數(shù)據(jù)庫安全審計采用旁路部署模式，通過在訪問數(shù)據(jù)庫的應(yīng)用系統(tǒng)服務(wù)器上部署數(shù)據(jù)庫安全審計Agent，獲取訪問數(shù)據(jù)庫流量，Agent將獲取的流量數(shù)據(jù)上傳到審計系統(tǒng)、接收審計系統(tǒng)配置命令和上報數(shù)據(jù)庫狀態(tài)監(jiān)控數(shù)據(jù)，實現(xiàn)對數(shù)據(jù)庫的安全審計。

圖1 審計RDS關(guān)系型數(shù)據(jù)庫（安裝Agent）架構(gòu)圖

本文以POSTGRESQL 7.4版本的關(guān)系型數(shù)據(jù)庫為例，詳細信息如表1所示，您需要對該數(shù)據(jù)庫內(nèi)部違規(guī)和不正當操作進行定位追責，滿足等保測評數(shù)據(jù)庫審計需求。本節(jié)詳細介紹該場景下開啟數(shù)據(jù)庫安全審計功能和驗證審計結(jié)果的具體操作。

1. 使用數(shù)據(jù)庫安全審計需要關(guān)閉數(shù)據(jù)庫的SSL。
2. 待審計數(shù)據(jù)庫與數(shù)據(jù)庫安全審計需要在同一區(qū)域。
3. 購買數(shù)據(jù)庫安全審計配置“VPC”參數(shù)時，需與Agent安裝節(jié)點所在VPC相同。
4. 數(shù)據(jù)庫安全審計的Agent安裝節(jié)點，請參見：如何選擇數(shù)據(jù)庫安全審計的Agent安裝節(jié)點？。

您需要根據(jù)您的業(yè)務(wù)需求購買數(shù)據(jù)庫安全審計規(guī)格并配置數(shù)據(jù)庫安全審計參數(shù)，詳細操作請參見購買數(shù)據(jù)庫安全審計。

說明：為保證審計功能的正常使用，購買數(shù)據(jù)庫安全審計配置“VPC”參數(shù)時，請與Agent安裝節(jié)點所在VPC相同。

數(shù)據(jù)庫安全審計的Agent安裝節(jié)點，請參見：如何選擇數(shù)據(jù)庫安全審計的Agent安裝節(jié)點？。

購買成功后，您需要先將目標數(shù)據(jù)庫添加至數(shù)據(jù)庫安全審計實例并開啟該數(shù)據(jù)庫的審計功能。

1、登錄管理控制臺。

2、在頁面上方選擇“區(qū)域”后，單擊頁面左上方的，選擇“安全與合規(guī) > 數(shù)據(jù)庫安全服務(wù)”，進入數(shù)據(jù)庫安全審計“總覽”界面。在左側(cè)導(dǎo)航樹中，選擇“數(shù)據(jù)庫列表”，進入數(shù)據(jù)庫列表界面。

3、在“選擇實例”下拉列表框中，選擇需要添加數(shù)據(jù)庫的實例，并單擊“添加數(shù)據(jù)庫”。

4、在彈出的對話框中，按表2所示信息填寫數(shù)據(jù)庫參數(shù)，如圖2所示。

5、數(shù)據(jù)庫安全審計支持“UTF-8”和“GBK”兩種數(shù)據(jù)庫字符集的編碼格式，請根據(jù)業(yè)務(wù)情況選擇編碼格式。

圖2 “添加數(shù)據(jù)庫”對話框

6、單擊“確定”，該數(shù)據(jù)庫添加到數(shù)據(jù)庫列表中，且“審計狀態(tài)”為“已關(guān)閉”。

7、在該數(shù)據(jù)庫所在行的“操作”列，單擊“開啟”，開啟審計功能。

1、在數(shù)據(jù)庫所在行的“Agent”列，單擊“添加Agent”，如圖3所示。

圖3 添加Agent

2、在彈出的對話框中，選擇添加方式。

方式一：選擇“創(chuàng)建Agent”

如果數(shù)據(jù)庫安全審計實例的數(shù)據(jù)庫未添加Agent，您需要創(chuàng)建新的Agent。

“安裝節(jié)點類型”選擇“應(yīng)用端”，“安裝節(jié)點IP”輸入表2所示的應(yīng)用端IP地址，如圖4所示。

圖4 在應(yīng)用端添加Agent

方式二：“選擇已有Agent”如圖5所示。

在什么場景下需要選擇“選擇已有Agent”添加方式的詳細介紹，請參見在什么場景下需要選擇“選擇已有Agent”添加方式？。

說明：選擇“選擇已有Agent”添加方式，如果您已在應(yīng)用端安裝了Agent，該數(shù)據(jù)庫添加Agent后，數(shù)據(jù)庫安全審計即可對該數(shù)據(jù)庫進行審計。

