检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
当数据库安全审计Agent的运行状态为“休眠中”时,如何处理? 待审计的数据库添加Agent后,该Agent的初始运行状态为“休眠中”。 添加Agent后,您还需要在安装节点上安装Agent,才能使用数据库安全审计。 请您安装Agent后,再查看该Agent的运行状态。有关安装Agent的详细操作,请参见安装Agent。
验证配置效果 在DBeaver工具上,通过以下命令查询数据库mysql的user表信息。 select user,host from mysql.`user`; 如图7所示,查询操作被阻断。 图7 查询user表及结果 使用系统管理员sysadmin账号登录数据库运维管理系统。
验证配置效果 使用系统管理员账号登录数据库运维管理系统,您可以查看到审计日志信息。 使用系统管理员sysadmin账号登录数据库运维管理系统。 在左侧导航栏,选择“审计日志 > 日志检索”。 单击“SQL日志”页签,单击“最新日志”,查看最新的审计日志信息。如图5 查看审计日志所示
数据库操作员未登录数据库运维安全管理系统,使用本机上的DBeaver通过代理服务器访问数据资产,此时被阻断。操作详情请参见通过代理连接数据库。 图3 客户端访问结果 使用数据库操作员账号(例如datadmin)登录数据库运维管理系统。 随后使用安全客户端或本机上的数据库客户端成功连接访问数据库。 使用安全客户端
单击“加密列表”页签,勾选需要加密的列名称,并设置是否启用模糊查询功能。 图2 选择加密列 加密后,默认情况下无法进行模糊查询。如果符合以下情况,勾选“启用模糊查询”后支持模糊查询,模糊查询支持%和_两种符号。 密文编码方式为十六进制,不支持BASE64模式编码。如何配置,请参见设置加密参数。 字段
在DBeaver工具上连接数据资产。 使用系统管理员sysadmin账号登录数据库运维管理系统。 在左侧导航栏,选择“审计日志 > 日志检索”。 单击“SQL日志”页签,单击最新日志,查看最新的审计日志信息,连接数据库时审计12条日志。 图4 查看日志 单击“详情”,查看第一个SET操作日志信息
进入“续费管理”页面。 自定义查询条件。 可在“手动续费项”、“自动续费项”、“到期转按需项”、“到期不续费项”页签查询全部待续费资源,对资源进行手动续费的操作。 图2 续费管理 所有需手动续费的资源都可归置到“手动续费项”页签,具体操作请参见如何恢复为手动续费。 手动续费资源。
如何下载数据库安全审计的Agent? 安全组规则添加完成后,您还需要下载Agent,并根据Agent的添加方式在数据库端或应用端安装Agent。 每个Agent都有唯一的AgentID,是Agent连接数据库安全审计实例的重要密钥。若您将添加的Agent删除,在重新添加Agent后,请重新下载Agent。
如何选择数据库安全审计的Agent安装节点? 数据库安全审计的Agent可以安装在数据库端、应用端和代理端。建议您按“数据库端 > 应用端 > 代理端”优先级顺序选择Agent的安装节点。 在各节点上安装Agent的详细说明如表1所示。有关安装Agent的详细操作,请参见安装Agent。
验证配置效果 使用系统管理员sysadmin账号登录数据库运维管理系统。 在“审计日志 > 日志检索”页面,查看到业务字典翻译后的审计日志。 图8 查看日志 单击目标审计日志栏的详情,查看到业务字典翻译后的日志详情。 图9 查看日志详情 父主题: 步骤三:系统功能配置及使用场景举例
待审计的RDS如果连接了多台ECS,如何部署Agent? 当待审计的RDS连接了多台ECS,即多个应用端(ECS)连接同一个RDS时,所有的应用端都需要部署Agent,如图1所示。 图1 多个应用端连接同一个RDS 在完成添加数据库操作后,请您参照以下步骤部署Agent: 添加Agent。
CHANGE_USER from dual; 使用系统管理员sysadmin账号登录数据库运维管理系统。 在“审计日志 > 日志检索”页面,查看审计日志。 图3 查看审计日志 图4 查看日志详情 父主题: 步骤三:系统功能配置及使用场景举例
如何运行数据库安全审计Agent程序? 成功添加数据库且开启审计后,请参照以下操作步骤,运行Agent程序。 登录管理控制台。 在页面上方选择“区域”后,单击页面左上方的,选择“安全与合规 > 数据库安全服务”,进入数据库安全审计“总览”界面。 在左侧导航树中,选择“数据库列表”,进入数据库列表界面。
登录Web控制台 验证配置效果 使用数据库操作员datadmin账号登录数据库运维管理系统。 使用本机上的DBeaver通过代理服务器访问数据资产中test表,如果审批通过此时可正常访问。 操作详情请参见通过代理连接数据库。 图9 客户端访问结果 使用本机上的DBeaver通过代理
审批通过,数据库操作员需先登录系统,随后可以通过安全客户端或本机其他数据库客户端进行操作。具体说明请参见通过Web安全客户端访问资产。 父主题: 快速使用指南
启用网络访问安全配置 操作步骤 使用安全管理员secadmin账号登录数据库运维管理系统。 在左侧导航栏,选择系统运维 > 系统设置。 单击安全配置页签。 在网络访问安全设置区域,设置网络访问限制。 图1 网络访问安全设置 表1 网络访问安全设置 参数 说明 登录IP限制 设置是否限制访问来源: 接受所有IP:不限制访问来源。
Linux version, please check your Linux version with install document!”如何解决? 由于在添加Agent时,“安装节点IP”所填写的IP地址为公网IP地址,因此,在下载Agent后进行安装时会报“unsupport
如何设置数据库安全审计的INSERT审计策略? 在添加风险操作时,您可以添加INSERT审计策略。 有关添加风险操作的详细操作,请参见添加风险操作。 父主题: 数据库安全审计操作类
步骤三:系统功能配置及使用场景举例 场景一:加密操作流程及加密功能典型配置 场景二:解密操作流程及解密功能典型配置 场景三:业务测试典型配置举例 场景四:动态脱敏典型配置举例 父主题: 开通并使用数据库安全加密
异常,请参照如何处理Agent与数据库安全审计实例之间通信异常?处理。 图1 查看SQL语句 查看审计结果 数据库安全审计默认提供一条“全审计规则”的审计范围,可以对成功连接数据库安全审计的所有数据库进行安全审计。待审计的数据库连接到数据库安全审计实例后,您可以查看数据库的总体审
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
