如何为数据库安全审计续费？_数据库安全服务 DBSS_常见问题_购买类_华为云

(1)

常见问题

文档版本 42

发布日期 2021-10-20

(2)

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。

商标声明

和其他华为商标均为华为技术有限公司的商标。

本文档提及的其他所有商标或注册商标，由各自的所有人拥有。

注意

您购买的产品、服务或特性等应受华为公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定，华为公司对本文档内容不做任何明示或暗示的声明或保证。

由于产品版本升级或其他原因，本文档内容会不定期进行更新。除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。

(3)

1 ^{产品咨询类}

1.1 什么是数据库安全审计？

数据库安全服务（Database Security Service，DBSS）是一个智能的数据库安全服务，基于机器学习机制和大数据分析技术，提供数据库审计，SQL注入攻击检测，风险操作识别等功能，保障云上数据库的安全。

1.2 数据库安全服务支持哪些性能规格？

数据库安全审计支持基础版、专业版和高级版三种服务版本。您可以根据业务需求选择相应的服务版本。

数据库安全审计各版本的性能规格说明如表1-1所示。

表1-1 数据库安全审计版本性能规格说明 版本支持的数据库实

例

系统资源要求性能参数

基础版最多支持3个数据

库实例 ● CPU：4U

● 内存：

16GB

● 硬盘：

500GB

● 吞吐量峰值：3,000条/秒

● 入库速率：360万条/小时

● 4亿条在线SQL语句存储

● 50亿条归档SQL语句存储

专业版最多支持6个数据

● 内存：

32GB

● 硬盘：

1000GB

常见问题 1 产品咨询类

(7)

版本支持的数据库实例

高级版最多支持30个数

据库实例 ● CPU：16U

● 内存：

64GB

● 硬盘：

2000GB

1.3 数据库安全服务可以对华为云上的哪些数据库提供保护？

数据库安全服务可以对相同虚拟私有云及其子网下的ECS自建数据库、BMS自建数据库以及RDS关系型数据库提供保护。在非同一虚拟私有云及其子网下的ECS自建数据库、

BMS自建数据库和RDS关系型数据库，由于网络限制的原因不能对其提供保护。

1.4 数据库安全服务支持哪些类型的数据库？

数据库安全服务支持华为云的以下数据库：

● 关系型数据库（Relational Database Service，RDS）

● 弹性云服务器（Elastic Cloud Server ，ECS）的自建数据库

● 裸金属服务器（Bare Metal Server，BMS）的自建数据库

1.5 哪些区域可以使用数据库安全服务？

数据库安全服务支持的区域说明如下：

● 华东-上海一

● 华东-上海二

● 华南-广州

● 华北-北京一

● 华北-北京四

● 西南-贵阳一

1.6 为什么购买实例后不能马上查看创建中的实例？

购买数据库安全防护实例或购买数据库安全审计实例时，由于实例所在的虚拟机创建系统盘和网络配置需要少许时间，所以需要在虚拟机配置完成才能查看创建中的实例。

购买数据库安全服务实例后，建议您刷新页面后，再查看创建中的实例。

(8)

1.7 数据库安全服务上传日志是通过公网的带宽还是内网的带宽？

数据库安全服务上传日志是通过内网的带宽。

1.8 数据库安全服务到期后不续费会影响业务吗？

购买的数据库安全服务到期后，如果未续费，您将不能使用数据库安全服务，不影响您的业务。为了数据库安全和资产安全，建议您续费使用数据库安全服务。

1.9 PCI、HIPAA、SOX、GDPR 安全合规

数据库安全服务的数据库安全防护提供的敏感数据发现功能内置PCI、HIPAA、SOX、

GDPR等合规知识库，用户可以根据敏感数据发现规则一键自动生成脱敏规则和审计规则。

1.10 如何获取数据库安全服务销售许可证？

华为云数据库安全服务提供了销售许可证。请单击此处，登录数据库安全服务管理控制台，系统会自动下载名称为“salelicense.pdf”的销售许可证。

解除浏览器拦截

首次下载，可能会遇到浏览器拦截限制。请参照以下步骤解除浏览器拦截。

步骤1 以Chrome浏览器为例，检查浏览器右上角的地址栏，确认是否被浏览器拦截。

步骤2 选择“始终允许https://console.huaweicloud.com显示弹出式窗口和重定向”后，单击“完成”，即可下载销售许可证。

----结束

1.11 数据库安全审计是否支持审计云下数据库和非华为云数据库？

数据库安全审计暂不支持审计云下数据库和非华为云数据库，支持对华为云上的以下数据库提供旁路模式的数据库审计功能：

● 关系型数据库（Relational Database Service，RDS）

● 弹性云服务器（Elastic Cloud Server ，ECS）的自建数据库

● 裸金属服务器（Bare Metal Server，BMS）的自建数据库

数据库安全审计支持的数据库类型及版本，请参见：数据库安全审计支持哪些数据库？

(9)

1.12 什么是区域和可用区？

什么是区域、可用区？

我们用区域和可用区来描述数据中心的位置，您可以在特定的区域、可用区创建资源。

● 区域（Region）：从地理位置和网络时延维度划分，同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。Region分为通用Region和专属Region，通用Region指面向公共租户提供通用云服务的 Region；专属Region指只承载同一类业务或只面向特定租户提供业务服务的专用 Region。

● 可用区（AZ，Availability Zone）：一个AZ是一个或多个物理数据中心的集合，

有独立的风火水电，AZ内逻辑上再将计算、网络、存储等资源划分成多个集群。

一个Region中的多个AZ间通过高速光纤相连，以满足用户跨AZ构建高可用性系统的需求。

图1-1阐明了区域和可用区之间的关系。

图1-1 区域和可用区

目前，华为云已在全球多个地域开放云服务，您可以根据需求选择适合自己的区域和可用区。

如何选择区域？

选择区域时，您需要考虑以下几个因素：

● 地理位置

一般情况下，建议就近选择靠近您或者您的目标用户的区域，这样可以减少网络时延，提高访问速度。不过，在基础设施、BGP网络品质、资源的操作与配置等方面，中国大陆各个区域间区别不大，如果您或者您的目标用户在中国大陆，可以不用考虑不同区域造成的网络时延问题。

– 在除中国大陆以外的亚太地区有业务的用户，可以选择“中国-香港”、“亚太-曼谷”或“亚太-新加坡”区域。

– 在非洲地区有业务的用户，可以选择“南非-约翰内斯堡”区域。

(10)

● 资源的价格

不同区域的资源价格可能有差异，请参见华为云服务价格详情。

如何选择可用区？

是否将资源放在同一可用区内，主要取决于您对容灾能力和网络时延的要求。

● 如果您的应用需要较高的容灾能力，建议您将资源部署在同一区域的不同可用区内。

● 如果您的应用要求实例之间的网络延时较低，则建议您将资源创建在同一可用区内。

区域和终端节点

当您通过API使用资源时，您必须指定其区域终端节点。有关华为云的区域和终端节点的更多信息，请参阅地区和终端节点。

1.13 数据库安全服务是否支持数据实时脱敏？

暂不支持实时脱敏。当需要对输入的SQL语句的敏感信息进行脱敏时，您可以通过开启隐私数据脱敏功能，以及配置隐私数据脱敏规则，来防止数据库用户敏感信息泄露。详情请参见配置隐私数据保护规则。

