4.
7添加Agent时,在什么场景下需要选择"选择已有Agent"添加方式当某个应用端连接了多个数据库时,如图4-1所示.
如果连接该应用端的某个数据库(例如"DB1"),已在应用端添加了Agent(即"DB1"数据库在添加Agent时,"安装节点类型"选择"应用端").
则连接该应用端的其他数据库在添加Agent时,只需要选择"选择已有Agent"添加方式(即选择"DB1"已添加的Agent),如图4-2所示.
数据库安全服务常见问题4Agent相关文档版本12(2021-03-22)版权所有华为技术有限公司14如果您已在该应用端安装了Agent,则该数据库添加Agent后,数据库安全审计即可对其进行审计.
有关安装节点的详细介绍,请参见如何选择数据库安全审计的Agent安装节点.
图4-1一个应用端连接了多个数据库说明连接的数据库类型包括:全是ECS/BMS自建数据库全是RDS关系型数据库ECS/BMS自建数据库与RDS关系型数据库图4-2选择已有Agent4.
8当数据库安全审计Agent的运行状态为"休眠中"时,如何处理待审计的数据库添加Agent后,该Agent的初始运行状态为"休眠中",如图4-3所示.
数据库安全服务常见问题4Agent相关文档版本12(2021-03-22)版权所有华为技术有限公司15图4-3Agent添加完成添加Agent后,您还需要在安装节点上安装Agent,才能使用数据库安全审计.
请您安装Agent后,再查看该Agent的运行状态.
有关安装Agent的详细操作,请参见安装Agent.
如果安装Agent后Agent正常运行,则该Agent的运行状态,如图4-4所示.
图4-4Agent运行正常如果安装Agent后,该Agent的运行状态仍为"休眠中",请参照Agent与数据库安全审计实例之间通信异常章节进行处理.
4.
9待审计的RDS如果连接了多台ECS,如何部署Agent当待审计的RDS连接了多台ECS,即多个应用端(ECS)连接同一个RDS时,所有的应用端都需要部署Agent,如图4-5所示.
图4-5多个应用端连接同一个RDS在完成添加数据库操作后,请您参照以下步骤部署Agent:1.
添加Agent.
所有连接RDS的ECS都需要添加Agent.
有关添加Agent的详细操作,请参见添加Agent.
数据库安全服务常见问题4Agent相关文档版本12(2021-03-22)版权所有华为技术有限公司162.
安装Agent.
下载Agent后,需要在所有连接RDS的ECS上安装Agent.
有关安装Agent的详细操作,请参见安装Agent.
4.
10如何选择数据库安全审计的Agent安装节点数据库安全审计的Agent可以安装在数据库端、应用端和代理端.
建议您按"数据库端>应用端>代理端"优先级顺序选择Agent的安装节点.
在各节点上安装Agent的详细说明如表4-2所示.
有关安装Agent的详细操作,请参见安装Agent.
表4-2数据库安全审计Agent安装说明Agent安装节点使用场景审计功能说明注意事项数据库端ECS/BMS自建数据库可以审计所有访问该数据库的应用端的所有访问记录.
添加Agent时,"安装节点类型"选择"数据库端",如图4-6所示.
应用端无法登录到数据库节点的部署环境(例如,RDS关系型数据库)可以审计该应用端与其连接的所有数据库的访问记录.
添加Agent时,"安装节点类型"选择"应用端",如图4-7所示.
当某个应用端连接了多个数据库时,如果该应用端的某个数据库已在应用端添加了Agent.
其他数据库在添加Agent时,只需要选择"选择已有Agent"添加方式,如图4-8所示.
代理端无法登录到数据库节点,且不能在应用端安装Agent的部署环境(例如,RDS关系型数据库且应用端在云下)只能审计代理与后端数据库之间的访问记录,无法审计应用端与后端数据库的访问记录.
添加Agent时,需要将该代理端作为应用端,即"安装节点类型"选择"应用端",且"安装节点IP"需要配置为该代理的IP地址.
添加Agent方式说明数据库端数据库安全服务常见问题4Agent相关文档版本12(2021-03-22)版权所有华为技术有限公司17图4-6在数据库端添加Agent应用端图4-7在应用端添加Agent图4-8选择已有Agent数据库安全服务常见问题4Agent相关文档版本12(2021-03-22)版权所有华为技术有限公司18须知当某个应用端连接了多个数据库时,如果该应用端的一个数据库已经在应用端添加了Agent.
其他数据库在添加Agent时,只需要选择"选择已有Agent"添加方式.
详细介绍,请参见添加Agent时,在什么场景下需要选择"选择已有Agent"添加方式.
代理端图4-9在应用端添加Agent须知安装节点IP需要配置为代理的IP地址.
4.
11如何查看数据库安全审计Agent的运行状态安装节点安装Agent程序后,请参照以下操作步骤,查看Agent程序的运行状态.
Linux操作系统步骤1使用跨平台远程访问工具(例如PuTTY)以root用户通过SSH方式,登录已安装Agent的节点.
步骤2执行以下命令,查看Agent程序的运行状态.
serviceaudit_agentstatus如果界面回显以下信息,说明Agent程序运行正常.
auditagentisrunning.
----结束数据库安全服务常见问题4Agent相关文档版本12(2021-03-22)版权所有华为技术有限公司19Windows操作系统步骤1进入Agent安装文件的目录.
步骤2双击"status.
bat"执行文件,查看Agent的运行状态.
