数据库审计功能规格类
数据库审计使用说明有哪些?
数据安全审计的部署方式是传统镜像方式部署。
每个数据库审计实例仅支持一个 VPC,若要审计多地域、多VPC下的数据资产,需要购买多个数据安全审计。
数据库审计服务一次下单只能购买一个数据库审计实例规格,购买不同/多个相同数据库实例规格,需要多次下单。
在购买使用数据库审计服务时需要提供跨服务授权,来获取您在云上的登陆账号下的VPC网络信息,否则无法购买。
数据库审计目前支持的规格有哪些?
规格型号 | 支持数据库实例参数 | 系统资源 | 性能参数 |
|---|---|---|---|
规格1 | 最多支持3个数据库实例 | CPU:2 核 | 日志存储 :5亿条 |
规格2 | 最多支持6个数据库实例 | CPU:2 核 | 日志存储 :10亿条 |
规格3 | 最多支持12个数据库实例 | CPU:4 核 | 日志存储 :20亿条 |
规格4 | 最多支持25个数据库实例 | CPU:8 核 | 日志存储 :40亿条 |
规格5 | 最多支持50个数据库实例 | CPU:16 核 | 日志存储 :80亿条 |
规格6 | 最多支持99个数据库实例 | CPU:32 核 | 日志存储 :100亿条 |
数据库审计目前支持哪些类型的数据库?
数据库分类 | 数据库系统 | 版本 |
|---|---|---|
关系型 | Oracle | 8i、9i、10g、11g、12c、18c、19c、21c |
MySQL | 4.0、4.1、5.0、5.1、5.5、5.6、5.7、8.0 | |
SQL Server | 2000、2005、2008、2012、2014、2016、2017、2019 | |
Sybase ASE | 11.9、12.5 | |
DB2 | v80、v81、v82、v95、v97、v10.5、v11.1、v11.5 | |
Informix | IDS9 | |
Oscar | 5.5、5.7 | |
达梦(DM) | DM7、DM8 | |
Cache | 2010、2016 | |
PostgreSQL | 9、10、11、12、13、14 | |
Teradata | 所有版本 | |
人大金仓(Kingbase) | V6、V7、V8 | |
GBase | 8.5a、8.8s | |
MariaDB | 5.1、5.2、5.3、5.5、10.0、10.1、10.2、10.3 | |
Hana | 1.0、2.0 | |
GaussDB | 100、200、300 | |
LibrA | 6 | |
K-DB | 11 | |
Sybase IQ | 15.4 | |
TiDB | 4.X、5.X | |
Vertica | 7、8、9、10、11 | |
OceanBase | 2.X | |
PolarDB | MySQL、PostgreSQL、兼容Oracle语法 | |
PolarDB-X | 1.0/MySQL5、1.0/MySQL8、2.0/MySQL5.7 | |
AnalyticDB | MySQL、PostgreSQL | |
TBase | V2 | |
HighGo | 6.0 | |
TDSQL-C MySQL | 5.7、8.0 | |
TDSQL-C PostgreSQL | 10、14 | |
Percona MySQL | 5.6、5.7、8.0 | |
Vastbase | 2.x | |
Clickhouse MySQL | 所有版本 | |
非关系型 | MongoDB | 2.x、3.x、4.x、5.x |
HBase(protobuf) | 所有版本 | |
HBase(thrift) | Thrift1、thrift2 | |
Hive | 1.X、2.X、3.X | |
Redis | 所有版本 | |
Elasticsearch | 所有版本 | |
Cassandra | 3.X | |
HDFS | 所有版本 | |
Impala | 3.X | |
