云服务器内容精选
-
前提条件 确认实例账号具有相关权限。 请确认购买实例的账号具有“DBSS System Administrator”、“VPC Administrator”、“E CS Administrator”和“BSS Administrator”角色。 VPC Administrator:对虚拟私有云的所有执行权限。项目级角色,在同项目中勾选。 BSS Administrator:对账号中心、费用中心、资源中心中的所有菜单项执行任意操作。项目级角色,在同项目中勾选。 ECS Administrator:对弹性云服务器的所有执行权限。项目级角色,在同项目中勾选。
-
通过Agent方式审计数据库 非表1中的数据库类型及版本,需采用安装Agent方式开启DBSS服务。 图2 快速使用数据库安全审计流程图 表3 快速使用数据库安全审计操作步骤 步骤 配置操作 说明 1 添加数据库 购买数据库安全审计后,您需要将待审计的数据库添加到数据库安全审计实例。 2 添加Agent 添加的数据库开启审计功能后,您需要为添加的数据库选择Agent的添加方式。 数据库安全审计支持对华为云上的ECS/BMS自建数据库和RDS关系型数据库进行审计,请根据您在华为云上实际部署的数据库选择Agent添加方式。 3 添加安全组规则 Agent添加完成后,您还需要为数据库安全审计实例所在的安全组添加入方向规则TCP协议(8000端口)和UDP协议(7000-7100端口),使Agent与审计实例之间的网络连通,数据库安全审计才能对添加的数据库进行审计。 4 安装Agent(Linux操作系统) 安全组规则添加完成后,您还需要下载Agent,并根据Agent的添加方式在数据库端或应用端安装Agent。 5 开启数据库安全审计 Agent安装成功后,您还需要开启数据库安全审计功能,将添加的数据库连接到数据库安全审计实例,才能使用数据库安全审计功能。 6 查看审计结果 数据库安全审计默认提供一条“全审计规则”的审计范围,可以对连接数据库安全审计实例的所有数据库进行审计。开启数据库安全审计后,您可以在数据库安全审计界面查看被添加的数据库的审计结果。 须知: 您可以根据业务需求设置数据库审计规则。有关配置审计规则的详细操作,请参见配置审计规则。
-
背景信息 数据库安全审计支持对华为云上的ECS/BMS自建数据库和RDS关系型数据库进行审计。 数据库安全审计不支持跨区域(Region)使用。待审计的数据库必须和购买申请的数据库安全审计实例在同一区域。 数据库开启SSL时,将不能使用数据库安全审计功能。如果您需要使用数据库安全审计功能,请关闭数据库的SSL。关闭数据库SSL的详细操作,请参见如何关闭数据库SSL?。 有关审计数据的保存说明,请参见数据库安全审计的审计数据可以保存多久?。
-
免Agent方式审计数据库 部分数据库类型及版本支持免安装Agent方式,如表1所示。 表1 支持免Agent安装的关系型数据库 数据库类型 支持的版本 MySQL 默认都支持 PostgreSQL (华为 云审计 实例:23.04.17.123301 及其之后的版本支持) 须知: 当SQL语句大小超过4kb审计时会被截断,会导致审计到的SQL语句不完整。 默认都支持 SQLServer 2008 2012 2014 2016 2017 GaussDB (for MySQL) Mysql8.0 DWS 8.2.0.100及以上版本 MariaDB 10.2 免安装Agent模式配置简单、易操作,但较之安装了Agent的DBSS实例,支持的功能上存在如下差异: 统计会话数量时,无法统计成功登录、与失败登录的会话个数。 无法获取数据库访问时客户端的端口号。 由于GaussDB(DWS)服务具有日志审计开关的权限控制策略,只有华为云账号或拥有Security Administrator权限的用户才能开启或者关闭DWS数据库审计开关。 GaussDB默认不开启ddl,用户需要参照GaussDB用户手册操作开启如下配置: audit_system_object = 130023423,操作请参考:GaussDB开发指南。 datastyle=ISO,YMD,保证日期格式为yyyy-MM-dd HH:mm:ss+Z。 图1 免Agent安装流程 表2 快速使用数据库安全审计操作步骤 步骤 配置操作 说明 1 添加数据库 购买数据库安全审计后,您需要将待审计的数据库添加到数据库安全审计实例。 申请数据库安全审计后,您需要将待审计的数据库添加到数据库安全审计实例。 2 开启数据库安全审计 您需要开启数据库安全审计功能,将添加的数据库连接到数据库安全审计实例,才能使用数据库安全审计功能。 3 查看审计结果 数据库安全审计默认提供一条“全审计规则”的审计范围,可以对连接数据库安全审计实例的所有数据库进行审计。开启数据库安全审计后,您可以在数据库安全审计界面查看被添加的数据库的审计结果。 须知: 您可以根据业务需求设置数据库审计规则。有关配置审计规则的详细操作,请参见配置审计规则。
