本文介绍了您在使用C100系列数据库审计服务时可能遇到的问题和解答,帮助您更好地理解和使用产品。

我可以为数据库审计子账户(RAM账户)授予哪些权限?

目前数据库审计支持对RAM子账户授予以下权限:
  • 为子账户添加AliyunYundunDbAuditFullAccess权限,授予子账户管理云盾数据库审计(DbAudit)的权限(即读写权限)。具体操作指导请参见为RAM用户授权
  • 为子账户添加AliyunYundunDbAuditReadOnlyAccess权限,授予子账户只读访问云盾数据库审计(DbAudit)的权限。具体操作指导请参见为RAM用户授权
为数据库审计子账户授权
说明 子账号授权覆盖的范围是针对整个数据库审计服务的读写行为进行授权,暂不支持对已经配置到数据库审计服务里面的单个数据库(包括RDS数据库和自建ECS数据库)添加子账号授权。单个数据库是否为RAM子账号授权,不影响该子账号使用数据库审计服务。

通过云助手安装的Agent,安装目录是什么?

安装目录:/data/dbAuditAgent

只有安装了云助手的Linux系统ECS才能通过该方式安装Agent,Agent安装后会自动启动。

通过云助手安装的Agent,Agent的日志目录是什么?

通过云助手安装的Agent的日志目录为/data/dbAuditAgent/log,目录下会存在以日期命名的log文件。

是否支持在Docker运行的环境中安装Agent?

支持。仅支持将Agent安装在Docker的宿主服务器上。Agent安装后,为了实现Agent和数据库审计服务的正常通信,您需要将宿主服务器的IP地址添加到Agent管理配置的白名单中。如果您的容器部署在Kubernetes集群中,每启动一个新的镜像都需要手动安装Agent。更多信息请参见部署Agent程序

如何卸载Agent程序?

您可以通过云助手卸载已经安装的Agent。

在选择数据库审计的版本时,需要考虑数据库类型吗?

不需要。

数据库审计服务按照能够接入审计的数据库的数量划分不同的版本。在购买时,您需要根据计划接入审计的数据库的数量选择合适的版本。例如,若需要审计一个MongoDB和一个MySQL数据库,则选择专业版3实例版本即可。

已经购买数据库审计服务后,如何进行配置?

购买数据库审计实例后,您可以通过以下操作配置数据库审计服务:

  1. 启用数据库审计实例
  2. 管理数据库审计实例
  3. 登录数据库审计系统
  4. 管理数据库
  5. 部署Agent程序

更多信息,请参见C100快速入门

如何验证是否正确配置了数据库审计服务?

配置完数据库审计服务后,您可以通过查看查询分析 > 审计日志中审计到的语句,验证配置是否正确。

如果最近5分钟审计到的语句数为0,您可以通过以下步骤进行排查:

  1. 确认是否是新启用的数据库审计实例。
    • 如果是新启用的数据库审计实例,请确认是否安装Agent并配置数据库资产。
      • 如果未安装Agent或配置数据库资产,请参见管理数据库部署Agent程序
      • 如果已安装Agent和配置数据库资产,请执行下一步骤。
    • 如果是原来已启用的数据库审计实例,请执行下一步骤。
  2. 云盾 · 数据库审计控制台的C100页面,查看本实例的存储信息,检查存储空间是否已经用完。
    • 如果存储空间已经用完,建议您进行存储扩容,操作参见管理数据库审计实例;或者将现有审计记录通过控制台的OSS备份进行备份,备份结束后清空存储。
      说明
      • 日志服务的存储一般会延时1-2小时。
      • 如果您账号下有其他日志服务实例发生了欠费,会导致数据库审计实例的数据无法正常写入。
    • 如果存储空间还未用完,请执行下一步骤。
  3. 设备管理 > Agent管理 > 查看Agent状态中,查看Agent状态。
    • 如果Agent状态存在异常,请参见部署Agent程序,使用云助手重装Agent。
    • 如果Agent状态正常,请执行下一步骤。
  4. 通过Agent日志排查问题。

    通过云助手安装的Agent的日志目录为/data/dbAuditAgent/log,目录下保存以日期命名的log文件。

  5. 如果您的问题仍未解决,您可以在阿里云社区免费咨询,或提交工单联系阿里云技术支持。