如何配置数据库安全审计?
购买数据库安全审计实例后,您需要将待审计的数据库添加到数据库安全审计实例中,并在数据库端、应用端或代理端安装Agent。当待审计的数据库连接到数据库安全审计实例后,数据库安全审计才能对待审计的数据库进行审计。
数据库安全审计的配置操作流程如下图所示。
如何关闭数据库SSL?
数据库开启SSL时,将不能使用数据库安全审计功能。如果您需要使用数据库安全审计功能,请关闭数据库的SSL。
以MySQL数据库自带的客户端为例说明,操作步骤如下:
-
使用MySQL数据库自带的客户端,以root用户登录MySQL数据库。
-
执行以下命令,查看MySQL数据库连接的方式。
\s
- 如果界面回显类似以下信息,说明MySQL数据库已关闭SSL。
SSL: Not in use
- 如果界面回显类似以下信息,说明MySQL数据库已开启SSL,请执行步骤3。
SSL: Cipher in use is XXX-XXX-XXXXXX-XXX
- 以SSL模式登录MySQL数据库。
- 执行以下命令,退出MySQL数据库。
exit
- 以root用户重新登录MySQL数据库。
- 在登录命令后添加以下参数:
--ssl-mode=DISABLED
或
--ssl=0
注意
须知:以SSL模式登录MySQL数据库,只能关闭本次SSL。当需要使用数据库安全审计功能时,请以本步骤登录MySQL数据库。
- 执行以下命令,查看MySQL数据库连接的方式。如果界面回显类似以下信息,说明MySQL数据库已关闭SSL。
SSL: Not in use
如何设置数据库安全审计的INSERT审计策略?
在添加风险操作时,您可以添加INSERT审计策略,如下图所示。
如何对所有数据库设置数据库安全审计规则?
数据库安全审计默认提供一条“全审计规则”的审计范围,可以审计连接数据库安全审计实例的所有数据库。该审计规则默认开启,您只能禁用或启用该审计规则。
在添加风险操作时,您也可以将添加的风险操作应用到连接数据库审计实例的所有数据库,如下图所示。
如何查看数据库安全审计的版本信息?
请参照以下操作步骤查看数据库安全审计的版本信息。
- 登录管理控制台。
- 单击右上角的
,选择区域。 - 选择“安全 > 数据库安全服务”,进入数据库安全审计“总览”界面。
- 在左侧导航树中,选择“实例列表”,进入“实例列表”界面。
- 单击需要查看信息的实例名称,进入实例概览页面。
- 查看实例版本信息,如下图所示。
如何查看数据库安全审计所有的告警信息?
请参照以下操作步骤查看数据库安全审计的告警信息。
- 登录管理控制台。
- 单击右上角的 ,选择区域。
- 选择“安全 > 数据库安全服务”,进入数据库安全审计“总览”界面。
- 在左侧导航树中,选择“实例列表”,进入“实例列表”界面。
- 单击需要查看告警信息的实例名称,选择“监控 > 告警监控”,进入告警监控页面。
- 查看告警信息。您可以按照以下方法,查询指定的告警信息。
- 选择“时间”(“全部”、“近30分钟”、“近1小时”、“近24小时”、“近7天”或“近30天”),或单击 ,选择开始时间和结束时间,单击“确认”,列表显示该时间段的告警信息。
- 选择“风险等级”(“全部”、“高”、“中”或“低”),列表显示该级别的告警信息。
- 选择“告警类型”,列表显示该类型的告警信息。
如何验证已完成数据库安全审计配置?
开启数据库安全审计功能后,请参考以下操作步骤验证已正确配置数据库安全审计。
- 在安装Agent的节点输入一条SQL语句(例如“show databases”)。
- 登录管理控制台。
- 在“时间”所在行右侧,单击
,选择开始时间和结束时间,单击“提交”,SQL语句列表将显示步骤1输入的SQL语句,如图4-25所示。
如果SQL语句列表中显示输入的SQL语句,说明已正确配置数据库安全审计。
如果SQL语句列表中未显示输入的SQL语句,说明数据库安全审计功能无法使用,请按以下方法处理:
PC通过内网访问RDS(即应用端在云下)时,如何使用数据库安全审计?
当PC通过专线内网访问RDS时,您可以将Agent安装到自建的代理端。此时,PC通过代理端访问数据库,数据库安全审计只能审计代理与后端数据库之间的访问记录,无法审计应用端与后端数据库的访问记录。