1.14 购买 DBSS 服务后添加的数据库不在同一子网有什么影响？

购买DBSS服务后添加的多个数据库不在同一子网，但只要在同一VPC，添加的所有数据库可进行正常审计，不受子网影响。

(11)

2 ^购买类

2.1 购买实例时如何选择“子网”？

需要选择与数据库同一VPC的子网。

2.2 购买实例时提示资源售罄时如何处理？

当您在购买数据库安全审计时，界面提示资源售罄，请您单击管理控制台左上角的

，选择其他区域后购买或提交工单。

DBSS支持的区域说明，请参见哪些区域可以使用数据库安全服务？。

提交工单的详细操作，请参见：提交工单。

2.3 购买实例时提示配额不足时如何处理？

当您在购买数据库安全审计时，界面提示配额不足，请您提交工单申请配额。

提交工单的详细操作，请参见：提交工单。

2.4 在专属云上购买数据库安全服务会消耗专属云上的资源吗？

当您在专属云上购买数据库安全服务时，DBSS将消耗您在专属云上的计算资源，消耗的资源说明如表2-1所示。

如果您不希望DBSS消耗专属云资源，请在公有云上购买DBSS。

(12)

表2-1 数据库安全审计消耗资源说明

版本消耗资源

基础版 ● vCPU：4核

● 内存：16GB

● 硬盘：560GB 专业版 ● vCPU：8核

● 内存：32GB

● 硬盘：1084GB 高级版 ● vCPU：16核

● 内存：64GB

● 硬盘：2108GB

2.5 如何为数据库安全审计续费？

在数据库安全审计到期前，用户可以通过续费操作继续使用数据库安全服务。

前提条件

● 登录管理控制台的帐号已授权DBSS System Administrator、ECS Administrator、

VPC Administrator和BSS Administrator权限策略，或授权Tenant Administrator 权限策略。

● 已成功购买数据库安全审计实例。

数据库安全审计续费

步骤1 登录管理控制台。

步骤2 单击管理控制台左上角的，选择区域或项目。

步骤3 单击，选择“安全与合规 > 数据库安全服务”，进入数据库安全审计“总览”界面。

步骤4 在左侧导航树中，选择“实例列表”。

步骤5 在“续费”界面，选择续费时长。

有关续费的详细操作，请参见续费管理。

----结束

2.6 如何退订数据库安全服务？

数据库安全服务仅支持包年/包月付费方式，购买的实例不能直接删除，仅支持退订。

常见问题 2 购买类

(13)

系统影响

执行退订操作后，将清除审计记录。

前提条件

● 登录管理控制台的帐号已授权DBSS System Administrator、ECS Administrator、

VPC Administrator和BSS Administrator角色，或授权Tenant Administrator角色。

● 已成功购买数据库安全审计实例。

操作步骤

步骤2 在界面右上方，单击“费用”，进入“费用中心”界面。

步骤3 在左侧导航树上，选择“退订与变更 > 退订管理”。

有关退订的详细操作，请参见退订管理。退订后可重新购买，请参见购买数据库安全审计。

----结束

(14)

3 数据库安全审计功能类

3.1 数据库安全审计可以跨区域使用吗？

数据库安全审计不支持跨区域（Region）使用。待审计的数据库和购买的数据库安全审计实例必须在同一区域，您才能使用数据库安全审计功能。

如果您购买的数据库安全审计实例在“华北-北京四”，而待审计的数据库部署在“华东-上海一”，则您将不能使用数据库安全审计功能。

3.2 数据库安全审计可以跨可用区使用吗？

待审计的数据库和购买的数据库安全审计实例必须在同一区域，您才能使用数据库安全审计。如果待审计的数据库和购买的数据库安全审计实例在同一区域，但不在同一可用区，则您可以使用数据库安全审计。

例如，您在某个区域的“可用区1”购买了数据库安全审计，如图3-1所示，待审计的数据库部署在该区域的“可用区2”或“可用区3”，则您可以使用购买的数据库安全审计。

图3-1 在“可用区 1”购买数据库安全审计

3.3 数据库安全审计（旁路模式）是否会影响业务？

不影响。数据库安全审计是数据库安全服务提供的旁路模式数据库审计功能，只对数据库进行审计，不影响用户业务，与本地审计工具不冲突。

常见问题 3 数据库安全审计功能类

(15)

3.4 数据库安全审计支持多个帐号共享使用吗？

数据库安全审计不支持多个帐号共享使用。例如，如果您在某个区域通过注册华为云创建了2个帐号（“domain1”和“domain2”），当您在“domain1”帐号下购买了数据库安全审计，则“domain2”帐号不能使用“domain1”的数据库安全审计。

在同一区域，一个帐号的在IAM上创建的所有IAM用户都可以共用该帐号下的数据库安全审计。例如，您在某个区域通过注册华为云创建了1个帐号（“domain1”），且

“domain1”帐号在IAM中创建了2个IAM用户（“sub-user01”、“sub-

user02”），如果您授权了“sub-user01”和“sub-user02”用户DBSS的权限策略，

则这2个IAM用户都可以使用“domain1”的数据库安全审计。

3.5 数据库安全审计可以应用于哪些场景？

数据库安全审计采用数据库旁路部署方式，在不影响用户业务的提前下，可以对华为云上的RDS、ECS/BMS自建的数据库进行灵活的审计。

● 基于数据库风险操作，监视数据库登录、操作类型（数据定义、数据操作和数据控制）和操作对象，有效对数据库进行审计。

● 从风险、会话、SQL注入等多个维度进行分析，帮助您及时了解数据库状况。

● 提供审计报表模板库，可以生成日报、周报或月报审计报表（可设置报表生成频率）。同时，支持发送报表生成的实时告警通知，帮助您及时获取审计报表。

3.6 数据库安全审计支持哪些数据库？

数据库安全审计支持数据库类型及版本如表3-1所示。

表3-1 数据库安全审计支持的数据库类型和版本

数据库类型版本

MySQL ● 5.0、5.1、5.5、5.6、5.7

● 8.0（8.0.11及以前的子版本）

Oracle ● 11g

11.1.0.6.0 、11.2.0.1.0 、11.2.0.2.0、

11.2.0.3.0、11.2.0.4.0

● 12c

12.1.0.2.0 、12.2.0.1.0

● 19c

PostgreSQL 7.4及后续版本

(16)

数据库类型版本

SQL Server ● 2008、2008R2

● 2012

● 2014

● 2016

● 2017

DWS 1.5

SHENTONG V7.0

GBase 8a V8.5

GBase 8s V8.8

Gbase XDM Cluster V8.0 GaussDB(for MYSQL) MySQL 8.0 GaussDB(for openGauss) 2020企业版

DAMENG DM8

KINGBASE V8

3.7 数据库安全审计支持数据库部署在哪些操作系统上？

您需要在数据库端、应用端或代理端安装Agent，将添加的数据库连接到数据库安全审计实例。

数据库安全审计的Agent可运行在Linux64位和Windows64位操作系统上，安装节点的操作系统说明如下所示。

● 数据库安全审计的Agent支持的Linux系统版本如表3-2所示。

(17)