----结束4.
12如何下载数据库安全审计的Agent安全组规则添加完成后,您还需要下载Agent,并根据Agent的添加方式在数据库端或应用端安装Agent.
说明每个Agent都有唯一的AgentID,是Agent连接数据库安全审计实例的重要密钥.
若您将添加的Agent删除,在重新添加Agent后,请重新下载Agent.
前提条件已成功购买数据库安全审计实例,且实例的状态为"运行中".
数据库已成功添加Agent.
操作步骤步骤1登录管理控制台.
步骤2在页面上方选择"区域"后,单击,选择"安全>数据库安全服务",进入数据库安全审计"总览"界面.
步骤3在左侧导航树中,选择"数据库列表",进入数据库列表界面.
步骤4在"选择实例"下拉列表框中,选择需要下载Agent的数据库所属的实例.
步骤5单击数据库左侧的展开Agent的详细信息,在Agent所在行的"操作"列,单击"下载agent",如图4-10所示.
将Agent安装包下载到本地.
图4-10下载Agent请根据安装Agent节点的操作系统类型,选择下载相应的Agent安装包.
Linux操作系统在"操作系统"为"LINUX64"的数据库中下载Agent安装包Windows操作系统数据库安全服务常见问题4Agent相关文档版本12(2021-03-22)版权所有华为技术有限公司20在"操作系统"为"WINDOWS64"的数据库中下载Agent安装包----结束4.
13如何卸载数据库安全审计Agent程序在数据库端或应用端的节点安装Agent后,当不需要停止审计数据库时,您可以在安装Agent的节点卸载Agent.
前提条件已在安装节点安装了Agent程序.
在Linux操作系统上卸载Agent步骤1使用跨平台远程访问工具(例如PuTTY)以root用户通过SSH方式,登录已安装Agent的节点.
步骤2执行以下命令,进入Agent安装包"xxx.
tar"解压后所在目录.
cdAgent安装包解压后所在目录步骤3执行以下命令,查看是否有卸载脚本"uninstall.
sh"的执行权限.
ll如果有卸载脚本的执行权限,请执行步骤4.
如果没有卸载脚本的执行权限,请执行以下操作:a.
执行以下命令,添加卸载脚本执行权限.
chmod+xuninstall.
shb.
确认有安装脚本执行权限后,请执行步骤4.
步骤4执行以下命令,卸载Agent.
shuninstall.
sh如果界面回显以下信息,说明卸载成功.
uninstallauditagent.
.
.
existos-releasefilestoppingauditagentauditagentstoppedstopaudit_agentsuccessserviceaudit_agentdoesnotsupportchkconfiguninstallauditagentcompleted!
----结束在Windows操作系统上卸载Agent步骤1进入Agent安装文件的目录.
步骤2双击"uninstall.
bat"执行文件,卸载Agent.
步骤3验证Agent已卸载成功.
1.
打开任务管理器,查看"dbss_audit_agent"进程已停止.
数据库安全服务常见问题4Agent相关文档版本12(2021-03-22)版权所有华为技术有限公司212.
查看Agent安装目录,安装目录内容已经全部删除.
----结束4.
14如何修改Agent的CPU和内存的阈值数据库安全审计Agent的CPU阈值和内存阈值用户不能直接修改.
Agent安装在数据库端的用户,若有需求,请您联系技术支持修改数据库安全审计Agent的阈值.
Agent安装在应用端的用户,您可以按照以下操作步骤在添加Agent时,配置CPU阈值和内存阈值.
步骤1登录安装Agent的节点,卸载Agent程序.
步骤2登录数据库安全服务控制台.
步骤3在左侧导航栏中,选择"数据库列表",进入"数据库列表"界面.
步骤4在"选择实例"下拉框中,选择需要修改AgentCPU阈值和内存阈值的实例.
步骤5单击数据库左侧的展开Agent的详细信息,在Agent所在行的"操作"列,如图4-11所示,删除已添加的Agent.
图4-11删除Agent步骤6重新添加Agent.
请根据您的业务需求,设置CPU阈值和内存阈值.
CPU阈值和内存阈值系统默认为80%.
当Agent程序检测到服务器上的内存或CPU超过设定的阈值时,Agent将立即停止运行.
图4-12CPU阈值和内存阈值数据库安全服务常见问题4Agent相关文档版本12(2021-03-22)版权所有华为技术有限公司22步骤7下载Agent.
每个Agent都有唯一的AgentID,是Agent连接数据库安全审计实例的重要密钥.
重新添加Agent后,必须重新下载和安装Agent.
步骤8安装Agent(Linux操作系统)或安装Agent(Windows操作系统).
----结束4.
15如何安装Agent(Linux操作系统)安装Agent后,你才能开启数据库安全审计功能,对待审计的数据库进行审计.
本节介绍如何在Linux系统上安装Agent.
前提条件已成功购买数据库安全审计实例,且实例的状态为"运行中".
数据库已成功添加Agent.
已获取Linux操作系统Agent安装包.
安装Agent节点的运行系统满足Linux系统版本要求.
有关Linux系统版本的要求,请参见Agent可以安装在哪些Linux操作系统上.
安装Agent请您根据数据库类型以及数据库的部署环境,在相应节点上安装Agent.
步骤1将下载的Agent安装包"xxx.
tar"上传到待安装Agent的节点(例如使用WinSCP工具).
