检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
什么是数据库安全审计? 数据库安全服务(Database Security Service,DBSS)提供数据库安全审计、数据库加密与访问控制、数据库运维服务功能,数据库审计通过实时记录用户访问数据库行为,形成细粒度的审计报告,对风险行为和攻击行为进行实时告警。
数据库安全审计 数据库安全审计基于大数据分析技术,提供数据库审计,SQL注入攻击检测,风险操作识别等功能,保障云上数据库的安全。功能特性描述如表1所示。 详细功能介绍及使用请参见DBSS功能特性和DBSS用户指南。
审计 支持审计的关键操作列表 查看云审计日志
审计信息,可能会有5%-15%的性能影响。 开启审计日志会收取一定费用,收费详情请参见产品价格详情。 文档数据库服务会去检测已生成的审计日志,若审计日志超过用户自定义的保留天数,则将其删除。建议审计日志保存180天以上,用于审计回溯和问题分析等场景。 审计策略修改后,文档数据库服
通过文档数据库服务查看审计日志 通过文档数据库服务查看、下载和删除DDS实例审计日志。 查看审计日志 登录管理控制台。 单击管理控制台左上方的,选择区域和项目。 在页面左上角单击,选择“数据库 > 文档数据库服务 DDS”,进入文档数据库服务信息页面。 在“实例管理”页面,选择目标实例,单击实例名称。
数据库安全审计和RDS SQL审计有什么区别? DBSS审计和RDS SQL审计存在功能和范围上的差异,如表1所示。 表1 差异比较 审计 功能 范围 RDS SQL审计 只记录SQL访问操作。 应用于使用RDS数据库场景。 DBSS审计 审计所有的数据库风险操作。
数据库安全审计暂不支持审计云下数据库和非华为云上数据库,支持对云上的以下数据库提供旁路模式的数据库审计功能: 云数据库 弹性云服务器(Elastic Cloud Server ,ECS)的自建数据库 裸金属服务器(Bare Metal Server,BMS)的自建数据库 数据库安全审计支持的数据库类型及版本
查看云审计日志 查看审计日志的详细操作请参考查看审计事件。 父主题: 审计
审计日志 审计日志策略管理 通过云日志服务查看审计日志 通过文档数据库服务查看审计日志 父主题: 日志管理
支持审计的关键操作列表 通过云审计服务,您可以记录与文档数据库服务相关的操作事件,便于日后的查询、审计和回溯。 表1 文档数据库服务的关键操作列表 操作名称 资源类型 事件名称 恢复到新实例 instance ddsRestoreToNewInstance 恢复到已有实例 instance
具体内容请参见慢日志。 审计日志 审计日志记录您对数据库或集合执行的操作,生成的日志文件将以文件的形式存储在对象存储服务。通过查看日志文件,您可以对数据库进行安全审计,故障根因分析等操作。通过对接LTS,可以登录LTS服务查看实时日志。具体内容请参见审计日志。 父主题: 安全
删除审计日志 接口说明 删除审计日志。 调试 您可以在API Explorer中调试该接口。 URI URI格式 DELETE https://{Endpoint}/v3/{project_id}/instances/{instance_id}/auditlog URI样例 https://dds
通过云日志服务查看审计日志 通过云日志服务进行分析日志、搜索日志、日志可视化、下载日志和查看实时日志等操作。 查看LTS审计日志 实例已经配置了访问日志,操作详情请参见日志配置管理。 在页面左上角单击,选择“管理与监管 > 云日志服务”,进入云服务日志页面。 在“日志组列表”区域
参数说明 名称 参数类型 描述 keep_days Integer 审计日志保存天数,审计日志策略关闭时为0。 audit_scope String 审计范围。 audit_types Array of strings 审计类型。 响应示例 { "keep_days":7,
objects 审计日志具体信息,请参见表3。 total_record Integer 总记录数。 表3 audit_logs字段参数说明 名称 参数类型 描述 node_id String 节点ID。 id String 审计日志ID。 name String 审计日志文件名。 size
数据库审计 背景信息 数据库审计功能对数据库系统的安全性至关重要。数据库审计管理员可以利用审计日志信息,重现导致数据库现状的一系列事件,找出非法操作的用户、时间和内容等。 关于审计功能,用户需要了解以下几点内容: 审计总开关GUC参数audit_enabled支持动态加载。
数据库审计 背景信息 数据库审计功能对数据库系统的安全性至关重要。数据库审计管理员可以利用审计日志信息,重现导致数据库现状的一系列事件,找出非法操作的用户、时间和内容等。 关于审计功能,用户需要了解以下几点内容: 审计总开关audit_enabled支持动态加载。
数据库审计 背景信息 数据库安全对数据库系统来说至关重要。GaussDB将用户对数据库的所有操作写入审计日志。数据库审计管理员可以利用这些日志信息,重现导致数据库现状的一系列事件,找出非法操作的用户、时间和内容等。
数据库版本 DDS是否支持版本升级
Integer 是 审计日志保存天数,取值范围为0或7~732。 取值0,表示关闭审计日志策略。 取值7~732,表示开启审计日志策略,并设置审计日志保存天数为该值。 reserve_auditlogs String 否 仅关闭审计日志策略时有效。 true(默认),表示关闭审计日志策略的同时,保留历史审计日志。
文档数据库服务与自建数据库的对比优势 与自建数据库相比,文档数据库服务DDS具有高可用、高可靠、高安全、低成本等优势。 表1 对比优势 对比项 文档数据库服务 自建数据库 服务可用性 99.95% 自行保障,自行搭建主从复制,部署高可用环境等。 数据持久性 99.99999999%
参数说明 表2 参数说明 名称 参数类型 是否必选 描述 ids Array of strings 是 审计日志ID列表,限制50条以内。 请求示例 根据审计日志ID列表,获取审计日志下载链接 { "ids": ["10190012aae94b38a10269b8ad025f
访问数据库 假设客户端应用程序已经完成数据库连接,并初始化好一个 MongoClient client. 访问DataBase 当已经有一个初始化好的MongoClient实例后,通过如下方式来访问一个database,示例如下: db=client.test_database 或者采用如下方式指定:
创建数据库角色 接口说明 给指定实例创建数据库角色。 约束说明 该接口只支持DDS社区版。 实例在创建、规格变更、修改端口、冻结、重启等过程中以及状态为非“normal”时,不允许执行该操作。 调试 您可以在API Explorer中调试该接口。 URI URI格式 POST h
通过命令创建数据库 数据库是表、索引、视图、存储过程、操作符的集合。为了更方便地管理文档数据库实例,创建数据库实例后,您可以通过命令为其创建数据库。如果数据库不存在,则创建数据库并切换到新创数据库,否则,直接切换到指定数据库。 前提条件 成功连接文档数据库实例,请参见《文档数据库服务快
P通过弹性云服务器连接文档数据库实例。 文档数据库服务和弹性云服务器在不同的安全组默认不能访问,需要在文档数据库服务所属安全组添加一条“入”的访问规则。 文档数据库服务默认端口:8635,需要手动修改才能访问其它端口。 安全性高,可实现DDS的较好性能。 通过内网连接集群实例 通过内网连接副本集实例
文档数据库服务与其他云服务的关系 文档数据库服务与其他服务之间的关系,具体如下图所示。 图1 文档数据库服务与其他服务之间的关系 表1 与其他服务的关系 相关服务 交互功能 弹性云服务器(ECS) 弹性云服务器为文档数据库服务提供可弹性申请的计算资源,为数据库实例提供运行环境。 虚拟私有云(VPC)
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
