华为云用户手册

设置高级页面基本信息 高级页面创建后，支持设置高级页面的基本信息，如名称、路径名称、标题等。 参考登录AstroZero新版应用设计器中操作，进入应用设计器。 在应用设计器的左侧导航栏中，选择“界面”。 将鼠标放在对应的高级页面上，单击，选择“设置”。 在“基本信息”页签中，修改所需参数，单击“保存”。 表2 设置高级页面基本信息参数说明 参数 说明 名称 高级页面的名称，即创建高级页面时设置的名称，可根据实际需求进行修改。命名要求如下： 长度范围为1~100个字符。 必须以字母开头，由字母、数字或单下划线组成，且单下划线不能连续。 路径名称 路径名称和高级页面名称保持一致，可根据实际需求进行修改。命名要求如下： 长度范围为1~100个字符。 必须以字母开头，由字母，数字或单下划线组成。 标题 高级页面的标题，即创建高级页面时设置的标签，可根据实际需求进行修改。 描述 根据实际需求，在输入框中输入高级页面的描述信息。 关键字 用于和接口进行交互。 拉伸 勾选后，高级页面宽度会扩展至100%，以适应整个浏览器或设备的可视宽度，同时组件内容的宽度也会根据容器的宽度进行调整。默认为不勾选。 缩放和拖移 发布后的高级页面中，组件是否支持用户缩放或拖动。 默认为不勾选。 页面是否可定制修改 在扩展应用中，是否支持从依赖的应用中，将该高级页面导入。 默认为不勾选。 浏览器缓存有效期（天） 间隔多少天刷新一次浏览器缓存。

为高级页面设置水印 高级页面创建后，支持为高级页面添加水印。水印可以用于标识页面的所有者、状态或其他相关信息，建议不要过多的设置水印，可能会影响页面的美观。 参考登录AstroZero新版应用设计器中操作，登录应用设计器。 在左侧导航栏中，选择“界面”。 将鼠标放在对应的高级页面上，单击，选择“设置”。 在“水印”页签，参照表1设置参数，单击“保存”。 图1 水印设置 图2 设置后效果 表1 新增水印参数说明 参数 说明 启用水印 是否给该页面启用水印。 重复渲染 当需要设置满页面水印时，开启该项。 水印内容 设置水印文本内容。 水印长度 水印矩形框的长度。 水印宽度 水印矩形框的宽度。 水平起始位置 当关闭“重复渲染”时，才可设置，表示单个水印在页面的水平起始位置。 垂直起始位置 当关闭“重复渲染”时，才可设置，表示单个水印在页面的垂直起始位置。 字体颜色 水印字体的颜色。 字体大小 水印字体的大小。 旋转角度 水印的旋转角度，取值范围-180~180，即逆时针或者顺时针旋转180度。 透明度 水印的透明度设置。

克隆高级页面 页面创建完成后，支持将高级页面克隆到当前应用中。例如，应用A中存在两个或多个功能类似的高级页面，此时可基于已创建的高级页面克隆出一个新页面，基于克隆后的页面进行修改，减少重复创建的操作。 参考登录AstroZero新版应用设计器中操作，进入应用设计器。 在应用设计器的左侧导航栏中，选择“界面”。 将鼠标放在对应的高级页面上，单击，选择“克隆”。 输入高级页面的名称和唯一标识，单击“确认”。 克隆成功后，自动进行克隆后的高级页面。