步骤2使用跨平台远程访问工具(例如PuTTY)以root用户通过SSH方式,登录该节点.
步骤3执行以下命令,进入Agent安装包"xxx.
tar"所在目录.
cdAgent安装包所在目录步骤4执行以下命令,解压缩"xxx.
tar"安装包.
tar-xvfxxx.
tar步骤5执行以下命令,进入解压后的目录.
cd解压后的目录步骤6执行以下命令,查看是否有安装脚本"install.
sh"的执行权限.
ll如果有安装脚本的执行权限,请执行步骤7.
如果没有安装脚本的执行权限,请执行以下操作:a.
执行以下命令,添加安装脚本执行权限.
chmod+xinstall.
shb.
确认有安装脚本执行权限后,请执行步骤7.
步骤7执行以下命令,安装Agent.
数据库安全服务常见问题4Agent相关文档版本12(2021-03-22)版权所有华为技术有限公司23shinstall.
sh如果界面回显以下信息,说明安装成功.
否则,说明Agent安装失败.
startagentstartingauditagentauditagentstartedstartsuccessinstalldbssauditagentdone!
须知如果Agent安装失败,请您确认安装节点的运行系统是否满足Linux操作系统要求,并重新安装Agent.
步骤8执行以下命令,查看Agent程序的运行状态.
serviceaudit_agentstatus如果界面回显以下信息,说明Agent程序运行正常.
auditagentisrunning.
----结束4.
16如何安装Agent(Windows操作系统)安全组规则添加完成后,您还需要下载Agent,并根据Agent的添加方式在数据库端或应用端安装Agent,将添加的数据库连接到数据库安全审计实例,才能开启数据库安全审计功能.
安装Agent后,你才能开启数据库安全审计功能,对待审计的数据库进行审计.
本节介绍如何在Windows操作系统上安装Agent.
前提条件数据库已成功添加Agent.
已获取Windows操作系统Agent安装包.
安装Agent节点的运行系统满足Windows系统版本要求.
安装Agent步骤1在Windows主机安装"Npcap"软件.
如果该Windows主机已安装"Npcap",请执行步骤2.
如果该Windows主机未安装"Npcap",请执行以下步骤:a.
请前往https://nmap.
org/npcap/下载Npcap最新软件安装包.
数据库安全服务常见问题4Agent相关文档版本12(2021-03-22)版权所有华为技术有限公司24图4-13下载npcapb.
将下载好的npcap-xxxx.
exe软件安装包上传至需要安装agent的虚拟机.
c.
双击npcap软件安装包.
d.
在弹出的对话框中,单击"IAgree",如图4-14所示.
图4-14同意安装"Npcap"e.
在弹出的对话框中,单击"Install",不勾选安装选项,如图4-15所示.
数据库安全服务常见问题4Agent相关文档版本12(2021-03-22)版权所有华为技术有限公司25图4-15安装"Npcap"f.
在弹出的对话框中,单击"Next".
g.
单击"Finish",完成安装.
数据库安全服务常见问题4Agent相关文档版本12(2021-03-22)版权所有华为技术有限公司26步骤2以"Administrator"用户登录到Windows主机.
步骤3将下载的Agent安装包"xxx.
zip"复制到该主机任意一个目录下.
步骤4进入Agent安装包所在目录,并解压缩安装包.
步骤5进入解压后的文件夹,双击"install.
bat"执行文件.
步骤6安装成功,界面如图4-16所示,按任意键结束安装.
图4-16Agent安装成功步骤7安装完成后,在Windows任务管理器中查看"dbss_audit_agent"进程.
数据库安全服务常见问题4Agent相关文档版本12(2021-03-22)版权所有华为技术有限公司27如果进程不存在,说明Agent安装失败,请尝试重新安装Agent.
----结束4.
17如何处理Agent与数据库安全审计实例之间通信异常故障现象在数据库端或应用端安装Agent后,在数据库上输入SQL语句,SQL语句列表中未显示该SQL语句.
建议您按照本章节的操作步骤进行处理:检查添加的数据库信息以及审计状态检查数据库安全审计实例的安全组规则检查安装节点的Agent程序运行状态检查添加的数据库信息以及审计状态步骤1登录管理控制台.
步骤2在页面上方选择"区域"后,单击,选择"安全>数据库安全服务",进入数据库安全审计"总览"界面.
步骤3在左侧导航树中,选择"数据库列表",进入数据库列表界面.
步骤4在"选择实例"下拉列表框中,选择需要排查的数据库所属的实例.
步骤5检查待审计的数据库信息,如图4-17所示.
图4-17查看待审计的数据库信息如果数据库信息正确,请执行步骤6.
如果数据库信息错误,请先单击"删除",删除该数据库,再单击"添加数据库",重新添加数据库.
–如果问题已解决,结束操作.
–如果问题仍存在,请执行步骤6.
步骤6检查待审计的数据库的审计状态,如图4-18所示.
图4-18查看待审计的审计状态数据库安全服务常见问题4Agent相关文档版本12(2021-03-22)版权所有华为技术有限公司28如果"审计状态"为"已开启",请执行检查数据库安全审计实例的安全组规则.
如果"审计状态"为"已关闭",请单击"开启",开启数据库审计.
–如果问题已解决,结束操作.
–如果问题仍存在,请执行检查数据库安全审计实例的安全组规则.
----结束检查数据库安全审计实例的安全组规则步骤1单击数据库左侧的展开Agent的详细信息,并记录"安装节点IP",如图4-19所示.
