數據庫安全審計采用旁路部署模式，通過在數據庫或應用系統服務器上部署數據庫安全審計Agent，獲取訪問數據庫流量、將流量數據上傳到審計系統、接收審計系統配置命令和上報數據庫狀態監控數據，實現對ECS/BMS自建數據庫的安全審計。

審計ECS/BMS自建數據庫架構圖如所示。

場景說明

假設您在的彈性云服務器（Elastic Cloud Server ，以下簡稱ECS）上自建了一個數據庫，數據庫的詳細信息如表所示，您需要對該數據庫內部違規和不正當操作進行定位追責，滿足等保測評數據庫審計需求。本章節詳細介紹該場景下，在數據庫端安裝 Agent ，開啟數據庫安全審計功能和驗證審計結果的操作。

約束與限制

• 使用數據庫安全審計需要關閉數據庫的SSL。
• 待審計數據庫與數據庫安全審計需要在同一區域。
• 購買數據庫安全審計配置“VPC”參數時，需與Agent安裝節點所在VPC相同。
• 數據庫安全審計的Agent安裝節點，請參見：如何選擇數據庫安全審計的Agent安裝節點？。

步驟一：購買數據庫安全審計

• 您需要根據您的業務需求購買數據庫安全審計規格并配置數據庫安全審計參數，詳細操作請參見購買數據庫安全審計。
• 為保證審計功能的正常使用，購買數據庫安全審計配置“VPC”參數時，請與Agent安裝節點所在VPC相同。
• 數據庫安全審計的Agent安裝節點，請參見：如何選擇數據庫安全審計的Agent安裝節點？。

步驟二：添加數據庫并開啟審計

購買數據庫安全審計后，您需要先將目標數據庫添加至數據庫安全審計實例并開啟該數據庫的審計功能。

1. 登錄管理控制臺。
2. 在頁面上方選擇“區域”后，單擊頁面左上方的，選擇“安全與合規 > 數據庫安全服務”，進入數據庫安全審計“總覽”界面。
3. 在左側導航樹中，選擇“數據庫列表”，進入數據庫列表界面。
4. 在“選擇實例”下拉列表框中，選擇需要添加數據庫的實例，并單擊“添加數據庫”。
5. 在彈出的對話框中，如圖所示。

6. 單擊“確定”，該數據庫添加到數據庫列表中，且“審計狀態”為“已關閉”。

7. 在該數據庫所在行的“操作”列，單擊“開啟”，開啟審計功能。

步驟三：添加Agent

1. 在數據庫所在行的“Agent”列，單擊“添加Agent”，如圖所示。

2. 在彈出的對話框中，選擇添加方式。在數據庫端添加Agent

3. 單擊“確定”，Agent添加成功。

步驟四：添加安全組規則

• Agent添加完成后，您需要為數據庫安全審計實例所在的安全組添加入方向規則TCP協議（8000端口）和UDP協議（7000-7100端口），使Agent與審計實例之間的網絡連通，數據庫安全審計才能對添加的數據庫進行審計。
• 如果該安全組已配置安裝節點的入方向規則，請執行步驟五：安裝Agent。
• 如果該安全組未配置安裝節點的入方向規則，請按照本節內容進行配置。

                    
注意
                    
安全組規則也可以在成功安裝Agent后進行添加。
                    
                  
                  

1. 在數據庫列表的上方，單擊“添加安全組規則”。
2. 在彈出的彈框中，記錄數據庫安全審計實例的“安全組名稱”（例如default），如圖所示。

3. 單擊“前往處理”，進入“安全組”界面。

4. 在列表右上方的搜索框中輸入安全組“default”后，單擊或按“Enter”，列表顯示“default”安全組信息。

5. 單擊“default”，進入“基本信息”頁面。

6. 選擇“入方向規則”頁簽，單擊“添加規則”，如圖所示。

7. 在“添加入方向規則”對話框中，為安裝節點IP添加TCP協議（端口為8000）和UDP協議（端口為7000-7100）規則，如圖所示。

8. 單擊“確定”，完成添加入方向規則。

步驟五：安裝Agent

添加安全規則后，您需要下載Agent包并將下載的Agent安裝包上傳到待安裝Agent的節點上進行安裝。使添加的數據庫連接到數據庫安全審計實例，數據庫安全審計才能對添加的數據庫進行審計。

