- 最新动态
- 功能总览
- 产品介绍
- 计费说明
- 快速入门
- 用户指南
- 最佳实践
- API参考
-
常见问题
- 产品咨询类
- 购买类
-
功能类
- 数据库安全审计可以跨可用区使用吗?
- 数据库安全审计(旁路模式)是否会影响业务?
- 数据库安全审计支持多个账号共享使用吗?
- 数据库安全审计可以应用于哪些场景?
- 支持的数据库类型
- 数据库安全审计支持数据库部署在哪些操作系统上?
- 数据库安全审计支持双向审计吗?
- 数据库安全审计可以审计不同VPC的数据库吗?
- 数据库安全审计支持TLS连接的应用吗?
- 数据库安全审计的审计数据可以保存多久?
- 数据库安全审计发生异常,多长时间用户可以收到告警通知?
- 每天发送告警总条数与每天收到的邮件数是相同的吗?
- 为什么不能在线预览数据库安全审计报表?
- 在业务侧使用中间件会影响数据库安全审计功能吗?
- DBSS服务能否对第三方工具执行的SQL语句进行捕捉?
- DBSS服务是否支持线下部署?
- 数据库安全服务实例所属VPC是否可以更改?
- 如何对接DBSS服务审计的数据?
- 云服务首页提示DBSS服务预测容量不足如何处理?
-
Agent相关
- 数据库安全审计的Agent提供哪些功能?
- 数据库安全审计的Agent可以安装在哪些Windows操作系统上?
- 数据库安全审计的Agent可以安装在哪些Linux操作系统上?
- 数据库安全审计Agent的进程名称是什么?
- (Linux操作系统)安装Agent时没有安装脚本执行权限,如何处理?
- (Linux操作系统)数据库安全审计Agent客户端日志保存在哪里?
- 添加Agent时,在什么场景下需要选择“选择已有Agent”添加方式?
- 当数据库安全审计Agent的运行状态为“休眠中”时,如何处理?
- 待审计的RDS如果连接了多台ECS,如何部署Agent?
- 如何选择数据库安全审计的Agent安装节点?
- 如何运行数据库安全审计Agent程序?
- 如何查看数据库安全审计Agent的运行状态?
- 如何下载数据库安全审计的Agent?
- 如何卸载数据库安全审计Agent程序?
- 如何修改Agent的CPU和内存的阈值?
- 如何安装Agent(Linux操作系统)?
- 如何安装Agent(Windows操作系统)?
- 如何处理Agent与数据库安全审计实例之间通信异常?
- Agent运行时会消耗安装节点多少资源?
- Agent安装失败如何处理?
- Agent安装报错“unsupport this Linux version, please check your Linux version with install document!”如何解决?
- 操作类
- 故障排查
- 日志类
- 修订记录
- 产品术语
-
更多文档
-
用户指南(阿布扎比区域)
- 产品介绍
- 流程指引
- 申请数据库安全审计实例
- 步骤一:添加数据库
- 步骤二:添加Agent
- 步骤三:下载并安装Agent
- 步骤四:添加安全组规则
- 步骤五:开启数据库安全审计
- 添加审计范围
- 启用或禁用SQL注入检测
- 添加风险操作
- 配置隐私数据保护规则
- 查看SQL语句详细信息
- 查看会话分布
- 查看审计总览信息
- 查看审计报表
- 设置告警通知
- 查看系统监控信息
- 查看告警信息
- 管理数据库安全审计实例
- 查看实例概览信息
- 管理添加的数据库和Agent
- 卸载Agent
- 管理审计范围
- 查看SQL注入检测信息
- 管理风险操作
- 管理隐私数据保护规则
- 管理审计报表
- 管理备份的审计日志
- 查看操作日志
- 如何查看云审计日志
- 云审计服务支持的DBSS操作列表
-
常见问题
- 功能类
-
Agent相关
- 数据库安全审计的Agent提供哪些功能?
- 数据库安全审计的Agent可以安装在哪些Windows操作系统上?
- 数据库安全审计的Agent可以安装在哪些Linux操作系统上?
- 数据库安全审计Agent的进程名称是什么?
- (Linux操作系统)安装Agent时没有安装脚本执行权限,如何处理?
- (Linux操作系统)数据库安全审计Agent客户端日志保存在哪里?
- 添加Agent时,在什么场景下需要选择“选择已有Agent”添加方式?
- 当数据库安全审计Agent的运行状态为“休眠中”时,如何处理?
- 如何选择数据库安全审计的Agent安装节点?
- 如何下载数据库安全审计的Agent?
- 如何卸载数据库安全审计Agent程序?
- 如何处理Agent与数据库安全审计实例之间通信异常?