图4-19记录安装节点IP信息步骤2在数据库列表的上方,单击"添加安全组".
步骤3在弹出的弹框中,记录数据库安全审计实例的"安全组名称"(例如default),如图4-20所示.
图4-20添加安全组规则步骤4单击"前往处理",进入"安全组"列表界面.
步骤5在列表右上方的搜索框中输入安全组"default"后,单击或按"Enter",列表显示"default"安全组信息.
步骤6单击"default",进入"入方向规则"页面.
步骤7检查"default"安全组的入方向规则.
请检查该安全组的入方向规则是否已为步骤1中的安装节点IP配置了TCP协议(端口为8000)和UDP协议(端口为7000-7100)规则.
数据库安全服务常见问题4Agent相关文档版本12(2021-03-22)版权所有华为技术有限公司29如果该安全组已配置入方向规则,请执行检查安装节点的Agent程序运行状态.
如果该安全组未配置入方向规则,请执行步骤8.
步骤8添加数据库安全审计实例安全组的入方向规则.
1.
单击"添加规则",如图4-21所示.
图4-21添加规则2.
在"添加入方向规则"对话框中,为步骤1中安装节点IP添加TCP协议(端口为8000)和UDP协议(端口为7000-7100)规则,如图4-22所示.
图4-22"添加入方向规则"对话框3.
单击"确定".
–如果问题已解决,结束操作.
–如果问题仍存在,请执行检查安装节点的Agent程序运行状态.
----结束检查安装节点的Agent程序运行状态Linux操作系统a.
使用跨平台远程访问工具(例如PuTTY)以root用户通过SSH方式,登录Agent的安装节点.
b.
执行以下命令,查看Agent程序的运行状态.
serviceaudit_agentstatus如果界面回显以下信息,说明Agent程序运行正常,请执行效果验证.
auditagentisrunning.
如果界面无回显信息,说明Agent程序运行异常,请执行以下命令,重新启动Agent后,再执行效果验证.
serviceaudit_agentrestart数据库安全服务常见问题4Agent相关文档版本12(2021-03-22)版权所有华为技术有限公司30Windows操作系统a.
打开任务管理器.
b.
查看"dbss_audit_agent"进程运行状态.
如果进程正在运行,请执行效果验证.
如果进程停止,请进入Agent安装文件的目录,双击"start.
bat"执行文件,开启审计进程后,再执行效果验证.
效果验证在数据库中输入一条SQL语句后,在SQL语句列表页面搜索执行的语句.
如果可以搜索到输入的SQL语句信息,说明问题已解决.
如果不能搜索到输入的SQL语句信息,说明问题仍存在,请联系技术支持.
4.
18Agent运行时会消耗安装节点多少资源Agent在运行时会消耗一定的系统资源(CPU不超过5%,内存不超过300MB),并有以下两个监控措施:监控系统整体的CPU和内存.
当CPU或内存超过设定的阈值(默认80%),Agent将停止运行,不进行流量获取.
监控Agent进程本身的CPU和内存.
数据库安全服务常见问题4Agent相关文档版本12(2021-03-22)版权所有华为技术有限公司315操作类5.
1如何配置数据库安全审计购买数据库安全审计实例后,您需要将待审计的数据库添加到数据库安全审计实例中,并在数据库端、应用端或代理端安装Agent.
当待审计的数据库连接到数据库安全审计实例后,数据库安全审计才能对待审计的数据库进行审计.
数据库安全审计的配置操作流程如图5-1所示.
图5-1数据库安全审计配置流程图数据库安全服务常见问题5操作类文档版本12(2021-03-22)版权所有华为技术有限公司325.
2如何关闭数据库SSL数据库开启SSL时,将不能使用数据库安全审计功能.
如果您需要使用数据库安全审计功能,请关闭数据库的SSL.
以MySQL数据库自带的客户端为例说明,操作步骤如下:步骤1使用MySQL数据库自带的客户端,以root用户登录MySQL数据库.
步骤2执行以下命令,查看MySQL数据库连接的方式.
\s如果界面回显类似以下信息,说明MySQL数据库已关闭SSL.
SSL:Notinuse如果界面回显类似以下信息,说明MySQL数据库已开启SSL,请执行步骤3.
SSL:CipherinuseisXXX-XXX-XXXXXX-XXX步骤3以SSL模式登录MySQL数据库.
1.
执行以下命令,退出MySQL数据库.
exit2.
以root用户重新登录MySQL数据库.
在登录命令后添加以下参数:--ssl-mode=DISABLED或--ssl=0须知以SSL模式登录MySQL数据库,只能关闭本次SSL.
当需要使用数据库安全审计功能时,请以本步骤登录MySQL数据库.
3.
执行以下命令,查看MySQL数据库连接的方式.
\s如果界面回显类似以下信息,说明MySQL数据库已关闭SSL.
SSL:Notinuse----结束5.
3如何设置数据库安全审计的INSERT审计策略在添加风险操作时,您可以添加INSERT审计策略,如图5-2所示.
数据库安全服务常见问题5操作类文档版本12(2021-03-22)版权所有华为技术有限公司33图5-2添加INSERT审计策略5.
4如何验证已完成数据库安全审计配置开启数据库安全审计功能后,请参考以下操作步骤验证已正确配置数据库安全审计.
步骤1在安装Agent的节点输入一条SQL语句(例如"showdatabases").
