方案架構

數據庫安全審計采用旁路部署模式，通過在訪問數據庫的應用系統服務器上部署數據庫安全審計Agent，獲取訪問數據庫流量，Agent將獲取的流量數據上傳到審計系統、接收審計系統配置命令和上報數據庫狀態監控數據，實現對數據庫的安全審計。

審計RDS關系型數據庫（安裝Agent）架構圖

本文以POSTGRESQL 7.4版本的關系型數據庫為例，詳細信息如表所示，您需要對該數據庫內部違規和不正當操作進行定位追責，滿足等保測評數據庫審計需求。本節詳細介紹該場景下開啟數據庫安全審計功能和驗證審計結果的具體操作。

約束與限制

• 使用數據庫安全審計需要關閉數據庫的SSL。
• 待審計數據庫與數據庫安全審計需要在同一區域。
• 購買數據庫安全審計配置“VPC”參數時，需與Agent安裝節點所在VPC相同。
• 數據庫安全審計的Agent安裝節點，請參見：如何選擇數據庫安全審計的Agent安裝節點？。

步驟一：購買數據庫安全審計

• 您需要根據您的業務需求購買數據庫安全審計規格并配置數據庫安全審計參數，詳細操作請參見購買數據庫安全審計。
• 為保證審計功能的正常使用，購買數據庫安全審計配置“VPC”參數時，請與Agent安裝節點所在VPC相同。
• 數據庫安全審計的Agent安裝節點，請參見：如何選擇數據庫安全審計的Agent安裝節點？。

步驟二：添加數據庫并開啟審計

購買成功后，您需要先將目標數據庫添加至數據庫安全審計實例并開啟該數據庫的審計功能。

1. 登錄管理控制臺。
2. 在頁面上方選擇“區域”后，單擊頁面左上方的，選擇“安全與合規 > 數據庫安全服務”，進入數據庫安全審計“總覽”界面。
3. 在左側導航樹中，選擇“數據庫列表”，進入數據庫列表界面。
4. 在“選擇實例”下拉列表框中，選擇需要添加數據庫的實例，并單擊“添加數據庫”。在彈出的對話框中，按表所示信息填寫數據庫參數，如圖所示。數據庫安全審計支持“UTF-8”和“GBK”兩種數據庫字符集的編碼格式，請根據業務情況選擇編碼格式。

5. 單擊“確定”，該數據庫添加到數據庫列表中，且“審計狀態”為“已關閉”。
6. 在該數據庫所在行的“操作”列，單擊“開啟”，開啟審計功能。

步驟三：添加Agent

1.在數據庫所在行的“Agent”列，單擊“添加Agent”，如圖所示。

2. 在彈出的對話框中，選擇添加方式。

步驟四：添加安全組規則

• Agent添加完成后，您需要為數據庫安全審計實例所在的安全組添加入方向規則TCP協議（8000端口）和UDP協議（7000-7100端口），使Agent與審計實例之間的網絡連通，數據庫安全審計才能對添加的數據庫進行審計。
• 如果該安全組已配置安裝節點的入方向規則，請執行步驟五：安裝Agent。
• 如果該安全組未配置安裝節點的入方向規則，請按照本節內容進行配置。
• 安全組規則也可以在成功安裝Agent后進行添加。

1. 獲取表。
2. 在數據庫列表的上方，單擊“添加安全組規則”。
3. 在彈出的彈框中，記錄數據庫安全審計實例的“安全組名稱”（例如default），如圖所示。

4. 單擊“前往處理”，進入“安全組”界面。
5. 在列表右上方的搜索框中輸入安全組“default”后，單擊或按“Enter”，列表顯示“default”安全組信息。
6. 單擊“default”，進入“基本信息”頁面。
7. 選擇“入方向規則”頁簽，單擊“添加規則”。
8. 在彈出的“添加入方向規則”對話框中，為表2-2中的安裝節點IP添加TCP協議（端口為8000）和UDP協議（端口為7000-7100）規則，如圖所示。