- 操作类
- 故障排查
- 日志类
- 用户指南(吉隆坡区域)
-
用户指南(巴黎、阿姆斯特丹)
- 产品介绍
- 开通并使用数据库安全审计(安装Agent)
- 开通并使用数据库安全审计(免安装Agent)
- 添加审计范围
- 启用或禁用SQL注入检测
- 添加风险操作
- 配置隐私数据保护规则
- 查看SQL语句详细信息
- 查看会话分布
- 查看审计总览信息
- 查看审计报表
- 设置告警通知
- 查看系统监控信息
- 查看告警信息
- 管理数据库安全审计实例
- 查看实例概览信息
- 管理添加的数据库和Agent
- 卸载Agent
- 管理审计范围
- 查看SQL注入检测信息
- 管理风险操作
- 管理隐私数据保护规则
- 管理审计报表
- 管理备份的审计日志
- 查看操作日志
- 如何查看云审计日志
- 云审计服务支持的DBSS操作列表
-
常见问题
- 功能类
-
Agent相关
- 数据库安全审计的Agent提供哪些功能?
- 数据库安全审计的Agent可以安装在哪些Linux操作系统上?
- 数据库安全审计Agent的进程名称是什么?
- (Linux操作系统)安装Agent时没有安装脚本执行权限,如何处理?
- (Linux操作系统)数据库安全审计Agent客户端日志保存在哪里?
- 添加Agent时,在什么场景下需要选择“选择已有Agent”添加方式?
- 当数据库安全审计Agent的运行状态为“休眠中”时,如何处理?
- 如何选择数据库安全审计的Agent安装节点?
- 如何下载数据库安全审计的Agent?
- 如何卸载数据库安全审计Agent程序?
- 如何处理Agent与数据库安全审计实例之间通信异常?
- 操作类
- 故障排查
- 日志类
- 修订记录
- API参考 (巴黎、阿姆斯特丹区域)
-
用户指南(阿布扎比区域)
- 通用参考
链接复制成功!
步骤二:添加Agent
将待审计数据库添加至数据库安全审计实例后,您需要根据您在云上实际部署的数据库选择添加Agent的方式以及在应用端或数据库端安装Agent。Agent程序会获取访问数据库流量、将流量数据上传到审计系统、接收审计系统配置命令和上报数据库状态监控数据,帮助您实现对数据库的安全审计。
完成添加Agent后,您还需要为Agent安装节点所在的安全组添加入方向规则TCP协议(8000端口)和UDP协议(7000-7100端口),使Agent与审计实例之间的网络连通,数据库安全审计才能对添加的数据库进行审计。
![](https://support.huaweicloud.com/intl/zh-cn/usermanual-dbss/public_sys-resources/note_3.0-zh-cn.png)
目前仅如下几种类型数据库支持免Agent审计。
- GaussDB for MySQL
- RDS for SQLServer
- RDS for MySQL:
- 5.6(5.6.51.1及以上版本)
- 5.7(5.7.29.2及以上版本)
- 8.0(8.0.20.3及以上版本)
- GaussDB(DWS):8.2.0.100及以上版本
前提条件
- 已成功购买数据库安全审计实例,且实例的状态为“运行中”。
- 已成功添加数据库。
常见场景
请您根据数据库类型以及数据库部署场景,为待审计的数据库添加Agent。数据库常见的部署场景说明如下:
添加Agent方式的详细说明如表1所示。
![](https://support.huaweicloud.com/intl/zh-cn/usermanual-dbss/public_sys-resources/notice_3.0-zh-cn.png)
- 当您的应用和数据库(ECS/BMS自建数据库)都部署在同一个节点上时,Agent需在数据库端添加。
使用场景 |
Agent安装节点 |
审计功能说明 |
注意事项 |
---|---|---|---|
ECS/BMS自建数据库 |
数据库端 |
可以审计所有访问该数据库的应用端的所有访问记录。 |
|
RDS关系型数据库 |
应用端 (应用端部署在云上) |
可以审计该应用端与其连接的所有数据库的访问记录。 |
|
代理端(应用端部署在云下) |
只能审计代理端与后端数据库之间的访问记录,无法审计应用端与后端数据库的访问记录。 |
|
添加Agent(ECS/BMS自建数据库)
- 登录管理控制台。
- 在页面上方选择“区域”后,单击页面左上方的
,选择“安全与合规 > 数据库安全服务”,进入数据库安全审计“总览”界面。
- 在左侧导航树中,选择“数据库列表”,进入数据库列表界面。
- 在“选择实例”下拉列表框中,选择需要添加Agent的数据库所属的实例。
- 在添加的数据库所在行的“Agent”列,单击“添加Agent”。
- 在弹出的“添加Agent”对话框中,选择添加方式,如图5所示,相关参数说明如表2所示。
表2 添加Agent参数说明(ECS/BMS自建数据库) 参数名称
说明
取值样例
添加方式
创建Agent
安装节点类型