步骤2登录管理控制台.
步骤3在页面上方选择"区域"后,单击,选择"安全>数据库安全服务",进入数据库安全审计"总览"界面.
步骤4在"选择实例"下拉列表框中,选择需要查看SQL语句信息的实例.
步骤5选择"语句"页签.
步骤6在"时间"所在行右侧,单击,选择开始时间和结束时间,单击"提交",SQL语句列表将显示步骤1输入的SQL语句,如图5-3所示.
图5-3查看SQL语句如果SQL语句列表中显示输入的SQL语句,说明已正确配置数据库安全审计.
如果SQL语句列表中未显示输入的SQL语句,说明数据库安全审计功能无法使用,请按以下方法处理:–关闭数据库的SSL.
数据库开启SSL时,将不能使用数据库安全审计功能.
请参照如何关闭数据库SSL章节关闭数据库SSL.
–请参照Agent与数据库安全审计实例之间通信异常章节排查处理.
----结束5.
5如何对所有数据库设置数据库安全审计规则数据库安全审计默认提供一条"全审计规则"的审计范围,可以审计连接数据库安全审计实例的所有数据库.
该审计规则默认开启,您只能禁用或启用该审计规则.
在添加风险操作时,您也可以将添加的风险操作应用到连接数据库审计实例的所有数据库,如图5-4所示.
数据库安全服务常见问题5操作类文档版本12(2021-03-22)版权所有华为技术有限公司34图5-4风险操作应用到连接到实例的所有数据库5.
6如何查看数据库安全审计的版本信息请参照以下操作步骤查看数据库安全审计的版本信息.
步骤1登录管理控制台.
步骤2在页面上方选择"区域"后,单击,选择"安全>数据库安全服务",进入数据库安全审计"总览"界面.
步骤3在左侧导航树中,选择"实例列表",进入"实例列表"界面.
步骤4单击需要查看信息的实例名称,进入实例概览页面.
步骤5查看实例版本信息,如图5-5所示.
图5-5查看实例版本信息----结束5.
7如何查看数据库安全审计所有的告警信息请参照以下操作步骤查看数据库安全审计的告警信息.
步骤1登录管理控制台.
步骤2在页面上方选择"区域"后,单击,选择"安全>数据库安全服务",进入数据库安全审计"总览"界面.
数据库安全服务常见问题5操作类文档版本12(2021-03-22)版权所有华为技术有限公司35步骤3在左侧导航树中,选择"实例列表",进入"实例列表"界面.
步骤4单击需要查看告警信息的实例名称,选择"监控>告警监控",进入告警监控页面.
步骤5查看告警信息,如图5-6所示.
图5-6查看告警信息您可以按照以下方法,查询指定的告警信息.
选择"时间"("全部"、"近30分钟"、"近1小时"、"近24小时"、"近7天"或"近30天"),或单击,选择开始时间和结束时间,单击"确认",列表显示该时间段的告警信息.
选择"风险等级"("全部"、"高"、"中"或"低"),列表显示该级别的告警信息.
选择"告警类型",列表显示该类型的告警信息.
----结束5.
8PC通过内网访问RDS(即应用端在云下)时,如何使用数据库安全审计当PC通过专线内网访问RDS时,您可以将Agent安装到代理端(例如,云堡垒机).
此时,PC通过代理端访问数据库,数据库安全审计只能审计代理与后端数据库之间的访问记录,无法审计应用端与后端数据库的访问记录.
有关Agent安装节点的详细介绍,请参见如何选择数据库安全审计的Agent安装节点.
数据库安全服务常见问题5操作类文档版本12(2021-03-22)版权所有华为技术有限公司366故障排查6.
1数据库安全审计运行正常但无审计记录故障现象数据库安全审计实例功能正常,当触发数据库流量后,在SQL语句列表页面搜索执行的语句,不能搜索到相关的审计信息.
可能原因数据库已开启SSL.
数据库SQLSERVER协议已开启强行加密.
说明数据库开启SSL时,将不能使用数据库安全审计功能.
数据库开启强行加密,数据库安全审计将无法获取文件内容进行分析.
关闭数据库SSL以MySQL数据库自带的客户端为例说明,操作步骤如下:步骤1使用MySQL数据库自带的客户端,以root用户登录MySQL数据库.
步骤2执行以下命令,查看MySQL数据库连接的方式.
\s如果界面回显类似以下信息,说明MySQL数据库已关闭SSL,请执行步骤4.
SSL:Notinuse如果界面回显类似以下信息,说明MySQL数据库已开启SSL,请执行步骤3.
SSL:CipherinuseisXXX-XXX-XXXXXX-XXX步骤3以SSL模式登录MySQL数据库.
1.
执行以下命令,退出MySQL数据库.
exit2.
以root用户重新登录MySQL数据库.
数据库安全服务常见问题6故障排查文档版本12(2021-03-22)版权所有华为技术有限公司37在登录命令后添加以下参数:--ssl-mode=DISABLED或--ssl=0须知以SSL模式登录MySQL数据库,只能关闭本次SSL.
当需要使用数据库安全审计功能时,请以步骤3.
2方式登录MySQL数据库.
3.
执行以下命令,查看MySQL数据库连接的方式.
\s如果界面回显类似以下信息,说明MySQL数据库已关闭SSL.
请执行步骤4.
SSL:Notinuse步骤4输入一条SQL语句后,在SQL语句列表页面搜索执行的语句.
