AI 助理
备案控制台
官方文档
输入文档关键字查找
首页 数据安全中心 数据安全中心(包含云原生数据审计) 操作指南 云原生数据审计 配置并开启审计模式

配置并开启审计模式

更新时间:
产品详情
我的收藏
重要

本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。

数据安全中心DSC(Data Security Center)提供的数据审计功能,可以通过查看审计日志分析数据库活动信息,进而帮助您跟踪数据库潜在的恶意行为或未授权访问,调查安全事件原因。在使用数据审计前,您需要先完成审计模式配置,DSC才能根据您配置的审计模式采集相关数据库的审计日志。本文介绍如何进行审计配置。

前提条件

  • 已开通数据安全中心免费版实例或已购买数据安全中心企业版实例。具体操作,请参见数据安全中心免费版服务购买数据安全中心

  • 已完成数据资产授权。具体操作,请参见资产授权

  • 如果开启云数据库 OceanBase 版实例下数据审计功能,必须先开启目标OceanBase实例下目标租户的SQL审计。具体操作,请参见SQL 审计

    重要

    开启目标OceanBase实例下目标租户的SQL审计后,才能参照本文开启目标OceanBase实例下审计模式。开启审计模式成功后,该实例下所有已经开启SQL审计的租户下数据库可使用数据审计服务。

背景信息

新授权实例的审计模式默认为关闭状态。您需要为数据库资产开启并配置审计模式,DSC才能采集到对应数据资产的操作日志到审计日志中,进而根据审计日志通过审计告警规则对数据资产进行数据泄露、漏洞攻击、SQL注入等风险检测并上报告警信息。

审计模式说明

DSC支持原生日志采集和流量采集(Agent)两种审计模式。您可以根据实际情况选择合适的审计模式。

说明

原生数据库建议采用原生日志审计方式,自建数据库建议通过部署Agent方式进行。

审计模式对比

审计模式

支持的数据资产类型

工作原理

模式特点

原生日志采集

  • OSS

  • 阿里云原生数据库(不支持自建数据库和Redis)

DSC自动建立与对应产品的数据采集链路,采集日志。日志会记录所有DQL、DMLDDL操作信息,这些信息是通过数据库内核输出,对系统CPU消耗极低。具体说明,请参见本文的常见问题

警告

该审计模式下,云产品的优先级策略为业务优先于审计,在业务负载高的情况下,该策略可能会导致少量日志丢失。

流量采集(Agent)

  • RDS

  • PolarDB

  • 自建数据库(需要在资产中心开启)

通过私网连接(PrivateLink)打通数据采集链路,并在访问数据库的应用服务器或数据库服务器中部署Agent,使用Agent将日志流量转发给DSC审计服务器完成日志采集。

DSC支持一键打通网络功能,自动配置PrivateLink。私网连接的详细说明,请参见什么是私网连接

一键打通网络需要读取ECS的安全组和交换机来配置PrivateLink,因此需要确保安装AgentECS交换机的可用区在数据审计服务支持的可用区列表。具体内容,请参见下文的安装流量采集AgentECS支持的可用区列表

一键打通网络策略如下:

  • 如果用户ECS实例使用普通安全组,系统会在对应VPC下创建一个安全组,通过组组授权的方式和用户ECS安全组来实现网络打通。

  • 如果用户ECS实例使用企业级安全组,系统会在ECS实例下修改任意一个安全组规则,放行入方向端口13001/13002来实现网络打通。

重要

  • 该审计模式仅支持与数据安全中心服务同账号的ECS资产部署Agent。

  • 该审计模式会消耗服务器的CPU、内存、网络带宽等资源。

    CPU平均占用服务器流量的2%;内存最高占用300 MB;Agent自身消耗的带宽几乎可忽略不计,主要是转发的数据库流量占用带宽。

    您可以自定义配置CPU、内存等使用阈值,具体内容,请参见本文的管理Agent

  • Agent稳定运行的SLA:单台设备上数据库流量不高于800 Mbps;服务器可用存储不低于500 MB;系统对进程占用内存的限制不低于300 MB;Agent可用CPU限制不低于20%;服务器与数据审计服务之间网络稳定。