每個Agent都有唯一的AgentID，是Agent連接數據庫安全審計實例的重要密鑰。若您將添加的Agent刪除，在重新添加Agent后，請重新下載Agent和安裝Agent。

1. 登錄控制臺進入數據庫安全服務。

2. 在左側導航樹中，選擇“數據庫列表”，進入數據庫列表界面。

3. 在“選擇實例”下拉框中，選擇需要下載Agent的數據庫所屬實例。

4. 單擊該數據庫左側的展開Agent的詳細信息，在Agent所在行的“操作”列，單擊“下載agent”，如圖所示。

5. 使用跨平臺傳輸工具（例如WinSCP），將下載的Agent安裝包“xxx.tar”上傳到待安裝Agent的節點（即圖1-8中的“安裝節點IP”）。

6. 使用跨平臺遠程訪問工具（例如PuTTY）以root用戶通過SSH方式，登錄該安裝節點。

7. 執行以下命令，進入Agent安裝包“xxx.tar”所在目錄。

8. cd Agent**安裝包所在目錄t。

9. 執行以下命令，解壓縮“xxx.tar”安裝包。

10. tar -xvf xxx.tar。

11. 執行以下命令，進入“install.sh”腳本所在目錄。

12. cd install.sh**腳本所在目錄t。

13. 執行以下命令，安裝Agent。

14. sh install.sh

15. 如果界面回顯以下信息，說明安裝成功。

start agent
starting audit agent
audit agent started
start success
install dbss audit agent done!

步驟六：驗證Agent與數據庫安全審計實例之間的網絡通信正常

待審計的數據庫與數據庫安全審計實例連接成功后，您需要驗證Agent與數據庫安全審計實例之間的網絡通信是否正常。

1. 在安裝Agent的節點執行一條SQL語句或對數據庫進行操作（例如，“Select 1;”）。
2. 在左側導航樹中，選擇“總覽”，進入“總覽”界面。
3. 在“選擇實例”下拉列表框中，選擇需要查看數據庫慢SQL語句信息的實例。
4. 選擇“語句”頁簽。
5. SQL語句列表將顯示登錄數據庫操作的記錄，如dbss_06_0004.xml#dbss_06_0004/fig1960916145112所示。

如果不能查詢到SQL語句，請您參照如何處理Agent與數據庫安全審計實例之間通信異常？進行排查。

步驟七：查看審計結果

驗證成功后，您可參照本節內容在總覽界面查看審計結果信息，同時也可根據需求在報表界面進行設置生成報表、下載或預覽報表。

1. 查看總覽信息。

• 進入總覽入口，如圖所示，查看總覽信息。
• 在總覽界面，展示了該實例的審計時長、SQL語句總量、風險總量以及今日語句、今日風險、今日會話量
• 您可以選擇“語句”或“會話”頁簽，分別查看SQL語句信息和會話分布圖。

2. 生成報表、下載或預覽報表。參照下圖進入報表管理界面。

• 在左側導航樹中，選擇“報表”。
• 在“選擇實例”下拉列表框中，選擇需要生成審計報表的實例。選擇“報表管理”頁簽。
• 在需要生成報表的模板所在行的“操作”列，單擊“立即生成報表”。
• 在彈出的對話框中，單擊，設置報表的開始時間和結束時間，選擇生成報表的數據庫。單擊“確定”。
• 系統跳轉到“報表結果”頁面，您可以查看報表的生成進度。報表生成后，您可以“預覽”或“下載”報表，如圖所示。
• 如果您需要在線預覽報表，請使用Google Chrome或Mozilla FireFox瀏覽器。