华为云用户手册

计费项 表1 DES计费项 计费项 含义 计费因子和公式 数据快递服务费 按物理存储介质数量计费。物理存储介质指Teleport或磁盘。 计费因子：物理存储介质（个数） 计费公式：费用=物理存储介质（个数）* 物理存储介质单价 使用时长费 按设备使用时长计费。使用时长指服务的结束时间-起始时间。 Teleport方式使用时长为用户现场使用Teleport设备的时长，即服务单状态从“用户已经收到设备”到“用户寄送设备到华为数据中心”的时间。 磁盘方式使用时长为磁盘数据导入时长，即服务单状态从“待输入访问密钥（AK/SK）”到“待回寄磁盘”的时间。 计费因子：时长（天） 计费公式：费用=（时长-免费时长）* 时长费率 说明： Teleport方式免费时长为10天，磁盘方式免费时长为3天。 时长费率即磁盘方式超出3天或Teleport方式超出10天的时长单价。 流量费用 用户数据从Teleport或磁盘导入到华为云OBS所产生的流量费用。 免费 请求费用 数据上传至OBS过程中调用OBS API请求所产生的请求费用。 详情参见OBS请求费用介绍 Teleport方式的数据快递服务费中已包含Teleport邮寄和取回两次的物流费用，您无需再支付额外的物流费用。 磁盘的邮寄费用需用户自行承担。 数据上传至OBS后，后续数据的存储和访问等均会按照OBS的计费规则进行计费。详情请参见OBS计费说明。

什么是区域、可用区？ 我们用区域和可用区来描述数据中心的位置，您可以在特定的区域、可用区创建资源。 区域（Region）：从地理位置和网络时延维度划分，同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。Region分为通用Region和专属Region，通用Region指面向公共租户提供通用云服务的Region；专属Region指只承载同一类业务或只面向特定租户提供业务服务的专用Region。 可用区（AZ，Availability Zone）：一个AZ是一个或多个物理数据中心的集合，有独立的风火水电，AZ内逻辑上再将计算、网络、存储等资源划分成多个集群。一个Region中的多个AZ间通过高速光纤相连，以满足用户跨AZ构建高可用性系统的需求。 图1阐明了区域和可用区之间的关系。 图1 区域和可用区 目前，华为云已在全球多个地域开放云服务，您可以根据需求选择适合自己的区域和可用区。更多信息请参见华为云全球站点。

如何选择区域？ 选择区域时，您需要考虑以下几个因素： 地理位置 一般情况下，建议就近选择靠近您或者您的目标用户的区域，这样可以减少网络时延，提高访问速度。不过，在基础设施、BGP网络品质、资源的操作与配置等方面，中国大陆各个区域间区别不大，如果您或者您的目标用户在中国大陆，可以不用考虑不同区域造成的网络时延问题。 中国香港特别行政区、曼谷等其他地区和国家提供国际带宽，主要面向非中国大陆地区的用户。如果您或者您的目标用户在中国大陆，使用这些区域会有较长的访问时延，不建议使用。 在除中国大陆以外的亚太地区有业务的用户，可以选择“中国-香港”、“亚太-曼谷”区域。 在非洲地区有业务的用户，可以选择“南非-约翰内斯堡”区域。 资源的价格 不同区域的资源价格可能有差异，请参见华为云服务价格详情。 数据快递服务选择区域时，您需主要考虑地理位置因素对传输介质物流运输的影响。一般情况下，建议就近选择靠近您或者您的目标用户的区域，减少物流运输限制时间。

操作步骤 以MySQL数据库自带的客户端为例说明，操作步骤如下： 使用MySQL数据库自带的客户端，以root用户登录MySQL数据库。 执行以下命令，查看MySQL数据库连接的方式。 \s 如果界面回显类似以下信息，说明MySQL数据库已关闭SSL。 1 SSL: Not in use 如果界面回显类似以下信息，说明MySQL数据库已开启SSL，请执行3。 1 SSL: Cipher in use is XXX-XXX-XXXXXX-XXX 以SSL模式登录MySQL数据库。 执行以下命令，退出MySQL数据库。 exit 以root用户重新登录MySQL数据库。 在登录命令后添加以下参数： --ssl-mode=DISABLED 或 --ssl=0 以SSL模式登录MySQL数据库，只能关闭本次SSL。当需要使用数据库安全审计功能时，请以本步骤登录MySQL数据库。 执行以下命令，查看MySQL数据库连接的方式。 \s 如果界面回显类似以下信息，说明MySQL数据库已关闭SSL。 1 SSL: Not in use

