本文介绍了您在使用A100系列数据库审计服务时可能遇到的问题和解答,帮助您更好地理解和使用产品。

我可以为数据库审计子账户(RAM账户)授予哪些权限?

目前数据库审计支持对RAM子账户授予以下权限:
  • 为子账户添加AliyunYundunDbAuditFullAccess权限,授予子账户管理云盾数据库审计(DbAudit)的权限(即读写权限)。具体操作指导请参见为RAM用户授权
  • 为子账户添加AliyunYundunDbAuditReadOnlyAccess权限,授予子账户只读访问云盾数据库审计(DbAudit)的权限。具体操作指导请参见为RAM用户授权
为数据库审计子账户授权
说明 子账号授权覆盖的范围是针对整个数据库审计服务的读写行为进行授权,暂不支持对已经配置到数据库审计服务里面的单个数据库(包括RDS数据库和自建ECS数据库)添加子账号授权。单个数据库是否为RAM子账号授权,不影响该子账号使用数据库审计服务。

数据库审计A100是否支持云数据库PolarDB?

支持。目前A100支持云数据库PolarDB,您可以根据数据库引擎选择数据库类型进行相应配置。

在CentOS中删除Agent是指删除/usr/local/rmagent目录吗?

是的。建议您参照以下步骤,在CentOS中删除Agent:

  1. /usr/local/rmagent目录下,执行./stop_rmagent.sh,停止Agent进程。
  2. 运行ps命令,确认rmagent进程不存在之后,删除/usr/local/rmagent
说明 /tmp/rmagent目录下存放Agent的运行日志,删除Agent后,您也可以删除该目录。

在Windows系统中如何删除Agent?

打开控制面板,选择添加和卸载程序,定位到Agent程序后,直接将其卸载。

安装Agent的时候,是否需要选择本地回环?

不一定。是否开启本地回环取决于您的数据库和应用是否在同一台ECS上,如果是,则需要开启本地回环。

是否支持在Docker运行的环境中安装Agent?

支持。您可以通过以下两种方式安装Agent:
  • 将Agent内置在镜像中:Agent内置在镜像中,容器启动后内置的Agent会自动运行。由于Agent所在服务器的IP不固定,您需要提交工单联系阿里云技术团队协助您配置Agent。
  • 将Agent安装在镜像的宿主服务器上:将Agent安装在镜像的宿主服务器上后,为了实现Agent和数据库审计服务的正常通信,您需要将宿主服务器的IP地址添加到Agent管理配置的白名单中。更多信息请参见部署Agent程序

在选择数据库审计的版本时,需要考虑数据库类型吗?

不需要。数据库审计服务按照能够接入审计的数据库的数量划分不同的版本。在购买时,您只需根据计划接入审计的数据库的数量选择合适的版本。例如,需要审计一个MongoDB和一个MySQL数据库时,选择专业版3实例版本即可。

已经购买数据库审计服务后,如何进行配置?

购买数据库审计实例后,您可以通过以下操作配置数据库审计服务:
  1. 启用数据库审计实例
  2. 管理数据库审计实例
  3. 登录数据库审计系统
  4. 添加数据库实例
  5. 部署Agent程序

更多信息,请参见A100快速入门

如何测试数据库审计网络连通性?

数据库审计外网和内网均禁止使用Ping IP地址的方式来测试网络连通性。如果需要测试数据库审计网络连通性,建议您通过telnet数据库审计外网IP地址的9266端口进行测试。

如何验证已经正确配置了数据库审计服务?

配置完数据库审计服务后,您可以通过查看系统审计到的语句,验证配置是否正确。

如果查看到的语句数量是0,您可以查看Agent程序的日志,排查配置问题。

Agent程序的日志一般存放在以下目录:
  • Windows:C:\tcmp\rmagent\rmagent_info.log
  • Linux:/tmp/rmagent/rmagent_info.log

如果在Agent程序的日志中出现以下信息,表示Agent程序未能正确连接到数据库审计系统:xml[INFO][tid=31235]20170322114351 rmagent.cpp:912:Rma_ConnectServer connect <审计系统IP地址>:9266 failed, Connection timed out

解决方案:

  • 检查该日志中连接超时的IP是否为控制台上查询到的数据库审计系统的IP。如不是,请将rmagent.ini配置文件中的IP地址修改为审计系统的IP地址。
  • 检查该数据库审计实例所在的安全组是否放开了内网入方向的9266端口。Agent程序与数据库审计系统通过9266端口进行通讯,请确保在相关的安全组中放行该端口。

审计结果中出现未知用户是什么情况?

在刚启用审计时,如果存在未断开的会话,那么审计到的都是未知用户。过一段时间再审计时,审计到的语句中就会出现用户信息。

如果您需要马上就有用户信息,请让应用和数据库先断开连接,再重新连接即可。

数据库审计服务是否支持审计通过ssh代理主机(已安装rmagent)连接的数据库?

支持,但前提条件是代理主机与数据库连接的方式是非SSL加密的方式。

数据库审计服务支持查看管理员操作日志吗?

可以。您必须先开启系统管理员和系统审计员角色,然后使用sysauditor账号登录,就可以查看管理员操作日志。