搜索SQL语句的详细操作,请参见查看SQL语句详细信息.
如果可以搜索到输入的SQL语句信息,说明问题已解决.
如果不能搜索到输入的SQL语句信息,说明问题仍存在,请执行关闭SQLSERVER协议的强行加密.
----结束关闭SQLSERVER协议的强行加密步骤1打开SQLServerConfigurationManager配置管理器.
步骤2选择"SQLServer网络配置".
步骤3右键单击"MSSQLSERVER的协议",选择"属性".
步骤4在弹出的弹框中,选择"标志"页签,关闭数据库的强行加密.
步骤5重启SQLServer服务,使得修改的配置生效.
步骤6输入一条SQL语句后,在SQL语句列表页面搜索执行的语句.
搜索SQL语句的详细操作,请参见查看SQL语句详细信息.
如果可以搜索到输入的SQL语句信息,说明问题已解决.
如果不能搜索到输入的SQL语句信息,说明问题仍存在,请联系技术支持.
----结束6.
2无法使用数据库安全审计问题现象触发数据库流量后,在SQL语句列表页面搜索执行的语句,不能搜索到相关的审计信息.
数据库安全服务常见问题6故障排查文档版本12(2021-03-22)版权所有华为技术有限公司38建议您按照本章节的操作步骤排查无法审计SQL语句的原因并进行修改.
检查数据库信息是否正确以及数据库的审计是否已开启检查审计范围中对应数据库是否已启用检查数据库的Agent程序运行状态检查数据库安全审计实例安全组规则是否开放检查数据库信息是否正确以及数据库的审计是否已开启步骤1登录管理控制台.
步骤2在页面上方选择"区域"后,单击,选择"安全>数据库安全服务",进入数据库安全审计"总览"界面.
步骤3在左侧导航树中,选择"数据库列表",进入数据库列表页面.
步骤4在"实例列表"下拉列表框中选择数据库所在的实例.
步骤5查看数据库信息,如图6-1所示.
图6-1查看待审计数据库的信息步骤6检查数据库信息是否正确.
如果数据库信息正确,请执行步骤7.
如果数据库信息错误,请先单击"删除",删除该数据库,再单击"添加数据库",重新添加该数据库.
–如果问题已解决,结束操作.
–如果问题仍存在,请执行步骤7.
步骤7检查数据库的审计是否已开启.
如果"审计状态"为"已开启",请执行检查审计范围中对应数据库是否已启用.
如果"审计状态"为"已关闭",请单击"开启",开启数据库审计.
–如果问题已解决,结束操作.
–如果问题仍存在,请执行检查审计范围中对应数据库是否已启用.
----结束检查审计范围中对应数据库是否已启用在左侧导航树中,选择"数据库安全审计>审计规则",进入审计范围列表页面,如图6-2所示.
数据库安全服务常见问题6故障排查文档版本12(2021-03-22)版权所有华为技术有限公司39图6-2审计范围信息如果"状态"为"已启用",请执行检查数据库的Agent程序运行状态.
如果"状态"为"已禁用",请单击"启用",启用数据库对应的审计范围规则.
–如果问题已解决,结束操作.
–如果问题仍存在,请执行检查数据库的Agent程序运行状态.
检查数据库的Agent程序运行状态步骤1使用跨平台远程访问工具(例如PuTTY)以root用户通过SSH方式,登录Agent的安装节点.
步骤2执行以下命令,查看Agent程序的运行状态.
ps-ef|grepaudit_agent如果界面回显以下信息,说明Agent程序运行正常,请执行步骤4.
/opt/dbss_audit_agent/bin/audit_agent如果界面无回显信息,说明Agent程序运行异常,请执行步骤3.
步骤3执行以下命令,重新启动Agent.
serviceaudit_agentrestart如果问题已解决,结束操作.
如果问题仍存在,请执行步骤4.
步骤4执行以下命令,检查Agent与数据库安全审计实例之间的通信状态.
tailf/opt/dbss_audit_agent/log/audit_agent.
log如果界面回显类似以下信息,说明Agent与数据库安全审计实例之间通信正常,请执行效果验证.
图6-3通信正常如果界面回显类似以下信息,说明Agent与数据库安全审计实例之间通信异常,请检查数据库安全审计实例安全组规则是否开放.
数据库安全服务常见问题6故障排查文档版本12(2021-03-22)版权所有华为技术有限公司40图6-4通信异常----结束检查数据库安全审计实例安全组规则是否开放步骤1进入数据库安全服务管理界面.
步骤2在左侧导航树中,选择"数据库安全审计>数据库列表",进入数据库列表页面.
步骤3在"实例列表"下拉列表框中选择数据库所在的实例.
步骤4记录Agent安装节点IP信息.
单击数据库左侧的展开Agent的详细信息,并记录"安装节点IP",如图6-5所示.
图6-5安装节点IP步骤5在数据库列表的上方,单击"添加安全组".
步骤6在弹出的弹框中,记录数据库审计实例的"安全组名称"(例如default),如图6-6所示.
图6-6添加安全组规则步骤7单击"前往处理",进入"安全组"列表界面.
数据库安全服务常见问题6故障排查文档版本12(2021-03-22)版权所有华为技术有限公司41步骤8在列表右上方的搜索框中输入安全组"default"后,单击或按"Enter",列表显示"default"安全组信息.
步骤9单击"default",进入"入方向规则"页面.