  • 需要配置私网连接,部署Agent。

  • 无额外采集费用。

安装流量采集AgentECS支持的可用区列表

支持的可用区列表

地域名称

地域ID

可用区数量

可用区名称

可用区ID

华东1(杭州)

cn-hangzhou

7

杭州 可用区B

cn-hangzhou-b

杭州 可用区F

cn-hangzhou-f

杭州 可用区G

cn-hangzhou-g

杭州 可用区H

cn-hangzhou-h

杭州 可用区I

cn-hangzhou-i

杭州 可用区J

cn-hangzhou-j

杭州 可用区K

cn-hangzhou-k

华东2(上海)

cn-shanghai

7

上海 可用区B

cn-shanghai-b

上海 可用区E

cn-shanghai-e

上海 可用区F

cn-shanghai-f

上海 可用区G

cn-shanghai-g

上海 可用区L

cn-shanghai-l

上海 可用区M

cn-shanghai-m

上海 可用区N

cn-shanghai-n

华北1(青岛)

cn-qingdao

2

青岛 可用区B

cn-qingdao-b

青岛 可用区C

cn-qingdao-c

华北2(北京)

cn-beijing

8

北京 可用区C

cn-beijing-c

北京 可用区E

cn-beijing-e

北京 可用区F

cn-beijing-f

北京 可用区G

cn-beijing-g

北京 可用区H

cn-beijing-h

北京 可用区I

cn-beijing-i

北京 可用区K

cn-beijing-k

北京 可用区L

cn-beijing-l

华北3(张家口)

cn-zhangjiakou

3

张家口 可用区A

cn-zhangjiakou-a

张家口 可用区B

cn-zhangjiakou-b

张家口 可用区C

cn-zhangjiakou-c

华北5(呼和浩特)

cn-huhehaote

2

呼和浩特 可用区A

cn-huhehaote-a

呼和浩特 可用区B

cn-huhehaote-b

华南1(深圳)

cn-shenzhen

3

深圳 可用区D

cn-shenzhen-d

深圳 可用区E

cn-shenzhen-e

深圳 可用区F

cn-shenzhen-f

西南1(成都)

cn-chengdu

2

成都 可用区A

cn-chengdu-a

成都 可用区B

cn-chengdu-b

开启原生日志采集

步骤一:授权SLS访问数据资产

原生日志采集需要授予日志服务访问云资源的权限。

  1. 登录数据安全中心控制台

  2. 在左侧导航栏,选择数据审计 > 云原生数据审计

  3. 资产管理 > 资产接入页签中,单击点击去授权

  4. 跳转至访问控制快速授权页面,单击确认授权

    image

步骤二:开启审计模式

  1. 资产接入页签选择云产品类型,例如RDS

  2. 在资产列表找到目标资产,然后在审计模式列下选中原生日志采集

    您也可以选中多个目标资产前的复选框,然后单击列表下方的批量修改审计模式下拉列表,单击目标模式。

image

开启流量采集(Agent)

流量采集(Agent)是一种用于网络流量监控和数据采集的软件组件,通常部署在网络设备、服务器或虚拟机上。它的主要功能是捕获、分析并上报网络中的流量数据,以便进行进一步的安全检测、性能监控或故障排查。

安装Agent

  1. 登录数据安全中心控制台

  2. 在左侧导航栏,选择数据审计 > 云原生数据审计

  3. 资产管理 > 资产接入页签中,选择云产品类型。

  4. 在目标资产的审计模式列下选择流量采集(Agent)

  5. 开启流量采集(Agent)面板中配置网络并安装Agent。

    已经安装过Agent且未卸载的主机,无需重复安装,可以单击面板上方的查看已安装Agent的主机

    1. 配置网络:选择地域和需要安装AgentVPC网络。

      如果该VPC网络未打通,您需先单击打通网络。确认提示信息后,单击确定。待网络打通后单击下一步

    2. 安装Agent:如果Agent安装在阿里云ECS上,可选择自动部署方式;如果Agent安装在阿里云外,请选择手动部署方式。

      • 自动部署Agent(推荐)

        1. 自动部署Agent子页签,如果目标资产的PrivateLink连接状态不是已连接,单击目标实例操作列的打通网络

          需要批量操作时,您可以在选中多个实例后,单击批量打通网络

        2. PrivateLink连接状态已连接后,单击目标实例操作列的自动安装

          需要批量操作时,您可以在选中多个实例后,单击批量自动安装

          安装成功后,目标资产Agent状态列显示运行中

        说明

        如果列表中没有目标实例,可以单击资产同步,待同步完成后再进行操作。

      • 手动部署Agent

        • 手动部署Agent子页签,根据服务器的操作系统类型,参考对应步骤部署Agent。

          Windows

          1. Windows页签中,单击下载安装包

            安装包将被保存在您浏览器的默认下载路径中。

          2. 登录您的Windows服务器。

          3. 将已下载的Agent安装包上传到Windows服务器中。

          4. Agent安装包解压缩到指定的运行目录,然后运行安装应用程序。

            重要

            解压目录中不能出现特殊字符,具体包括:<space>()[]{}^=;!'+,`~&。如果一定要在含特殊字符的目录中运行脚本,请以管理员权限进入DOS命令行运行脚本。