-
安装Agent 在Windows主机安装“Npcap”软件。 如果该Windows主机已安装“Npcap”,请执行2。 如果该Windows主机未安装“Npcap”,请执行以下步骤: 请前往https://nmap.org/npcap/下载Npcap最新软件安装包。 图5 下载npcap 将下载好的npcap-xxxx.exe软件安装包上传至需要安装agent的虚拟机。 双击npcap软件安装包。 在弹出的对话框中,单击“I Agree”,如图6所示。 图6 同意安装“Npcap” 在弹出的对话框中,单击“Install”,不勾选安装选项,如图7所示。 图7 安装“Npcap” 在弹出的对话框中,单击“Next”。 单击“Finish”,完成安装。 以“Administrator”用户登录到Windows主机。 将下载的Agent安装包“xxx.zip”复制到该主机任意一个目录下。 进入Agent安装包所在目录,并解压缩安装包。 进入解压后的文件夹,双击“install.bat”执行文件。 安装成功,界面如图8所示,按任意键结束安装。 图8 Agent安装成功 安装完成后,在Windows任务管理器中查看“dbss_audit_agent”进程。 如果进程不存在,说明Agent安装失败,请尝试重新安装Agent。
-
常见安装场景 请您根据数据库的类型以及部署场景,在数据库端或应用端安装Agent。数据库常见的部署场景说明如下: ECS/BMS自建数据库的常见部署场景如图1和图2所示。 图1 一个应用端连接多个ECS/BMS自建数据库 图2 多个应用端连接同一个ECS/BMS自建数据库 RDS关系型数据库的常见部署场景如图3和图4所示。 图3 一个应用端连接多个RDS 图4 多个应用端连接同一个RDS 安装Agent节点的详细说明如表1所示。 当您的应用和数据库(ECS/BMS自建数据库)都部署在同一个节点上时,Agent需在数据库端安装。 表1 安装Agent场景说明 使用场景 Agent安装节点 审计功能说明 注意事项 ECS/BMS自建数据库 数据库端 可以审计所有访问该数据库的应用端的所有访问记录。 在数据库端安装Agent。 当某个应用端连接多个ECS/BMS自建数据库时,需要在所有连接该应用端的数据库端安装Agent。 RDS关系型数据库 应用端(应用端部署在云上) 可以审计该应用端与其连接的所有数据库的访问记录。 在应用端安装Agent。 当多个应用端连接同一个RDS时,所有连接该RDS的应用端都需要安装Agent。 RDS关系型数据库 代理端(应用端部署在云下) 只能审计代理端与后端数据库之间的访问记录,无法审计应用端与后端数据库的访问记录。 在代理端安装Agent。
-
操作步骤 使用root账号,登录主机。 执行以下命令,安装Agent,安装脚本分为agent_install.sh和agentInstall.sh,分别对应以下两种命令。 新架构Agent: cd /usr/local && curl -k -O ${download_url} && bash agent_install.sh -t ${version} -r ${regionID} 老架构Agent: cd /usr/local && curl -k -O ${download_url} && bash agentInstall.sh 表1中老架构的区域包括:华南-广州-友好用户环境、拉美-圣保罗一、拉美-墨西哥城一,其余都属于新架构 将${download_url} 替换成表1中的下载路径,将${version}替换成Agent版本特性中的版本,将${regionID}替换成表1中的regionID。例如,用北京一下载地址替换${download_url},对应的安装命令为: cd /usr/local && curl -k -O https://obs.cn-north-1.myhuaweicloud.com/uniagent-cn-north-1/package/agent_install.sh && bash agent_install.sh -t 2.5.6 -r cn-north-1 命令执行完成时,输出Telescope process starts successfully.则代表安装成功。 执行如下命令,清除安装脚本。 if [[ -f /usr/local/uniagent/extension/install/telescope/bin/telescope ]]; then rm /usr/local/agent_install.sh; else rm /usr/local/agentInstall.sh; fi Agent插件配置完成后,因监控数据暂未上报,插件状态仍显示“未安装”,等待3-5分钟,刷新即可。