高级页面组件分类 高级页面支持的组件类型，以及每个类型下所包含的具体组件，如表1所示。通过该表，可帮助您快速了解各组件的位置分类，更加高效的开发高级页面。当预置组件不满足需求时，还可以自定义组件并上传到高级页面中使用，详情请参见为AstroZero高级页面添加自定义组件。 表1 高级页面预置组件 组件类型 组件 图表 饼图：通过饼图的形式，将数据信息清晰的展示在页面上。包括实心圆饼图、轮播饼图、满月饼图、基本饼图、贪吃蛇饼图、玫瑰花饼图和渐变色饼图。 线状图：通过折线变换的形式，对数据进行展现，可直观展示数据的变化趋势。包括区域图、多区域折线图、基本折线图和多折线图。 水位图：通过水位图的形式，用于匹配不同风格、场景的高级页面。包括水位图、箭头水位图、水滴水位图、钻石水位图、三角形水位图、圆角矩形水位图和矩形水位图。 柱状图：通过柱形图，来呈现数据整体的表现。包括进度条、水平基本柱图、水平堆叠柱图、折柱图、基本漏斗图、双向柱图、基本柱图、数据标记柱图、瀑布柱图和热力图。 散点图：使用气泡形状，来展现数据的大小分布情况，包括散点图和气泡图。 雷达图：通过极坐标的展现形式，使用围合的区域，来表示数据在不同维度的具体表现。 媒体 轮播：通过轮播的方式，来实现图片广告位的展示。 图片：用于直接展示需要呈现的图片数据。 视频播放器：用于播放FLV（Flash Video）格式的视频。 地图 地图：支持百度、谷歌、高德、超图、中地数码和伟岸纵横地图，其中高德地图支持3D模式。 可配置地图中心点、缩放级别、样式等属性。 可在地图上添加图标、信息窗口等覆盖物。 可进行路径规划。 文本 翻牌器：通过设置翻盘动画效果，来动态展示数据的变化过程。 通用表格：通过表格的方式，将数据信息以表格的形式清晰的展示在高级页面上。 时间展示：用于展示包含年月日、时分秒的全量时间，并可设置显示对应星期值。 文本编辑：用于显示多行文本，可对接数据集并设置交互。 装饰 自定义背景框：装饰组件的一种，包括大标题背景、小标题背景、页面背景和内容背景。可根据不同的设计需求，选择不同的背景框，以增加视觉效果。 仪表盘 仪表盘：通过仪表的特殊展示方式，对数据进行展示。 导航 路由视图：通过配置不同页面，在当前页面呈现其它页面效果。该组件可降低对当前页面资源的占用，提升性能。 路由导航（示例）：通过配置不同的路由页面，快速切换和定位到其它的页面中，给数据页面提供更多的交互模式。 选项卡：用于快速在页面某区域中切换不同内容，显示为其关联内容上方的单行元素。 其它 用户自定义的组件会显示在“其他”中。

在脚本中，调用动作 创建一个脚本，通过在脚本中调用Rest服务中添加的动作，将第三方提供的业务功能集成到AstroZero中使用。 参考登录AstroZero新版应用设计器中操作，登录应用设计器。 在左侧导航栏中，选择“逻辑”。 单击脚本后的，设置脚本名称，单击“添加”。 图12 新增一个空脚本 在脚本编辑器中，输入如下代码。 // Here's your code. import * as connector from "connector"; let client = connector.newClient("命名空间__test", "test1"); let result = client.invoke("命名空间_flapRefund", {}); console.log(result) 其中，“命名空间__test”表示连接器的名称，“test1”为创建自定义连接器对接Rest服务配置的认证信息名称，“命名空间__flapRefund”为创建并启用Rest动作中配置的动作名称。 单击脚本编辑器页面上方的，保存脚本。 脚本保存成功后，单击，运行脚本。 在页面底部“输入参数”页签中，输入请求参数，单击测试窗口右上角的。 在“日志”页签，查看打印的日志。

示例流程 图1 给用户授予ESW权限流程 创建用户组并授权 在 IAM 控制台创建用户组，并授予VPC只读权限“VPC ReadOnlyAccess”。 创建用户并加入用户组 在IAM控制台创建用户，并将其加入1中创建的用户组。 用户登录并验证权限。 新创建的用户登录控制台，切换至授权区域，验证权限： 在“服务列表”中选择企业交换机，进入ESW主界面，单击右上角“购买”，尝试购买企业交换机，如果无法购买企业交换机（假设当前权限仅包含VPC ReadOnlyAccess），表示“VPC ReadOnlyAccess”已生效。 在“服务列表”中选择弹性云服务器（假设当前策略仅包含VPC ReadOnlyAccess），如果提示权限不足，表示“VPC ReadOnlyAccess”已生效。

前提条件 确认实例账号具有相关权限。 请确认购买实例的账号具有“DBSS System Administrator”、“VPC Administrator”、“E CS Administrator”和“BSS Administrator”角色。 VPC Administrator：对虚拟私有云的所有执行权限。项目级角色，在同项目中勾选。 BSS Administrator：对账号中心、费用中心、资源中心中的所有菜单项执行任意操作。项目级角色，在同项目中勾选。 ECS Administrator：对弹性云服务器的所有执行权限。项目级角色，在同项目中勾选。