表3-2 Agent 支持的 Linux 系统版本说明

系统名称系统版本

CentOS ● CentOS 6.3 (64bit)

● CentOS 6.5 (64bit)

● CentOS 8.2 (64bit) Debian ● Debian 7.5.0 (64bit)

● Debian 8.2.0 (64bit)

● Debian 10.0.0 (64bit) Fedora ● Fedora 24 (64bit)

● Fedora 25 (64bit)

● Fedora 30 (64bit) OpenSUSE ● SUSE 13 (64bit)

● SUSE 15 (64bit)

● SUSE 42 (64bit) SUSE ● SUSE 11 SP4 (64bit)

● SUSE 12 SP1 (64bit)

● SUSE 12 SP2 (64bit) Ubuntu ● Ubuntu 14.04 (64bit)

● Ubuntu 16.04 (64bit)

(18)

EulerOS ● Euler 2.2 (64bit)

● Euler 2.3 (64bit)

OpenEuler ● OpenEuler 20.03 (64bit) Oracle Linux ● Oracle Linux 6.9 (64bit)

● Oracle Linux 7.4 (64bit)

RedHat ● Red Hat Enterprise Linux 7.4 (64bit)

● Red Hat Enterprise Linux 7.6 (64bit) NeoKylin ● NeoKylin 7.0 (64bit)

Kylin ● Kylin Linux Advanced Server release V10 (64bit) Uniontech OS ● Uniontech OS Server 20 Enterprise (64bit)

● 数据库安全审计的Agent支持的Windows系统版本如下所示：

– Windows Server 2008 R2(64bit) – Windows Server 2012 R2(64bit) – Windows Server 2016(64bit) – Windows Server 2019(64bit) – Windows 7(64bit)

– Windows 10(64bit)

3.8 数据库安全审计支持双向审计吗？

数据库安全审计支持双向审计。双向审计是对数据库的请求和响应都进行审计。

数据库安全审计默认使用双向审计。

3.9 数据库安全审计可以审计不同 VPC 的数据库吗？

数据库安全审计支持审计不同VPC的数据库。当您需要审计不同VPC的数据库时，需要 VPC互相通信，可以通过在VPC间建立对等连接的方式实现。请参考创建同一账户下的对等连接进行配置。

3.10 数据库安全审计支持 TLS 连接的应用吗？

不支持。TLS（Transport Layer Security）连接的应用是加密的，无法使用数据库安全审计功能。

(19)

3.11 数据库安全审计的审计数据可以保存多久？

数据库安全审计支持将在线和归档的审计数据至少保存180天的功能。

由于审计数据存放在日志数据库中，而日志数据库的硬盘容量可能影响保存时长。为了确保审计数据满足保存时长要求，建议您通过以下方式处理：

● 根据业务数据库审计数据实际情况，选择购买的数据库安全审计版本 – 审计数据容量较小：购买基础版

– 审计数据容量较大：购买专业版或高级版

数据库安全审计各版本的规格说明如所表3-3示。

● 备份审计日志

有关备份审计日志的详细操作，请参见备份数据库审计日志。

表3-3 数据库安全审计版本性能规格说明 版本支持的数据库实

例

基础版最多支持3个数据

● 内存：

16GB

● 硬盘：

500GB

专业版最多支持6个数据

● 内存：

32GB

● 硬盘：

1000GB

高级版最多支持30个数

据库实例 ● CPU：16U

● 内存：

64GB

● 硬盘：

2000GB

(20)

说明

● 数据库实例通过数据库IP+数据库端口计量。

如果同一数据库IP具有多个数据库端口，数据库实例数为数据库端口数。1个数据库IP只有1 个数据库端口，即为一个数据库实例；1个数据库IP具有N个数据库端口，即为N个数据库实例。

例如：用户有2个数据库资产分别为IP1和IP2，IP1有一个数据库端口，则为1个数据库实例；

IP2有3个数据库端口，则为3个数据库实例。IP1和IP2合计为4个数据库实例，选择服务版本规格时需要大于或等于4个数据库实例，即选用专业版（最多支持审计6个数据库实例）。

● 不支持修改规格。若要修改，请退订后重购。

● 本表中的系统资源要求，是指购买数据库安全审计实例时会消耗的系统资源。购买时，用户的系统需要满足审计版本对应的系统资源要求。

● 本表中在线SQL语句的条数，是按照每条SQL语句的容量为1KB来计算的。

3.12 数据库安全审计发生异常，多长时间用户可以收到告警通知？

在数据库安全审计正常运行的情况下，从系统发生异常到收到告警通知最大时延不超过5分钟。

当您设置告警通知后，在数据库安全审计正常运行的情况下，当数据库安全审计实例资源（CPU、内存和磁盘）超过设置的告警阈值时，系统产生告警通知。用户约在5分钟内可以收到告警通知。

3.13 每天发送告警总条数与每天收到的邮件数是相同的吗？

是的。一条告警信息对应一个通知邮件。

3.14 为什么不能在线预览数据库安全审计报表？

如果您需要在线预览报表，请使用Google Chrome或Mozilla FireFox浏览器。

3.15 在业务侧使用中间件会影响数据库安全审计功能吗？

不会影响使用数据库安全审计。

中间件是介于应用系统和操作系统之间的一类软件，通常在操作系统、网络和数据库之上，应用软件的下层，是为处于上层的应用软件提供运行与开发的环境，帮助用户灵活、高效地开发和集成复杂的应用软件。

数据库安全审计采用旁路模式部署，通过Agent（数据库节点或应用节点安装Agent）

获取访问数据库流量、将流量数据上传到审计系统、接收审计系统配置命令和上报数据库状态监控数据，从而实现数据库安全审计功能。

因此，您在业务侧使用中间件不影响数据库安全审计功能，不会导致Agent监听SQL失败或者审计没有数据。

如果您的数据库安全审计没有审计数据，请参见以下内容进行排查：

● 无法使用数据库安全审计。

(21)

● 数据库安全审计运行正常但无审计记录。

3.16 DBSS 服务能否对第三方工具执行的 SQL 语句进行捕捉？

可以。DBSS服务审计的数据是Agent接入的全量日志和流量数据，与工具无关。

3.17 DBSS 服务是否支持线下部署？

不支持。数据库安全服务需要部署在您所使用的云上的服务器中，您需要将相关的业务迁移至目标云上。

3.18 数据库安全服务实例所属 VPC 是否可以更改？

不可以。实例所属的VPC是由私网网段、路由表和至少一个子网组成，拥有独立的安全组和网络ACL来保障云资源安全，详情请参见什么是虚拟私有云。

若有VPC的变更需求，可通过申请退订变更或提交工单申请VPC对接：

● 退订变更：对想要变更的VPC对应实例参照如何退订数据库安全服务？进行退订，退订后在目标VPC重新购买数据库安全审计（建议）。

● VPC对接：通过提交工单申请目标VPC人工对接。

3.19 如何对接 DBSS 服务审计的数据？

您可在数据库安全服务中开启自动备份，将审计数据备份至OBS桶，详情请参见备份和恢复数据库审计日志。

开启备份后通过对接OBS桶的接口实现对接数据库安全服务的审计数据，详情请参见 OBS的API概览。

(22)