添加Agent时，在什么场景下需要选择“选择已有Agent”添加方式？ 当某个应用端连接了多个数据库时，如图1所示。如果连接该应用端的某个数据库（例如“DB1”），已在应用端添加了Agent（即“DB1”数据库在添加Agent时，“安装节点类型”选择“应用端”）。则连接该应用端的其他数据库在添加Agent时，只需要选择“选择已有Agent”添加方式（即选择“DB1”已添加的Agent）。 如果您已在该应用端安装了Agent，则该数据库添加Agent后，数据库安全审计即可对其进行审计。有关安装节点的详细介绍，请参见如何选择数据库安全审计的Agent安装节点？。 图1 一个应用端连接了多个数据库 连接的数据库类型包括： 全是E CS /BMS自建数据库 全是RDS关系型数据库 ECS/BMS自建数据库与RDS关系型数据库 父主题： 数据库安全审计Agent相关

数据库安全审计支持多个账号共享使用吗？ 数据库安全审计不支持多个账号共享使用。例如，如果您在某个区域通过注册华为云创建了2个账号（“domain1”和“domain2”），当您在“domain1”账号下购买了数据库安全审计，则“domain2”账号不能使用“domain1”的数据库安全审计。 在同一区域，一个账号的在 IAM 上创建的所有IAM用户都可以共用该账号下的数据库安全审计。例如，您在某个区域通过注册华为云创建了1个账号（“domain1”），且“domain1”账号在IAM中创建了2个IAM用户（“sub-user01”、“sub-user02”），如果您授权了“sub-user01”和“sub-user02”用户DBSS的权限策略，则这2个IAM用户都可以使用“domain1”的数据库安全审计。 父主题： 数据库安全审计功能类

Linux操作系统 Agent客户端进程名称为：“/opt/dbss_audit_agent/bin/audit_agent” 安装Agent后，您可以参照以下操作步骤，查看Agent程序的运行状态。 使用跨平台远程访问工具（例如PuTTY）以root用户通过SSH方式，登录Agent的安装节点。 执行以下命令，查看Agent程序的运行状态。 ps -ef|grep audit_agent 如果界面回显以下信息，说明Agent程序运行正常。 1 /opt/dbss_audit_agent/bin/audit_agent 如果界面无回显信息，说明Agent程序运行异常。

安装Agent 在您安装新版Agent的时候，需要您为当前安装的Agent自定义一个密码。 请您根据数据库类型以及数据库的部署环境，在相应节点上安装Agent。 将下载的Agent安装包“xxx.tar.gz”上传到待安装Agent的节点（例如使用WinSCP工具）。 使用跨平台远程访问工具（例如PuTTY）以root用户通过SSH方式，登录该节点。 执行以下命令，进入Agent安装包“xxx.tar.gz”所在目录。 cd Agent安装包所在目录 执行以下命令，解压缩“xxx.tar.gz”安装包。 tar -xvf xxx.tar.gz 执行以下命令，进入解压后的目录。 cd 解压后的目录 执行以下命令，查看是否有安装脚本“install.sh”的执行权限。 ll 如果有安装脚本的执行权限，请执行7。 如果没有安装脚本的执行权限，请执行以下操作： 执行以下命令，添加安装脚本执行权限。 chmod +x install.sh 确认有安装脚本执行权限后，请执行7。 执行以下命令，安装Agent。 sh install.sh 用户系统是Ubantu时，执行以下命令安装Agent：bash install.sh Agent程序是以DBSS普通用户运行的，在首次安装Agent时，需要创建Agent用户，执行sh install.sh命令后，需要您自行设置DBSS用户的密码。 界面回显以下信息，说明安装成功。否则，说明Agent安装失败。 1 2 3 4 5 start agent starting audit agent audit agent started start success install dbss audit agent done! 如果Agent安装失败，请您确认安装节点的运行系统是否满足Linux操作系统要求，并重新安装Agent。 执行以下命令，查看Agent程序的运行状态。 service audit_agent status 如果界面回显以下信息，说明Agent程序运行正常。 audit agent is running.

