本章节介绍如何查看数据库安全审计的告警信息,以及当处理告警后如何确认告警。
前提条件
● 已成功购买数据库安全审计实例,且实例的状态为“运行中”。
● 已成功开启数据库安全审计功能。
● 已设置告警通知。
操作步骤
步骤1 登录管理控制台。
步骤2 在页面上方选择“区域”后,单击页面左上方的 ,选择“安全与合规 > 数据库安 全服务”,进入数据库安全审计“总览”界面。
步骤3 在左侧导航树中,选择“实例列表”,进入“实例列表”界面。
步骤4 单击需要查看告警信息的实例名称,选择“监控 > 告警监控”,进入告警监控页面。
步骤5 查看告警信息,如图11-2所示,相关参数说明如表11-1所示。
用户指南 11 查看监控信息
图11-2 查看告警信息
● 选择“时间”(“全部”、“近30分钟”、“近1小时”、“近24小时”、“近7 天”或“近30天”),或单击 ,选择开始时间和结束时间,单击“确认”,列 表显示该时间段的告警信息。
● 选择“风险等级”(“全部”、“高”、“中”或“低”),列表显示该级别的
用户指南 11 查看监控信息
后续处理
如果某条告警信息已经处理完成,您可以在该告警所在行的“操作”类,单击“确 认”,如图11-3所示,标识该告警已确认并处理。
图11-3 确认告警信息
说明
您可以选中待确认的多条告警,单击“批量确认”,同时确认多条告警信息。
用户指南 11 查看监控信息
12 备份和恢复数据库审计日志
数据库安全审计支持将数据库的审计日志备份到OBS桶,实现高可用容灾。您可以根 据需要备份或恢复数据库审计日志。
前提条件
● 已成功购买数据库安全审计实例,且实例的状态为“运行中”。
● 已成功开启数据库安全审计功能。
注意事项
● 执行备份后,审计日志将备份到对象存储服务上,系统自动为您创建桶,桶将按 用量收费。有关对象存储服务的计费详情,请参见价格详情。
● 有关审计日志的保存说明,请参见数据库安全审计的审计数据可以保存多久?。
须知
手动备份数据库审计日志会备份所有的日志,当您的日志量过大时,建议您使用自动 备份。自动备份周期建议按天自动备份。
自动备份数据库审计日志
步骤1 登录管理控制台。
步骤2 在页面上方选择“区域”后,单击页面左上方的 ,选择“安全与合规 > 数据库安 全服务”,进入数据库安全审计“总览”界面。
步骤3 在左侧导航树中,选择“设置”。
步骤4 在“选择实例”下拉列表框中,选择需要设置备份的实例,选择“备份与恢复”页 签。
用户指南 12 备份和恢复数据库审计日志
图12-1 “设置自动备份”对话框
表12-1 自动备份参数说明
参数名称 说明 取值样例
自动备份 开启或关闭自动备份。
● :开启
● :关闭
备份周期 选择自动备份的周期,可以选择:
● 每天
● 每小时
每天
开始时间 单击 ,选择开始备份的时间。 2020/01/14 20:27:08 预计下次备份时间 预计下次自动备份开始时间。 2020/01/15
20:21:29 Access Key
ID(AK) 输入访问密钥的AK。
-Secret Access
Key(SK) 输入访问密钥的SK。
-步骤6 单击“确定”,设置完成。
----结束
手动备份数据库审计日志
用户指南 12 备份和恢复数据库审计日志
步骤3 在左侧导航树中,选择“设置”。
步骤4 在“选择实例”下拉列表框中,选择需要设置备份的实例,选择“备份与恢复”页 签。
步骤5 单击“手动备份”,在弹出的对话框中,选择“备份范围”并设置访问密钥的AK和 SK,如图12-2所示。
图12-2 “手动备份”对话框
步骤6 单击“确定”。
----结束
恢复数据库审计日志
数据库审计日志备份成功后,您可以根据需要恢复数据库的审计日志。
须知
日志数据恢复风险较大,在恢复日志数据前,请您确认备份的日志数据的准确性或完 整性。