4 数据库安全审计 Agent 相关

4.1 数据库安全审计的 Agent 提供哪些功能？

使用数据库安全审计功能，必须在数据库节点或应用节点安装Agent。

数据库安全审计的Agent主要提供以下功能：

● 获取访问数据库流量

● 将流量数据上传到审计系统

● 接收审计系统配置命令

● 上报数据库状态监控数据

4.2 数据库安全审计的 Agent 可以安装在哪些 Windows 操作系统上？

数据库安全审计的Agent支持安装在以下Windows64操作系统上：

● Windows Server 2008 R2(64bit)

● Windows Server 2012 R2(64bit)

● Windows Server 2016(64bit)

● Windows Server 2019(64bit)

● Windows 7(64bit)

● Windows 10(64bit)

4.3 数据库安全审计的 Agent 可以安装在哪些 Linux 操作系统上？

数据库安全审计的Agent支持安装在Linux64位操作系统，系统版本说明如表4-1所示。

常见问题 4 数据库安全审计 Agent 相关

(23)

表4-1 Agent 支持的 Linux 系统版本说明

CentOS ● CentOS 6.3 (64bit)

● CentOS 8.2 (64bit) Debian ● Debian 7.5.0 (64bit)

● Debian 10.0.0 (64bit) Fedora ● Fedora 24 (64bit)

● Fedora 30 (64bit) OpenSUSE ● SUSE 13 (64bit)

● SUSE 15 (64bit)

● SUSE 42 (64bit) SUSE ● SUSE 11 SP4 (64bit)

● SUSE 12 SP1 (64bit)

● SUSE 12 SP2 (64bit) Ubuntu ● Ubuntu 14.04 (64bit)

(24)

EulerOS ● Euler 2.2 (64bit)

OpenEuler ● OpenEuler 20.03 (64bit) Oracle Linux ● Oracle Linux 6.9 (64bit)

● Oracle Linux 7.4 (64bit)

RedHat ● Red Hat Enterprise Linux 7.4 (64bit)

● Red Hat Enterprise Linux 7.6 (64bit) NeoKylin ● NeoKylin 7.0 (64bit)

Kylin ● Kylin Linux Advanced Server release V10 (64bit) Uniontech OS ● Uniontech OS Server 20 Enterprise (64bit)

4.4 数据库安全审计 Agent 的进程名称是什么？

Linux 操作系统

Agent客户端进程名称为：“/opt/dbss_audit_agent/bin/audit_agent”

安装Agent后，您可以参照以下操作步骤，查看Agent程序的运行状态。

步骤1 使用跨平台远程访问工具（例如PuTTY）以root用户通过SSH方式，登录Agent的安装节点。

步骤2 执行以下命令，查看Agent程序的运行状态。

ps -ef|grep audit_agent

● 如果界面回显以下信息，说明Agent程序运行正常。

/opt/dbss_audit_agent/bin/audit_agent

● 如果界面无回显信息，说明Agent程序运行异常。

----结束

Windows 操作系统

Agent安装完成后，在Windows任务管理器中，可以查看Agent的进程

“dbss_audit_agent”。

4.5 （Linux 操作系统）安装 Agent 时没有安装脚本执行权限，如何处理？

如果在安装Agent时，没有安装脚本的执行权限，请在安装Agent的节点上执行以下命令，添加安装脚本的执行权限：

(25)

chmod +x install.sh

4.6 （Linux 操作系统）数据库安全审计 Agent 客户端日志保存在哪里？

Agent客户端日志存放路径为：“/opt/dbss_audit_agent/log/audit_agent.log”

4.7 添加 Agent 时，在什么场景下需要选择“选择已有 Agent”添加方式？

当某个应用端连接了多个数据库时，如图4-1所示。如果连接该应用端的某个数据库

（例如“DB1”），已在应用端添加了Agent（即“DB1”数据库在添加Agent时，

“安装节点类型”选择“应用端”）。则连接该应用端的其他数据库在添加Agent时，

只需要选择“选择已有Agent”添加方式（即选择“DB1”已添加的Agent），如图 4-2所示。

如果您已在该应用端安装了Agent，则该数据库添加Agent后，数据库安全审计即可对其进行审计。有关安装节点的详细介绍，请参见如何选择数据库安全审计的Agent安装节点？。

图4-1 一个应用端连接了多个数据库

说明

连接的数据库类型包括：

● 全是ECS/BMS自建数据库

● 全是RDS关系型数据库

● ECS/BMS自建数据库与RDS关系型数据库

(26)

图4-2 选择已有 Agent

4.8 当数据库安全审计 Agent 的运行状态为“休眠中”时，

如何处理？

待审计的数据库添加Agent后，该Agent的初始运行状态为“休眠中”，如图4-3所示。

图4-3 Agent 添加完成

添加Agent后，您还需要在安装节点上安装Agent，才能使用数据库安全审计。

请您安装Agent后，再查看该Agent的运行状态。有关安装Agent的详细操作，请参见安装Agent。

● 如果安装Agent后Agent正常运行，则该Agent的运行状态，如图4-4所示。

图4-4 Agent 运行正常

● 如果安装Agent后，该Agent的运行状态仍为“休眠中”，请参照Agent与数据库安全审计实例之间通信异常章节进行处理。

4.9 待审计的 RDS 如果连接了多台 ECS，如何部署 Agent？

当待审计的RDS连接了多台ECS，即多个应用端（ECS）连接同一个RDS时，所有的应用端都需要部署Agent，如图4-5所示。

(27)

图4-5 多个应用端连接同一个 RDS

在完成添加数据库操作后，请您参照以下步骤部署Agent：

1. 添加Agent。

所有连接RDS的ECS都需要添加Agent。

有关添加Agent的详细操作，请参见添加Agent。

2. 安装Agent。

下载Agent后，需要在所有连接RDS的ECS上安装Agent。

有关安装Agent的详细操作，请参见安装Agent。

4.10 如何选择数据库安全审计的 Agent 安装节点？

数据库安全审计的Agent可以安装在数据库端、应用端和代理端。建议您按“数据库端

> 应用端 > 代理端”优先级顺序选择Agent的安装节点。

在各节点上安装Agent的详细说明如表4-2所示。有关安装Agent的详细操作，请参见安装Agent。

表4-2 数据库安全审计 Agent 安装说明 Agent安

装节点

使用场景审计功能说明注意事项

数据库端 ECS/BMS自建数据库可以审计所有访问该数据库的应用端的所有访问记录。

添加Agent时，“安装节点类型”

选择“数据库端”，如图4-6所示。

(28)

Agent安 装节点

使用场景审计功能说明注意事项

应用端无法登录到数据库节点的部署环境（例如，RDS关系型数据库）

可以审计该应用端与其连接的所有数据库的访问记录。

● 添加Agent时，“安装节点类型”选择“应用端”，如图 4-7所示。

● 当某个应用端连接了多个数据库时，如果该应用端的某个数据库已在应用端添加了 Agent。其他数据库在添加 Agent时，只需要选择“选择已有Agent”添加方式，如图 4-8所示。

