数据库运维支持纳管的数据库及版本 数据库安全审计支持的数据库类型及版本如表5所示。 表5 数据库安全运维支持的数据库类型和版本 数据库类型 版本 MySQL 5.5、5.6、5.7.29、5.7.32、5.7.36 8.0.21、8.0.22、8.0.27、8.0.28 Oracle 11g 11.1.0.60、11.2.0.1、11.2.0.4 12c 12.1.0.2、12.2.0.1 19c PostgreSQL 9.6.6 10 12.2、12.3、12.4 SQL Server 2008 2014 2019 DAMENG DM7.1.2 DM8.1.2.84 KINGBASE 7.1.2.0480 TBASE V2.15.17.3.6 Hive 1.1 2.1.1 DB2 8 10 GaussDB 100 200 GreemPlum 4.3.8.1 TDSQL 10.3.14.6.0

数据库加密支持纳管的数据库及版本 在系统中添加数据资产（即数据库）后，您可以对数据库进行敏感数据识别，对敏感信息进行加解密、脱敏等操作。 数据库安全加密支持的数据库类型及版本如表4所示。 表4 数据库安全加密支持的数据库类型和版本 数据库类型 版本 MySQL 5.5、5.6、5.7 8.0 Oracle 11g 12c PostgreSQL 9.4 11.5 SQL Server 2012 DAMENG DM6 DM7.6 DM8.1 KINGBASE V8R3 V8R6 TBASE V2.15 HOTDB 2.5.6 GaussDB A TDSQL 10.3

其他约束条件 数据库安全审计不支持跨区域（Region）使用。待审计的数据库必须和购买申请的数据库安全审计实例在同一区域。 Windows操作系统的Agent不支持审计IPv6数据库。 数据库开启SSL时，将不能使用数据库安全审计功能。如果您需要使用数据库安全审计功能，请关闭数据库的SSL。关闭数据库SSL的详细操作，请参见如何关闭数据库SSL？。 购买数据库安全审计配置VPC时，需与Agent安装节点（应用端或数据库端）所在的VPC保持一致。否则，将导致Agent与审计实例之间的网络不通，无法使用数据库安全审计。数据库安全审计的Agent安装节点，请参见：如何选择数据库安全审计的Agent安装节点？ 部分SQL Server中的复杂declare语句、select函数和包含系统无法识别的符号语句可能无法解析。 免安装Agent的所有数据库都不支持记录SQL请求结果，安装Agent仅SQL Server、PostgreSQL、MySQL数据库支持记录SQL请求结果（需开启存储结果集开关，默认关闭，详情请参见配置隐私数据保护规则）。 在对免Agent的GaussDB和RDS for MariaDB数据库进行审计时，由于部分字段和部分场景下数据库的日志不会进行记录，因此DBSS侧无法进行审计。

