在進行數據庫審計前,您必須在數據庫審計系統中添加要審計的數據庫。本文介紹了在數據庫審計系統中添加、編輯、刪除數據庫的具體操作。
背景信息
關于數據庫審計服務支持審計的數據庫類型,請參見支持的數據庫類型。
數據庫審計僅支持審計內網中的數據庫訪問流量,不支持審計公網中的數據庫訪問流量。
添加數據庫
- 登錄數據庫審計系統。具體操作,請參見登錄數據庫審計系統。
- 在左側導航欄,選擇。
在資產頁面,單擊添加。
在添加資產面板,完成數據庫配置,并單擊保存。
添加RDS實例
數據庫審計系統會自動拉取配置VPC內的RDS實例,用戶只需開啟審計即可。自動拉取的RDS會被劃分到RDS的資產類型中。RDS數據庫也可手動添加,手動添加的RDS數據庫資產類型會被標識為自建。
配置項
說明
類型
選擇RDS,并選擇要審計的RDS實例的類型和版本。
RDS數據庫實例
在下拉列表中選擇要審計的RDS實例ID。
名稱
設置數據庫名稱。選擇RDS實例后,默認取RDS實例名作為名稱,支持修改。
地址和端口
選擇RDS實例名后自動填寫,且不可修改。
成功添加數據庫后,您可以修改數據庫的IP和端口。具體操作,請參見修改數據庫。
說明RDS實例不支持加密審計,您無需打開使用SSL證書開關。
添加PolarDB、PolarDB-X、AnalyticDB、OceanBase或通用類型數據庫
配置項
說明
類型
選擇PolarDB、PolarDB-X、AnalyticDB、OceanBase或通用類型下的數據庫類型和版本。
名稱
設置數據庫名稱。
地址和端口
填寫數據庫的IP地址和端口。單擊
圖標,可以增加多條記錄。 說明在Oracle RAC或MySQL讀寫分離等場景中,您可以添加多個IP和端口,實現對整個集群的審計。
使用SSL
僅數據庫類型選擇MySQL時,顯示使用SSL開關。支持加密審計的數據庫需滿足以下條件:
數據庫類型為自建數據庫MySQL 5.6
加密算法為AES256-SHA和AES128-SHA(單向認證)
如果您的MySQL數據庫滿足上述條件并配置了SSL證書,您需要打開使用SSL開關,并在SSL密鑰處上傳數據庫使用的證書,否則數據庫審計服務將無法審計該數據庫加密后的通信流量。如果要審計的數據庫不滿足上述條件或未配置證書,您無需配置該參數(使用SSL開關保持關閉即可)。
SSL密鑰
打開使用SSL開關后,上傳要審計的數據庫的證書文件。單擊上傳證書文件,選擇證書文件并上傳。
僅支持導入PEM格式的證書。如果您的證書為其他格式,您需要先將證書轉化為PEM格式再導入。證書格式轉化的具體操作,請參見如何轉換證書格式?。
重要您可以聯系數據庫廠商獲取證書文件。
數據庫審計僅支持AES256-SHA和AES128-SHA算法,如果您的證書上傳后可以正常解析,表示該證書使用的RSA算法在支持范圍內。如果證書文件上傳后解析異常,請加入釘群(釘群號:44519396),聯系產品技術專家進行咨詢。
如果需要為待審計的數據庫開啟數據庫審計的內置規則,您可以選中保存時關聯內置的通用規則。
成功添加數據庫。已添加的數據庫顯示在資產頁面。您也可以在概覽頁面的資產區域查看已添加的數據庫。添加數據庫后,您還需要在數據庫服務器上部署數據庫審計的Agent程序,才能開啟采集審計數據。具體操作,請參見安裝Agent。
添加數據庫后,您需要進行以下操作:
您必須在已添加的數據庫服務器上部署數據庫審計的Agent程序,才能使數據庫審計服務收集目標數據庫的訪問流量信息。具體操作,請參見安裝Agent。
您可以為已添加的數據庫配置審計規則,使命中規則的審計記錄觸發告警。
修改數據庫
已添加到數據庫審計系統中數據庫配置發生變化時,您需要在數據庫審計系統中更新數據庫信息。
- 登錄數據庫審計系統。具體操作,請參見登錄數據庫審計系統。
- 在左側導航欄,選擇。
定位到要編輯的數據庫,單擊修改。
在修改資產面板,修改數據庫配置,完成后單擊保存,成功修改數據庫。
刪除數據庫
如果不再需要審計某個數據庫,您可以在數據庫審計系統中刪除自建數據庫。不支持刪除資產分類為RDS的資產。
- 登錄數據庫審計系統。具體操作,請參見登錄數據庫審計系統。
- 在左側導航欄,選擇。
定位到要刪除的數據庫,單擊刪除。
在刪除提示中,單擊確認,成功刪除數據庫。