审计RDS关系型数据库（免安装Agent）

本文档介绍了如何对关系型数据库（应用部署于ECS）进行安全审计。对于部分关系型数据库，DBSS服务支持免安装Agent模式，无需安装Agent，即可开启数据库安全审计。

如果您需要安全审计的数据库类型如表1所示，请参见本节内容。

表1 支持免Agent安装的关系型数据库
数据库类型	支持的版本
GaussDB for MySQL	默认都支持
RDS for SQLServer （华为云审计实例：23.02.27.182148 及其之后的版本支持）	默认都支持
RDS for MySQL	5.6（5.6.51.1及以上版本） 5.7（5.7.29.2及以上版本） 8.0（8.0.20.3及以上版本）
GaussDB(DWS)	8.2.0.100及以上版本
PostgreSQL （华为云审计实例：23.04.17.123301 及其之后的版本支持）须知：当SQL语句大小超过4KB审计时会被截断，会导致审计到的SQL语句不完整。	14（14.4及以上版本） 13（13.6及以上版本） 12（12.10及上版本） 11（11.15及以上版本） 9.6（9.6.24及以上版本） 9.5（9.5.25及以上版本）
RDS for MariaDB	默认都支持

免安装Agent模式配置简单、易操作，但较之安装了Agent的DBSS实例，支持的功能上存在如下差异：
- 统计会话数量时，无法统计成功登录、与失败登录的会话个数。
- 无法获取数据库访问时客户端的端口号。
由于GaussDB(DWS)服务具有日志审计开关的权限控制策略，只有华为云账号或拥有Security Administrator权限的用户才能开启或者关闭DWS数据库审计开关。
GaussDB默认不开启ddl，用户需要需按GaussDB用户手册开启（audit_system_object = 130023423 ）配置，同时该配置页中需保证日期格式为yyyy-MM-dd HH:mm:ss+Z（datastyle=ISO,YMD），操作请参考：GaussDB开发指南。

数据库（GaussDB for MySQL或RDS for MySQL指定版本）将日志传送给DBSS，经过日志数据解析保存至DBSS实例日志库中，进行安全分析、聚合统计、合规分析等操作，实现对数据库的安全审计。

图1 审计RDS关系型数据库（免安装Agent）架构图

本文以GaussDB for MySQL为例，详细信息如表2所示，您需要对该数据库内部违规和不正当操作进行定位追责，满足等保测评数据库审计需求。本节详细介绍该场景下开启数据库安全审计功能和验证审计结果的具体操作。

待审计数据库与数据库安全审计需要在同一区域。

您需要根据您的业务需求购买数据库安全审计规格并配置数据库安全审计参数，详细操作请参见购买数据库安全审计。

购买成功后，您需要先将目标数据库添加至数据库安全审计实例并开启该数据库的审计功能。

登录管理控制台。
在页面上方选择区域后，单击页面左上方的，选择“安全与合规 > 数据库安全服务”，进入数据库安全审计“总览”界面。
在左侧导航树中，选择“数据库列表”，进入数据库列表界面。
在“选择实例”下拉列表框中，选择需要添加数据库的实例，并单击“添加数据库”。
在弹出的对话框中，按表2所示信息填写数据库参数，如图2所示。

图2 添加数据库
单击“确定”，该数据库添加到数据库列表中，且“审计状态”为“已关闭”。

图3 数据库列表
在数据库列表栏，查看“Agent”列的提示信息：
- 如果提示“无需添加agent”，表示该数据库版本支持免安装Agent模式。此时，请直接执行8。
  图4 无需添加Agent
- 如果提示“添加Agent”，表示该数据库版本需安装Agent才能启用安全审计。此时，请单击“添加Agent”，按界面提示操作，具体操作指导请参见审计RDS关系型数据库（安装Agent）。
  图5 添加Agent
在该数据库所在行的“操作”列，单击“开启”，开启审计功能。

图6 开启审计

您可参照本节内容在总览界面查看审计结果信息，同时也可根据需求在报表界面进行设置，生成报表、下载或预览报表。