关闭SQL SERVER协议的强行加密 打开SQL Server Configuration Manager配置管理器。 选择“SQL Server网络配置”。 右键单击“MSSQLSERVER的协议”，选择“属性”。 在弹出的弹框中，选择“标志”页签，关闭数据库的强行加密。 重启SQL Server服务，使得修改的配置生效。 输入一条SQL语句后，在SQL语句列表页面搜索执行的语句。 搜索SQL语句的详细操作，请参见查看SQL语句详细信息。 如果可以搜索到输入的SQL语句信息，说明问题已解决。 如果不能搜索到输入的SQL语句信息，说明问题仍存在，请联系技术支持。

关闭数据库SSL 以MySQL数据库自带的客户端为例说明，操作步骤如下： 使用MySQL数据库自带的客户端，以root用户登录MySQL数据库。 执行以下命令，查看MySQL数据库连接的方式。 \s 如果界面回显类似以下信息，说明MySQL数据库已关闭SSL，请执行4。 1 SSL: Not in use 如果界面回显类似以下信息，说明MySQL数据库已开启SSL，请执行3。 1 SSL: Cipher in use is XXX-XXX-XXXXXX-XXX 以SSL模式登录MySQL数据库。 执行以下命令，退出MySQL数据库。 exit 以root用户重新登录MySQL数据库。 在登录命令后添加以下参数： --ssl-mode=DISABLED 或 --ssl=0 以SSL模式登录MySQL数据库，只能关闭本次SSL。当需要使用数据库安全审计功能时，请以3.b方式登录MySQL数据库。 执行以下命令，查看MySQL数据库连接的方式。 \s 如果界面回显类似以下信息，说明MySQL数据库已关闭SSL。请执行4。 1 SSL: Not in use 输入一条SQL语句后，在SQL语句列表页面搜索执行的语句。 搜索SQL语句的详细操作，请参见查看SQL语句详细信息。 如果可以搜索到输入的SQL语句信息，说明问题已解决。 如果不能搜索到输入的SQL语句信息，说明问题仍存在，请执行关闭SQL SERVER 协议的强行加密。

处理建议 给子账户添加以下权限： tms:predefineTags:list bss:order:pay bss:order:view bss:order:update bss:balance:view vpc:vpcs:list smn:topic:list ces:metricData:create gaussdb:instance:list gaussdb:instance:modifyTraceSQLPolicy eps:resources:list rds:instance:list dws:openAPICluster:list rds:auditlog:operate dws:cluster:setSecuritySettings dws:ltsAccess:get dws:ltsAccess:operate dws:createAgency:create

在Linux操作系统上卸载Agent 使用跨平台远程访问工具（例如PuTTY）以root用户通过SSH方式，登录已安装Agent的节点。 执行以下命令，进入Agent安装包“xxx.tar.gz”解压后所在目录。 cd Agent安装包解压后所在目录 执行以下命令，查看是否有卸载脚本“uninstall.sh”的执行权限。 ll 如果有卸载脚本的执行权限，请执行4。 如果没有卸载脚本的执行权限，请执行以下操作： 执行以下命令，添加卸载脚本执行权限。 chmod +x uninstall.sh 确认有安装脚本执行权限后，请执行4。 执行以下命令，卸载Agent。 sh uninstall.sh 如果界面回显以下信息，说明卸载成功。 1 2 3 4 5 6 7 uninstall audit agent... exist os-release file stopping audit agent audit agent stopped stop audit_agent success service audit_agent does not support chkconfig uninstall audit agent completed!

当数据库安全审计Agent的运行状态为“休眠中”时，如何处理？ 待审计的数据库添加Agent后，该Agent的初始运行状态为“休眠中”。 添加Agent后，您还需要在安装节点上安装Agent，才能使用数据库安全审计。 请您安装Agent后，再查看该Agent的运行状态。有关安装Agent的详细操作，请参见安装Agent。 如果安装Agent后Agent正常运行，则该Agent的运行状态。 如果安装Agent后，该Agent的运行状态仍为“休眠中”，请参照Agent与数据库安全审计实例之间通信异常章节进行处理。 父主题： 数据库安全审计Agent相关