前提条件 给用户组授权之前，请您了解用户组可以添加的DBSS权限，并结合实际需求进行选择，DBSS系统策略如表1所示。DBSS支持的系统权限，请参见：DBSS系统权限。若您需要对除DBSS之外的其它服务授权，IAM支持服务的所有权限请参见系统权限。 表1 DBSS系统权限 系统角色/策略名称 描述 类别 依赖关系 DBSS Audit Administrator 数据库安全服务审计管理员，拥有审核数据库安全服务日志信息的权限。 系统角色 无。 DBSS FullAccess 数据库安全服务所有权限。 系统策略 DBSS ReadOnlyAccess 数据库安全服务只读权限，拥有该权限的用户仅能查看数据库安全服务，不具备服务配置权限。 系统策略

示例流程 图1 给用户授权服务权限流程 创建用户组并授权 在IAM控制台创建用户组，并授予数据库安全服务管理员权限“DBSS Security Administrator”。 创建用户并加入用户组 在IAM控制台创建用户，并将其加入1中创建的用户组。 用户登录并验证权限 新创建的用户登录控制台，切换至授权区域，验证权限： 验证方式（参考）：您可以尝试开启或关闭实例，此时如果提示“您的权限不足”，则表示设置的“DBSS Security Administrator”数据库安全服务安全管理员角色已生效。

相关操作 后续您可以根据情况，在账号管理页面进行以下操作： 编辑账号：单击“编辑”，编辑账号信息。 删除账号：单击“删除”，删除账号。 单条账号改密：单击“改密配置”，根据需求设置改密规则。 批量账号改密：选中账号，单击“批量改密”，根据需求设置改密规则。 进行改密设置前，请确认数据库账号拥有改密权限，或已添加管理员账号。 批量关闭周期改密：单击关闭自动改密，选中目标资产，批量关闭已设置的周期改密功能。 添加账号信息后，您可以将数据库操作员和数据库账号进行关联，以实现Web认证授权和密码代填。具体操作，请参见管理运维人员。

使用约束 表1 数据库运维支持纳管的数据源及版本 兼容性软件名称 兼容版本情况 功能差异化描述 数据库 版本 协议解析单向 协议解析双向 风险扫描 密码代填 web认证 Oracle 11.1.0.60 √ √ √ √ √ 11.2.0.1 √ √ √ √ √ 12.2.0.1 √ × √ √ √ 19c √ × √ √ √ 12.1.0.2 √ √ √ √ √ 11.2.0.4 √ √ √ √ √ MySQL 5.5 （测试版本：5.5.64-MariaDB） √ √ × √ √ 5.6 √ √ × √ √ 5.7.29 √ √ × √ √ 5.7.36 √ √ × √ √ 5.7.32 √ √ × √ √ 8.0.21 √ √ × √ √ 8.0.22 √ √ × √ √ 8.0.27 √ √ × √ √ 8.0.28 √ √ × √ √ SQL Server 2008 √ √ √ × √ 2014 √ √ √ × √ 2019 √ √ √ × √ DB2 8 √ × √ √ √ 10 √ × √ √ √ DM7 7.1.2 √ × √ √ √ DM8 8.1.2.84 √ × × √ √ PostgreSQL 10 √ √ × × √ 12.2 √ √ × √ × 9.6.6 √ × × × √ 12.4 √ √ × √ √ 12.3 √ √ × √ √ Hive 1.1 √ × × × × 2.1.1 √ √ × × × Kingbase 7.1.2.0480 √ × × × × GaussDB 100 √ × × × × 200 √ × × × × TDSQL 10.3.14.6.0_D014 √ √ × × × TBase（TBase（PG） V2.15.17.3.6 √ √ × × × GreemPlum 4.3.8.1 √ × × √ √

相关操作 在数据源列表“策略配置”列单击，跳转到加密队列配置页面。建议在配置加密队列前进行敏感数据识别，具体操作，请参见扫描资产的敏感数据。 在数据源列表“策略配置”列单击，跳转到脱敏规则配置页面。建议在配置脱敏规则前进行敏感数据识别，具体操作，请参见扫描资产的敏感数据。 在数据源列表“操作”列单击“编辑”，修改数据资产信息。 在数据源列表“操作”列单击“删除”，删除不再需要的数据资产。 如果提示当前数据库未回滚表结构，请根据实际情况，回滚表结构或者配置解密队列。

