数据库安全服务 DBSS
数据库安全服务 DBSS
- 最新动态
- 功能总览
- 产品介绍
- 计费说明
- 快速入门
-
用户指南
- 总览
- 开通并使用数据库安全审计(安装Agent)
- 开通并使用数据库安全审计(免安装Agent)
- 开通并使用数据库安全加密
- 开通并使用数据库安全运维
- 升级数据库审计实例版本
- 配置审计规则
- 查看审计结果
- 通知设置管理
- 查看监控信息
- 备份和恢复数据库审计日志
- 其他操作
- 云审计服务支持的关键操作
- 监控
- 共享VPC
- 数据库安全加密管理
- 数据库安全运维管理
- 权限管理
- 最佳实践
- API参考
- 场景代码示例
-
常见问题
-
产品咨询类
- 什么是数据库安全审计?
- 数据库安全审计和RDS SQL审计有什么区别?
- 数据库安全服务支持哪些性能规格?
- 数据库安全服务可以对华为云上的哪些数据库提供保护?
- 数据库安全服务支持哪些类型的数据库?
- 哪些区域可以使用数据库安全服务?
- 为什么购买实例后不能马上查看创建中的实例?
- 数据库安全服务上传日志是通过公网的带宽还是内网的带宽?
- 数据库安全服务到期后不续费会影响业务吗?
- 如何获取数据库安全服务销售许可证?
- 数据库安全审计是否支持审计云下数据库和非华为云上数据库?
- 什么是区域和可用区?
- 数据库安全服务是否支持数据实时脱敏?
- 购买DBSS服务后添加的数据库不在同一子网有什么影响?
- DBSS服务审计实例网关IP有限制吗?
- 购买类
-
数据库安全审计功能类
- 数据库安全审计可以跨区域使用吗?
- 数据库安全审计可以跨可用区使用吗?
- 数据库安全审计(旁路模式)是否会影响业务?
- 数据库安全审计支持多个账号共享使用吗?
- 数据库安全审计可以应用于哪些场景?
- 支持的数据库类型
- 数据库安全审计支持数据库部署在哪些操作系统上?
- 数据库安全审计支持双向审计吗?
- 数据库安全审计可以审计不同VPC的数据库吗?
- 数据库安全审计支持TLS连接的应用吗?
- 数据库安全审计的审计数据可以保存多久?
- 数据库安全审计发生异常,多长时间用户可以收到告警通知?
- 每天发送告警总条数与每天收到的邮件数是相同的吗?
- 为什么不能在线预览数据库安全审计报表?
- 在业务侧使用中间件会影响数据库安全审计功能吗?
- DBSS服务能否对第三方工具执行的SQL语句进行捕捉?
- DBSS服务是否支持线下部署?
- 数据库安全服务实例所属VPC是否可以更改?
- 如何对接DBSS服务审计的数据?
- 云服务首页提示DBSS服务预测容量不足如何处理?
- 一个数据库安全审计实例可以审计多少个数据库实例?
-
数据库安全审计Agent相关
- 数据库安全审计的Agent提供哪些功能?
- 数据库安全审计的Agent可以安装在哪些Windows操作系统上?
- 数据库安全审计的Agent可以安装在哪些Linux操作系统上?
- 数据库安全审计Agent的进程名称是什么?
- (Linux操作系统)安装Agent时没有安装脚本执行权限,如何处理?
- (Linux操作系统)数据库安全审计Agent客户端日志保存在哪里?
- 添加Agent时,在什么场景下需要选择“选择已有Agent”添加方式?
- 当数据库安全审计Agent的运行状态为“休眠中”时,如何处理?
- 待审计的RDS如果连接了多台ECS,如何部署Agent?
- 如何选择数据库安全审计的Agent安装节点?
- 如何运行数据库安全审计Agent程序?
- 如何查看数据库安全审计Agent的运行状态?
- 如何下载数据库安全审计的Agent?
- 如何卸载数据库安全审计Agent程序?
- 如何修改Agent的CPU和内存的阈值?
- 如何安装Agent(Linux操作系统)?
- 如何安装Agent(Windows操作系统)?
- 如何处理Agent与数据库安全审计实例之间通信异常?
- Agent运行时会消耗安装节点多少资源?
- Agent安装失败如何处理?
- Agent安装报错“unsupport this Linux version, please check your Linux version with install document!”如何解决?
- 数据库安全审计操作类
- 数据库安全审计故障排查类
- 日志类
-
产品咨询类
- 视频帮助
- 文档下载
- 通用参考
链接复制成功!