Graphbase | 6 | |
Greenplum | 5、6 | |
Spark SQL(thrift) | 1.x、2.x | |
Spark SQL(RESTful) | 1.x、2.x | |
SSDB | 所有版本 | |
ArangoDB | 3.4.9 | |
Neo4j | 4.2.0 | |
OrientDB | 3.1.6 | |
Percona MongoDB | 4.x、5.x | |
大数据 | HBase(protobuf) | 所有版本 |
HBase(thrift) | thrift1、thrift2 | |
Hive | 1.X、2.X、3.X | |
Cassandra | 3.X | |
HDFS | 所有版本 | |
Impala | 3.X | |
Graphbase | 5、6 | |
Spark SQL(thrift) | 1.x、2.x | |
Spark SQL(RESTful) | 1.x、2.x | |
SSDB | 所有版本 | |
MaxCompute(ODPS) | 所有版本 | |
Clickhouse HTTP | 所有版本 | |
Clickhouse MySQL | 所有版本 | |
图形 | Graphbase | 6 |
ArangoDB | 3.4.9 | |
Neo4j | 4.2.0 | |
OrientDB | 3.1.6 | |
全文检索 | Elasticsearch | 所有版本 |
文档 | MongoDB | 2.x、3.x、4.x、5.x |
ArangoDB | 3.4.9 | |
Percona MongoDB | 4.x、5.x | |
键值 | Redis | 所有版本 |
其他 | HTTP | 所有版本 |
Telnet | 所有版本 | |
FTP | 所有版本 | |
HTTPS | 所有版本 | |
Clickhouse HTTP | 所有版本 |
数据库审计实例购买相关
如何购买数据库审计实例?
目前数据库审计功能正在邀测售卖阶段,如您需购买火山引擎数据库审计,可以点击右下角【在线客户】咨询,有相关运营人员与您联系,给您开通购买通道。
购买实例时为何要选择VPC?
Agent和DBAudit实例之间的网络需要通过VPC互通。DBAudit实例和安装Agent的节点如果属于不同VPC,将无法进行数据库审计。
购买实例时如何选择“子网”?
请选择与要审计的数据库同一VPC的子网。
购买时如何选择安全组?
安全组用来实现安全组内和组间数据安全服务的访问控制,加强数据库安全服务的安全防护。
以下仅列举必要安全组策略,若客户需要放通数据库审计Server 访问 VPC 内 SMTP 等服务,则由客户自行配置安全组规则,地址范围可由客户根据实际情况进行调整,参考如下:
规则方向 | 优先级 | 策略 | 协议类型 | 端口范围 | 地址范围 | 描述 |
|---|---|---|---|---|---|---|
入方向 | 1 | 允许 | TCP | 13001 | 0.0.0.0/0 | Agent 配置下发端口 |
入方向 | 1 | 允许 | TCP | 13002 | 0.0.0.0/0 | Agent 数据回传端口 |
入方向 | 1 | 允许 | TCP | 443 | 0.0.0.0/0 | Agent包下载端口 |
数据库实例下单限制?
同一个用户单次下单只能购买一个数据库审计实例规格,购买不同/多个相同数据库实例规格,需要多次下单。
为什么实际显示的存储空间与购买时的存储规格不一致?
每台数据库审计实例预留了30G空间用来提升系统性能以及稳定性,故在产品页面展示的数据分区大小=实际存储空间大小-预留空间大小。
数据库审计支持续费或者退订吗?
不支持续费、不支持退订。
数据库审计Agent相关
为什么 Agent 安装失败?
在安装数据库审计agent的服务器的cpu规格要大于2个核数,否则会安装失败。
数据库安全审计的Agent可以安装在哪些操作系统上?