代理端无法登录到数据库节点，

且不能在应用端安装 Agent的部署环境（例如，RDS关系型数据库且应用端在云下）

只能审计代理与后端数据库之间的访问记录，无法审计应用端与后端数据库的访问记录。

添加Agent时，需要将该代理端作为应用端，即“安装节点类型”

选择“应用端”，且“安装节点 IP”需要配置为该代理的IP地址。

添加 Agent 方式说明

● 数据库端

图4-6 在数据库端添加 Agent

● 应用端

(29)

图4-7 在应用端添加 Agent

图4-8 选择已有 Agent

须知

当某个应用端连接了多个数据库时，如果该应用端的一个数据库已经在应用端添加了Agent。其他数据库在添加Agent时，只需要选择“选择已有Agent”添加方式。详细介绍，请参见添加Agent时，在什么场景下需要选择“选择已有

Agent”添加方式？。

● 代理端

(30)

图4-9 在应用端添加 Agent

须知

安装节点IP需要配置为代理的IP地址。

4.11 如何运行数据库安全审计 Agent 程序？

成功添加数据库且开启审计后，请参照以下操作步骤，运行Agent程序。

步骤2 在页面上方选择“区域”后，单击页面左上方的，选择“安全与合规 > 数据库安全服务”，进入数据库安全审计“总览”界面。

步骤3 在左侧导航树中，选择“数据库列表”，进入数据库列表界面。

步骤4 在“选择实例”下拉列表框中，选择需要运行的数据库实例。

步骤5 单击数据库左侧的展开Agent的详细信息，在Agent所在行的“操作”列，单击“下载agent”，将Agent安装包下载到本地。

步骤6 安装Agent。

有关安装Agent的详细操作，请参见安装Agent。

----结束

4.12 如何查看数据库安全审计 Agent 的运行状态？

安装节点安装Agent程序后，请参照以下操作步骤，查看Agent程序的运行状态。

Agent程序的运行状态如表4-3所示。

(31)

Linux 操作系统

步骤1 使用跨平台远程访问工具（例如PuTTY）以root用户通过SSH方式，登录已安装Agent 的节点。

service audit_agent status

如果界面回显以下信息，说明Agent程序运行正常。

audit agent is running.

----结束

Windows 操作系统

步骤1 进入Agent安装文件的目录。

步骤2 双击“status.bat”执行文件，查看Agent的运行状态。

----结束

表4-3 Agent 运行状态

状态说明

正在运行该安装节点的Agent程序正在运行。

已关闭该安装节点的Agent程序已关闭。单击右侧操作栏的“开启”，

可运行该Agent。

说明Agent程序在CPU占用过高时将休眠，运行状态显示“已关闭”。请检查 CPU使用率是否超过Agent配置的CPU阈值，更改阈值或扩容内存以解决该问题。Agent程序将在CPU使用率低于阈值后自动重启。

休眠中添加Agent后，Agent的初始运行状态为“休眠中”。

如需更改状态，请参考当数据库安全审计Agent的运行状态为

“休眠中”时，如何处理？。

4.13 如何下载数据库安全审计的 Agent？

安全组规则添加完成后，您还需要下载Agent，并根据Agent的添加方式在数据库端或应用端安装Agent。

说明

每个Agent都有唯一的AgentID，是Agent连接数据库安全审计实例的重要密钥。若您将添加的 Agent删除，在重新添加Agent后，请重新下载Agent。

前提条件

● 已成功购买数据库安全审计实例，且实例的状态为“运行中”。

(32)

操作步骤

步骤3 在左侧导航树中，选择“数据库列表”，进入数据库列表界面。

步骤4 在“选择实例”下拉列表框中，选择需要下载Agent的数据库所属的实例。

步骤5 单击数据库左侧的展开Agent的详细信息，在Agent所在行的“操作”列，单击“下载agent”，如图4-10所示。将Agent安装包下载到本地。

图4-10 下载 Agent

请根据安装Agent节点的操作系统类型，选择下载相应的Agent安装包。

● Linux操作系统

在“操作系统”为“LINUX64”的数据库中下载Agent安装包

● Windows操作系统

在“操作系统”为“WINDOWS64”的数据库中下载Agent安装包 ----结束

4.14 如何卸载数据库安全审计 Agent 程序？

在数据库端或应用端的节点安装Agent后，当不需要停止审计数据库时，您可以在安装 Agent的节点卸载Agent。

前提条件

已在安装节点安装了Agent程序。

在 Linux 操作系统上卸载 Agent

步骤1 使用跨平台远程访问工具（例如PuTTY）以root用户通过SSH方式，登录已安装Agent 的节点。

步骤2 执行以下命令，进入Agent安装包“xxx.tar.gz”解压后所在目录。

cd Agent安装包解压后所在目录

步骤3 执行以下命令，查看是否有卸载脚本“uninstall.sh”的执行权限。

ll

(33)

● 如果有卸载脚本的执行权限，请执行步骤4。

● 如果没有卸载脚本的执行权限，请执行以下操作：

a. 执行以下命令，添加卸载脚本执行权限。

chmod +x uninstall.sh

b. 确认有安装脚本执行权限后，请执行步骤4。

步骤4 执行以下命令，卸载Agent。

sh uninstall.sh

如果界面回显以下信息，说明卸载成功。

uninstall audit agent...

exist os-release file stopping audit agent audit agent stopped stop audit_agent success

service audit_agent does not support chkconfig uninstall audit agent completed!

----结束

在 Windows 操作系统上卸载 Agent

步骤1 进入Agent安装文件的目录。

步骤2 双击“uninstall.bat”执行文件，卸载Agent。

步骤3 验证Agent已卸载成功。

1. 打开任务管理器，查看“dbss_audit_agent”进程已停止。

2. 查看Agent安装目录，安装目录内容已经全部删除。

----结束

4.15 如何修改 Agent 的 CPU 和内存的阈值？

数据库安全审计Agent的CPU阈值和内存阈值用户不能直接修改。

Agent安装在数据库端的用户，若有需求，请您联系技术支持修改数据库安全审计 Agent的阈值。

Agent安装在应用端的用户，您可以按照以下操作步骤在添加Agent时，配置CPU阈值和内存阈值。

步骤1 登录安装Agent的节点，卸载Agent程序。

步骤2 登录数据库安全服务控制台。

步骤3 在左侧导航栏中，选择“数据库列表”，进入“数据库列表”界面。

步骤4 在“选择实例”下拉框中，选择需要修改AgentCPU阈值和内存阈值的实例。

步骤5 单击数据库左侧的展开Agent的详细信息，在Agent所在行的“操作”列，如图

(34)

图4-11 删除 Agent

步骤6 重新添加Agent。请根据您的业务需求，设置CPU阈值和内存阈值。

CPU阈值和内存阈值系统默认为80%。当Agent程序检测到服务器上的内存或CPU超过设定的阈值时，Agent将立即停止运行。

图4-12 CPU 阈值和内存阈值

步骤7 下载Agent。

每个Agent都有唯一的AgentID，是Agent连接数据库安全审计实例的重要密钥。重新添加Agent后，必须重新下载和安装Agent。

步骤8 安装Agent（Linux操作系统）或安装Agent（Windows操作系统）。

----结束

4.16 如何安装 Agent（Linux 操作系统）？

安装Agent后，你才能开启数据库安全审计功能，对待审计的数据库进行审计。

本节介绍如何在Linux系统上安装Agent。

前提条件

● 数据库已成功添加Agent。

● 已获取Linux操作系统Agent安装包。

● 安装Agent节点的运行系统满足Linux系统版本要求。有关Linux系统版本的要求，

请参见Agent可以安装在哪些Linux操作系统上？。

(35)

