文档首页 > > 用户指南> 数据库安全审计故障排查> 无法使用数据库安全审计

无法使用数据库安全审计

分享
更新时间: 2019/12/23 GMT+08:00

故障现象

触发数据库流量后,在SQL语句列表页面搜索执行的语句,不能搜索到相关的审计信息。

可能原因

  • 待审计的数据库信息有误
  • 待审计的数据库未开启审计功能
  • 待审计的数据库不在审计范围内
  • Agent程序没有运行
  • Agent与数据库安全审计实例之间通信异常

处理步骤

  1. 登录管理控制台
  2. 进入数据库列表入口,如图1所示。

    图1 进入数据库列表入口

  3. 检查数据库信息是否正确以及数据库的审计是否已开启。

    1. 查看数据库信息,如图2所示。
      图2 查看待审计的数据库信息
    2. 检查数据库信息是否正确。
      • 如果数据库信息正确,请执行3.c
      • 如果数据库信息错误,请先单击“删除”,删除该数据库,再单击“添加数据库”,重新添加该数据库。
        • 如果问题已解决,结束操作。
        • 如果问题仍存在,请执行3.c
    3. 检查数据库的审计是否已开启。
      • 如果“审计状态”“已开启”,请执行4
      • 如果“审计状态”“已关闭”,请单击“开启”,开启数据库审计。
        • 如果问题已解决,结束操作。
        • 如果问题仍存在,请执行4

  4. 检查审计范围中对应数据库是否已启用。

    在左侧导航树中,选择数据库安全审计 > 审计规则,进入审计范围列表页面,如图3所示。

    图3 查看审计范围信息
    • 如果“状态”“已启用”,请执行5
    • 如果“状态”“已禁用”,请单击“启用”,启用数据库对应的审计范围规则。
      • 如果问题已解决,结束操作。
      • 如果问题仍存在,请执行5

  5. 检查数据库的Agent程序运行状态。

    1. 使用跨平台远程访问工具(例如PuTTY)以root用户通过SSH方式,登录Agent的安装节点。
    2. 执行以下命令,查看Agent程序的运行状态。

      ps -ef|grep audit_agent

      • 如果界面回显以下信息,说明Agent程序运行正常,请执行7
        1
        /opt/dbss_audit_agent/bin/audit_agent
        
      • 如果界面无回显信息,说明Agent程序运行异常,请执行6

  6. 执行以下命令,重新启动Agent。

    service audit_agent restart

    • 如果问题已解决,结束操作。
    • 如果问题仍存在,请执行7

  7. 执行以下命令,检查Agent与数据库安全审计实例之间的通信状态。

    tailf /opt/dbss_audit_agent/log/audit_agent.log

    • 如果界面回显类似以下信息,说明Agent与数据库安全审计实例之间通信正常,请执行10
      图4 通信正常
    • 如果界面回显类似以下信息,说明Agent与数据库安全审计实例之间通信异常,请执行8
      图5 通信异常

  8. 检查数据库安全审计实例安全组规则。

    1. 进入数据库安全服务管理界面。
    2. 记录待审计的数据库安装节点IP地址。
      1. 在左侧导航树中,选择数据库安全审计 > 数据库列表,进入数据库列表页面。
      2. “实例列表”下拉列表框中选择数据库所在的实例。
      3. 单击数据库左侧的展开Agent的详细信息,并记录“安装节点IP”,如图6所示。
        图6 记录安装节点IP信息
    3. 记录待审计的数据库所在的安全组信息。
      1. 在左侧导航树中,选择数据库安全审计 > 实例列表,进入实例列表界面。
      2. 单击需要处理的实例名称,进入实例概览页面。
      3. “网络配置信息”区域,记录数据库安全审计实例的“安全组”(例如Sys-default),如图7所示。
        图7 获取数据库安全审计实例所在的安全组
    4. 进入安全组的规则页面。
      1. 单击管理控制台上方的“服务列表”,选择网络 > 虚拟私有云 VPC,进入虚拟私有云列表界面。
      2. 在左侧导航树中,选择访问控制 > 安全组,进入安全组列表界面。
      3. 在列表右上方的搜索框中输入安全组“Sys-default”后,单击或按“Enter”,列表显示“Sys-default”安全组信息。
      4. 单击“Sys-default”,进入“入方向规则”页面。
    5. 检查“Sys-default”安全组的入方向规则。
      请检查该安全组的入方向规则是否已为 图6中的安装节点IP配置了TCP协议(端口为8000)和UDP协议(端口为7000-7100)规则。
      • 如果该安全组已配置安装节点的入方向规则,请执行10
      • 如果该安全组未配置安装节点的入方向规则,请执行9

  9. 为安装节点添加入方向安全规则。

    1. 在入方向规则页面,单击“添加规则”,如图8所示。
      图8 添加规则
    2. “添加入方向规则”对话框中,为图6中的安装节点IP添加TCP协议(端口为8000)和UDP协议(端口为7000-7100)规则,如图9所示。
      图9 “添加入方向规则”对话框
    3. 单击“确定”,完成添加入方向规则。

  10. 在数据库中输入一条SQL语句后,在SQL语句列表页面搜索执行的语句。

    • 如果可以搜索到输入的SQL语句信息,说明问题已解决。
    • 如果不能搜索到输入的SQL语句信息,说明问题仍存在,请联系技术支持。

分享:

    相关文档

    相关产品

文档是否有解决您的问题?

提交成功!

非常感谢您的反馈,我们会继续努力做到更好!

反馈提交失败,请稍后再试!

*必选

请至少选择或填写一项反馈信息

字符长度不能超过200

提交反馈 取消

如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨

跳转到云社区