操作系统 | 系统位数 | 支持版本 |
|---|---|---|
Ubuntu | X64 | 14.04、16.04、18.04 |
Debian | X64 | 7.6、8.7、9.5、10.11、11.2 |
CentOS | X64 | 5.11、6.0、7.4、7.6、8 |
RedHat | X64 | 6.5、7.0、7.5 |
SUSE | X64 | 11SP4、12SP4 |
Solaris X86 | X86 | 5.10、5.11 |
Solaris Sparc | X64 | 5.10 |
AIX | 5.3、6.1、7.1 | |
Windows | X64 | 7、10 |
Windows | X86 | 7 |
Windows Server | X64 | 2003、2008、2012、2016、2022 |
euleros(欧拉) | x64 | EulerOS2.0 SP9 |
银河麒麟 | aarch64 | V10服务版 |
兆芯cpu+银河麒麟系统 | X64 | V10服务器版 |
兆芯cpu+中标麒麟系统 | X64 | 7 |
兆芯cpu+统信UOS | X86 | V20 |
海光cpu+统信UOS | X64 | V20 |
鲲鹏cpu+统信UOS | aarch64 | V20 |
火山引擎上云数据库Agent应该安装在什么位置?
云服务器自建数据库:Agent程序需要部署在数据库所在的云服务器上。
云原生数据库:Agent程序需要部署在对应的应用服务器上,通常为访问数据库的应用系统所在服务器。
如何进行Agent监控?
在Agent管理页面,在已安装Agent列表的操作列下点击监控进入Agent监控信息页面,用户可以根据需要设置监控的时段,或者选择不同的监控指标(CPU占用、内存占用、转发速率、丢包数量、磁盘读写)。
Agent管理页面还支持哪些功能?
操作 | 说明 |
|---|---|
挂起 | 勾选处于“连接正常”状态的Agent,点击挂起可以让正在正常运行中的Agent不再传送数据,但保持连接状态。 |
唤醒 | 勾选处于“挂起”状态的Agent,点击唤醒可将该Agent转为正常运行状态。 |
启动 | 勾选处于“停止”状态的Agent,点击启动可将该Agent转为正常运行状态。 |
停止 | 勾选处于“连接正常”或者“挂起”状态的Agent,点击停止可停止Agent。 |
升级 | 勾选处于“连接正常”状态的Agent,点击升级可将当前Agent版本升级至内置Agent中的最新版本。 |
回退 | 勾选处于“连接正常”状态的Agent,点击回退可将当前Agent版本退回至升级前的Agent版本。 |
日志 | 点击操作列中的“更多日志”可下载当前Agent的最近1天日志。 |
诊断 | 点击操作列中的“更多诊断”,查看当前Agent运行状态。 |
卸载 | 勾选处于“连接正常”、“停止”和“挂起”状态的Agent,点击卸载可远程卸载该Agent。 |
删除 | 勾选处于“异常”状态的Agent,点击删除可将当前Agent中Agent列表中删除。 |
如何配置Agent所在安全组策略?
仅列举必要安全组策略,其他则由客户自行配置安全组规则,地址范围由客户根据实际情况进行调整,确保放通数据库审计 Server 的私网地址即可。
规则方向 | 优先级 | 策略 | 协议类型 | 端口范围 | 地址范围 | 描述 |
|---|---|---|---|---|---|---|
出方向 | 1 | 允许 | ALL | 13001 | 0.0.0.0/0 | 数据库审计 Agent 获取配置信息 |
出方向 | 1 | 允许 | ALL | 13002 | 0.0.0.0/0 | 数据库审计 Agent 上报审计流量 |
如何进行IP黑白名单配置?
为防止网络攻击对数据库审计系统造成业务中断和数据泄露等风险,数据库审计系统的账号通常只允许其账号所属人的终端IP进行登录,或者此账号只不允许某些IP段进行登录。此场景可通过配置IP白名单及黑名单功能进行实现,这样在登录数据库审计系统时,首先进行IP黑白名单的匹配,当匹配到黑名单时,则会进行拦截,无法登陆;当匹配到白名单后,才会进行填写账号密码的校验,校验通过后则正常登录。
配置步骤
- 点击【系统管理】-【用户管理】,在用户管理界面,选择需设置黑白名单的账号,点击账号后面的“编辑”按钮。
- 在登录选项的登录IP/MAC限制后面,选择配置“黑名单”或“白名单”,配置格式按照下方提示信息填写即可。