更新时间:2024-11-07 GMT+08:00
流程指引
背景信息
数据库安全审计支持对华为云上的ECS/BMS自建数据库和RDS关系型数据库进行审计。
- 数据库安全审计不支持跨区域(Region)使用。待审计的数据库必须和购买申请的数据库安全审计实例在同一区域。
- 有关审计数据的保存说明,请参见数据库安全审计的审计数据可以保存多久?。
免Agent方式审计数据库
部分数据库类型及版本支持免安装Agent方式,如表1所示。
|
数据库类型 |
支持的版本 |
|---|---|
|
GaussDB for MySQL |
默认都支持 |
|
RDS for SQLServer (华为云审计实例:23.02.27.182148 及其之后的版本支持) |
默认都支持 |
|
RDS for MySQL |
|
|
DDS |
4.0 |
|
PostgreSQL (华为云审计实例:23.04.17.123301 及其之后的版本支持)
须知:
当SQL语句大小超过4KB审计时会被截断,会导致审计到的SQL语句不完整。 |
|
|
RDS for MariaDB |
默认都支持 |
- 免安装Agent模式配置简单、易操作,但较之安装了Agent的DBSS实例,支持的功能上存在如下差异:
- 统计会话数量时,无法统计成功登录、与失败登录的会话个数。
- 无法获取数据库访问时客户端的端口号。
- 由于GaussDB(DWS)服务具有日志审计开关的权限控制策略,只有华为云账号或拥有Security Administrator权限的用户才能开启或者关闭DWS数据库审计开关。
- GaussDB默认不开启ddl,用户需要参照GaussDB用户手册操作开启如下配置:
- audit_system_object = 130023423,操作请参考:GaussDB开发指南。
- datastyle=ISO,YMD,保证日期格式为yyyy-MM-dd HH:mm:ss+Z。
图1 免Agent安装流程
|
步骤 |
配置操作 |
说明 |
|---|---|---|
|
1 |
购买数据库安全审计后,您需要将待审计的数据库添加到数据库安全审计实例。 申请数据库安全审计后,您需要将待审计的数据库添加到数据库安全审计实例。 |
|
|
2 |
您需要开启数据库安全审计功能,将添加的数据库连接到数据库安全审计实例,才能使用数据库安全审计功能。 |
|
|
3 |
数据库安全审计默认提供一条“全审计规则”的审计范围,可以对连接数据库安全审计实例的所有数据库进行审计。开启数据库安全审计后,您可以在数据库安全审计界面查看被添加的数据库的审计结果。
须知:
您可以根据业务需求设置数据库审计规则。有关配置审计规则的详细操作,请参见配置审计规则。 |