使用约束 表1 数据库加密支持纳管的数据源及版本 数据库 版本号 MySQL 5.5 、5.6、5.7、8.0、8.0.13+ Oracle 11.1、11.2、12c、19c SQLServer 2012、2016 PostgreSQL 9.4、 11.5 DM 6、7.6、8.1 Kingbase V8 R3、V8 R6 MariaDB 10.2 GaussDB A TDSQL 5.7 TBASE V2.15.17.3 RDS_MYSQL 5.6、5.7、8.0 RDS_PostgreSQL 11 表2 数据库加密的数据库账号权限 数据库 需要select权限的系统表名 数据库账号权限 MySQL mysql.user performance_schema.* select insert create update delete drop alter index RDS_MYSQL mysql.user performance_schema.* select insert create update delete drop alter index TDSQL mysql.user performance_schema.* select insert create update delete drop alter index MariaDB mysql.user performance_schema.* select insert create update delete drop alter index DM SYS.ALL_SUBPART_KEY_COLUMNS SYS.ALL_USERS SYS.ALL_CONS_COLUMNS SYS.ALL_CONSTRAINTS SYS.ALL_TABLES SYS.ALL_TABLE_COLUMNS SYS.ALL_COL_COMMENTS SYS.ALL_PART_KEY_COLUMNS SYS.ALL_IND_COLUMNS SYS.ALL_INDEXS V$VERSION V$LOCK SYS.DBMS_LOB SYS.DBMS_METADATA 用户角色必须是dba postgreSQL pg_catalog.pg_class pg_catalog.pg_index pg_catalog.pg_user pg_catalog.pg_indexes information_schema.columns information_schema.sequences information_schema.tables pg_catalog.pg_sequence 用户必须是表的owner或者是dba RDS_PostgreSQL pg_catalog.pg_class pg_catalog.pg_index pg_catalog.pg_user pg_catalog.pg_indexes information_schema.columns information_schema.sequences information_schema.tables pg_catalog.pg_sequence 用户必须是表的owner或者是dba TBASE pg_catalog.pg_class pg_catalog.pg_index pg_catalog.pg_user pg_catalog.pg_indexes information_schema.columns information_schema.sequences information_schema.tables pg_catalog.pg_sequence 用户必须是表的owner或者是dba GAUSSDB pg_catalog.pg_class pg_catalog.pg_index pg_catalog.pg_user pg_catalog.pg_indexes information_schema.columns information_schema.sequences information_schema.tables pg_catalog.pg_sequence 用户必须是表的owner或者是dba KINGBASE 8.6（pg模式） pg_catalog.pg_class pg_catalog.pg_index pg_catalog.pg_user pg_catalog.pg_indexes information_schema.columns information_schema.sequences information_schema.tables pg_catalog.pg_sequence pg_catalog.pg_matviews 用户必须是表的owner或者是dba KINGBASE 8.3 sys_catalog.sys_class sys_catalog.sys_index sys_catalog.sys_user sys_catalog.sys_indexes information_schema.columns information_schema.sequences information_schema.tables sys_catalog.sys_sequence sys_catalog.sys_matviews 用户必须是表的owner或者是dba Oracle SYS.ALL_SUBPART_KEY_COLUMNS SYS.DUAL SYS.ALL_USERS SYS.ALL_CONS_COLUMNS SYS.ALL_CONSTRAINTS SYS.ALL_TABLES SYS.ALL_TABLE_COLUMNS SYS.ALL_COL_COMMENTS SYS.ALL_PART_KEY_COLUMNS SYS.ALL_IND_COLUMNS SYS.ALL_INDEXS SYS.V_$INSTANCE SYS.DBMS_LOB SYS.DBMS_METADATA DBA_TABLES DBA_TAB_COLS 用户角色必须是dba SQLserver sys.tables sys.indexes sys.index_columns sys.default_constraints sys.systypes sys.extended_properties sys.foreign_key_columns sys.check_constraints sys.foreign_keys sys.columns sys.objects sys.all_columns sys.types sys.syslogins sys.all_objects sys.schemas sys.key_constraints sys.computed_columns sys.triggers sys.partition_schemes sys.dm_sql_referencing_entities schemaSelect schemaInsert schmeaUpdate schemaAlter createTable VIEW SERVER STATE 加密表的select 加密表的insert 加密表的alter

背景信息 数据库安全审计支持对华为云上的ECS/BMS自建数据库和RDS关系型数据库进行审计。 数据库安全审计不支持跨区域（Region）使用。待审计的数据库必须和购买申请的数据库安全审计实例在同一区域。 数据库开启SSL时，将不能使用数据库安全审计功能。如果您需要使用数据库安全审计功能，请关闭数据库的SSL。关闭数据库SSL的详细操作，请参见如何关闭数据库SSL？。 有关审计数据的保存说明，请参见数据库安全审计的审计数据可以保存多久？。

