将待审计数据库添加至数据库安全审计实例后,您需要根据您在云上实际部署的数据库选择添加Agent的方式以及在应用端或数据库端安装Agent。Agent程序会获取访问数据库流量、将流量数据上传到审计系统、接收审计系统配置命令和上报数据库状态监控数据,帮助您实现对数据库的安全审计。
完成添加Agent后,您还需要为Agent安装节点所在的安全组添加入方向规则TCP协议(8000端口)和UDP协议(7000-7100端口),使Agent与审计实例之间的网络连通,数据库安全审计才能对添加的数据库进行审计。
请您根据数据库类型以及数据库部署场景,为待审计的数据库添加Agent。数据库常见的部署场景说明如下:
添加Agent方式的详细说明如表1所示。
使用场景 |
Agent安装节点 |
审计功能说明 |
注意事项 |
---|---|---|---|
ECS/BMS自建数据库 |
数据库端 |
可以审计所有访问该数据库的应用端的所有访问记录。 |
|
RDS关系型数据库 |
应用端 (应用端部署在云上) |
可以审计该应用端与其连接的所有数据库的访问记录。 |
|
RDS关系型数据库 |
代理端(应用端部署在云下) |
只能审计代理端与后端数据库之间的访问记录,无法审计应用端与后端数据库的访问记录。 |
|
参数名称 |
说明 |
取值样例 |
---|---|---|
添加方式 |
创建Agent |
|
数据库名称 |
可选参数。当“添加方式”选择“选择已有Agent”时,可以选择实例下已添加Agent的数据库。 |
test1 |
Agent ID |
当“添加方式”选择“选择已有Agent”时,需配置该参数。 您可以选择实例下已添加的Agent ID,Agent ID由系统自动生成。 |
- |
安装节点类型 |
当“添加方式”选择“创建Agent”时,需配置该参数。 审计ECS/BMS自建数据库,选择“数据库端”。 |
数据库端 |
操作系统 |
指待审计的数据库的操作系统。 可以选择“LINUX64”或“WINDOWS64”。 |
LINUX64 |
Agent添加完成后,请您确认添加的Agent信息正确。如果Agent添加不正确,请您在Agent所在行单击“删除”,删除Agent后,再重新添加Agent。
当某个应用端连接了多个RDS时, 请按以下方式添加Agent:
在什么场景下需要选择“选择已有Agent”添加方式的详细介绍,请参见在什么场景下需要选择“选择已有Agent”添加方式?。
如果待添加Agent的数据库需要创建Agent,请创建新的Agent。
参数名称 |
说明 |
取值样例 |
---|---|---|
添加方式 |
创建Agent |
|
数据库名称 |
可选参数。当“添加方式”选择“选择已有Agent”时,可以选择实例下已添加Agent的数据库。 |
tesT |
Agent ID |
当“添加方式”选择“选择已有Agent”时,需配置该参数。 您可以选择实例下已添加的Agent ID,Agent ID由系统自动生成。 |
- |
安装节点类型 |
当“添加方式”选择“创建Agent”时,需配置该参数。 审计RDS关系型数据库,需要选择“应用端”。 |
应用端 |
安装节点IP |
“安装节点类型”选择“应用端”时,需配置该参数。 IP地址为应用端内网IP地址。 IP地址支持IPv4(例如,192.168.1.1)和IPv6(例如,1050:0:0:0:5:600:300c:326b)格式。 须知:
当审计RDS关系型数据库且应用端在云下时,代理端将作为应用端,此时,“安装节点IP”需要配置为代理端的IP地址。 |
192.168.1.1 |
审计网卡名称 |
可选参数。“安装节点类型”选择“应用端”时,可以配置该参数。 指待审计的应用端节点的网卡名称。 |
- |
CPU阈值(%) |
可选参数。“安装节点类型”选择“应用端”时,可以配置该参数。 指待审计的应用端节点的CPU阈值,缺省值为“80”。 须知:
当服务器的CPU超过设置的阈值,为了保证您业务的正常运行,Agent将自动关闭,停止运行。 |
80 |
内存阈值(%) |
可选参数。“安装节点类型”选择“应用端”时,可以配置该参数。 指待审计的应用端节点的内存阈值,缺省值为“80”。 须知:
当服务器上的内存超过设置的阈值,为了保证您业务的正常运行,Agent将自动关闭,停止运行。 |
80 |
操作系统 |
可选参数。“安装节点类型”选择“应用端”时,可以配置该参数。 指待审计的应用端节点的操作系统,可以选择“LINUX64”或“WINDOWS64”。 |
LINUX64 |
Agent添加完成后,请您确认添加的Agent信息正确。如果Agent添加不正确,请您在Agent所在行单击“删除”,删除Agent后,再重新添加Agent。
Agent添加完成后,您还需要为数据库安全审计实例所在的安全组添加入方向规则TCP协议(8000端口)和UDP协议(7000-7100端口),使Agent与审计实例之间的网络连通,数据库安全审计才能对添加的数据库进行审计。有关添加安全组规则的详细操作,请参见添加安全组规则。
操作场景 腾讯云容器镜像服务(Tencent Container Registry,TCR)企业版支持对...
前言 我们在数仓项目的时候往往是需要将它分层的,但是为什么分层你真正的了解过...
确认弹性云服务器使用的网卡安全组是否正确。 在弹性云服务器详情页面查看网卡使...
你知道新的市场领导者和曾经的领导者之间的关键区别是什么吗? 那就是数据管理。...
互联网时代,相信大家对人脸识别已经不再陌生,在我们生活的很多方面都在使用,...
本文转载自微信公众号「爱笑的架构师」,作者雷架。转载本文请联系爱笑的架构师...
Windows数据盘 问题现象: 已经通过管理控制台将数据盘挂载至Windows 云服务器 ...
调用CancelImagePipelineExecution取消一个镜像构建任务。 接口说明 调用该接口...
最新教程:数字权利激活工具 HWIDGen 的使用教程,一劳永逸的 Win10 完美激活,...
简介 本文接着上文(Golang GinWeb框架5-绑定请求字符串/URI/请求头/复选框/表单...