审计配置
在使用数据安全中心DSC(Data Security Center)提供的安全审计功能前,您需要先完成审计配置。DSC根据您配置的审计模式采集审计日志,并根据已开启的审计规则上报审计告警。本文介绍如何进行审计配置。
前提条件
开启审计并配置审计模式
新授权实例的审计模式默认为关闭状态。您需要为数据库资产配置审计模式,才能为资产开启安全审计和泄漏风险检测。DSC支持原生日志采集和Agent采集两种审计模式。您可以根据实际情况选择合适的审计模式。
审计模式介绍
审计模式 | 适用产品 | 工作原理 | 模式特点 |
原生日志采集 | 阿里云原生数据库(不支持自建数据库、PolarDB) | DSC自动建立与对应产品的数据采集链路,采集日志。 警告 该审计模式下,云产品的优先级策略为业务优先于审计,在业务负载高的情况下,该策略可能会导致小部分日志丢失。 |
|
流量采集(Agent) | RDS、PolarDB、自建数据库 | 通过在应用服务器或数据库服务器中部署Agent,并配置网络连接来打通数据采集链路。Agent将日志流量转发给DSC审计服务器完成日志采集。 重要 该审计模式会消耗服务器的一些CPU、内存、网络带宽资源。 |
|
开启原生日志采集
- 登录数据安全中心控制台。
- 在左侧导航栏,选择。
- 在审计配置页面,单击审计模式页签。
在左侧资产类型导航栏,单击目标资产的云产品类型,在目标资产审计模式列下选择原生日志采集。
开启流程采集(Agent)
- 登录数据安全中心控制台。
- 在左侧导航栏,选择。
- 在审计配置页面,单击审计模式页签。
在左侧资产类型导航栏,单击目标资产的云产品类型,在目标资产审计模式列下选择流量采集(Agent)。
单击采集配置页签。
自动部署Agent或手动部署Agent。
自动部署Agent(推荐)
在自动部署Agent子页签,单击目标实例操作列的打通网络。
需要批量操作时,您可以在选中多个实例后,单击批量打通网络。
单击目标实例操作列的自动安装。
需要批量操作时,您可以在选中多个实例后,单击批量自动安装。
手动部署Agent
在手动部署Agent子页签,选择需要审计的服务器所在VPC。
根据服务器的操作系统类型,参考对应步骤部署Agent。
操作系统
具体步骤
Windows
单击Windows,下载Agent安装包。
安装包将被保存在您浏览器的默认下载路径中。
登录您的Windows服务器。
将已下载的Agent安装包上传到Windows服务器中。
将Agent安装包解压缩到指定的运行目录。
重要解压目录中不能出现特殊字符,具体包括:
<space>、()、[]、{}、^、=、;、!、'、+、,、`、~、&。如果一定要在含特殊字符的目录中运行脚本,请以管理员权限进入DOS命令行运行脚本。选中Install winpcap或Install npcap,单击下一步。
数据库资产类型为RDS或PolarDB时,选择Install winpcap。
数据库资产为自建数据库时,如果数据库应用和数据库在同一个ECS服务器中,选择Install npcap,否则选择Install winpcap。
单击安装,并根据提示保持默认选项完成安装。
Linux
单击Linux,下载Agent安装包。
安装包将被保存在您浏览器的默认下载路径中。
登录您的Linux服务器。
将已下载的Agent安装包上传到Linux服务器的指定目录下。
您可以自定义Agent安装包的存放目录。
执行tar -xf dbagent_linux_V2.29.tar.gz命令,解压Agent安装包。
进入安装目录,执行
./install.sh命令,安装并启用Agent。重要禁止直接运行二进制文件。
必须以root账号运行Agent安装脚本,且指定解释器为bash(或不指定解释器)。
(可选)采用手动部署(Agent)方式且需要配置采集方向或数据库使用了SSL证书时,参考以下步骤完成其他采集配置。
在采集配置页签,单击其他采集配置。
您也可以在手动部署子页签下,单击其他采集配置右侧的前往配置。
在其他采集配置面板,完成参数配置,并单击确定。
配置项
描述
采集方向
选择审计数据的采集方向。可选项:
双向采集的审计内容为:请求 + 客户端信息 + 服务端信息 + 返回信息。
单向采集的审计内容为:请求 + 客户端信息 + 服务端信息。
保存行数
设置要保存的返回信息的行数。取值范围:0~999行,0表示不保存返回结果。
最大保存长度
设置返回信息的最大保存长度。取值范围:1~64 KB。建议您设置合理的保存长度,避免因长度设置过小,影响保存的审计结果的完整性。
SSL证书