检查安装节点的Agent程序运行状态 Linux操作系统 使用跨平台远程访问工具（例如PuTTY）以root用户通过SSH方式，登录Agent的安装节点。 执行以下命令，查看Agent程序的运行状态。 service audit_agent status 如果界面回显以下信息，说明Agent程序运行正常，请执行效果验证。 1 audit agent is running. 如果界面无回显信息，说明Agent程序运行异常，请执行以下命令，重新启动Agent后，再执行效果验证。 service audit_agent restart Windows操作系统 打开任务管理器。 查看“dbss_audit_agent”进程运行状态。 如果进程正在运行，请执行效果验证。 如果进程停止，请进入Agent安装文件的目录，双击“start.bat”执行文件，开启审计进程后，再执行效果验证。

检查数据库安全审计实例的安全组规则 单击数据库左侧的展开Agent的详细信息，并记录“安装节点IP”。 在数据库列表的上方，单击“添加安全组规则”。 在弹出的弹框中，记录数据库安全审计实例的“安全组名称”（例如default），如图1所示。 图1 添加安全组规则 单击“前往处理”，进入“安全组”列表界面。 在列表右上方的搜索框中输入安全组“default”后，单击或按“Enter”，列表显示“default”安全组信息。 单击“default”，进入“入方向规则”页面。 检查“default”安全组的入方向规则。 请检查该安全组的入方向规则是否已为1中的安装节点IP配置了TCP协议（端口为8000）和UDP协议（端口为7000-7100）规则。 如果该安全组已配置入方向规则，请执行检查安装节点的Agent程序运行状态。 如果该安全组未配置入方向规则，请执行8。 添加数据库安全审计实例安全组的入方向规则。 单击“添加规则”。 在“添加入方向规则”对话框中，为1中安装节点IP添加TCP协议（端口为8000）和UDP协议（端口为7000-7100）规则。 单击“确定”。 如果问题已解决，结束操作。 如果问题仍存在，请执行检查安装节点的Agent程序运行状态。

检查数据库的Agent程序运行状态 使用跨平台远程访问工具（例如PuTTY）以root用户通过SSH方式，登录Agent的安装节点。 执行以下命令，查看Agent程序的运行状态。 ps -ef|grep audit_agent 如果界面回显以下信息，说明Agent程序运行正常，请执行4。 1 /opt/dbss_audit_agent/bin/audit_agent 如果界面无回显信息，说明Agent程序运行异常，请执行3。 执行以下命令，重新启动Agent。 service audit_agent restart 如果问题已解决，结束操作。 如果问题仍存在，请执行4。 执行以下命令，检查Agent与数据库安全审计实例之间的通信状态。 tailf /opt/dbss_audit_agent/log/audit_agent.log 如果界面回显类似以下信息，说明Agent与数据库安全审计实例之间通信正常，请执行效果验证。 图1 通信正常 如果界面回显类似以下信息，说明Agent与数据库安全审计实例之间通信异常，请检查数据库安全审计实例安全组规则是否开放。 图2 通信异常

数据库安全审计的Agent可以安装在哪些Linux操作系统上？ 使用数据库安全审计功能，必须在数据库节点或应用节点安装Agent。 数据库安全审计的Agent支持安装在Linux64位操作系统，系统版本说明如表1所示。 表1 Agent支持的Linux系统版本说明 系统名称 系统版本 CentOS CentOS 7.0 (64bit) CentOS 7.1 (64bit) CentOS 7.2 (64bit) CentOS 7.3 (64bit) CentOS 7.4 (64bit) CentOS 7.5 (64bit) CentOS 7.6 (64bit) CentOS 7.8 (64bit) CentOS 7.9 (64bit) CentOS 8.0 (64bit) CentOS 8.1 (64bit) CentOS 8.2 (64bit) Debian Debian 7.5.0 (64bit) Debian 8.2.0 (64bit) Debian 8.8.0 (64bit) Debian 9.0.0 (64bit) Debian 10.0.0 (64bit) Fedora Fedora 24 (64bit) Fedora 25 (64bit) Fedora 29 (64bit) Fedora 30 (64bit) OpenSUSE SUSE 13 (64bit) SUSE 15 (64bit) SUSE 42 (64bit) SUSE SUSE 11 SP4 (64bit) SUSE 12 SP1 (64bit) SUSE 12 SP2 (64bit) Ubuntu Ubuntu 14.04 (64bit) Ubuntu 16.04 (64bit) Ubuntu 18.04 (64bit) Ubuntu 20.04 (64bit)（华为 云审计 实例：23.02.27.182148 及其之后的版本支持） EulerOS Euler 2.2 (64bit) Euler 2.3 (64bit) Euler 2.5 (64bit) OpenEuler OpenEuler 20.03 (64bit) Oracle Linux Oracle Linux 6.9 (64bit) Oracle Linux 7.4 (64bit) Red Hat Red Hat Enterprise Linux 7.4 (64bit) Red Hat Enterprise Linux 7.6 (64bit) NeoKylin NeoKylin 7.0 (64bit) Kylin Kylin Linux Advanced Server release V10 (64bit) Uniontech OS Uniontech OS Server 20 Enterprise (64bit) Huawei Cloud Euler Huawei Cloud Euler 2.0 (64bit) KylinSec KylinSec 3.4（64bit） 父主题： 数据库安全审计Agent相关

