本文介绍了您在使用A100系列数据库审计服务时可能遇到的问题和解答,帮助您更好地理解和使用产品。
使用数据库审计时,我可以为RAM用户授予哪些权限?
目前数据库审计支持对RAM用户授予以下权限:
AliyunYundunDbAuditFullAccess:授予RAM用户管理云盾数据库审计(DbAudit)的权限(即读写权限)。具体操作,请参见为RAM用户授权。
AliyunYundunDbAuditReadOnlyAccess:授予RAM用户只读访问云盾数据库审计(DbAudit)的权限。具体操作,请参见为RAM用户授权。
RAM用户授权覆盖的范围是针对整个数据库审计服务的读写行为进行授权,暂不支持对已经配置到数据库审计服务里面的单个数据库(包括RDS数据库和自建ECS数据库)添加RAM用户授权。单个数据库是否为RAM用户授权,不影响该RAM用户使用数据库审计服务。
数据库审计A100是否支持云数据库PolarDB?
支持。目前A100支持云数据库PolarDB,您可以根据数据库引擎选择数据库类型进行相应配置。
在CentOS中删除Agent是指删除/usr/local/rmagent目录吗?
是的。建议您参照以下步骤,在CentOS中删除Agent:
在/usr/local/rmagent目录下,执行
./stop_rmagent.sh
,停止Agent进程。运行
ps
命令,确认rmagent进程不存在之后,删除/usr/local/rmagent。
/tmp/rmagent目录下存放Agent的运行日志,删除Agent后,您也可以删除该目录。
在Windows系统中如何删除Agent?
打开控制面板,选择添加和卸载程序,定位到Agent程序后,直接将其卸载。
安装Agent时,是否需要选择本地回环?
不一定。是否开启本地回环取决于您的数据库和应用是否在同一台ECS上,如果是,则需要开启本地回环。
是否支持在Docker运行的环境中安装Agent?
支持。您可以通过以下两种方式安装Agent:
将Agent内置在镜像中:Agent内置在镜像中,容器启动后内置的Agent会自动运行。由于Agent所在服务器的IP不固定,请加入钉群(钉群号:44519396),联系产品技术专家进行咨询。
将Agent安装在镜像的宿主服务器上:将Agent安装在镜像的宿主服务器上后,为了实现Agent和数据库审计服务的正常通信,您需要将宿主服务器的IP地址添加到Agent管理配置的白名单中。更多信息,请参见部署Agent程序。
在选择数据库审计的版本时,需要考虑数据库类型吗?
不需要。数据库审计服务按照能够接入审计的数据库的数量划分不同的版本。在购买时,您只需根据计划接入审计的数据库的数量选择合适的版本。例如,需要审计一个MongoDB和一个MySQL数据库时,选择专业版3实例版本即可。
已经购买数据库审计服务后,如何进行配置?
更多信息,请参见A100快速入门。
如何测试数据库审计网络连通性?
数据库审计外网和内网均禁止使用Ping IP地址的方式来测试网络连通性。如果需要测试数据库审计网络连通性,建议您通过telnet数据库审计外网IP地址的9266端口进行测试。
如何验证已经正确配置了数据库审计服务?
配置完数据库审计服务后,您可以通过查看系统审计到的语句,验证配置是否正确。
如果查看到的语句数量是0,您可以查看Agent程序的日志,排查配置问题。
Agent程序的日志一般存放在以下目录:
Windows:C:\tcmp\rmagent\rmagent_info.log
Linux:/tmp/rmagent/rmagent_info.log
如果在Agent程序的日志中出现以下信息,表示Agent程序未能正确连接到数据库审计系统:xml[INFO][tid=31235]20170322114351 rmagent.cpp:912:Rma_ConnectServer connect <审计系统IP地址>:9266 failed, Connection timed out
解决方案:
检查该日志中连接超时的IP是否为控制台上查询到的数据库审计系统的IP。如不是,请将rmagent.ini配置文件中的IP地址修改为审计系统的IP地址。
检查该数据库审计实例所在的安全组是否放开了内网入方向的9266端口。Agent程序与数据库审计系统通过9266端口进行通讯,请确保在相关的安全组中放行该端口。
审计结果中出现未知用户是什么情况?
在刚启用审计时,如果存在未断开的会话,那么审计到的都是未知用户。过一段时间再审计时,审计到的语句中就会出现用户信息。
如果您需要马上就有用户信息,请让应用和数据库先断开连接,再重新连接即可。
数据库审计服务是否支持审计通过ssh代理主机(已安装rmagent)连接的数据库?
支持,但前提条件是代理主机与数据库连接的方式是非SSL加密的方式。
数据库审计服务支持查看管理员操作日志吗?
可以。您必须先开启系统管理员和系统审计员角色,然后使用sysauditor账号登录,就可以查看管理员操作日志。
如何在服务器上卸载、启用和停用Agent程序?
Linux服务器
卸载:运行安装目录下的
uninstall.sh
。启用:运行安装目录下的
dbagent_start.sh
。停用:运行安装目录下的
dbagent_stop.sh
。
Windows服务器
卸载:运行安装目录下的
uninstall.bat
。启用:运行安装目录下的
dbagent_start.bat
。停用:运行安装目录下的
dbagent_stop.bat
。