圖5 選擇已有Agent

3、單擊“確定”，Agent添加成功。

步驟四：添加安全組規(guī)則

Agent添加完成后，您需要為數(shù)據(jù)庫安全審計實例所在的安全組添加入方向規(guī)則TCP協(xié)議（8000端口）和UDP協(xié)議（7000-7100端口），使Agent與審計實例之間的網(wǎng)絡(luò)連通，數(shù)據(jù)庫安全審計才能對添加的數(shù)據(jù)庫進行審計。

如果該安全組已配置安裝節(jié)點的入方向規(guī)則，請執(zhí)行步驟五：安裝Agent。

如果該安全組未配置安裝節(jié)點的入方向規(guī)則，請按照本節(jié)內(nèi)容進行配置。

說明：安全組規(guī)則也可以在成功安裝Agent后進行添加。

1、獲取安裝節(jié)點IP地址。

2、在數(shù)據(jù)庫列表的上方，單擊“添加安全組規(guī)則”。

3、在彈出的彈框中，記錄數(shù)據(jù)庫安全審計實例的“安全組名稱”（例如default），如圖6所示。

圖6 添加安全組規(guī)則

4、單擊“前往處理”，進入“安全組”界面。

5、在列表右上方的搜索框中輸入安全組“default”后，單擊或按“Enter”，列表顯示“default”安全組信息。

6、單擊“default”，進入“基本信息”頁面。

7、選擇“入方向規(guī)則”頁簽，單擊“添加規(guī)則”，如圖7所示。

圖7 添加規(guī)則

8、在彈出的“添加入方向規(guī)則”對話框中，為表2中的安裝節(jié)點IP添加TCP協(xié)議（端口為8000）和UDP協(xié)議（端口為7000-7100）規(guī)則，如圖8所示。圖8 “添加入方向規(guī)則”對話框

9、單擊“確定”，完成添加入方向規(guī)則。

待審計的數(shù)據(jù)庫與數(shù)據(jù)庫安全審計實例連接成功后，您需要驗證Agent與數(shù)據(jù)庫安全審計實例之間的網(wǎng)絡(luò)通信是否正常。

1、在安裝Agent的節(jié)點執(zhí)行一條SQL語句或?qū)?shù)據(jù)庫進行操作（例如，“Select 1;”）。

2、在左側(cè)導(dǎo)航樹中，選擇“總覽”，進入“總覽”界面。

3、在“選擇實例”下拉列表框中，選擇需要查看數(shù)據(jù)庫慢SQL語句信息的實例。

4、選擇“語句”頁簽。

5、SQL語句列表將顯示登錄數(shù)據(jù)庫操作的記錄，如圖10所示。

6、如果不能查詢到SQL語句，請您參照如何處理Agent與數(shù)據(jù)庫安全審計實例之間通信異常？進行排查。

驗證成功后，您可參照本節(jié)內(nèi)容在總覽界面查看審計結(jié)果信息，同時也可根據(jù)需求在報表界面進行設(shè)置生成報表、下載或預(yù)覽報表。

1、查看總覽信息。

進入總覽入口，如圖11所示，查看總覽信息。

在總覽界面，展示了該實例的審計時長、SQL語句總量、風險總量以及今日語句、今日風險、今日會話量您可以選擇“語句”或“會話”頁簽，分別查看SQL語句信息和會話分布圖。

圖11 進入總覽入口

2、生成報表、下載或預(yù)覽報表。

a、參照圖12進入報表管理界面。

圖12 進入報表管理入口

b、在左側(cè)導(dǎo)航樹中，選擇“報表”。

c、在“選擇實例”下拉列表框中，選擇需要生成審計報表的實例。選擇“報表管理”頁簽。

d、在需要生成報表的模板所在行的“操作”列，單擊“立即生成報表”。

e、在彈出的對話框中，單擊，設(shè)置報表的開始時間和結(jié)束時間，選擇生成報表的數(shù)據(jù)庫。

f、單擊“確定”。系統(tǒng)跳轉(zhuǎn)到“報表結(jié)果”頁面，您可以查看報表的生成進度。報表生成后，您可以“預(yù)覽”或“下載”報表，如圖13所示。

須知：

如果您需要在線預(yù)覽報表，請使用Google Chrome或Mozilla FireFox瀏覽器。

圖13 預(yù)覽或下載報表