免Agent方式审计数据库 部分数据库类型及版本支持免安装Agent方式，如表1所示。 表1 支持免Agent安装的关系型数据库 数据库类型 支持的版本 MySQL 默认都支持 PostgreSQL （华为 云审计 实例：23.04.17.123301 及其之后的版本支持） 须知： 当SQL语句大小超过4kb审计时会被截断，会导致审计到的SQL语句不完整。 默认都支持 SQLServer 2008 2012 2014 2016 2017 GaussDB(for MySQL) Mysql8.0 DWS 8.2.0.100及以上版本 MariaDB 10.2 免安装Agent模式配置简单、易操作，但较之安装了Agent的DBSS实例，支持的功能上存在如下差异： 统计会话数量时，无法统计成功登录、与失败登录的会话个数。 无法获取数据库访问时客户端的端口号。 由于GaussDB(DWS)服务具有日志审计开关的权限控制策略，只有华为云账号或拥有Security Administrator权限的用户才能开启或者关闭DWS数据库审计开关。 GaussDB默认不开启ddl，用户需要参照GaussDB用户手册操作开启如下配置： audit_system_object = 130023423，操作请参考：GaussDB开发指南。 datastyle=ISO,YMD，保证日期格式为yyyy-MM-dd HH:mm:ss+Z。 图1 免Agent安装流程 表2 快速使用数据库安全审计操作步骤 步骤 配置操作 说明 1 添加数据库 购买数据库安全审计后，您需要将待审计的数据库添加到数据库安全审计实例。 申请数据库安全审计后，您需要将待审计的数据库添加到数据库安全审计实例。 2 开启数据库安全审计 您需要开启数据库安全审计功能，将添加的数据库连接到数据库安全审计实例，才能使用数据库安全审计功能。 3 查看审计结果 数据库安全审计默认提供一条“全审计规则”的审计范围，可以对连接数据库安全审计实例的所有数据库进行审计。开启数据库安全审计后，您可以在数据库安全审计界面查看被添加的数据库的审计结果。 须知： 您可以根据业务需求设置数据库审计规则。有关配置审计规则的详细操作，请参见配置审计规则。

常见场景 请您根据数据库类型以及数据库部署场景，为待审计的数据库添加Agent。数据库常见的部署场景说明如下： ECS/BMS自建数据库的常见部署场景如图1和图2所示。 图1 一个应用端连接多个ECS/BMS自建数据库 图2 多个应用端连接同一个ECS/BMS自建数据库 RDS关系型数据库的常见部署场景如图3和图4所示。 图3 一个应用端连接多个RDS 图4 多个应用端连接同一个RDS 添加Agent方式的详细说明如表1所示。 当您的应用和数据库（ECS/BMS自建数据库）都部署在同一个节点上时，Agent需在数据库端添加。 数据库安全审计还支持批量部署流量采集Agent，针对大规模业务场景（容器化部署应用、数据库（RDS关系型数据库）数量大），能够显著提升产品配置的效率，降低配置的复杂度，减少运维人员的日常维护压力。详细操作步骤，请参见容器化部署数据库安全审计Agent。 表1 添加Agent方式说明 使用场景 Agent安装节点 审计功能说明 注意事项 ECS/BMS自建数据库 数据库端 可以审计所有访问该数据库的应用端的所有访问记录。 在数据库端添加Agent。 当某个应用端连接多个ECS/BMS自建数据库时，所有连接该应用端的数据库都需要添加Agent。 RDS关系型数据库 应用端 （应用端部署在云上） 可以审计该应用端与其连接的所有数据库的访问记录。 在应用端添加Agent。 当某个应用端连接多个RDS时，所有连接该应用端的RDS关系型数据库都需要添加Agent。当其中一个RDS选择“安装节点类型”后，其余RDS添加Agent时，选择“选择已有Agent”添加方式。详细操作请参见•“添加方式”选择“选择已有Agent” 当多个应用端连接同一个RDS时，所有连接该RDS的应用端都需要添加Agent。 代理端（应用端部署在云下） 只能审计代理端与后端数据库之间的访问记录，无法审计应用端与后端数据库的访问记录。 在应用端添加Agent。 “安装节点IP”需要配置为代理端的IP地址。