当“添加方式”选择“创建Agent”时,需配置该参数。
审计ECS/BMS自建数据库,选择“数据库端”。
数据库端
操作系统
指待审计的数据库的操作系统,支持。
可以选择“LINUX64-X86”“、LINUX64-ARM”或“WINDOWS64”。
说明:根据服务器架构的不同,请根据自身的服务器架构选择LINUX64_X86或者LINUX64_ARM架构版本。
LINUX64-X86
CPU阈值(%)
可选参数。“安装节点类型”选择“应用端”时,可以配置该参数。
指待审计的应用端节点的CPU阈值,缺省值为“80”。
80
内存阈值(%)
可选参数。“安装节点类型”选择“应用端”时,可以配置该参数。
指待审计的应用端节点的内存阈值,缺省值为“80”。
80
- 单击“确定”,Agent添加成功。
- 单击“数据库列表”页面下方的
展开该数据库的详细信息,查看添加的Agent信息。
图6 Agent添加完成Agent添加完成后,请您确认添加的Agent信息正确。如果Agent添加不正确,请您在Agent所在行单击“More”选择“删除”,删除Agent后,再重新添加Agent。
添加Agent(RDS关系型数据库)
![](https://support.huaweicloud.com/intl/zh-cn/usermanual-dbss/public_sys-resources/note_3.0-zh-cn.png)
对于数据库类型为“MYSQL”和“GaussDB(for MySQL)”的RDS关系型数据库,在添加数据库成功后Agent免安装,您可以直接进行步骤四:添加安全组规则。
当某个应用端连接了多个RDS时, 请按以下方式添加Agent:
- 连接该应用端所有的RDS都需要添加Agent。
- 如果连接该应用端的某个数据库已在应用端添加了Agent。其他数据库在添加Agent时,请选择“选择已有Agent”添加方式。
- 登录管理控制台。
- 在页面上方选择“区域”后,单击页面左上方的
,选择“安全与合规 > 数据库安全服务”,进入数据库安全审计“总览”界面。
- 在左侧导航树中,选择“数据库列表”,进入数据库列表界面。
- 在“选择实例”下拉列表框中,选择需要添加Agent的数据库所属的实例。
- 在添加的数据库所在行的“Agent”列,单击“添加Agent”。
- 在弹出的“添加Agent”对话框中,选择添加方式,如图7和图8所示,相关参数说明如表3所示。
- “添加方式”选择“选择已有Agent”
在什么场景下需要选择“选择已有Agent”添加方式的详细介绍,请参见在什么场景下需要选择“选择已有Agent”添加方式?。
- “添加方式”选择“创建Agent”
如果待添加Agent的数据库需要创建Agent,请创建新的Agent。
表3 添加Agent参数说明(RDS关系型数据库) 参数名称
说明
取值样例
添加方式
创建Agent
安装节点类型
当“添加方式”选择“创建Agent”时,需配置该参数。
审计RDS关系型数据库,需要选择“应用端”。
应用端
安装节点IP
“安装节点类型”选择“应用端”时,需配置该参数。安装节点IP只能填写一个,每个Agent安装节点IP不同。
IP地址为应用端内网IP地址。
IP必须为内网IP地址,支持IPv4和IPv6格式。
须知:当审计RDS关系型数据库且应用端在云下时,代理端将作为应用端,此时,“安装节点IP”需要配置为代理端的IP地址。
192.168.1.1
审计网卡名称
可选参数。“安装节点类型”选择“应用端”时,可以配置该参数。
指待审计的应用端节点的网卡名称。
-
CPU阈值(%)
可选参数。“安装节点类型”选择“应用端”时,可以配置该参数。
指待审计的应用端节点的CPU阈值,缺省值为“80”。
须知:当服务器的CPU超过设置的阈值,为了保证您业务的正常运行,Agent将自动关闭,停止运行。
80
内存阈值(%)
可选参数。“安装节点类型”选择“应用端”时,可以配置该参数。
指待审计的应用端节点的内存阈值,缺省值为“80”。
须知:当服务器上的内存超过设置的阈值,为了保证您业务的正常运行,Agent将自动关闭,停止运行。
80
操作系统
可选参数。“安装节点类型”选择“应用端”时,可以配置该参数。
指待审计的应用端节点的操作系统,可以选择“LINUX64”或“WINDOWS64”。
LINUX64
- “添加方式”选择“选择已有Agent”
- 单击“确定”,Agent添加成功。
- 单击“数据库列表”页面下方的
展开该数据库的详细信息,查看添加的Agent信息。
Agent添加完成后,请您确认添加的Agent信息正确。如果Agent添加不正确,请您在Agent所在行单击“More”选择“删除”,删除Agent后,再重新添加Agent。
后续处理
Agent添加完成后,您还需要为数据库安全审计实例所在的安全组添加入方向规则TCP协议(8000端口)和UDP协议(7000-7100端口),使Agent与审计实例之间的网络连通,数据库安全审计才能对添加的数据库进行审计。有关添加安全组规则的详细操作,请参见添加安全组规则。