管理数据库资产

在审计数据库前,您必须在数据库审计系统中添加要审计的数据库。本文介绍如何在数据库审计系统中管理数据库。

背景信息

关于数据库审计支持的数据库类型,请参见支持的数据库类型

添加数据库

您可以参考以下步骤在数据库审计系统中添加要审计的数据库实例。

  1. 登录数据库审计系统。具体操作,请参见登录数据库审计系统
  2. 在左侧导航栏,选择资产 > 资产管理
  3. 资产管理页面,单击添加

    说明

    您也可以在左侧导航栏单击总览,在总览页面,单击资产主要指标区域的添加资产

  4. 添加资产面板,完成数据库配置,并单击保存

    添加RDS实例

    配置资产信息时,系统默认为最简配置模式(只包含必填项)。您可以单击更多配置,切换为更多配置模式(包含必填项和选填项)。

    配置项

    是否为必填项

    说明

    类型

    选择要审计的数据库类型和版本。更多信息,请参见支持的数据库类型

    实例名

    在RDS实例下拉列表中选择要审计的RDS实例ID。

    如果还未创建需要审计的RDS云数据库实例,您可以前往RDS管理控制台创建数据库实例。关于创建数据库实例的具体操作,请参见快速创建RDS MySQL实例快速创建RDS PostgreSQL实例快速创建RDS SQL Server实例快速创建RDS MariaDB实例

    说明

    只有您将资产类型配置为RDS时,该参数才会显示。

    资产组

    选择要审计的数据库归属的资产组,默认为缺省资产组。您可以单击右侧管理新增资产组。

    名称

    设置数据库名称。如果选择RDS实例,默认取RDS实例名作为名称,支持修改。

    操作系统

    在下拉列表中选择数据库所在服务器的操作系统类型,支持选择的操作系统类型与数据库类型有关。

    说明

    部分资产类型无需配置操作系统,具体请以控制台显示为准。

    编码

    在下拉列表中选择审计数据的编码类型。支持以下类型:

    • 自动识别(默认取值)

    • UTF-8(AL32UTF8)

    • UTF-16

    • GBK(ZHS16GBK)

    • ASCII

    • ISO-8859-1

    • GB2312

    • GB13000

    • GB18030

    • UCS-2

    • BIG5(ZHT16BIG5,ZHT32EUC)

    说明

    如果您不清楚数据库的编码类型,可以先不作修改,保留默认值自动识别。当审计的内容不正确或包含乱码时,再使用其它编码类型。

    IP端口

    • 如果数据库类型选择RDS,数据库审计服务会自动获取IP端口信息,且不支持修改该信息。

      说明

      成功添加数据库后,您可以修改数据库的IP地址和端口。具体操作,请参见编辑数据库

    • 如果数据库类型选择为除RDS外的其他类型,您需要手动填写数据库的IP地址和端口。单击增加IP与端口可以增加多条记录。

      说明

      在Oracle RAC或MySQL读写分离等场景中,您可以添加多个IP地址和端口,实现对整个集群的审计。

    状态

    设置数据库审计配置状态。支持的状态:

    • 启用

    • 禁用

    流量方向

    可以选择双向审计单向审计

    • 双向审计的审计内容为:请求 + 客户端信息 + 服务端信息 + 返回信息。

    • 单向审计的审计内容为:请求 + 客户端信息 + 服务端信息。

    保存行数

    流量方向为双向审计时,设置要保存的返回信息的行数。默认保存行数为5行。取值范围:0~999行,0表示不保存返回结果。

    说明
    • 流量方向为单向审计时,不显示该参数。

    • 部分数据库类型选择双向审计时,无需设置保存行数,具体请以控制台显示为准。

    最大保存长度

    流量方向为双向审计时,设置返回信息的最大保存长度。取值范围:1~64 KB。建议您设置合理的保存长度,避免因长度设置的太小,影响保存的审计结果的完整性。

    说明
    • 流量方向为单向审计时,不显示该参数。

    • 部分数据库类型选择双向审计时,无需设置最大保存长度,具体请以控制台显示为准。

    解密私钥

    重要
    • 仅支持非阿里云数据库使用加密审计功能,并且非阿里云数据库在数据库审计服务的支持范围内。具体支持范围,请参见支持的数据库类型

    • 您证书使用的算法必须为RSA,否则数据库审计服务将无法解析加密后的数据流量。

    • 您可以联系数据库厂商获取安全证书

    如果您已为要审计的数据库配置了证书,您需要在此参数处上传数据库正在使用的证书或私钥文件,否则数据库审计服务将无法审计该数据库加密后的访问流量。如果您的数据库未配置证书,则您无需配置该参数。

    您可以通过以下方式导入证书或私钥文件:

    • 导入证书或私钥文件:单击导入,并选择证书文件上传证书。

      仅支持导入PEM格式的证书。如果您的证书为其他格式,您需要先将证书转化为PEM格式再导入。证书格式转化的具体操作,请参见如何转换证书格式?

    • 复制证书内容:在解密私钥文本框,填写证书文件内容的PEM编码。

      您可以使用文本编辑工具打开PEM格式的证书文件,复制其中的内容并粘贴到该文本框。

    配置证书后,数据库审计服务将应用该证书解析加密后的数据库流量并按照您配置的规则审计该数据库的访问流量。

    证书密码

    输入证书密码。

    如果您需要审计的数据库未配置证书或已配置的证书没有密码文件,无需配置此参数。

    说明

    数据库审计服务会妥善保管您的证书密码,该密码经过加密后会被存储在C100数据库审计实例中,仅在解析当前数据库的加密流量时使用。

    说明
    • 如果需要一次性添加多个数据库资产,您可以在添加资产面板顶部选中保存后不关闭,继续添加数据库。这样设置后,在完成当前数据库配置并单击保存后,可以继续添加下一个数据库。

    • 如果需要为当前数据库启用数据库审计支持的全部内置规则,您可以在添加资产面板顶部选中保存时启用全部内置规则。您可以在数据库审计控制台规则配置 > 安全规则页面,查看数据库审计支持的全部内置规则。

    • 单双向审计配置:添加数据库后,系统默认采用双向审计,且审计结果不保存。您可以在单双向审计配置区域选用单向或双向审计。只有在选择双向审计时,配置的审计结果保存数量才生效。

    成功添加数据库后,已添加的数据库将显示在资产管理页面。您也可以在总览页面的资产概况区域查看已添加的数据库。

添加数据库后,您必须在数据库服务器上部署数据库审计的Agent程序,数据库审计服务才能收集目标数据库的访问流量信息。具体操作,请参见安装Agent。同时,您还可以为数据库配置审计规则,使命中规则的审计记录触发告警。具体操作,请参见配置审计规则

编辑数据库

已添加到数据库审计系统中的数据库配置发生变化时,您需要在数据库审计系统中更新数据库信息。

  1. 登录数据库审计系统。具体操作,请参见登录数据库审计系统
  2. 在左侧导航栏,选择资产 > 资产管理
  3. 单击目标数据库操作列的编辑

  4. 编辑资产面板,修改数据库配置,完成后单击保存

    关于数据库的配置描述,请参见步骤4

删除数据库

如果不再需要审计某个数据库,您可以在数据库审计系统中将其删除。

  1. 登录数据库审计系统。具体操作,请参见登录数据库审计系统
  2. 在左侧导航栏,选择资产 > 资产管理
  3. 单击目标数据库操作列的删除,并在提示对话框中,单击确定