更新时间:2024-11-25 GMT+08:00
流程指引
背景信息
数据库安全审计支持对华为云上的ECS/BMS自建数据库和RDS关系型数据库进行审计。
- 数据库安全审计不支持跨区域(Region)使用。待审计的数据库必须和购买申请的数据库安全审计实例在同一区域。
- 有关审计数据的保存说明,请参见数据库安全审计的审计数据可以保存多久?。
免Agent方式审计数据库
部分数据库类型及版本支持免安装Agent方式,如表1所示。
|
数据库类型 |
支持的版本 |
|---|---|
|
GaussDB for MySQL |
默认都支持 |
|
RDS for SQLServer (华为云审计实例:23.02.27.182148 及其之后的版本支持) |
默认都支持 |
|
RDS for MySQL |
|
|
GaussDB(DWS) |
|
|
PostgreSQL (华为云审计实例:23.04.17.123301 及其之后的版本支持)
须知:
当SQL语句大小超过4KB审计时会被截断,会导致审计到的SQL语句不完整。 |
|
|
RDS for MariaDB |
默认都支持 |
- 免安装Agent模式配置简单、易操作,但较之安装了Agent的DBSS实例,支持的功能上存在如下差异:
- 统计会话数量时,无法统计成功登录、与失败登录的会话个数。
- 无法获取数据库访问时客户端的端口号。
- 由于GaussDB(DWS)服务具有日志审计开关的权限控制策略,只有华为云账号或拥有Security Administrator权限的用户才能开启或者关闭DWS数据库审计开关。
- GaussDB默认不开启ddl,用户需要参照GaussDB用户手册操作开启如下配置:
- audit_system_object = 130023423,操作请参考:GaussDB开发指南。
- datastyle=ISO,YMD,保证日期格式为yyyy-MM-dd HH:mm:ss+Z。
图1 免Agent安装流程