步骤1 登录管理控制台。
步骤2 在页面上方选择“区域”后,单击页面左上方的 ,选择“安全与合规 > 数据库安 全服务”,进入数据库安全审计“总览”界面。
步骤3 在左侧导航树中,选择“设置”。
步骤4 在“选择实例”下拉列表框中,选择需要恢复日志的实例,选择“备份与恢复”页
用户指南 12 备份和恢复数据库审计日志
图12-3 恢复日志
步骤6 在弹出的提示框中,单击“确定”。
----结束
风险导出
开启风险导出可以帮助您导出风险等级高的操作日志到对象存储服务上,并自动为您 创建桶,桶按照存储用量收费。
步骤1 登录管理控制台。
步骤2 在页面上方选择“区域”后,单击页面左上方的 ,选择“安全与合规 > 数据库安 全服务”,进入数据库安全审计“总览”界面。
步骤3 在左侧导航树中,选择“设置”。
步骤4 在“选择实例”下拉列表框中,选择需要恢复日志的实例,选择“风险导出”页签。
步骤5 在需要导出风险日志的数据库右侧操作栏单击 ,开启风险导出。开启后将自动创 建OBS桶,作为审计日志备份桶。如图12-4所示。
图12-4 自动创建 OBS 桶
----结束
用户指南 12 备份和恢复数据库审计日志
13 其他操作
13.1 管理数据库安全审计实例
成功购买数据库安全审计实例后,您可以查看实例信息,开启、重启或关闭实例。
前提条件
● 重启实例和关闭实例前,请确认实例的状态为“运行中”。
● 开启实例前,请确认实例的状态为“已关闭”。
查看实例信息
步骤1 登录管理控制台。
步骤2 在页面上方选择“区域”后,单击页面左上方的 ,选择“安全与合规 > 数据库安 全服务”,进入数据库安全审计“总览”界面。
步骤3 在左侧导航树中,选择“实例列表”,进入“实例列表”界面。
步骤4 查看数据库安全审计实例信息,如图13-1所示,相关参数说明如表13-1所示。
图13-1 查看数据库安全审计实例信息
说明
用户指南 13 其他操作
表13-1 实例信息参数说明
参数名称 说明
实例名称/ID 实例的名称和ID。实例ID由系统自动生成。
实例规格/到期时
前提条件
已成功购买数据库安全审计实例,且实例的状态为“运行中”。
操作步骤
步骤1 登录管理控制台。
步骤2 在页面上方选择“区域”后,单击页面左上方的 ,选择“安全与合规 > 数据库安 全服务”,进入数据库安全审计“总览”界面。
步骤3 在左侧导航树中,选择“实例列表”,进入“实例列表”界面。
步骤4 单击需要查看信息的实例名称,进入实例概览页面。
步骤5 查看实例的“基本信息”、“网络配置信息”和“关联数据库”,如图13-2所示,相 关参数说明如表13-2所示。
图13-2 查看实例概览信息
表13-2 实例概览信息参数说明
类别 参数名称 说明
基本信息 实例名称 实例的名称。单击名称后的 ,可以修改实例名称。
用户指南 13 其他操作
类别 参数名称 说明
前提条件
步骤5 查看数据库信息,如图13-3所示,相关参数说明如表13-3所示。
图13-3 查看数据库和 Agent 信息
IP地址/端口 数据库的IP地址。 192.168.0.10 4
3306
实例名 数据库的实例名称。
说明
步骤4 在“选择实例”下拉列表框中,选择查看的Agent所属的实例。
步骤5 单击数据库左侧的 展开Agent的详细信息,如图13-4所示,相关参数说明如表13-4 所示。
图13-4 查看数据库和 Agent 信息
表13-4 Agent 参数说明
参数名称 说明
Agent ID Agent的ID,由系统自动生成。
安装节点类型 安装节点的类型,包括“数据库端”或“应用端”。
安装节点IP 安装Agent的节点的IP地址。
操作系统 安装Agent运行的操作系统。
审计网卡名称 安装节点的网卡名称。
用户指南 13 其他操作
参数名称 说明