前提条件 确认实例账号具有相关权限。 请确认购买实例的账号具有“DBSS System Administrator”、“VPC Administrator”、“ECS Administrator”和“BSS Administrator”角色。 VPC Administrator：对虚拟私有云的所有执行权限。项目级角色，在同项目中勾选。 BSS Administrator：对账号中心、费用中心、资源中心中的所有菜单项执行任意操作。项目级角色，在同项目中勾选。 ECS Administrator：对弹性云服务器的所有执行权限。项目级角色，在同项目中勾选。

效果验证 以脱敏“护照号”信息，且审计的数据库为MySQL为例说明，请参考以下操作步骤验证隐私数据脱敏功能是否生效： 开启“隐私数据脱敏”，并确保“护照号”规则已启用，如图2所示。 图2 规则已启用 使用MySQL数据库自带的客户端，以root用户登录数据库。 在数据库客户端，输入一条SQL请求语句。 select * from db where HOST="护照号"; 在左侧导航栏选择“数据报表”，进入“数据报表”页面。 根据筛选条件，查询输入的SQL语句。 在该SQL语句所在行的“操作”列，单击“详情”。 查看SQL请求语句信息，隐私数据脱敏功能正常，“SQL请求语句”显示脱敏后的信息。

通过Agent方式审计数据库 非表1中的数据库类型及版本，需采用安装Agent方式开启DBSS服务。 图2 快速使用数据库安全审计流程图 表3 快速使用数据库安全审计操作步骤 步骤 配置操作 说明 1 添加数据库 购买数据库安全审计后，您需要将待审计的数据库添加到数据库安全审计实例。 2 添加Agent 添加的数据库开启审计功能后，您需要为添加的数据库选择Agent的添加方式。 数据库安全审计支持对华为云上的ECS/BMS自建数据库和RDS关系型数据库进行审计，请根据您在华为云上实际部署的数据库选择Agent添加方式。 3 添加安全组规则 Agent添加完成后，您还需要为数据库安全审计实例所在的安全组添加入方向规则TCP协议（8000端口）和UDP协议（7000-7100端口），使Agent与审计实例之间的网络连通，数据库安全审计才能对添加的数据库进行审计。 4 安装Agent（Linux操作系统） 安全组规则添加完成后，您还需要下载Agent，并根据Agent的添加方式在数据库端或应用端安装Agent。 5 开启数据库安全审计 Agent安装成功后，您还需要开启数据库安全审计功能，将添加的数据库连接到数据库安全审计实例，才能使用数据库安全审计功能。 6 查看审计结果 数据库安全审计默认提供一条“全审计规则”的审计范围，可以对连接数据库安全审计实例的所有数据库进行审计。开启数据库安全审计后，您可以在数据库安全审计界面查看被添加的数据库的审计结果。 须知： 您可以根据业务需求设置数据库审计规则。有关配置审计规则的详细操作，请参见配置审计规则。

背景信息 数据库安全审计支持对华为云上的ECS/BMS自建数据库和RDS关系型数据库进行审计。 数据库安全审计不支持跨区域（Region）使用。待审计的数据库必须和购买申请的数据库安全审计实例在同一区域。 数据库开启SSL时，将不能使用数据库安全审计功能。如果您需要使用数据库安全审计功能，请关闭数据库的SSL。关闭数据库SSL的详细操作，请参见如何关闭数据库SSL？。 有关审计数据的保存说明，请参见数据库安全审计的审计数据可以保存多久？。