步驟五：安裝Agent

添加安全組規則后，您需要下載Agent包并將下載的Agent安裝包上傳到待安裝Agent的節點上進行安裝。使添加的數據庫連接到數據庫安全審計實例，數據庫安全審計才能對添加的數據庫進行審計。

                    
說明
                    
每個Agent都有唯一的AgentID，是Agent連接數據庫安全審計實例的重要密鑰。若您將添加的Agent刪除，在重新添加Agent后，請重新下載Agent和安裝Agent。
                    
                  
                  

1. 登錄控制臺進入數據庫安全服務。
2. 在左側導航樹中，選擇“數據庫列表”，進入數據庫列表界面。
3. 在“選擇實例”下拉框中，選擇需要下載Agent的數據庫所屬實例。
4. 單擊該數據庫左側的展開Agent的詳細信息，在Agent所在行的“操作”列，單擊“下載agent”，如圖所示。將Agent安裝包下載到本地。

5. 使用跨平臺傳輸工具（例如WinSCP），將下載的Agent安裝包“xxx.tar”上傳到待安裝Agent的節點（即圖2-9中的“安裝節點IP”）。
6. 使用跨平臺遠程訪問工具（例如PuTTY）以root用戶通過SSH方式，登錄該安裝節點。
7. 執行以下命令，進入Agent安裝包“xxx.tar”所在目錄。cd Agent**安裝包所在目錄。
8. 執行以下命令，解壓縮“xxx.tar”安裝包。tar -xvf *xxx.tar。
9. 執行以下命令，進入“install.sh”腳本所在目錄。cd install.sh**腳本所在目錄。
10. 執行以下命令，安裝Agent。sh install.sh。如果界面回顯以下信息，說明安裝成功。

start agent 
starting audit agent 
audit agent started 
start success 
install dbss audit agent done!

步驟六：驗證Agent與數據庫安全審計實例之間的網絡通信正常

待審計的數據庫與數據庫安全審計實例連接成功后，您需要驗證Agent與數據庫安全審計實例之間的網絡通信是否正常。

1. 在安裝Agent的節點執行一條SQL語句或對數據庫進行操作（例如，“Select 1;”）。
2. 在左側導航樹中，選擇“總覽”，進入“總覽”界面。
3. 在“選擇實例”下拉列表框中，選擇需要查看數據庫慢SQL語句信息的實例。
4. 選擇“語句”頁簽。
5. SQL語句列表將顯示登錄數據庫操作的記錄，如#dbss_06_0004/fig1960916145112所示。如果不能查詢到SQL語句，請您參照如何處理Agent與數據庫安全審計實例之間通信異常？進行排查。

步驟七：查看審計結果

驗證成功后，您可參照本節內容在總覽界面查看審計結果信息，同時也可根據需求在報表界面進行設置生成報表、下載或預覽報表。

• 進入總覽入口，如圖所示，查看總覽信息。
• 在總覽界面，展示了該實例的審計時長、SQL語句總量、風險總量以及今日語句、今日風險、今日會話量
• 您可以選擇“語句”或“會話”頁簽，分別查看SQL語句信息和會話分布圖。

1. 生成報表、下載或預覽報表。進入報表管理界面，進入報表管理入口

2. 在左側導航樹中，選擇“報表”。
3. 在“選擇實例”下拉列表框中，選擇需要生成審計報表的實例。選擇“報表管理”頁簽。
4. 在需要生成報表的模板所在行的“操作”列，單擊“立即生成報表”。
5. 在彈出的對話框中，單擊 ，設置報表的開始時間和結束時間，選擇生成報表的數據庫。
6. 單擊“確定”。系統跳轉到“報表結果”頁面，您可以查看報表的生成進度。報表生成后，您可以“預覽”或“下載”報表，如圖所示。如果您需要在線預覽報表，請使用Google Chrome或Mozilla FireFox瀏覽器。