Agent支持的操作系统 使用数据库安全审计功能，必须在数据库节点或应用节点安装Agent。数据库安全审计的Agent可运行在Linux64位和Windows64位操作系统上。 数据库安全审计的Agent支持的Linux系统版本如表3所示。 表3 Agent支持的Linux系统版本说明 系统名称 系统版本 CentOS CentOS 7.0 (64bit) CentOS 7.1 (64bit) CentOS 7.2 (64bit) CentOS 7.3 (64bit) CentOS 7.4 (64bit) CentOS 7.5 (64bit) CentOS 7.6 (64bit) CentOS 7.8 (64bit) CentOS 7.9 (64bit) CentOS 8.0 (64bit) CentOS 8.1 (64bit) CentOS 8.2 (64bit) Debian Debian 7.5.0 (64bit) Debian 8.2.0 (64bit) Debian 8.8.0 (64bit) Debian 9.0.0 (64bit) Debian 10.0.0 (64bit) Fedora Fedora 24 (64bit) Fedora 25 (64bit) Fedora 29 (64bit) Fedora 30 (64bit) OpenSUSE SUSE 13 (64bit) SUSE 15 (64bit) SUSE 42 (64bit) SUSE SUSE 11 SP4 (64bit) SUSE 12 SP1 (64bit) SUSE 12 SP2 (64bit) Ubuntu Ubuntu 14.04 (64bit) Ubuntu 16.04 (64bit) Ubuntu 18.04 (64bit) Ubuntu 20.04 (64bit)（华为 云审计 实例：23.02.27.182148 及其之后的版本支持） EulerOS Euler 2.2 (64bit) Euler 2.3 (64bit) Euler 2.5 (64bit) OpenEuler OpenEuler 20.03 (64bit) Oracle Linux Oracle Linux 6.9 (64bit) Oracle Linux 7.4 (64bit) Red Hat Red Hat Enterprise Linux 7.4 (64bit) Red Hat Enterprise Linux 7.6 (64bit) NeoKylin NeoKylin 7.0 (64bit) Kylin Kylin Linux Advanced Server release V10 (64bit) Uniontech OS Uniontech OS Server 20 Enterprise (64bit) Huawei Cloud Euler Huawei Cloud Euler 2.0 (64bit) KylinSec KylinSec 3.4（64bit） Anolis OS 7.9（64bit） 8.4（64bit） 8.6（64bit） 数据库安全审计的Agent支持的Windows系统版本如下所示： Windows Server 2008 R2(64bit) Windows Server 2012 R2(64bit) Windows Server 2016(64bit) Windows Server 2019(64bit) Windows 7(64bit) Windows 10(64bit) DBSS Agent的运行依赖Npcap，如果安装过程中提示"Npcap not found，please install Npcap first"，请安装Npcap后，再安装DBSS Agent。 安装前先下载Npcap。 图1 Npcap not found

支持安装Agent数据库类型及版本 数据库安全审计支持的数据库类型及版本如表2所示。 表2 数据库安全审计支持的数据库类型和版本 数据库类型 版本 MySQL 5.0、5.1、5.5、5.6、5.7 8.0（8.0.11及以前的子版本） 8.0.30 8.0.35 8.1.0 8.2.0 Oracle 11g 11.1.0.6.0 、11.2.0.1.0 、11.2.0.2.0、11.2.0.3.0、11.2.0.4.0 12c 12.1.0.2.0 、12.2.0.1.0 19c PostgreSQL 7.4 8.0、8.1、8.2、8.3、8.4 9.0、9.1、9.2、9.3、9.4、9.5、9.6 10.0、10.1、10.2、10.3、10.4、10.5 11 12 13 14 SQL Server 2008 2012 2014 2016 2017 GaussDB(for MySQL) 8.0 DWS 1.5 8.1 DAMENG DM8 KINGBASE V8 SHENTONG V7.0 GBase 8a V8.5 GBase 8s V8.8 Gbase XDM Cluster V8.0 Greenplum V6.0 HighGo V6.0 GaussDB 1.3企业版 1.4企业版 2.8企业版 3.223企业版 MongoDB V5.0 DDS 4.0 Hbase （华为云审计实例：23.02.27.182148 及其之后的版本支持） 1.3.1 2.2.3 Hive （华为云审计实例：23.02.27.182148 及其之后的版本支持） 1.2.2 2.3.9 3.1.2 3.1.3 MariaDB 10.6 TDSQL 10.3.17.3.0 Vastbase G100 V2.2 TiDB V4 V5 V6 V7 V8