-
前提条件 已配置DNS和安全组,配置方法参考如何配置DNS和安全组?。 已配置委托,配置方法参考如何配置委托?。 确保操作步骤中的安装目录都有读写权限,安装用户为root,并且安装成功后的Telescope进程不会被其他软件关闭。 确保已下载Agent安装脚本,获取脚本的方式如下: 表1 获取Linux镜像的Agent安装脚本 区域 regionID 下载路径 华北-北京一 cn-north-1 https://obs.cn-north-1.myhuaweicloud.com/uniagent-cn-north-1/package/agent_install.sh 华北-北京四 cn-north-4 https://obs.cn-north-4.myhuaweicloud.com/uniagent-cn-north-4/package/agent_install.sh 华北-乌兰察布一 cn-north-9 https://obs.cn-north-9.myhuaweicloud.com/uniagent-cn-north-9/package/agent_install.sh 华南-广州 cn-south-1 https://obs.cn-south-1.myhuaweicloud.com/uniagent-cn-south-1/package/agent_install.sh 华南-广州-友好用户环境 cn-south-4 https://telescope-cn-south-4.obs.cn-south-4.myhuaweicloud.com/scripts/agentInstall.sh 华南-深圳 cn-south-2 https://obs.cn-south-2.myhuaweicloud.com/uniagent-cn-south-2/package/agent_install.sh 华东-上海一 cn-east-3 https://obs.cn-east-3.myhuaweicloud.com/uniagent-cn-east-3/package/agent_install.sh 华东-上海二 cn-east-2 https://obs.cn-east-2.myhuaweicloud.com/uniagent-cn-east-2/package/agent_install.sh 西南-贵阳一 cn-southwest-2 https://obs.cn-southwest-2.myhuaweicloud.com/uniagent-cn-southwest-2/package/agent_install.sh 中国-香港 ap-southeast-1 https://obs.ap-southeast-1.myhuaweicloud.com/uniagent-ap-southeast-1/package/agent_install.sh 亚太-曼谷 ap-southeast-2 https://obs.ap-southeast-2.myhuaweicloud.com/uniagent-ap-southeast-2/package/agent_install.sh 亚太-新加坡 ap-southeast-3 https://obs.ap-southeast-3.myhuaweicloud.com/uniagent-ap-southeast-3/package/agent_install.sh 亚太-雅加达 ap-southeast-4 https://obs.ap-southeast-4.myhuaweicloud.com/uniagent-ap-southeast-4/package/agent_install.sh 非洲-约翰内斯堡 af-south-1 https://obs.af-south-1.myhuaweicloud.com/uniagent-af-south-1/package/agent_install.sh 拉美-圣地亚哥 la-south-2 https://obs.la-south-2.myhuaweicloud.com/uniagent-la-south-2/package/agent_install.sh 