内存阈值(%) 安装节点的内存阈值,缺省值为“80”。
说明当安装节点的内存超过设定的阈值时,Agent将停止工作。您可以直 接升级服务器的内存。
通用 Agent是否为通用Agent。
SHA256校验值 Agent安装包的校验值。
运行状态 安装节点的运行状态。
说明
您可以根据使用需求,对添加的Agent执行以下操作:
● 关闭
– 在需要关闭的Agent所在行的“操作”列,单击“关闭”后,在弹出的提示框中,单击
“确定”,Agent状态为“关闭”。
– 关闭Agent后,数据库安全审计将停止对连接该Agent的数据库进行安全审计。
● 删除
– 在需要删除的Agent所在行的“操作”列,单击“删除”后,在弹出的提示框中,单击
“确定”,删除该Agent。
– 删除Agent后,如果需要对连接该Agent的数据库进行安全审计,请重新添加Agent。
----结束
13.4 卸载 Agent
在数据库端或应用端的节点安装Agent后,当不需要停止审计数据库时,您可以在安装 Agent的节点卸载Agent。
前提条件
已在安装节点安装了Agent程序。
在 Linux 操作系统上卸载 Agent
步骤1 使用跨平台远程访问工具(例如PuTTY)以root用户通过SSH方式,登录已安装Agent 的节点。
步骤2 执行以下命令,进入Agent安装包“xxx.tar.gz”解压后所在目录。
cd Agent安装包解压后所在目录
步骤3 执行以下命令,查看是否有卸载脚本“uninstall.sh”的执行权限。
ll
用户指南 13 其他操作
a. 执行以下命令,添加卸载脚本执行权限。
chmod +x uninstall.sh
b. 确认有安装脚本执行权限后,请执行步骤4。
步骤4 执行以下命令,卸载Agent。
sh uninstall.sh
如果界面回显以下信息,说明卸载成功。
uninstall audit agent...
exist os-release file stopping audit agent audit agent stopped stop audit_agent success
service audit_agent does not support chkconfig uninstall audit agent completed!
----结束
在 Windows 操作系统上卸载 Agent
步骤1 进入Agent安装文件的目录。
步骤2 双击“uninstall.bat”执行文件,卸载Agent。
步骤3 验证Agent已卸载成功。
1. 打开任务管理器,查看“dbss_audit_agent”进程已停止。
2. 查看Agent安装目录,安装目录内容已经全部删除。
----结束
步骤3 在左侧导航树中,选择“审计规则”。
步骤4 在“选择实例”下拉列表框中,选择需要查看审计范围的实例。
步骤5 查看审计范围信息,如图13-5所示,相关参数说明如表13-5所示。
图13-5 查看审计范围信息
说明
在列表右上方输入审计范围名称的关键字,可以搜索指定的审计范围。
表13-5 审计范围信息参数说明
参数名称 说明
名称 审计范围的名称。
源IP 访问数据库的IP地址或IP地址段。
源端口 审计的IP地址端口。
数据库名称 审计范围的数据库。
数据库帐户 数据库的用户名。
状态 审计范围的状态,包括:
● 已启用
● 已禁用
用户指南 13 其他操作
说明
本章节介绍如何查看数据库安全审计的SQL注入检测信息。
前提条件
步骤4 在“选择实例”下拉列表框中,选择需要查看SQL注入检测信息的实例。选择“SQL注 入”页签。
步骤5 查看SQL注入检测信息,如图13-6所示,相关参数如表13-6所示。
步骤5 查看SQL注入检测信息,如图13-6所示,相关参数如表13-6所示。