步骤10检查安全组的入方向规则.
请检查该安全组的入方向规则是否已为图6-5中的安装节点IP配置了TCP协议(端口为8000)和UDP协议(端口为7000-7100)规则.
如果该安全组已配置安装节点的入方向规则,请执行效果验证.
如果该安全组未配置安装节点的入方向规则,请执行步骤11.
步骤11为安装节点添加入方向安全规则.
1.
在入方向规则页面,单击"添加规则",如图6-7所示.
图6-7添加规则-02.
在"添加入方向规则"对话框中,为图6-5中的安装节点IP添加TCP协议(端口为8000)和UDP协议(端口为7000-7100)规则,如图6-8所示.
图6-8添加入方向规则3.
单击"确定",完成添加入方向规则.
----结束效果验证在数据库中输入一条SQL语句后,在SQL语句列表页面搜索执行的语句.
如果可以搜索到输入的SQL语句信息,说明问题已解决.
如果不能搜索到输入的SQL语句信息,说明问题仍存在,请联系技术支持.
数据库安全服务常见问题6故障排查文档版本12(2021-03-22)版权所有华为技术有限公司427日志类7.
1数据库安全审计的操作日志是否可以迁移不可以.
数据库安全审计当前不支持迁移数据库操作日志.
您可以查看数据库安全审计的操作日志,有关查看数据库安全审计操作日志的详细操作,请参见数据库安全审计的操作日志默认保存多久.
7.
2数据库安全审计的操作日志默认保存多久数据库安全审计的操作日志会一直保存.
7.
3如何查看数据库安全审计的用户操作日志请参照以下操作步骤,查看用户在数据库安全审计系统的操作日志.
步骤1登录管理控制台.
步骤2在页面上方选择"区域"后,单击,选择"安全>数据库安全服务",进入数据库安全审计"总览"界面.
步骤3在左侧导航树中,选择"实例列表".
步骤4单击需要查看操作日志的实例名称,进入实例概览页面.
步骤5选择"操作日志"页签,进入操作日志列表页面.
步骤6查看操作日志,如图7-1所示,相关参数说明如表7-1所示.
图7-1查看操作日志数据库安全服务常见问题7日志类文档版本12(2021-03-22)版权所有华为技术有限公司43说明选择时间("近30分钟"、"近1小时"、"近24小时"、"近7天"或"近30天");或者单击,选择开始时间和结束时间,列表显示指定时间段的操作日志.
表7-1操作日志参数说明参数名称说明用户名执行操作的用户.
发生时间执行操作的时间.
功能执行的功能操作.
动作执行功能操作的动作.
操作对象执行操作的对象.
描述执行操作的描述信息.
结果执行操作的结果.
----结束7.
4数据库安全审计的日志处理机制是什么数据库安全审计的审计日志存放在日志数据库中,日志的处理机制说明如下:当日志数据库的磁盘空间使用率达到85%及以上时,系统将自动循环删除存放时间最久的审计日志(每次删除一天的审计日志),直至磁盘空间使用率为85%以下.
当日志数据库的磁盘空间使用率达到90%及以上时,数据库安全审计将停止审计功能,系统将不保存新生成的审计日志.
7.
5数据库安全审计的审计日志是否支持备份数据库安全审计支持手动和自动两种备份方式.
备份日志后,审计日志将备份到对象存储服务上,并自动为您创建桶,桶按用量需要单独收费.
请参照以下操作步骤,自动备份或手动备份审计日志.
须知手动备份数据库审计日志会备份所有的日志,当您的日志量过大时,建议您使用自动备份.
自动备份周期建议按天自动备份.
自动备份数据库审计日志步骤1登录管理控制台.
数据库安全服务常见问题7日志类文档版本12(2021-03-22)版权所有华为技术有限公司44步骤2在页面上方选择"区域"后,单击,选择"安全>数据库安全服务",进入数据库安全审计"总览"界面.
步骤3在左侧导航树中,选择"设置".
步骤4在"选择实例"下拉列表框中,选择需要设置备份的实例,选择"备份与恢复"页签.
步骤5单击"设置自动备份",在弹出的对话框中,设置自动备份参数,如图7-2所示,相关参数说明如表7-2所示.
图7-2"设置自动备份"对话框表7-2自动备份参数说明参数名称说明取值样例自动备份开启或关闭自动备份.
:开启:关闭备份周期选择自动备份的周期,可以选择:每天每周每月每天开始时间单击,选择开始备份的时间.
2020/01/1420:27:08数据库安全服务常见问题7日志类文档版本12(2021-03-22)版权所有华为技术有限公司45参数名称说明取值样例预计下次备份时间预计下次自动备份开始时间.
2020/01/1520:21:29AccessKeyID(AK)输入访问密钥的AK.
-SecretAccessKey(SK)输入访问密钥的SK.
-步骤6单击"确定".
----结束手动备份数据库审计日志步骤1登录管理控制台.
步骤2在页面上方选择"区域"后,单击,选择"安全>数据库安全服务",进入数据库安全审计"总览"界面.
步骤3在左侧导航树中,选择"设置".
步骤4在"选择实例"下拉列表框中,选择需要设置备份的实例,选择"备份与恢复"页签.
步骤5单击"手动备份",在弹出的对话框中,选择"备份范围"并设置访问密钥的AK和SK,如图7-3所示.
图7-3"手动备份"对话框步骤6单击"确定".
