检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
须知: 当服务器的CPU超过设置的阈值,为了保证您业务的正常运行,Agent将自动关闭,停止运行。 80 内存阈值(%) 可选参数。“安装节点类型”选择“应用端”时,可以配置该参数。 指待审计的应用端节点的内存阈值,缺省值为“80”。 须知: 当服务器上的内存超过设置的阈值,为了
在选择新连接类型对话框中,选中MySQL。 单击下一步。 在“设置MySQL连接”对话框中,设置连接信息。 连接信息说明: 服务器地址:使用数据库加密与访问控制系统的访问IP地址。例如192.xx.xx.54。 端口:使用代理端口,即创建资产时设置的代理端口(14099)。 单击“测试链接”,测试是否能够连接到数据库。
单击“添加”,配置业务字典信息,单击“确定”。 图1 IP类型业务字典 表1 IP类型业务字典 参数 说明 IP地址 设置IP地址。 IP类型 在下拉栏中选择IP地址类型,包括服务器端IP、客户端IP和应用端IP。 业务名称 IP地址对应的业务名称。 状态 开启和关闭此业务字典。 开启状态:添加业务字典后直接为开启状态。
sysadmin 主要负责系统配置和系统日常运行维护。默认密码为购买实例设置的密码,首次登录进行重置密码。 具体操作请参见系统管理员操作指导。 安全管理员 secadmin 主要负责系统用户管理和系统安全管理。默认密码和购买实例时设置的sysadmin用户密码相同,首次登录进行重置密码。 具体操作请参见安全管理员操作指导。
护策略、查看审计日志等。 默认密码为购买实例时设置的密码,首次登录进行重置密码。 具体操作,请参见系统管理员操作指南。 secadmin 安全管理员 系统管理数据库运维安全管理系统,例如人员管理、系统配置等。 默认密码和购买实例时设置的sysadmin用户密码相同,首次登录进行重置密码。
登录DBSS控制台,进入风险操作页面。 图4 进入风险操作页面 单击“数据库慢SQL检测”项“操作”列的“编辑”,在编辑页面的底部设置执行时长规则设置为大于1000毫秒。 图5 设置执行时长 单击“确认”,完成设置。 设置完成后,待运行一段时间,在语句页面下的规则名称搜索框中填入“数据库慢SQL检测”对检测情况进行检索。
在“客户端授权”对话框中,设置客户端IP地址范围、时间范围和星期范围,单击“保存”。 图7 客户端授权 IP地址范围支持设置起始IP和结束IP,单击按钮可以添加多个IP地址范围,最多设置5个IP地址范围。 找到目标加密数据库表,单击“用户授权”。 在“用户授权”对话框中,对数据库用户设置相应的权限,单击“保存”。
”。进入“账单概览”页面。 选择“流水和明细账单 > 明细账单”,在筛选条件中输入复制的资源ID,单击图标即可搜索该资源的账单。 这里设置的统计维度为“按使用量”,统计周期为“按账期”,您也可以设置其他统计维度和周期,详细介绍请参见流水与明细账单。
> 人员管理”。 找到目标数据库操作员,单击“配置中心”。 在账号设置对话框中,开启授权状态、密码代填并选择账号。 验证配置效果 数据库操作员未登录数据库运维安全管理系统,使用本机上的DBeaver通过代理服务器访问数据资产,此时被阻断。操作详情请参见通过代理连接数据库。 图3 客户端访问结果
管理侧查询 查询账户配额信息 查询ECS服务器规格信息 查询可用区信息 查询用户操作日志信息 父主题: API
前提条件 请确保已设置好审批架构,为数据库操作员设置相应审批人,详情参见设置审批架构。 操作步骤 使用安全管理员datadmin账号登录数据库运维安全管理系统。 在左侧导航栏,选择“运维管理 > 工单申请”。 单击“工单申请”,在“发起审批”对话框中,设置工单信息。 配置工单信息。
数据库运维安全管理系统支持多种策略的设置与应用,以实现各种数据级的访问控制,策略应用流程如图1所示。 图1 策略应用流程 系统管理员添加数据资产,并进行相应设置。具体说明请参见添加数据资产。 进行防护策略设置,包括策略基本配置、集合配置、自定义策略(SQL策略、包过滤策略、客户端语句过滤白名单)、设置虚拟补丁。具体说明请参见策略设置。
支持的数据库 数据库安全审计仅支持对华为云上的以下数据库提供旁路模式的数据库审计功能: 云数据库 弹性云服务器(Elastic Cloud Server ,ECS)的自建数据库 裸金属服务器(Bare Metal Server,BMS)的自建数据库 部分数据库类型及版本支持免安装Agent方式,如表1所示。
设备状况、诊断系统、升级系统、安全配置、外发与邮件配置等。 启用安全配置 查看设备状态 诊断系统实时情况 升级系统版本 配置SYSLOG服务器 父主题: 安全管理员操作指南
络通信正常 安装Agent成功后,在数据库上执行一条SQL语句,稍等几分钟后,登录数据库安全服务控制台,查看操作的SQL语句。 登录应用服务器对数据库执行一条SQL语句(例如,“select 1;”)。 登录数据库安全服务控制台。 在左侧导航树中,选择“总览”,进入“总览”界面。
在左侧导航树中,单击,选择“管理与监管 > 云审计服务”,进入云审计服务信息页面。 单击左侧导航树的“事件列表”,进入事件列表信息页面。 单击事件列表上方的“Region”,设置对应的操作事件条件。 当前事件列表支持四个维度的组合查询,详细信息如下: “事件类型”、“事件来源”、“资源类型”和“筛选类型”。 在下拉
数据库运维安全管理系统设置了完善的运维人员操作管理体系,流程如图1所示。 图1 运维人员操作管理流程 安全管理员需先添加审批人(系统管理员)与申请人(数据库操作员)账号。具体说明请参见手动创建账号。 新增的账号需先经安全管理员审核通过。具体说明请参见审核账号。 安全管理员设置审批架构,设置审批人与申请人。具体说明请参见设置审批架构。
request 请求所带的Token认证失败 检查token 404 DBSS.10021004 ECS can not found the request page ECS服务器无法找到被请求页面 检查ecs路径配置 500 DBSS.11000000 Internal system exception
读写分离/RAC 如果数据库是读写分离部署,需要勾选此选项,并设置从数据库节点信息。 数据源地址 设置数据库的IP地址。 数据源端口 设置数据库的连接端口。 代理地址 从下拉框中选择代理地址,即数据库访问与控制的IP地址。 代理端口 设置代理端口。运维人员通过代理IP + 代理端口访问数据库。
在左侧导航栏,选择“资产管理 > 数据源管理”。 单击右上角的“添加数据源”。 在“添加数据源”对话框中,设置资产信息。 图3 添加数据源 主机信息和日志信息为可选操作,数据库服务器需要开启SSH服务。 配置完成后,单击“测试数据库连接”,检查是否能够连上数据库。 单击“测试账号权限
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