支持免安装Agent数据库类型及版本 部分数据库类型及版本支持免安装Agent方式，如表1所示。 表1 支持免Agent安装的关系型数据库 数据库类型 支持的版本 GaussDB for MySQL 默认都支持 RDS for SQLServer （华为云审计实例：23.02.27.182148 及其之后的版本支持） 默认都支持 RDS for MySQL 5.6（5.6.51.1及以上版本） 5.7（5.7.29.2及以上版本） 8.0（8.0.20.3及以上版本） GaussDB(DWS) 8.2.0.100及以上版本 PostgreSQL （华为云审计实例：23.04.17.123301 及其之后的版本支持） 须知： 当SQL语句大小超过4KB审计时会被截断，会导致审计到的SQL语句不完整。 14（14.4及以上版本） 13（13.6及以上版本） 12（12.10及上版本） 11（11.15及以上版本） 9.6（9.6.24及以上版本） 9.5（9.5.25及以上版本） RDS for MariaDB 默认都支持

约束与限制 数据库安全服务不支持跨区域（Region）使用。待审计的数据库必须和购买的数据库安全审计实例在同一区域。 购买数据库安全审计实例配置VPC参数，必须与Agent安装节点（应用端或数据库端）所在的VPC保持一致。否则，将导致Agent与审计实例之间的网络不通，无法使用数据库安全审计。创建共享VPC请参见共享VPC。 数据库安全审计的Agent安装节点，请参见：如何选择数据库安全审计的Agent安装节点？。

前提条件 请参见DBSS权限管理确认实例账号具有相关权限。 请确认购买实例的账号具有“DBSS System Administrator”、“VPC Administrator”、“E CS Administrator”和“DBSS Administrator”角色。 VPC Administrator：对虚拟私有云的所有执行权限。项目级角色，在同项目中勾选。 DBSS Administrator：对账号中心、费用中心、资源中心中的所有菜单项执行任意操作。项目级角色，在同项目中勾选。 ECS Administrator：对弹性云服务器的所有执行权限。项目级角色，在同项目中勾选。

报表类型 数据库安全审计为用户提供了8种报表模板，各报表名称如表1所示。用户可根据实际业务情况生成报表、设置报表的执行任务。 表1 报表说明 报表模板名称 报表类型 说明 数据库安全综合报表 综合报表 提供数据库整体审计状况，主要从风险分布、会话分布和登录状况等几个维度进行审计分析，为数据库管理提供整体审计状况依据。 数据库安全合规报表 合规报表 根据《中国国家信息安全保护检验标准》和国家等级保护的检测要求对数据库进行数据统计。帮助数据库管理人员、审计人员及时发现各种异常行为和违规操作，并为快速定位分析、整体信息管理提供决策依据。 SOX-萨班斯报表 合规报表 参考《萨班斯法案》针对用户全面把控数据库内部活动的要求，对数据库进行数据统计。帮助数据库管理人员、 审计人员及时发现各种异常行为和违规操作，并为快速定位分析、整体信息管理提供决策依据。 数据库服务器分析报表 数据库专项报表 分别为数据库活动用户统计、访问数据库来源IP数量统计、数据库登录及请求统计分析和使用数据库操作时间判断数据库服务器性能。 客户端IP分析报表 客户端专项报表 统计源IP中客户端应用程序、数据库用户数量和SQL语句数量。 DML命令报表 数据库操作专项报表 通过DML命令分析用户与特权操作。 DDL命令报表 数据库操作专项报表 通过DDL命令分析用户与特权操作。 DCL命令报表 数据库操作专项报表 通过DCL命令分析用户与特权操作。

