更新时间:2024-11-01 GMT+08:00
备份和恢复数据库审计日志
数据库安全审计支持将数据库的审计日志备份到OBS桶,实现高可用容灾。您可以根据需要备份或恢复数据库审计日志。
前提条件
- 数据库安全审计实例的状态为“运行中”。
- 请参考开启数据库安全审计成功开启数据库安全审计功能。
注意事项
- 执行备份后,审计日志将备份到对象存储服务上,系统自动为您创建桶,桶将按用量收费。有关对象存储服务的计费详情,请参见价格详情。
- 有关审计日志的保存说明,请参见数据库安全审计的审计数据可以保存多久?。
OBS细粒度授权
DBSS备份和恢复需要OBS授权,没有IAM授权相关权限的用户,需要由有Security Administrator权限的用户手动进行授权。
- 登录管理控制台。
- 在页面上方选择“区域”后,单击页面左上方的
,选择。 - 选择左侧导航树的“权限管理 > 授权”,单击右上角的“创建自定义策略”。
- 填写策略参数。策略名称为“DBSS OBS Agency Access”,策略配置方式选择“JSON视图”。填写策略内容如下:
{ "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "obs:object:PutObjectVersionAcl", "obs:object:PutObjectAcl", "obs:object:GetObjectVersion", "obs:object:GetObject", "obs:object:GetObjectVersionAcl", "obs:bucket:HeadBucket", "obs:object:GetObjectAcl", "obs:bucket:CreateBucket", "obs:bucket:ListBucket", "obs:object:PutObject" ], "Resource": [ "OBS:*:*:object:*", "OBS:*:*:bucket:OBS桶1的名称", "OBS:*:*:bucket:OBS桶2的名称" //可添加多个桶。 ] } ] }如图1所示。配置完成后单击“确定”。
- 选择左侧导航树上的“委托”,单击右上角“创建委托”。
- 填写委托参数。委托名称为“dbss_depend_obs_trust”,委托类型选择“云服务”,云服务选择“DBSS”。如图2所示。
- 单击“下一步”,勾选4中创建的自定义策略,将权限(DBSS OBS Agency Access)添加到委托(dbss_depend_obs_trust)中,如图3所示。单击右下角的“下一步”。
- 授权范围选择“所有资源”,单击右下角的“确定”,显示授权成功如图4所示,单击“完成”后等待15分钟授权生效。
自动备份数据库审计日志
恢复数据库审计日志
数据库审计日志备份成功后,您可以根据需要恢复数据库的审计日志。
日志数据恢复风险较大,在恢复日志数据前,请您确认备份的日志数据的准确性或完整性。
- 登录管理控制台。
- 在页面上方选择“区域”后,单击页面左上方的
,选择,进入数据库安全审计“总览”界面。 - 在左侧导航树中,选择。
- 在“选择实例”下拉列表框中,选择需要恢复日志的实例,选择“备份与恢复”页签。
- 在需要恢复数据库审计的备份日志所在的“操作”列,单击“恢复日志”。
- 在弹出的提示框中,单击“确定”。
风险导出
开启风险导出可以帮助您导出风险等级高的操作日志到对象存储服务上,并自动为您创建桶,桶按照存储用量收费。
- 登录管理控制台。
- 在页面上方选择“区域”后,单击页面左上方的,选择,进入数据库安全审计“总览”界面。
- 在左侧导航树中,选择。
- 在“选择实例”下拉列表框中,选择需要导出风险的实例,选择“风险导出”页签。
- 在需要导出风险日志的数据库右侧操作栏单击
,开启风险导出。开启风险导出后DBSS服务将自动创建OBS桶,作为风险日志导出桶。
- 桶名称:可选择“创建默认桶”和“使用已有桶”。
- 导出目录:在OBS桶中创建风险导出文件的目录。
图6 自动创建OBS桶