备份和恢复数据库审计日志
数据库安全审计支持将数据库的审计日志备份到OBS桶,实现高可用容灾。您可以根据需要备份或恢复数据库审计日志。
前提条件
- 数据库安全审计实例的状态为“运行中”。
- 请参考开启数据库安全审计成功开启数据库安全审计功能。
注意事项
- 执行备份后,审计日志将备份到对象存储服务上,系统自动为您创建桶,桶将按用量收费。有关对象存储服务的计费详情,请参见价格详情。
- 有关审计日志的保存说明,请参见数据库安全审计的审计数据可以保存多久?。
OBS细粒度授权
DBSS备份和恢复需要OBS授权,没有IAM授权相关权限的用户,需要由有Security Administrator权限的用户手动进行授权。
- 登录管理控制台。
- 在页面上方选择“区域”后,单击页面左上方的
,选择“管理与监管 > 统一身份认证服务 IAM”。
- 选择左侧导航树的“权限管理 > 权限”,单击右上角的“创建自定义策略”。
- 填写策略参数。策略名称为“DBSS OBS Agency Access”,策略配置方式选择“JSON视图”。填写策略内容如下:
{ "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "obs:object:PutObjectVersionAcl", "obs:object:PutObjectAcl", "obs:object:GetObjectVersion", "obs:object:GetObject", "obs:object:GetObjectVersionAcl", "obs:bucket:HeadBucket", "obs:object:GetObjectAcl", "obs:bucket:CreateBucket", "obs:bucket:ListBucket", "obs:object:PutObject" ], "Resource": [ "OBS:*:*:object:*", "OBS:*:*:bucket:OBS桶1的名称", "OBS:*:*:bucket:OBS桶2的名称" //可添加多个桶。 ] } ] }
如图1所示。配置完成后单击“确定”。
- 选择左侧导航树上的“委托”,单击右上角“创建委托”。
- 填写委托参数。委托名称为“dbss_depend_obs_trust”,委托类型选择“云服务”,云服务选择“DBSS”。如图2所示。
- 单击“立即授权”,勾选4中创建的自定义策略,将权限(DBSS OBS Agency Access)添加到委托(dbss_depend_obs_trust)中,如图3所示。单击右下角的“下一步”。
- 授权范围选择“所有资源”,单击右下角的“确定”,显示授权成功如图4所示,单击“完成”后等待15分钟授权生效。
自动备份数据库审计日志
- 登录管理控制台。
- 在页面上方选择“区域”后,单击页面左上方的
,选择“安全与合规 > 数据库安全服务 DBSS”,进入数据库安全审计“总览”界面。
- 在左侧导航树中,选择“设置”。
- 在“选择实例”下拉列表框中,选择需要设置备份的实例,选择“备份与恢复”页签。
- 单击“修改自动备份设置”,在弹出的对话框中,设置自动备份参数,相关参数说明如表1所示。
图5 “设置自动备份”对话框
表1 自动备份参数说明 参数名称
说明
取值样例
自动备份
开启或关闭自动备份。
:开启
:关闭
备份周期
选择自动备份的周期,可以选择:
- 每天
- 每小时
每天
开始时间
单击
,选择开始备份的时间。
2020/01/14 20:27:08
桶名称
设置备份使用的OBS桶名称,可以选择:
- 创建默认桶
- 选择已有桶
说明:
- 单击“创建默认桶”,将进行OBS授权,用于审计日志备份导出。
- 审计日志只能导出到DBSS服务创建的桶。
20f18-7a5a-4042
文件导出目录
在OBS桶中创建备份文件的目录。
test
自动备份授权
设置自动备份任务时,请先进行自动备份授权。勾线自动备份授权后,将同意DBSS服务获取该OBS桶读写权限,用于审计日志备份导出。
注意:授权成功后预计15分钟,自动备份才会生效。
勾选
- 单击“确定”,设置完成。
说明:
自动备份设置完成后,当数据库新产生数据时,新产生的数据备份会在1小时后完成备份,届时可查看备份情况。
恢复数据库审计日志
数据库审计日志备份成功后,您可以根据需要恢复数据库的审计日志。
日志数据恢复风险较大,在恢复日志数据前,请您确认备份的日志数据的准确性或完整性。
- 登录管理控制台。
- 在页面上方选择“区域”后,单击页面左上方的
,选择“安全与合规 > 数据库安全服务 DBSS”,进入数据库安全审计“总览”界面。
- 在左侧导航树中,选择“设置”。
- 在“选择实例”下拉列表框中,选择需要恢复日志的实例,选择“备份与恢复”页签。
- 在需要恢复数据库审计的备份日志所在的“操作”列,单击“恢复日志”。
图6 恢复日志
- 在弹出的提示框中,单击“确定”。
图7 确认恢复审计日志
风险导出
开启风险导出可以帮助您导出风险等级高的操作日志到对象存储服务上,并自动为您创建桶,桶按照存储用量收费。
- 登录管理控制台。
- 在页面上方选择“区域”后,单击页面左上方的
,选择“安全与合规 > 数据库安全服务 DBSS”,进入数据库安全审计“总览”界面。
- 在左侧导航树中,选择“设置”。
- 在“选择实例”下拉列表框中,选择需要导出风险的实例,选择“风险导出”页签。
- 在需要导出风险日志的数据库右侧操作栏单击
,开启风险导出。
图8 开启风险导出 - 开启风险导出后DBSS服务将自动创建OBS桶,作为风险日志导出桶。
- 桶名称:可选择“创建默认桶”和“使用已有桶”。
- 文件导出目录:在OBS桶中创建风险导出文件的目录。
- 风险导出授权:设置风险导出桶时,请先进行风险导出授权。勾线风险导出授权后,将同意DBSS服务获取该OBS桶读写权限,用于风险日志导出。
注意:
授权成功后预计15分钟,风险导出才会生效。
图9 自动创建OBS桶