數據庫安全審計支持對華為云上的RDS關系型數據庫、ECS/BMS自建數據庫進行審計。購買數據庫安全審計實例后，您需要將待審計的數據庫添加至數據庫安全審計實例中。

數據庫安全審計支持審計的數據庫類型及版本，請參見支持的數據庫類型及版本。

前提條件

已成功購買數據庫安全審計實例，且實例的狀態(tài)為“運行中”。

1.登錄管理控制臺。

2.在頁面上方選擇“區(qū)域”后，單擊頁面左上方的，選擇“安全與合規(guī) > 數據庫安全服務”，進入數據庫安全審計“總覽”界面。

3.在左側導航樹中，選擇“數據庫列表”，進入數據庫列表界面。

4.在“選擇實例”下拉列表框中，選擇需要添加數據庫的實例。

5.在數據庫列表框左上方，單擊“添加數據庫”。

6.在彈出的對話框中，設置數據庫的信息。

7.單擊“確定”，數據庫列表中將新增一條“審計狀態(tài)”為“已關閉”的數據庫

說明：數據庫添加完成后，請您確認添加的數據庫信息正確。如果數據庫信息不正確，請您在數據庫所在行單擊“刪除”，刪除數據庫后，再重新添加數據庫；

1.將待審計數據庫添加至數據庫安全審計實例后，您需要根據您在云上實際部署的數據庫選擇添加Agent的方式以及在應用端或數據庫端安裝Agent。Agent程序會獲取訪問數據庫流量、將流量數據上傳到審計系統、接收審計系統配置命令和上報數據庫狀態(tài)監(jiān)控數據，幫助您實現對數據庫的安全審計。

完成添加Agent后，您還需要為Agent安裝節(jié)點所在的安全組添加入方向規(guī)則TCP協議（8000端口）和UDP協議（7000-7100端口），使Agent與審計實例之間的網絡連通，數據庫安全審計才能對添加的數據庫進行審計。

說明：目前僅如下幾種類型數據庫支持免Agent審計。

GaussDB for MySQL

RDS for SQLServer

RDS for MySQL：

5.6（5.6.51.1及以上版本）

5.7（5.7.29.2及以上版本）

8.0（8.0.20.3及以上版本）

GaussDB(DWS)：8.2.0.100及以上版本

前提條件

1. 已成功購買數據庫安全審計實例，且實例的狀態(tài)為“運行中”。
2. 已成功添加數據庫。

添加Agent（ECS/BMS自建數據庫）

1.登錄管理控制臺。

2.在頁面上方選擇“區(qū)域”后，單擊頁面左上方的，選擇“安全與合規(guī) > 數據庫安全服務”，進入數據庫安全審計“總覽”界面。

3.在左側導航樹中，選擇“數據庫列表”，進入數據庫列表界面。

4.在“選擇實例”下拉列表框中，選擇需要添加Agent的數據庫所屬的實例。

5.在添加的數據庫所在行的“Agent”列，單擊“添加Agent”。

6.在彈出的“添加Agent”對話框中，選擇添加方式。

7.單擊“確定”，Agent添加成功。

8.單擊數據庫左側的展開該數據庫的詳細信息，查看添加的Agent信息。

添加Agent（RDS關系型數據庫）

說明：對于數據庫類型為“MYSQL”和“GaussDB(for MySQL)”的RDS關系型數據庫，在添加數據庫成功后Agent免安裝，您可以直接進行步驟三：添加安全組規(guī)則。

當某個應用端連接了多個RDS時， 請按以下方式添加Agent：

1. 連接該應用端所有的RDS都需要添加Agent。
2. 如果連接該應用端的某個數據庫已在應用端添加了Agent。其他數據庫在添加Agent時，請選擇“選擇已有Agent”添加方式。