免Agent方式审计数据库 部分数据库类型及版本支持免安装Agent方式，如表1所示。 表1 支持免Agent安装的关系型数据库 数据库类型 支持的版本 MySQL 默认都支持 PostgreSQL （华为云审计实例：23.04.17.123301 及其之后的版本支持） 须知： 当SQL语句大小超过4kb审计时会被截断，会导致审计到的SQL语句不完整。 默认都支持 SQLServer 2008 2012 2014 2016 2017 GaussDB(for MySQL) Mysql8.0 DWS 8.2.0.100及以上版本 MariaDB 10.2 免安装Agent模式配置简单、易操作，但较之安装了Agent的DBSS实例，支持的功能上存在如下差异： 统计会话数量时，无法统计成功登录、与失败登录的会话个数。 无法获取数据库访问时客户端的端口号。 由于GaussDB(DWS)服务具有日志审计开关的权限控制策略，只有华为云账号或拥有Security Administrator权限的用户才能开启或者关闭DWS数据库审计开关。 GaussDB默认不开启ddl，用户需要参照GaussDB用户手册操作开启如下配置： audit_system_object = 130023423，操作请参考：GaussDB开发指南。 datastyle=ISO,YMD，保证日期格式为yyyy-MM-dd HH:mm:ss+Z。 图1 免Agent安装流程 表2 快速使用数据库安全审计操作步骤 步骤 配置操作 说明 1 添加数据库 购买数据库安全审计后，您需要将待审计的数据库添加到数据库安全审计实例。 申请数据库安全审计后，您需要将待审计的数据库添加到数据库安全审计实例。 2 开启数据库安全审计 您需要开启数据库安全审计功能，将添加的数据库连接到数据库安全审计实例，才能使用数据库安全审计功能。 3 查看审计结果 数据库安全审计默认提供一条“全审计规则”的审计范围，可以对连接数据库安全审计实例的所有数据库进行审计。开启数据库安全审计后，您可以在数据库安全审计界面查看被添加的数据库的审计结果。 须知： 您可以根据业务需求设置数据库审计规则。有关配置审计规则的详细操作，请参见配置审计规则。

验证配置效果 使用数据库操作员datadmin账号登录数据库运维管理实例web控制台。 使用本机上的DBeaver通过代理服务器访问数据资产中test表，如果审批通过此时可正常访问。 操作详情请参见通过代理连接数据库。 图9 客户端访问结果 使用本机上的DBeaver通过代理服务器访问数据资产中test表，如果审批被驳回或同意后被撤销，此时会被阻断。 操作详情请参见通过代理连接数据库。 图10 客户端访问结果

安装Agent 在您安装新版Agent的时候，需要您为当前安装的Agent自定义一个密码。 请您根据数据库类型以及数据库的部署环境，在相应节点上安装Agent。 将下载的Agent安装包“xxx.tar.gz”上传到待安装Agent的节点（例如使用WinSCP工具）。 使用跨平台远程访问工具（例如PuTTY）以root用户通过SSH方式，登录该节点。 执行以下命令，进入Agent安装包“xxx.tar.gz”所在目录。 cd Agent安装包所在目录 执行以下命令，解压缩“xxx.tar.gz”安装包。 tar -xvf xxx.tar.gz 执行以下命令，进入解压后的目录。 cd 解压后的目录 执行以下命令，查看是否有安装脚本“install.sh”的执行权限。 ll 如果有安装脚本的执行权限，请执行7。 如果没有安装脚本的执行权限，请执行以下操作： 执行以下命令，添加安装脚本执行权限。 chmod +x install.sh 确认有安装脚本执行权限后，请执行7。 执行以下命令，安装Agent。 sh install.sh 用户系统是Ubantu时，执行以下命令安装Agent：bash install.sh Agent程序是以DBSS普通用户运行的，在首次安装Agent时，需要创建Agent用户，执行sh install.sh命令后，需要您自行设置DBSS用户的密码。 界面回显以下信息，说明安装成功。否则，说明Agent安装失败。 1 2 3 4 5 start agent starting audit agent audit agent started start success install dbss audit agent done! 如果Agent安装失败，请您确认安装节点的运行系统是否满足Linux操作系统要求，并重新安装Agent。 执行以下命令，查看Agent程序的运行状态。 service audit_agent status 如果界面回显以下信息，说明Agent程序运行正常。 audit agent is running.

常见安装场景 请您根据数据库的类型以及部署场景，在数据库端或应用端安装Agent。数据库常见的部署场景说明如下： ECS/BMS自建数据库的常见部署场景如图1和图2所示。 图1 一个应用端连接多个ECS/BMS自建数据库 图2 多个应用端连接同一个ECS/BMS自建数据库 RDS关系型数据库的常见部署场景如图3和图4所示。 图3 一个应用端连接多个RDS 图4 多个应用端连接同一个RDS 安装Agent节点的详细说明如表1所示。 当您的应用和数据库（ECS/BMS自建数据库）都部署在同一个节点上时，Agent需在数据库端安装。 表1 安装Agent场景说明 使用场景 Agent安装节点 审计功能说明 注意事项 ECS/BMS自建数据库 数据库端 可以审计所有访问该数据库的应用端的所有访问记录。 在数据库端安装Agent。 当某个应用端连接多个ECS/BMS自建数据库时，需要在所有连接该应用端的数据库端安装Agent。 RDS关系型数据库 应用端（应用端部署在云上） 可以审计该应用端与其连接的所有数据库的访问记录。 在应用端安装Agent。 当多个应用端连接同一个RDS时，所有连接该RDS的应用端都需要安装Agent。 RDS关系型数据库 代理端（应用端部署在云下） 只能审计代理端与后端数据库之间的访问记录，无法审计应用端与后端数据库的访问记录。 在代理端安装Agent。