常见场景 请您根据数据库类型以及数据库部署场景，为待审计的数据库添加Agent。数据库常见的部署场景说明如下： ECS/BMS自建数据库的常见部署场景如图1和图2所示。 图1 一个应用端连接多个ECS/BMS自建数据库 图2 多个应用端连接同一个ECS/BMS自建数据库 RDS关系型数据库的常见部署场景如图3和图4所示。 图3 一个应用端连接多个RDS 图4 多个应用端连接同一个RDS 添加Agent方式的详细说明如表1所示。 当您的应用端和数据库（ECS/BMS自建数据库）都部署在同一个节点上时，Agent需在数据库端添加。 数据库安全审计还支持批量部署流量采集Agent，针对大规模业务场景（容器化部署应用、数据库（RDS关系型数据库）数量大），能够显著提升产品配置的效率，降低配置的复杂度，减少运维人员的日常维护压力。详细操作步骤，请参见容器化部署数据库安全审计Agent。 表1 添加Agent方式说明 使用场景 Agent安装节点 审计功能说明 注意事项 ECS/BMS自建数据库 数据库端或应用端 可以审计所有访问该数据库的应用端的所有访问记录。 在数据库端添加Agent。 当某个应用端连接多个ECS/BMS自建数据库时，所有连接该应用端的数据库都需要添加Agent。 RDS关系型数据库 应用端 （应用端部署在云上） 可以审计该应用端与其连接的所有数据库的访问记录。 在应用端添加Agent。 当某个应用端连接多个RDS关系型数据库时，所有连接该应用端的RDS关系型数据库都需要添加Agent。当其中一个RDS关系型数据库选择“创建Agent”后，其余RDS关系型数据库添加Agent时，只能选择“选择已有Agent”添加方式。详细操作请参见•“添加方式”选择“选择已有Agent”。 当多个应用端连接同一个RDS关系型数据库时，所有连接该RDS关系型数据库的应用端都需要添加Agent。 代理端（应用端部署在云下） 只能审计代理端与后端数据库之间的访问记录，无法审计应用端与后端数据库的访问记录。 在应用端添加Agent。 “安装节点IP”需要配置为代理端的IP地址。

监控指标 表1 数据库安全服务支持的监控指标 指标ID 指标名称 指标含义 取值范围 单位 进制 测量对象 监控周期（原始指标） cpu_util CPU使用率 该指标用于统计测量对象的CPU利用率。 单位：百分比 采集方式：100%减去空闲CPU占比 0～100 % 值类型：Float % 不涉及 数据库审计实例 1分钟 mem_util 内存使用率 该指标用于统计测量对象的内存利用率。 单位：百分比 采集方式：100%减去空闲内存占比 0～100 % 值类型：Float % 不涉及 数据库审计实例 1分钟 disk_util 磁盘使用率 该指标用于统计测量对象的磁盘利用率。 单位：百分比 采集方式：100%减去空闲磁盘占比 0～100 % 值类型：Float % 不涉及 数据库审计实例 1分钟 hx_process_status 防护实例进程状态 该指标用于展示防护实例的进程状态。 说明： 该防护实例已不再维护。 0/1 0：进程状态异常 1：进程状态正常 不涉及 不涉及 数据库审计实例 1分钟 hx_port_stats 防护实例端口状态 该指标用于展示防护实例的端口状态。 说明： 该防护实例已不再维护。 0/1 0：端口状态异常 1：端口状态正常 不涉及 不涉及 数据库审计实例 1分钟 hx_proxy_num 防护实例代理数量 该指标用于展示防护实例的代理数量。 说明： 该防护实例已不再维护。 ≥0 Count 不涉及 数据库审计实例 1分钟 hx_proxy_status 防护实例代理状态 该指标用于展示防护实例的代理状态。 说明： 该防护实例已不再维护。 0/1 0：代理状态异常 1：代理状态正常 不涉及 不涉及 数据库审计实例 1分钟 hx_qps 防护实例每秒查询数 该指标用于展示防护实例的每秒查询数。 说明： 该防护实例已不再维护。 ≥0 Count/s 不涉及 数据库审计实例 1分钟 hx_rps 防护实例每秒请求数 该指标用于展示防护实例的每秒请求数。 说明： 该防护实例已不再维护。 ≥0 Count/s 不涉及 数据库审计实例 1分钟 hx_active_connections_num 防护实例活跃连接数 该指标用于展示防护实例的活跃连接数。 说明： 该防护实例已不再维护。 ≥0 Count 不涉及 数据库审计实例 1分钟