----结束数据库安全服务常见问题7日志类文档版本12(2021-03-22)版权所有华为技术有限公司467.
6数据库安全审计的审计日志支持直接转存OBS吗不支持.
数据库安全审计的审计日志是存放在日志数据库中的.
若您需要将日志保存于对象存储服务(OBS),请登录数据库安全服务控制台,设置备份审计日志.
备份数据库审计日志的详细操作步骤,请参见备份数据库审计日志.
数据库安全审计支持手动备份和自动备份两种模式.
自动备份支持"每天"、"每周"、"每月"三种备份周期备份审计日志.
手动备份支持"备份最近24小时日志"、"最近7天日志"、"最近30天日志"和"全部日志"四种备份范围.
当您的日志量比较大时,建议您按每天来自动备份日志.
日志备份到OBS,服务会自动为您创建桶.
桶按照存储量收费.
有关OBS的计费详情,请参见价格详情.
数据库安全服务常见问题7日志类文档版本12(2021-03-22)版权所有华为技术有限公司47A修订记录发布日期修改说明2021-03-22第十二次正式发布.
新增Agent运行时会消耗安装节点多少资源如何配置数据库安全审计,优化相关内容描述.
数据库安全审计运行正常但无审计记录,新增关闭SQLSERVER协议的强行加密Section.
2021-01-19第十一次正式发布.
新增数据库安全审计的审计日志支持直接转存OBS吗.
2020-12-18第十次正式发布.
如何处理Agent与数据库安全审计实例之间通信异常,优化添加入方向安全组规则.
无法使用数据库安全审计,优化添加入方向安全组规则.
2020-05-20第九次正式发布.
数据库安全审计的审计数据可以保存多久,优化相关内容描述.
2020-04-22第八次正式发布.
数据库安全审计的Agent可以安装在哪些Linux操作系统上,新增Agent支持CentOS7.
6(64bit)版本.
2020-03-16第七次正式发布.
调整了文档大纲.
如何修改Agent的CPU和内存的阈值如何安装Agent(Linux操作系统)如何安装Agent(Windows操作系统)如何处理Agent与数据库安全审计实例之间通信异常2020-02-24第六次正式发布.
新增数据库安全审计Windows相关描述.
数据库安全服务常见问题A修订记录文档版本12(2021-03-22)版权所有华为技术有限公司48发布日期修改说明2019-12-23第五次正式发布.
补充支持IPv6相关内容描述.
2019-12-03第四次正式发布.
新增数据库安全审计服务内容.
删除数据库安全防护服务内容.
2019-08-26第三次正式发布.
新增什么是区域、可用区.
2019-01-15第二次正式发布.
调整文档大纲,优化内容描述.
2018-05-31第一次正式发布.
数据库安全服务常见问题A修订记录文档版本12(2021-03-22)版权所有华为技术有限公司49
BGPTO是一家成立于2017年的国人主机商,从商家背景上是国内的K总和有其他投资者共同创办的商家,主营是独立服务器业务。数据中心包括美国洛杉矶Cera、新加坡、日本大阪和香港数据中心的服务器。商家对所销售服务器产品拥有自主硬件和IP资源,支持Linux和Windows。这个月,有看到商家BGPTO日本和新加坡机房独服正进行优惠促销,折扣最低65折。第一、商家机房优惠券码这次商家的活动机房是新加坡...
LOCVPS怎么样?LOCVPS是一家成立于2011年的稳定老牌国人商家,目前提供中国香港、韩国、美国、日本、新加坡、德国、荷兰等区域VPS服务器,所有机房Ping延迟低,国内速度优秀,非常适合建站和远程办公,所有机房Ping延迟低,国内速度优秀,非常适合做站。XEN架构产品的特点是小带宽无限流量、不超售!KVM架构是目前比较流行的虚拟化技术,大带宽,生态发展比较全面!所有大家可以根据自己业务需求...
提速啦的来历提速啦是 网站 本着“良心 便宜 稳定”的初衷 为小白用户避免被坑 由赣州王成璟网络科技有限公司旗下赣州提速啦网络科技有限公司运营 投资1000万人民币 在美国Cera 香港CTG 香港Cera 国内 杭州 宿迁 浙江 赣州 南昌 大连 辽宁 扬州 等地区建立数据中心 正规持有IDC ISP CDN 云牌照 公司。公司购买产品支持3天内退款 超过3天步退款政策。提速啦的市场定位提速啦主...
postgresql9.0为你推荐
h连锁酒店连锁酒店有哪些商标注册流程及费用注册商标的流程是什么,大概需要多少费用?22zizi.comwww 地址 didi22怎么打不开了,还有好看的吗>com原代码什么是原代码lunwenjiance知网论文检测查重系统同一服务器网站同一服务器上的域名/网址无法访问se95se.comwww.sea8.com这个网站是用什么做的 需要多少钱lcoc.top服装英语中double topstitches什么意思yinrentangweichentang万艾可正品的作用真的不错吗www.884tt.com刚才找了个下电影的网站www.ttgame8.com,不过好多电影怎么都不能用QQ旋风或者是迅雷下在呢?
子域名查询 美国独立服务器 flashfxp怎么用 美国主机评论 mach5 realvnc evssl证书 php免费空间 发包服务器 ftp免费空间 防cc攻击 杭州电信宽带优惠 免费个人网页 电信主机托管 websitepanel 美国代理服务器 magento主机 2016黑色星期五 超低价 shuangshiyi 更多