在进行数据库审计前,您必须在数据库审计系统中添加要审计的数据库。本文介绍了在数据库审计系统中添加、编辑、删除数据库的具体操作。
背景信息
关于数据库审计服务支持审计的数据库类型,请参见支持的数据库类型。
数据库审计仅支持审计内网中的数据库访问流量,不支持审计公网中的数据库访问流量。
添加数据库
- 登录数据库审计系统。具体操作,请参见登录数据库审计系统。
- 在左侧导航栏,选择。
在资产页面,单击添加。
在添加资产面板,完成数据库配置,并单击保存。
添加RDS实例
数据库审计系统会自动拉取配置VPC内的RDS实例,用户只需开启审计即可。自动拉取的RDS会被划分到RDS的资产类型中。RDS数据库也可手动添加,手动添加的RDS数据库资产类型会被标识为自建。
配置项
说明
类型
选择RDS,并选择要审计的RDS实例的类型和版本。
RDS数据库实例
在下拉列表中选择要审计的RDS实例ID。
名称
设置数据库名称。选择RDS实例后,默认取RDS实例名作为名称,支持修改。
地址和端口
选择RDS实例名后自动填写,且不可修改。
成功添加数据库后,您可以修改数据库的IP和端口。具体操作,请参见修改数据库。
说明RDS实例不支持加密审计,您无需打开使用SSL证书开关。
添加PolarDB、PolarDB-X、AnalyticDB、OceanBase或通用类型数据库
配置项
说明
类型
选择PolarDB、PolarDB-X、AnalyticDB、OceanBase或通用类型下的数据库类型和版本。
名称
设置数据库名称。
地址和端口
填写数据库的IP地址和端口。单击
图标,可以增加多条记录。 说明在Oracle RAC或MySQL读写分离等场景中,您可以添加多个IP和端口,实现对整个集群的审计。
使用SSL
仅数据库类型选择MySQL时,显示使用SSL开关。支持加密审计的数据库需满足以下条件:
数据库类型为自建数据库MySQL 5.6
加密算法为AES256-SHA和AES128-SHA(单向认证)
如果您的MySQL数据库满足上述条件并配置了SSL证书,您需要打开使用SSL开关,并在SSL密钥处上传数据库使用的证书,否则数据库审计服务将无法审计该数据库加密后的通信流量。如果要审计的数据库不满足上述条件或未配置证书,您无需配置该参数(使用SSL开关保持关闭即可)。
SSL密钥
打开使用SSL开关后,上传要审计的数据库的证书文件。单击上传证书文件,选择证书文件并上传。
仅支持导入PEM格式的证书。如果您的证书为其他格式,您需要先将证书转化为PEM格式再导入。证书格式转化的具体操作,请参见如何转换证书格式?。
重要您可以联系数据库厂商获取证书文件。
数据库审计仅支持AES256-SHA和AES128-SHA算法,如果您的证书上传后可以正常解析,表示该证书使用的RSA算法在支持范围内。如果证书文件上传后解析异常,请加入钉群(钉群号:44519396),联系产品技术专家进行咨询。
如果需要为待审计的数据库开启数据库审计的内置规则,您可以选中保存时关联内置的通用规则。
成功添加数据库。已添加的数据库显示在资产页面。您也可以在概览页面的资产区域查看已添加的数据库。添加数据库后,您还需要在数据库服务器上部署数据库审计的Agent程序,才能开启采集审计数据。具体操作,请参见安装Agent。
添加数据库后,您需要进行以下操作:
您必须在已添加的数据库服务器上部署数据库审计的Agent程序,才能使数据库审计服务收集目标数据库的访问流量信息。具体操作,请参见安装Agent。
您可以为已添加的数据库配置审计规则,使命中规则的审计记录触发告警。
修改数据库
已添加到数据库审计系统中数据库配置发生变化时,您需要在数据库审计系统中更新数据库信息。
- 登录数据库审计系统。具体操作,请参见登录数据库审计系统。
- 在左侧导航栏,选择。
定位到要编辑的数据库,单击修改。
在修改资产面板,修改数据库配置,完成后单击保存,成功修改数据库。
删除数据库
如果不再需要审计某个数据库,您可以在数据库审计系统中删除自建数据库。不支持删除资产分类为RDS的资产。
- 登录数据库审计系统。具体操作,请参见登录数据库审计系统。
- 在左侧导航栏,选择。
定位到要删除的数据库,单击删除。
在删除提示中,单击确认,成功删除数据库。