安装Agent 请参见步骤二添加Agent。 在Windows主机安装“Npcap”软件。 如果该Windows主机已安装“Npcap”，请执行4。 如果该Windows主机未安装“Npcap”，请执行以下步骤： 请先下载Npcap获取最新软件安装包。 图5 下载npcap 将下载好的npcap-xxxx.exe软件安装包上传至需要安装agent的虚拟机。 双击npcap软件安装包。 在弹出的对话框中，单击“I Agree”，如图6所示。 图6 同意安装“Npcap” 在弹出的对话框中，单击“Install”，不勾选安装选项，如图7所示。 图7 安装“Npcap” 在弹出的对话框中，单击“Next”。 单击“Finish”，完成安装。 请参见下载Agent获取Windows操作系统Agent安装包。 以“Administrator”用户登录到Windows主机，将下载的Agent安装包“xxx.zip”复制到该主机任意一个目录下。 图8 Agent安装包 进入Agent安装包所在目录，并解压缩安装包。 进入解压后的文件夹，双击“install.bat”执行文件。 图9 双击install.bat 安装成功，界面如图10所示，按任意键结束安装。 图10 Agent安装成功 安装完成后，在Windows任务管理器中查看“dbss_audit_agent”进程，如下图图11所示。 图11 查看dbss_audit_agent进程 如果进程不存在，说明Agent安装失败，请尝试重新安装Agent。

常见安装场景 请您根据数据库的类型以及部署场景，在数据库端或应用端安装Agent。数据库常见的部署场景说明如下： ECS/BMS自建数据库的常见部署场景如图1和图2所示。 图1 一个应用端连接多个ECS/BMS自建数据库 图2 多个应用端连接同一个ECS/BMS自建数据库 RDS关系型数据库的常见部署场景如图3和图4所示。 图3 一个应用端连接多个RDS 图4 多个应用端连接同一个RDS 安装Agent节点的详细说明如表1所示。 当您的应用端和数据库（ECS/BMS自建数据库）都部署在同一个节点上时，Agent需在数据库端安装。 表1 安装Agent场景说明 使用场景 Agent安装节点 审计功能说明 注意事项 ECS/BMS自建数据库 数据库端 可以审计所有访问该数据库的应用端的所有访问记录。 在数据库端安装Agent。 当某个应用端连接多个ECS/BMS自建数据库时，需要在所有连接该应用端的数据库端安装Agent。 RDS关系型数据库 应用端（应用端部署在云上） 可以审计该应用端与其连接的所有数据库的访问记录。 在应用端安装Agent。 当多个应用端连接同一个RDS时，所有连接该RDS的应用端都需要安装Agent。 RDS关系型数据库 代理端（应用端部署在云下） 只能审计代理端与后端数据库之间的访问记录，无法审计应用端与后端数据库的访问记录。 在代理端安装Agent。

前提条件 请参见DBSS权限管理确认实例账号具有相关权限。 请确认购买实例的账号具有“DBSS System Administrator”、“VPC Administrator”、“ECS Administrator”和“DBSS Administrator”角色。 VPC Administrator：对虚拟私有云的所有执行权限。项目级角色，在同项目中勾选。 DBSS Administrator：对账号中心、费用中心、资源中心中的所有菜单项执行任意操作。项目级角色，在同项目中勾选。 ECS Administrator：对弹性云服务器的所有执行权限。项目级角色，在同项目中勾选。

与 消息通知 服务的关系 消息通知服务（Simple Message Notification，简称 SMN ），是一个可拓展的高性能消息处理服务。 开启消息通知前，您需先配置“消息通知服务”。 开启消息通知服务后，当数据库设置的告警事件发生或生成报表时，您可以收到告警或报表生成的消息通知。 在“告警通知”界面，您可以根据运维计划开启告警消息通知或关闭告警消息通知。 在“报表管理”界面，您可以根据运维计划开启报表生成消息通知或关闭报表生成消息通知。 关于SMN的详细内容，请参见《消息通知服务用户指南》。