插件状态 插件部署在客户的应用系统上。插件状态有三种： online：准备状态，插件状态正常。可以通过心跳进行状态检测，加密系统会定期推送相应的加密配置和密钥文件到插件端。等待加密系统故障后切换到激活状态。 bypass：激活状态，插件状态正常。插件已检测到加密系统异常，插件开始工作，修改应用连接从网关代理到直连数据库，并对jdbc请求中的数据进行加解密。 当应用配置连接的是网关加密代理地址且应用到网关加密代理地址不通时，插件将切换到bypass状态。 init：插件与管理端建立连接后的默认初始状态，随后会根据应用实际情况切换显示到online或者bypass。

相关操作 根据需要您还可以进行如下操作： 查看工单详情：单击目标工单栏的查看，查看工单详情。 撤销工单申请：单击目标工单栏的撤销，撤销工单申请。 条件查询工单：在条件查询框设置不同条件，进行查询。 再次发起审批：单击目标工单栏的再次申请，原工单可以作为模板，您修改相关信息后，再次发起审批。 收藏审批：单击目标工单栏的收藏，收藏审批工单，便于后续使用。 待工单申请审批通过后，可通过安全管理客户端对数据库进行相应操作，详情请参见通过Web安全客户端访问资产。

相关操作 除了新增操作外，系统还支持对策略组和策略进行以下管理操作： 策略组： 编辑策略组：鼠标移动到策略组，单击，修改策略组名称。 删除策略组：鼠标移动到策略组，单击，删除策略组。 复制策略组：鼠标移动到策略组，单击，复制整个策略组。 策略： 编辑策略信息：单击策略名称，修改策略信息。 编辑策略：鼠标移动到策略，单击，修改策略名称。 复制策略：鼠标移动到策略，单击，复制整个策略。 删除策略：鼠标移动到策略，单击，删除策略。

修改登录密码 在Web控制台，单击右上角的用户名，在下拉框中单击“修改密码”。 图4 修改密码 在修改密码对话框中，修改密码并单击“确定”。 表2 参数说明 参数 说明 原密码 输入原来的登录密码。 新密码 输入修改后的新密码。 说明： 为了登录安全，建议您将密码设置成复杂密码，例如包含以下多种字符组合： 大写字母（从A到Z） 小写字母（从a到z） 数字（0~9） 特殊符号（例如：! @ # $） 确认密码 重新输入修改后的新密码。 修改完成后，您需要退出Web控制台，使用新密码重新登录。

操作步骤 登录实例。 方式一：登录服务管理控制台，进入数据库运维页面，在目标实例“操作”列单击“远程登录”或“本地登录”。 方式二：通过方式一进入的数据库运维页面获取“弹性IP”，在浏览器地址栏中输入访问地址，按回车键，进入登录界面。 访问地址：https://服务器弹性IP地址:端口，例如https://100.xx.xx.54:9595。 （可选）在安全告警页面，单击“高级”。 图1 安全告警 （可选）在详情说明区域单击“继续前往xx.xx.xx.xx（不安全）”。 图2 进入登录页面 进入登录页面后，输入“用户名”、“密码”，单击“登录”。 图3 登录页面 登录成功后，您可以进入Web控制台，查看和配置数据库运维安全管理系统。 初次登录系统，您需要修改默认密码。具体操作请参见修改登录密码。

通过代理连接数据库 本示例以“DBeaver工具”为例，通过数据库运维安全管理系统代理连接到数据库。 图6 通过代理连接数据库 单击“DBeaver工具”的图标，在选择新连接类型对话框中，选中“MySQL”。 单击“下一步”。 在设置MySQL连接对话框中，设置连接信息，如图6所示。 服务器地址：使用代理服务器IP，即数据库运维安全管理系统的访问IP地址。例如192.168.12.59。 端口：使用代理端口，例如9587。 单击“测试链接”，测试是否能够连接到数据库。 测试通过后，单击“下一步”，按照界面提示完成操作。