安装 Agent

请您根据数据库类型以及数据库的部署环境，在相应节点上安装Agent。

步骤1 将下载的Agent安装包“xxx.tar.gz”上传到待安装Agent的节点（例如使用WinSCP工具）。

步骤2 使用跨平台远程访问工具（例如PuTTY）以root用户通过SSH方式，登录该节点。

步骤3 执行以下命令，进入Agent安装包“xxx.tar.gz”所在目录。

cd Agent安装包所在目录

步骤4 执行以下命令，解压缩“xxx.tar.gz”安装包。

tar -xvf xxx.tar.gz

步骤5 执行以下命令，进入解压后的目录。

cd 解压后的目录

步骤6 执行以下命令，查看是否有安装脚本“install.sh”的执行权限。

ll

● 如果有安装脚本的执行权限，请执行步骤7。

● 如果没有安装脚本的执行权限，请执行以下操作：

a. 执行以下命令，添加安装脚本执行权限。

chmod +x install.sh

b. 确认有安装脚本执行权限后，请执行步骤7。

步骤7 执行以下命令，安装Agent。

sh install.sh

如果界面回显以下信息，说明安装成功。否则，说明Agent安装失败。

start agent starting audit agent audit agent started start success

install dbss audit agent done!

须知

如果Agent安装失败，请您确认安装节点的运行系统是否满足Linux操作系统要求，并重新安装Agent。

如果界面回显以下信息，说明Agent程序运行正常。

(36)

4.17 如何安装 Agent（Windows 操作系统）？

安全组规则添加完成后，您还需要下载Agent，并根据Agent的添加方式在数据库端或应用端安装Agent，将添加的数据库连接到数据库安全审计实例，才能开启数据库安全审计功能。

安装Agent后，你才能开启数据库安全审计功能，对待审计的数据库进行审计。

本节介绍如何在Windows操作系统上安装Agent。

前提条件

● 数据库已成功添加Agent。

● 已获取Windows操作系统Agent安装包。

● 安装Agent节点的运行系统满足Windows系统版本要求。有关Windows系统版本的要求，请参见Agent可以安装在哪些Windows操作系统上？。

安装 Agent

步骤1 在Windows主机安装“Npcap”软件。

● 如果该Windows主机已安装“Npcap”，请执行步骤2。

● 如果该Windows主机未安装“Npcap”，请执行以下步骤：

a. 请前往https://nmap.org/npcap/下载Npcap最新软件安装包。

图4-13 下载 npcap

b. 将下载好的npcap-xxxx.exe软件安装包上传至需要安装agent的虚拟机。

c. 双击npcap软件安装包。

d. 在弹出的对话框中，单击“I Agree”，如图4-14所示。

(37)

图4-14 同意安装“Npcap”

e. 在弹出的对话框中，单击“Install”，不勾选安装选项，如图4-15所示。

图4-15 安装“Npcap”

f. 在弹出的对话框中，单击“Next”。

(38)

g. 单击“Finish”，完成安装。

步骤2 以“Administrator”用户登录到Windows主机。

步骤3 将下载的Agent安装包“xxx.zip”复制到该主机任意一个目录下。

步骤4 进入Agent安装包所在目录，并解压缩安装包。

步骤5 进入解压后的文件夹，双击“install.bat”执行文件。

(39)

步骤6 安装成功，界面如图4-16所示，按任意键结束安装。

图4-16 Agent 安装成功

步骤7 安装完成后，在Windows任务管理器中查看“dbss_audit_agent”进程。

如果进程不存在，说明Agent安装失败，请尝试重新安装Agent。

----结束

4.18 如何处理 Agent 与数据库安全审计实例之间通信异常？

故障现象

在数据库端或应用端安装Agent后，在数据库上输入SQL语句，SQL语句列表中未显示该SQL语句。

建议您按照本章节的操作步骤进行处理：

● 检查添加的数据库信息以及审计状态

● 检查数据库安全审计实例的安全组规则

● 检查安装节点的Agent程序运行状态

检查添加的数据库信息以及审计状态

步骤3 在“选择实例”下拉列表框中，选择需要排查的数据库所属的实例。

(40)

图4-17 查看待审计的数据库信息

● 如果数据库信息正确，请执行步骤5。

● 如果数据库信息错误，请先单击“删除”，删除该数据库，再单击“添加数据库”，重新添加数据库。

– 如果问题已解决，结束操作。

– 如果问题仍存在，请执行步骤5。

步骤5 检查待审计的数据库的审计状态，如图4-18所示。

图4-18 查看待审计的审计状态

● 如果“审计状态”为“已开启”，请执行检查数据库安全审计实例的安全组规则。

● 如果“审计状态”为“已关闭”，请单击“开启”，开启数据库审计。

– 如果问题仍存在，请执行检查数据库安全审计实例的安全组规则。

----结束

检查数据库安全审计实例的安全组规则

步骤1 单击数据库左侧的展开Agent的详细信息，并记录“安装节点IP”，如图4-19所示。

图4-19 记录安装节点 IP 信息

步骤2 在数据库列表的上方，单击“添加安全组”。

步骤3 在弹出的弹框中，记录数据库安全审计实例的“安全组名称”（例如default），如图 4-20所示。

(41)

图4-20 添加安全组规则

步骤4 单击“前往处理”，进入“安全组”列表界面。

步骤5 在列表右上方的搜索框中输入安全组“default”后，单击或按“Enter”，列表显示“default”安全组信息。

步骤6 单击“default”，进入“入方向规则”页面。

步骤7 检查“default”安全组的入方向规则。

请检查该安全组的入方向规则是否已为步骤1中的安装节点IP配置了TCP协议（端口为 8000）和UDP协议（端口为7000-7100）规则。

● 如果该安全组已配置入方向规则，请执行检查安装节点的Agent程序运行状态。

● 如果该安全组未配置入方向规则，请执行步骤8。

步骤8 添加数据库安全审计实例安全组的入方向规则。

1. 单击“添加规则”，如图4-21所示。

图4-21 添加规则

2. 在“添加入方向规则”对话框中，为步骤1中安装节点IP添加TCP协议（端口为 8000）和UDP协议（端口为7000-7100）规则，如图4-22所示。

(42)

图4-22 “添加入方向规则”对话框

3. 单击“确定”。

– 如果问题仍存在，请执行检查安装节点的Agent程序运行状态。

----结束

检查安装节点的 Agent 程序运行状态

● Linux操作系统

a. 使用跨平台远程访问工具（例如PuTTY）以root用户通过SSH方式，登录 Agent的安装节点。

b. 执行以下命令，查看Agent程序的运行状态。

▪

如果界面回显以下信息，说明Agent程序运行正常，请执行效果验证。

▪

如果界面无回显信息，说明Agent程序运行异常，请执行以下命令，重新启动Agent后，再执行效果验证。

service audit_agent restart

● Windows操作系统 a. 打开任务管理器。

b. 查看“dbss_audit_agent”进程运行状态。

▪

如果进程正在运行，请执行效果验证。

▪

如果进程停止，请进入Agent安装文件的目录，双击“start.bat”执行文件，开启审计进程后，再执行效果验证。

效果验证

在数据库中输入一条SQL语句后，在“总览 > 语句”高级选项中搜索执行的语句。

● 如果可以搜索到输入的SQL语句信息，说明问题已解决。

● 如果不能搜索到输入的SQL语句信息，说明问题仍存在，请联系技术支持。

(43)