          5. 选中Install winpcapInstall npcap,单击下一步

            1. 数据库资产类型为RDSPolarDB时,选择Install winpcap

            2. 数据库资产为自建数据库时,如果数据库应用和数据库在同一个ECS服务器中,选择Install npcap,否则选择Install winpcap

          6. 单击安装,并根据提示保持默认选项完成安装。

          Linux

          1. Linux页签中,单击下载安装包

            安装包将被保存在您浏览器的默认下载路径中。

          2. 登录您的Linux服务器。

          3. 将已下载的Agent安装包上传到Linux服务器的指定目录下。

            您可以自定义Agent安装包的存放目录。

          4. 执行tar -xf dbagent_linux_V2.29.tar.gz命令,解压Agent安装包。

            dbagent_linux_V2.29.tar.gzAgent安装包文件,请替换为对应的真实文件名。

            重要

            解压目录中不能出现特殊字符,具体包括:<space>()[]{}^=;!'+,`~&。如果一定要在含特殊字符的目录中运行脚本,请以管理员权限进入DOS命令行运行脚本。

          5. 进入安装目录,执行./install.sh命令,安装并启用Agent。

            重要

            1. 禁止直接运行二进制文件。

            2. 必须以root账号运行Agent安装脚本,且指定解释器为bash(或不指定解释器)。

  6. 配置完成后单击确定

其他操作

  • 采集配置:安装运行Agent后,您可以单击操作列的采集配置,配置采集方向保存行数最大保存长度等。

  • Agent配置:流量审计模式会消耗服务器的CPU、内存、网络带宽资源。当Agent安装运行后,您可以根据业务实际情况,查看资源消耗情况、配置Agent运行监控参数和管理Agent状态等。单击操作列的Agent配置,跳转至Agent管理页签进行配置。具体操作,请参见管理Agent

管理Agent

  1. 资产管理页签,单击Agent管理页签。

  2. 查看资源消耗趋势图。

    1. 单击目标资产操作列的监控

    2. 在监控信息对话框,单击对应资源页签,并在右上角选择时间范围,查看对应资源使用情况。

      image

  3. 配置Agent运行的监控参数。

    1. 单击目标资产操作列的配置

    2. 配置面板,展开对应配置项,根据实际服务器运行情况进行设置。

      image

      配置项

      描述

      数据采集保护

      Agent资源的使用限制。

      • CPU亲和性

        CPU亲和性(也称为CPU关联性)指的是让进程尽可能长时间在指定的CPU上运行,而不被迁移到其他处理器上。在多核系统中,每个CPU都具备缓存,用于存储进程的使用信息。如果进程被调度到其他CPU上运行,原先缓存的信息可能无法被新CPU使用,导致CPU缓存命中率下降,从而降低处理性能。

        启用CPU亲和性后,Agent将仅在单个CPU核心上工作。禁用CPU亲和性后,Agent将在多个CPU核心上工作,这种情况下可能会占用您较多的CPU资源。默认启用,建议您启用CPU亲和性

        如果修改配置,Agent会自动重启生效。

      • 采集数据最大CPU使用率 (单位:百分比)

        设置Agent最大CPU使用率。默认值为100%,取值范围:0%~100%,填0表示不限制。

        Agent所占有的CPU使用率不会超过该设定值。如果该值设置过小,会导致审计数据不全面,建议您设置合理的值。

      • 采集数据最大内存使用量 (单位:MB)

        设置Agent最大内存使用量。

        Agent缓存数据包所占用的内存不会超过该设定值。如果该值设置过小,会导致审计数据不全面。默认值为200 MB。该值不能超过设备的最大内存,且不能超过2000 MB。

      系统保护

      系统资源超过设置的任一阈值时,Agent暂停工作,直到所有指标低于阈值。

      • CPU使用率阈值 (单位:百分比)

        默认值100%,取值范围:0%~100%,填0表示不限制。

      • 内存使用率阈值 (单位:百分比)

        默认值100%,取值范围:0%~100%,填0表示不限制。

      • 系统磁盘读IO阈值 (单位:KB/s)

        默认值0,表示不限制。不能超过系统磁盘的最大读速率。

      • 系统磁盘写IO阈值 (单位:KB/s)

        默认值0,表示不限制。不能超过系统磁盘的最大写速率。

      进程保护

      AgentCPU或内存使用超过设定值时,Agent将自动修复异常。

      • CPU异常保护阈值 (单位:百分比)

        在正常情况下,AgentCPU使用不会超出配置的上限,该配置可作为兜底保护,以防止特殊情况的发生。

        默认值为100%,填0表示关闭CPU异常保护功能。

      • 内存异常保护阈值 (单位:MB)

