检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
查看趋势分析 添加的数据库连接到数据库安全审计实例后,您可以查看数据库的趋势分析,包括数据库的语句趋势分析:语句数量趋势、会话统计和SQL分布,还包括风险趋势分析:风险分布、SQL注入趋势和风险操作趋势。 前提条件 添加的数据库实例版本在23.05.23.193055及以上版本支持该功能。
添加SQL注入规则 数据库安全审计提供“添加SQL注入规则”,您可根据需要自定义添加对应的SQL规则,添加后可以对成功连接数据库安全审计的所有数据进行安全审计。 前提条件 数据库安全审计实例的状态为“运行中”。 请参考开启数据库安全审计成功开启数据库安全审计功能。 操作步骤 登录管理控制台。
开。 网络权限配置 设置是否禁止ICMP探测和SSH登录。 启用禁止ICMP探测:关闭ICMP功能,则其他设备无法ping系统。 启用禁止SSH登录:禁止SSH访问系统。 说明: 禁止SSH登录后,运维人员将不能通过SSH访问服务器后台。 父主题: 启用安全配置
数据库安全审计支持数据库部署在哪些操作系统上? 您需要在数据库端、应用端或代理端安装Agent,将添加的数据库连接到数据库安全审计实例。 数据库安全审计的Agent可运行在Linux64位和Windows64位操作系统上,安装节点的操作系统说明如下所示。 数据库安全审计的Agent支持的Linux系统版本如表1所示。
查看SQL语句详细信息 添加的数据库连接到数据库安全审计实例后,您可以查看该数据库详细的SQL语句信息。 前提条件 数据库安全审计实例的状态为“运行中”。 请参考开启数据库安全审计成功开启数据库安全审计功能。 操作步骤 登录管理控制台。 在页面上方选择“区域”后,单击页面左上方的,选择“安全与合规
查看审计总览信息 添加的数据库连接到数据库安全审计实例后,您可以查看数据库的审计总览信息,包括数据库的审计信息、实例信息、数据分析情况。 前提条件 添加的数据库实例版本须在23.05.23.193055及以上版本。 数据库安全审计实例的状态为“运行中”。 请参考开启数据库安全审计成功开启数据库安全审计功能。
步骤五:开启数据库安全审计 数据库安全审计默认提供一条“全审计规则”的审计范围,可以对成功连接数据库安全审计实例的所有数据库进行安全审计。开启数据库安全审计后,您可以查看被添加的数据库的审计结果。详细操作,请参见查看审计结果。 前提条件 安装Agent的状态为“正在运行”。 开启审计
步骤二:开启数据库安全审计 数据库安全审计默认提供一条“全审计规则”的审计范围,可以对成功连接数据库安全审计实例的所有数据库进行安全审计。开启数据库安全审计后,您可以查看被添加的数据库的审计结果。详细操作,请参见查看审计结果。 开启审计 登录管理控制台。 在页面上方选择“区域”后,单击页面左上方的,选择“安全与合规
Agent。 前提条件 已在安装节点安装了Agent程序。 在Linux操作系统上卸载Agent 使用跨平台远程访问工具(例如PuTTY)以root用户通过SSH方式,登录已安装Agent的节点。 执行以下命令,进入Agent安装包“xxx.tar.gz”解压后所在目录。 cd Agent安装包解压后所在目录
查看会话分布 添加的数据库连接到数据库安全审计实例后,您可以查看该数据库的会话分布情况。 前提条件 数据库安全审计实例的状态为“运行中”。 请参考开启数据库安全审计成功开启数据库安全审计功能。 操作步骤 登录管理控制台。 在页面上方选择“区域”后,单击页面左上方的,选择“安全与合规
b控制台。 允许登录IP地址 填写允许登录的IP地址,多个地址用换行隔开。 网络权限配置 设置是否禁止ICMP探测和SSH登录。 启用禁止ICMP探测:关闭ICMP功能,则其他设备无法ping系统。 启用禁止SSH登录:禁止SSH访问系统。 说明: 禁止SSH登录后,运维人员将不能通过SSH访问服务器后台。
查询ECS服务器规格信息 功能介绍 查询ECS服务器规格信息 调用方法 请参见如何调用API。 URI GET /v1/{project_id}/dbss/audit/specification 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String
将下载的Agent安装包“xxx.tar.gz”上传到待安装Agent的节点(例如使用WinSCP工具)。 使用跨平台远程访问工具(例如PuTTY)以root用户通过SSH方式,登录该节点。 执行以下命令,进入Agent安装包“xxx.tar.gz”所在目录。 cd Agent安装包所在目录
LOG服务器。 操作步骤 使用安全管理员secadmin账号登录数据库运维安全管理系统。 在左侧导航栏,选择“系统运维 > 系统设置”。 单击“外发配置”。 配置SYSLOG服务器信息。 图1 配置SYSLOG服务器 表1 配置SYSLOG服务器 参数 说明 状态 选择开启或关闭日志推送至SYSLOG服务器。
可增加多个账户,多个账户间用逗号隔开。 - 操作类型 审计范围的操作类型,包括“登录”和“操作”。 当选择“操作”时,可以选择“全部操作”,或选择“数据定义”、“数据操作”或“数据控制”的操作。 登录 数据库账户 可选参数。输入数据库的账户名。 可增加多个账户,多个账户间用逗号隔开。
使用数据库操作员datadmin账号登录数据库运维管理实例web控制台。 使用本机上的DBeaver通过代理服务器访问数据资产中test表,如果审批通过此时可正常访问。 操作详情请参见通过代理连接数据库。 图9 客户端访问结果 使用本机上的DBeaver通过代理服务器访问数据资产中test表
数据库安全审计支持数据库部署在哪些操作系统上? 数据库安全审计支持双向审计吗? 数据库安全审计可以审计不同VPC的数据库吗? 数据库安全审计支持TLS连接的应用吗? 数据库安全审计的审计数据可以保存多久? 数据库安全审计发生异常,多长时间用户可以收到告警通知? 每天发送告警总条数与每天收到的邮件数是相同的吗?
免安装Agent模式配置简单、易操作,但较之安装了Agent的DBSS实例,支持的功能上存在如下差异: 统计会话数量时,无法统计成功登录、与失败登录的会话个数。 无法获取数据库访问时客户端的端口号。 由于GaussDB(DWS)服务具有日志审计开关的权限控制策略,只有华为云账号或拥有Security
添加Agent时,在什么场景下需要选择“选择已有Agent”添加方式? 当数据库安全审计Agent的运行状态为“休眠中”时,如何处理? 待审计的RDS如果连接了多台ECS,如何部署Agent? 如何选择数据库安全审计的Agent安装节点? 如何运行数据库安全审计Agent程序? 如何查看数据库安全审计Agent的运行状态?
nt的阈值。 Agent安装在应用端的用户,您可以按照以下操作步骤在添加Agent时,配置CPU阈值和内存阈值。 登录安装Agent的节点,卸载Agent程序。 登录数据库安全服务控制台。 在左侧导航栏中,选择“数据库列表”,进入“数据库列表”界面。 在“选择实例”下拉框中,选择
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