4.19 Agent 运行时会消耗安装节点多少资源？

Agent在运行时会消耗一定的系统资源（CPU不超过5%，内存不超过300MB），并有以下两个监控措施：

● 监控系统整体的CPU和内存。当CPU或内存超过设定的阈值（默认80%），Agent 将停止运行，不进行流量获取。

● 监控Agent进程本身的CPU和内存。

4.20 Agent 安装失败如何处理？

在安装Agent过程若出现安装失败，您需进行卸载重装。详细步骤如下：

步骤1 在目标数据库卸载Agent。

步骤2 参照添加Agent进行重新添加。

步骤3 添加后下载Agent。

步骤4 重新安装Agent（Linux操作系统）或安装Agent（Windows操作系统）。

----结束

4.21 Agent 安装报错“unsupport this Linux version, please check your Linux version with install

document!”如何解决？

由于在添加Agent时，“安装节点IP”所填写的IP地址为公网IP地址，因此，在下载 Agent后进行安装时会报“unsupport this Linux version, please check your Linux version with install document!”的错误信息，您需要对目标Agent进行卸载重装。详细步骤如下：

1. 在目标数据库卸载Agent；

2. 参照添加Agent进行重新添加，在“安装节点IP”一栏填写能正常使用的内网IP地址；

3. 添加后下载Agent；

4. 重新安装Agent（Linux操作系统）或安装Agent（Windows操作系统）。

(44)

5 数据库安全审计操作类

5.1 如何配置数据库安全审计？

购买数据库安全审计实例后，您需要将待审计的数据库添加到数据库安全审计实例中，并在数据库端、应用端或代理端安装Agent。当待审计的数据库连接到数据库安全审计实例后，数据库安全审计才能对待审计的数据库进行审计。

数据库安全审计还支持批量部署流量采集Agent，针对大规模业务场景（容器化部署应用、数据库（RDS关系型数据库）数量大），能够显著提升产品配置的效率，降低配置的复杂度，减少运维人员的日常维护压力。详细的操作步骤请参见：容器化部署数据库安全审计Agent。

数据库安全审计的配置操作流程如图5-1所示。

常见问题 5 数据库安全审计操作类

(45)

图5-1 数据库安全审计配置流程图

有关数据库安全审计配置操作的详细介绍，请参见：

1. 添加数据库

2. 添加Agent

3. 添加安全组规则

4. 安装Agent

5. 开启数据库安全审计

6. 配置审计规则

– 添加审计范围

– 开启或禁用SQL注入检测

– 添加风险操作

– 配置隐私数据保护规则

5.2 如何关闭数据库 SSL？

数据库开启SSL时，将不能使用数据库安全审计功能。如果您需要使用数据库安全审计功能，请关闭数据库的SSL。

以MySQL数据库自带的客户端为例说明，操作步骤如下：

步骤1 使用MySQL数据库自带的客户端，以root用户登录MySQL数据库。

步骤2 执行以下命令，查看MySQL数据库连接的方式。

(46)

● 如果界面回显类似以下信息，说明MySQL数据库已关闭SSL。

SSL: Not in use

● 如果界面回显类似以下信息，说明MySQL数据库已开启SSL，请执行步骤3。

SSL: Cipher in use is XXX-XXX-XXXXXX-XXX

步骤3 以SSL模式登录MySQL数据库。

1. 执行以下命令，退出MySQL数据库。

exit

2. 以root用户重新登录MySQL数据库。

在登录命令后添加以下参数：

--ssl-mode=DISABLED 或

--ssl=0

须知

以SSL模式登录MySQL数据库，只能关闭本次SSL。当需要使用数据库安全审计功能时，请以本步骤登录MySQL数据库。

3. 执行以下命令，查看MySQL数据库连接的方式。

\s

如果界面回显类似以下信息，说明MySQL数据库已关闭SSL。

SSL: Not in use

----结束

5.3 如何设置数据库安全审计的 INSERT 审计策略？

在添加风险操作时，您可以添加INSERT审计策略，如图5-2所示。

图5-2 添加 INSERT 审计策略

有关添加风险操作的详细操作，请参见添加风险操作。

5.4 如何验证已完成数据库安全审计配置？

开启数据库安全审计功能后，请参考以下操作步骤验证已正确配置数据库安全审计。

(47)

步骤1 在安装Agent的节点输入一条SQL语句（例如“show databases”）。

步骤4 在“选择实例”下拉列表框中，选择需要查看SQL语句信息的实例。

步骤5 选择“语句”页签。

步骤6 在“时间”所在行右侧，单击，选择开始时间和结束时间，单击“提交”，SQL语句列表将显示步骤1输入的SQL语句，如图5-3所示。

图5-3 查看 SQL 语句

● 如果SQL语句列表中显示输入的SQL语句，说明已正确配置数据库安全审计。

● 如果SQL语句列表中未显示输入的SQL语句，说明数据库安全审计功能无法使用，

请按以下方法处理：

– 关闭数据库的SSL。数据库开启SSL时，将不能使用数据库安全审计功能。请参照如何关闭数据库SSL？章节关闭数据库SSL。

– 请参照Agent与数据库安全审计实例之间通信异常章节排查处理。

----结束

5.5 如何对所有数据库设置数据库安全审计规则？

数据库安全审计默认提供一条“全审计规则”的审计范围，可以审计连接数据库安全审计实例的所有数据库。该审计规则默认开启，您只能禁用或启用该审计规则。

在添加风险操作时，您也可以将添加的风险操作应用到连接数据库审计实例的所有数据库，如图5-4所示。

图5-4 风险操作应用到连接到实例的所有数据库

(48)

5.6 如何查看数据库安全审计的版本信息？

请参照以下操作步骤查看数据库安全审计的版本信息。

步骤3 在左侧导航树中，选择“实例列表”，进入“实例列表”界面。

步骤4 单击需要查看信息的实例名称，进入实例概览页面。

步骤5 查看实例版本信息，如图5-5所示。

图5-5 查看实例版本信息

----结束

5.7 如何查看数据库安全审计所有的告警信息？

请参照以下操作步骤查看数据库安全审计的告警信息。

步骤3 在左侧导航树中，选择“实例列表”，进入“实例列表”界面。

步骤4 单击需要查看告警信息的实例名称，选择“监控 > 告警监控”，进入告警监控页面。

步骤5 查看告警信息，如图5-6所示。

图5-6 查看告警信息

(49)

您可以按照以下方法，查询指定的告警信息。

● 选择“时间”（“全部”、“近30分钟”、“近1小时”、“近24小时”、“近7 天”或“近30天”），或单击，选择开始时间和结束时间，单击“确认”，列表显示该时间段的告警信息。