        该配置可作为兜底保护,以防止特殊情况的发生。默认值为300 MB,填0表示关闭内存异常保护功能。

      抓包与过滤设置

      默认无需配置。根据资产管理配置IP抓取流量,特殊场景下Agent会根据此配置进行网卡流量采集。

      • 抓包网口

        设置需要抓取流量包的网口。多个网口请使用空格分隔。

        设置该参数后,数据审计服务只抓取您设置的网口上的流量。不设置此参数时,默认抓取全部网口上的流量。

      • 抓包过滤串

        设置抓包的过滤串。

        配置后,数据审计服务将不再根据配置的资产自动抓包,只在抓包网口抓取匹配该过滤串的流量。配置示例:(host 192.168.1.100 and port 3306) or (host 192.168.1.101 and port 3306)

      • 按工具过滤

        配置后将不再转发指定客户端工具的流量,可填写多个,多个值请用半角逗号分隔。配置示例:JDBC,Navicat Premium.exe

      • 按账号过滤

        配置后将不再转发指定数据库账号的流量,可填写多个,多个值请用半角逗号分隔。配置示例:root,sa

      本地回环审计配置

      Agent安装在数据库服务器,且存在无TCP连接的访问行为,可以配置本地审计,实现不通过TCP/IP连接的本地数据库访问审计。

      说明

      本地审计支持审计非网络形式(进程间通信等)的数据库通信数据,目前仅支持Oracle、PostgreSQL、MySQL、SQL ServerDB2的特定版本。

      • 回环网口

        设置回环网口的名称。

        不设置时会自动识别回环网口的名称。不建议您设置该参数。

      • 回环抓包过滤串

        设置回环抓包过滤串。

        配置后,将不再根据配置的资产自动抓包,只在回环网口抓取匹配该过滤串的流量。配置示例:(port 3306) or (port 3307)

      • 回环网口替换IP(v4)

        设置本地回环的IPv4地址。

        设置该地址后,数据库审计服务会将网络流量中本地回环的IPv4地址改为该地址。不设置此参数时,不做任何变更。

      • 回环网口替换IP(v6)

        设置本地回环的IPv6地址。

        设置该地址后,数据库审计服务会将网络流量中本地回环的IPv6地址改为该地址。不设置此参数时,不做任何变更。

      其他

      Agent的其他配置

      • 调试模式

        选择启用或禁用调试模式。

        启用调试模式后,数据库审计服务会记录更详细的调试日志。

      • 数据传输加密

        选择启用或禁用数据传输加密。

        启用后会对Agent转发的数据进行加密。

  4. 挂起、停止或卸载目标资产的Agent。

    1. 单击目标资产操作列的image,单击挂起停止卸载

    2. 在弹出的对话框中,查看挂起停止卸载影响后,单击确定

      • 挂起

        image

      • 停止

        image

      • 卸载

        image

其他操作

  • 网络管理

    1. 单击列表右上角的网络管理

    2. 在网络管理面板中,开启或关闭VPC网络连接。

  • 安装Agent:单击列表右上角的安装Agent,对目标VPC中的资产安装Agent。具体操作,请参见安装Agent

配置审计告警

  • DSC默认为数据资产提供内置审计规则,包括数据库审计规则、OSS审计规则、MaxCompute审计规则,并支持自定义审计规则。开启审计告警规则后,可根据审计日志检测数据资产的异常操作、数据泄露、漏洞攻击、SQL注入等风险。详细内容,请参见配置并开启审计告警规则

  • 开启审计告警规则后,DSC会将命中规则条件的行为,上报至DSC的审计告警。您可以根据告警信息和审计日志分析处理相关风险。详细内容,请参见查看和处理审计告警

常见问题

Q:开启原生日志采集模式对数据库性能有影响吗?影响有多大?

A:有影响,影响极小,几乎不会被感知。

具体到资源占用情况:

  • CPU、内存:消耗极低,几乎可以忽略。

  • 存储空间:主要用于存储审计信息,但DSC提供的数据审计功能使用的是DSC侧提供的存储空间,不占用数据库实例的存储空间。

  • 网络:不会对网络性能产生影响。

  • 磁盘性能:不会对磁盘性能产生影响,因为审计数据存储在DSC侧,而非数据库实例的磁盘上。

Q:如何设置审计告警的白名单?

A:您可以将登录数据资产的IP地址、账号加入白名单。DSC对加入白名单的账号或IP地址中数据资产不进行审计告警,可以有效帮助您减少无效告警。具体内容,请参见管理白名单

相关文档

  • 完成对应数据资产的审计模式配置后,您可以在日志分析页面查看该数据资产的审计日志,详细内容,请参见查看审计日志

  • 在线查询的审计日志会保存在数据安全中心提供的存储空间中,您可以查看当前存储空间容量使用情况,并管理在线存储日志和归档存储日志的存储规则。更多内容,请参见管理日志存储

上一篇:云原生数据审计下一篇:配置并开启审计告警规则