如果已为要审计的数据库配置了证书,您需要在此参数处上传数据库正在使用的证书,否则DSC将无法审计该数据库加密后的访问流量。如果您的数据库未配置证书,则您无需配置该参数。以下是配置说明:
单击目标资产SSL证书列的导入证书。
选择数据库使用的证书,并单击打开。
在证书密码列输入证书密码。
如果您需要审计的数据库的证书没有密码文件,则无需输入密码。
重要DSC会妥善保管您的证书密码,仅在解析当前数据库的加密流量时使用证书密码。
管理审计规则
DSC支持内置审计规则和自定义审计规则。关于内置审计规则的更多信息,请参见内置的安全审计规则。
查看内置审计规则
DSC默认为您开启所有内置审计规则。内置审计规则可分为四种类型:数据库审计规则、OSS审计规则、MaxCompute审计规则、Dataphin审计规则。参考以下步骤查看内置审计规则。
在审计配置页面,单击内置规则页签。
在内置规则页签,单击目标类型子页签,例如OSS审计规则,查看对应的内置审计规则。
如果无需使用指定内置规则,您可以关闭该规则状态列下的开关。
自定义审计规则
如果内置审计规则无法满足您的审计需求,您可以自定义审计规则。
在审计配置页面,单击内置规则页签。
在内置规则页签,单击自定义规则子页签。
单击新增规则。
在新增规则面板,完成审计规则配置,并单击提交。
配置项
描述
规则名称
自定义审计规则的名称,建议输入有实际意义的名称以便有效识别审计规则。
规则类型
从下拉列表中选择审计规则类型。
风险级别
从下拉列表中选择审计规则的风险等级。
资产类型
从下拉列表中选择审计规则生效的资产类型。
行为信息
输入审计规则的说明信息。
规则描述
根据实际需要配置规则条件。规则配置完成后,单击添加。支持添加多条规则,多条规则之间为与的关系。
DSC将在命中规则条件时,上报审计告警。
审计规则创建完成后默认开启。
管理存储空间
查看并管理存储容量
购买数据安全中心企业版后,数据安全中心默认为每个数据库实例提供200 GB日志存储空间,为每TB的OSS存储容量提供50 GB日志存储空间。
您可以在数据安全中心控制台页面的存储管理页签,查看审计日志存储容量使用情况,包括日志归档配置使用容量、在线日志存储使用容量和剩余容量。以下是相关说明:
在线日志存储:审计日志存储在日志服务SLS中,支持在查看在线日志。更多信息,请参见查看审计分析结果。
日志归档存储:在您开启归档功能后,数据安全中心支持将存储时间较长的日志压缩归档到对象存储OSS服务中。已归档的日志占用的存储空间较小,您可以在页面的存储管理页签,查看已归档的日志。
支持通过以下操作管理存储容量:
扩容:如果剩余容量无法满足需求,您可以单击扩容,前往变配页面购买足够的日志存储容量。
清空:如果无需保存已有的审计日志,您可以单击清空,在清空日志对话框,选择需要清空的日志类型(在线查询日志和已归档日志),并单击确定。
告警:如需在日志存储容量余量较少时收到提醒,您可以单击告警,前往页面,新增告警配置。具体操作,请参见配置邮箱告警通知、自定义钉钉机器人告警通知。
设置存储规则
数据安全中心支持调整在线日志存储时长和日志归档配置,您可以参考以下步骤设置存储规则。
- 登录数据安全中心控制台。
- 在左侧导航栏,选择。
在审计配置页面,单击存储管理页签。
在日志存储管理区域,根据实际需要选择管理模式并设置自动清除日志配置,单击确定。
支持选择以下管理模式:
手动调整:该模式需要您设置在线日志存储天数和是否进行自动归档。
设置在线日志存储天数后,超过设置天数的在线日志会被清理。开启了自动归档后,如果您设置的在线日志存储天数为N天,数据安全中心会自动归档(N-3)天前的日志。
动态调整:该模式优先将日志存储为在线查询形态,数据安全中心将每天根据您的实际日志量与空间总容量调整在线查询时长,并在在线查询时长不足的情况下进行自动归档。
查询归档日志
已归档的日志无法直接在线查看,您可以使用数据安全中心提供的归档日志查询功能解析归档日志,然后再查看已归档的日志。具体操作步骤如下:
- 登录数据安全中心控制台。
- 在左侧导航栏,选择。
在审计配置页面,单击存储管理页签。
在存储管理页签,单击右上角的归档日志查询。
在归档日志查询对话框,选择需要查询的日期区间,单击确定。
您需要关注以下说明:
已解析时间段在日志过期前无法再次解析。
单次加载最多可选择500 GB日志文件。
最多支持同时运行3个解析任务。
在日志解析记录对话框,查看指定日期的日志解析状态,等待解析状态为已完成时,单击操作列查看,即可查看已归档的日志。
在存储管理页签,单击右上角的查询记录,可在日志解析记录对话框查看日志解析记录和解析状态。