● 选择“风险等级”（“全部”、“高”、“中”或“低”），列表显示该级别的告警信息。

● 选择“告警类型”，列表显示该类型的告警信息。

----结束

5.8 PC 通过内网访问 RDS（即应用端在云下）时，如何使用数据库安全审计？

当PC通过专线内网访问RDS时，您可以将Agent安装到自建的代理端。此时，PC通过代理端访问数据库，数据库安全审计只能审计代理与后端数据库之间的访问记录，无法审计应用端与后端数据库的访问记录。

有关Agent安装节点的详细介绍，请参见如何选择数据库安全审计的Agent安装节点？。

(50)

6 数据库安全审计故障排查类

6.1 数据库安全审计运行正常但无审计记录

故障现象

数据库安全审计实例功能正常，当触发数据库流量后，在SQL语句列表页面搜索执行的语句，不能搜索到相关的审计信息。

可能原因

● 数据库已开启SSL。

● 数据库SQL SERVER协议已开启强行加密。

说明

● 数据库开启SSL时，将不能使用数据库安全审计功能。

● 数据库开启强行加密，数据库安全审计将无法获取文件内容进行分析。

关闭数据库 SSL

以MySQL数据库自带的客户端为例说明，操作步骤如下：

步骤1 使用MySQL数据库自带的客户端，以root用户登录MySQL数据库。

步骤2 执行以下命令，查看MySQL数据库连接的方式。

\s

● 如果界面回显类似以下信息，说明MySQL数据库已关闭SSL，请执行步骤4。

SSL: Not in use

● 如果界面回显类似以下信息，说明MySQL数据库已开启SSL，请执行步骤3。

SSL: Cipher in use is XXX-XXX-XXXXXX-XXX

步骤3 以SSL模式登录MySQL数据库。

1. 执行以下命令，退出MySQL数据库。

exit

2. 以root用户重新登录MySQL数据库。

常见问题 6 数据库安全审计故障排查类

如何为数据库安全审计续费？_数据库安全服务 DBSS_常见问题_购买类_华为云

常见问题

目 录

1 产品咨询类... 1

2 购买类...6

3 数据库安全审计功能类...9

4 数据库安全审计 Agent 相关... 17

5 数据库安全审计操作类... 39

6 数据库安全审计故障排查类...45

7 日志类... 51

A 修订记录... 56

1 产品咨询类

1.1 什么是数据库安全审计？

1.2 数据库安全服务支持哪些性能规格？

1.3 数据库安全服务可以对华为云上的哪些数据库提供保护？

1.4 数据库安全服务支持哪些类型的数据库？

1.5 哪些区域可以使用数据库安全服务？

1.6 为什么购买实例后不能马上查看创建中的实例？

1.7 数据库安全服务上传日志是通过公网的带宽还是内网的带 宽？

1.8 数据库安全服务到期后不续费会影响业务吗？

1.9 PCI、HIPAA、SOX、GDPR 安全合规

1.10 如何获取数据库安全服务销售许可证？

解除浏览器拦截

1.11 数据库安全审计是否支持审计云下数据库和非华为云数 据库？

1.12 什么是区域和可用区？

什么是区域、可用区？

如何选择区域？

如何选择可用区？

区域和终端节点

1.13 数据库安全服务是否支持数据实时脱敏？

1.14 购买 DBSS 服务后添加的数据库不在同一子网有什么影 响？

2 购买类

2.1 购买实例时如何选择“子网”？

2.2 购买实例时提示资源售罄时如何处理？

2.3 购买实例时提示配额不足时如何处理？

2.4 在专属云上购买数据库安全服务会消耗专属云上的资源 吗？

2.5 如何为数据库安全审计续费？

前提条件

数据库安全审计续费

2.6 如何退订数据库安全服务？

系统影响

前提条件

操作步骤

3 数据库安全审计功能类

3.1 数据库安全审计可以跨区域使用吗？

3.2 数据库安全审计可以跨可用区使用吗？

3.3 数据库安全审计（旁路模式）是否会影响业务？

3.4 数据库安全审计支持多个帐号共享使用吗？

3.5 数据库安全审计可以应用于哪些场景？

3.6 数据库安全审计支持哪些数据库？

3.7 数据库安全审计支持数据库部署在哪些操作系统上？

3.8 数据库安全审计支持双向审计吗？

3.9 数据库安全审计可以审计不同 VPC 的数据库吗？

3.10 数据库安全审计支持 TLS 连接的应用吗？

3.11 数据库安全审计的审计数据可以保存多久？

3.12 数据库安全审计发生异常，多长时间用户可以收到告警 通知？

3.13 每天发送告警总条数与每天收到的邮件数是相同的吗？

3.14 为什么不能在线预览数据库安全审计报表？

3.15 在业务侧使用中间件会影响数据库安全审计功能吗？

3.16 DBSS 服务能否对第三方工具执行的 SQL 语句进行捕 捉？

3.17 DBSS 服务是否支持线下部署？

3.18 数据库安全服务实例所属 VPC 是否可以更改？

3.19 如何对接 DBSS 服务审计的数据？

4 数据库安全审计 Agent 相关

4.1 数据库安全审计的 Agent 提供哪些功能？

4.2 数据库安全审计的 Agent 可以安装在哪些 Windows 操 作系统上？

4.3 数据库安全审计的 Agent 可以安装在哪些 Linux 操作系 统上？

4.4 数据库安全审计 Agent 的进程名称是什么？

Linux 操作系统

Windows 操作系统

4.5 （Linux 操作系统）安装 Agent 时没有安装脚本执行权 限，如何处理？

4.6 （Linux 操作系统）数据库安全审计 Agent 客户端日志 保存在哪里？

4.7 添加 Agent 时，在什么场景下需要选择“选择已有 Agent”添加方式？

4.8 当数据库安全审计 Agent 的运行状态为“休眠中”时，

如何处理？

4.9 待审计的 RDS 如果连接了多台 ECS，如何部署 Agent？

4.10 如何选择数据库安全审计的 Agent 安装节点？

添加 Agent 方式说明

4.11 如何运行数据库安全审计 Agent 程序？

4.12 如何查看数据库安全审计 Agent 的运行状态？

目录

1 ^{产品咨询类}

1.7 数据库安全服务上传日志是通过公网的带宽还是内网的带宽？

1.11 数据库安全审计是否支持审计云下数据库和非华为云数据库？

1.14 购买 DBSS 服务后添加的数据库不在同一子网有什么影响？

2 ^购买类

2.4 在专属云上购买数据库安全服务会消耗专属云上的资源吗？

3.12 数据库安全审计发生异常，多长时间用户可以收到告警通知？

3.16 DBSS 服务能否对第三方工具执行的 SQL 语句进行捕捉？

4.2 数据库安全审计的 Agent 可以安装在哪些 Windows 操作系统上？

4.3 数据库安全审计的 Agent 可以安装在哪些 Linux 操作系统上？

4.5 （Linux 操作系统）安装 Agent 时没有安装脚本执行权限，如何处理？

4.6 （Linux 操作系统）数据库安全审计 Agent 客户端日志保存在哪里？

5.8 PC 通过内网访问 RDS（即应用端在云下）时，如何使用数据库安全审计？