1.登錄管理控制臺。

2.在頁面上方選擇“區(qū)域”后，單擊頁面左上方的，選擇“安全與合規(guī) > 數據庫安全服務”，進入數據庫安全審計“總覽”界面。

3.在左側導航樹中，選擇“數據庫列表”，進入數據庫列表界面。

4.在“選擇實例”下拉列表框中，選擇需要添加Agent的數據庫所屬的實例。

5.在添加的數據庫所在行的“Agent”列，單擊“添加Agent”。

6.在彈出的“添加Agent”對話框中，選擇添加方式。

7.單擊“確定”，Agent添加成功。

8.單擊數據庫左側的展開該數據庫的詳細信息，查看添加的Agent信息。

后續(xù)處理

Agent添加完成后，您還需要為數據庫安全審計實例所在的安全組添加入方向規(guī)則TCP協議（8000端口）和UDP協議（7000-7100端口），使Agent與審計實例之間的網絡連通，數據庫安全審計才能對添加的數據庫進行審計。

Agent添加完成后，您需要為數據庫安全審計實例所在的安全組添加入方向規(guī)則TCP協議（8000端口）和UDP協議（7000-7100端口），使Agent與審計實例之間的網絡連通，數據庫安全審計才能對添加的數據庫進行審計。

說明：安全組規(guī)則也可以在成功安裝Agent后進行添加。

前提條件

1. 已成功購買數據庫安全審計實例，且實例的狀態(tài)為“運行中”。
2. 數據庫已成功添加Agent。

添加安全組規(guī)則

1.登錄管理控制臺。

2.在頁面上方選擇“區(qū)域”后，單擊頁面左上方的，選擇“安全與合規(guī) > 數據庫安全服務”，進入數據庫安全審計“總覽”界面。

3.在左側導航樹中，選擇“數據庫安全審計 > 數據庫列表”，進入“數據庫列表”界面。

4.在“選擇實例”下拉列表框中，選擇需要添加安全組規(guī)則的數據庫所屬的實例。

5.記錄Agent安裝節(jié)點IP信息。

單擊數據庫左側的展開Agent的詳細信息，并記錄“安裝節(jié)點IP”

6.在數據庫列表的上方，單擊“添加安全組規(guī)則”。

7.在彈出的彈框中，記錄數據庫安全審計實例的“安全組名稱”（例如default）

8.單擊“前往處理”，進入“安全組”列表界面。

9.在列表右上方的搜索框中輸入安全組“default”后，單擊或按“Enter”，列表顯示“default”安全組信息。

10.單擊“default”，進入“基本信息”頁面。

11.選擇“入方向規(guī)則”，檢查安全組的入方向規(guī)則。

請檢查該安全組的入方向規(guī)則是否已為5的安裝節(jié)點IP配置了TCP協議（端口為8000）和UDP協議（端口為7000-7100）規(guī)則。

如果該安全組已配置安裝節(jié)點的入方向規(guī)則，請執(zhí)行下載Agent。

如果該安全組未配置安裝節(jié)點的入方向規(guī)則，請執(zhí)行12。

12.為安裝節(jié)點添加入方向安全規(guī)則。

a.在入方向規(guī)則頁面，單擊“添加規(guī)則”

b.在“添加入方向規(guī)則”對話框中，為步驟5中的安裝節(jié)點IP添加TCP協議（端口為8000）和UDP協議（端口為7000-7100）規(guī)則，

說明：源地址可以是單個IP地址、IP地址段或安全組：

單個IP地址：例如192.168.10.10/32。

IP地址段：例如192.168.52.0/24。

所有IP地址：0.0.0.0/0。

安全組：例如sg-abc。

c.單擊“確定”，完成添加入方向規(guī)則。

安全組規(guī)則添加完成后，您還需要下載Agent，并根據Agent的添加方式在數據庫端或應用端安裝Agent，將添加的數據庫連接到數據庫安全審計實例，才能開啟數據庫安全審計功能。

審計ECS自建數據庫

審計RDS關系型數據庫（安裝Agent）

審計RDS關系型數據庫（免安裝Agent）

數據庫拖庫檢測

數據庫慢SQL檢測

數據庫臟表檢測

Oracle RAC集群審計配置最佳實踐

數據庫安全審計等保最佳實踐

數據庫審計實例規(guī)則配置最佳實踐