拉美-圣保罗一 sa-brazil-1 https://telescope-sa-brazil-1.obs.myhuaweicloud.com/scripts/agentInstall.sh 拉美-墨西哥城一 na-mexico-1 https://telescope-na-mexico-1.obs.myhuaweicloud.com/scripts/agentInstall.sh 拉美-墨西哥城二 la-north-2 https://uniagent-la-north-2.obs.la-north-2.myhuaweicloud.com/package/agent_install.sh 中东-利雅得 me-east-1 https://uniagent-me-east-1.obs.me-east-1.myhuaweicloud.com/package/agent_install.sh
-
前提条件 云服务器的“状态”为“运行中”,且可正常访问公网。 云服务器安全组出方向的设置允许访问100.125.0.0/16网段的10180端口(默认允许访问,如做了改动请修正)。 云服务器的DNS服务器地址已配置为华为云内网 DNS地址 ,具体请参考修改云服务器的DNS服务器地址和华为云内网DNS地址。 安装Agent的磁盘剩余可用容量大于300M,否则可能导致Agent安装失败。 云服务器已关闭Selinux防火墙(防止Agent安装失败,请安装成功后再打开)。 如果云服务器已安装第三方安全软件,可能会导致主机安全服务Agent无法正常安装,请您关闭或卸载第三方安全软件后再安装Agent。 待安装Agent的服务器支持SSH登录。
-
安装场景 主机安全服务支持华为云主机和非华为云主机两种安装方式,请按表1进行选择。 表1 安装场景 服务器类型 如何安装Agent 华为云弹性 云服务器ECS 华为云裸金属服务器BMS 华为云云耀云服务器HECS 主机与HSS配额在同一区域,请使用华为云主机的安装方式。 主机与HSS配额不在同一区域,请退订配额后,重新购买主机所在区域的配额。 华为云 云桌面Workspace 云桌面 镜像中已预置HSS Agent,购买云桌面23.6.0及以后版本将会自动安装Agent,无需您手动安装。如果您购买的云桌面是23.6.0以前的版本,可以参照本文手动为云桌面安装Agent。 第三方云主机 非华为云主机的安装方式。 目前北京一、北京四、上海一、上海二、广州、新加坡、香港区域支持非华为云主机的安装方式,其他区域敬请期待。 在非华为云主机中安装Agent后,在防护列表中,您可以根据主机的IP地址查找该主机。 线下主机
-
约束与限制 华为云主机 主机与HSS必须在同一区域,并使用配额所在区域的安装命令或安装包为主机安装Agent,否则会导致HSS Agent安装失败。若主机与HSS配额不在同一区域,请退订重新购买主机所在区域的配额。 非华为云主机 当前仅“华北-北京一”、“华东-上海二”、“华南-广州”、“华北-北京四”可接入非华为云的主机,请在以上区域内购买防护配额,并使用以上区域内的安装包或安装命令为主机安装Agent。 非华为云主机需要能通过公网IP访问华为云,才能接入HSS。安装Agent后,在防护列表中,您可以根据主机的IP地址查找该主机。 由于主机的性能差异,非华为云的主机与 企业主机安全 服务的兼容性可能较差,为使您获得良好的服务体验,建议您使用华为云主机。 安装Agent时,请暂时清理主机中可能干扰主机安装的应用进程和配置信息(例,McAfee软件、360安全卫士、腾讯管家等第三方安全防护软件),防止Agent安装失败。
更多精彩内容
CDN加速
GaussDB
文字转换成语音
免费的服务器
如何创建网站
域名网站购买
私有云桌面
云主机哪个好
域名怎么备案
手机云电脑
SSL证书申请
云点播服务器
免费OCR是什么
电脑云桌面
域名备案怎么弄
语音转文字
文字图片识别
云桌面是什么
网址安全检测
网站建设搭建
国外CDN加速
SSL免费证书申请
短信批量发送
图片OCR识别
云数据库MySQL
个人域名购买
录音转文字
扫描图片识别文字
OCR图片识别
行驶证识别
虚拟电话号码
电话呼叫中心软件
怎么制作一个网站
Email注册网站
华为VNC
图像文字识别
企业网站制作
个人网站搭建
华为云计算
免费租用云托管
云桌面云服务器
ocr文字识别免费版
HTTPS证书申请
图片文字识别转换
国外域名注册商
使用免费虚拟主机
云电脑主机多少钱
鲲鹏云手机
短信验证码平台
OCR图片文字识别
SSL证书是什么
申请企业邮箱步骤
免费的企业用邮箱
云免流搭建教程
域名价格