数据库安全审计支持数据库部署在哪些操作系统上？ 您需要在数据库端、应用端或代理端安装Agent，将添加的数据库连接到数据库安全审计实例。 数据库安全审计的Agent可运行在Linux64位和Windows64位操作系统上，安装节点的操作系统说明如下所示。 数据库安全审计的Agent支持的Linux系统版本如表1所示。 表1 Agent支持的Linux系统版本说明 系统名称 系统版本 CentOS CentOS 7.0 (64bit) CentOS 7.1 (64bit) CentOS 7.2 (64bit) CentOS 7.3 (64bit) CentOS 7.4 (64bit) CentOS 7.5 (64bit) CentOS 7.6 (64bit) CentOS 7.8 (64bit) CentOS 7.9 (64bit) CentOS 8.0 (64bit) CentOS 8.1 (64bit) CentOS 8.2 (64bit) Debian Debian 7.5.0 (64bit) Debian 8.2.0 (64bit) Debian 8.8.0 (64bit) Debian 9.0.0 (64bit) Debian 10.0.0 (64bit) Fedora Fedora 24 (64bit) Fedora 25 (64bit) Fedora 29 (64bit) Fedora 30 (64bit) OpenSUSE SUSE 13 (64bit) SUSE 15 (64bit) SUSE 42 (64bit) SUSE SUSE 11 SP4 (64bit) SUSE 12 SP1 (64bit) SUSE 12 SP2 (64bit) Ubuntu Ubuntu 14.04 (64bit) Ubuntu 16.04 (64bit) Ubuntu 18.04 (64bit) Ubuntu 20.04 (64bit)（华为云审计实例：23.02.27.182148 及其之后的版本支持） EulerOS Euler 2.2 (64bit) Euler 2.3 (64bit) Euler 2.5 (64bit) OpenEuler OpenEuler 20.03 (64bit) Oracle Linux Oracle Linux 6.9 (64bit) Oracle Linux 7.4 (64bit) Red Hat Red Hat Enterprise Linux 7.4 (64bit) Red Hat Enterprise Linux 7.6 (64bit) NeoKylin NeoKylin 7.0 (64bit) Kylin Kylin Linux Advanced Server release V10 (64bit) Uniontech OS Uniontech OS Server 20 Enterprise (64bit) Huawei Cloud Euler Huawei Cloud Euler 2.0 (64bit) KylinSec KylinSec 3.4（64bit） 数据库安全审计的Agent支持的Windows系统版本如下所示： Windows Server 2008 R2(64bit) Windows Server 2012 R2(64bit) Windows Server 2016(64bit) Windows Server 2019(64bit) Windows 7(64bit) Windows 10(64bit) DBSS Agent的运行依赖Npcap，如果安装过程中提示"Npcap not found，please install Npcap first"，请安装Npcap后，再安装DBSS Agent。 Npcap下载链接：https://npcap.com/#download 图1 Npcap not found 父主题： 数据库安全审计功能类

如何修改Agent的CPU和内存的阈值？ 数据库安全审计Agent的CPU阈值和内存阈值用户不能直接修改： Agent安装在数据库端的用户，若有需求，请您联系技术支持修改数据库安全审计Agent的阈值。 Agent安装在应用端的用户，您可以按照以下操作步骤在添加Agent时，配置CPU阈值和内存阈值。 登录安装Agent的节点，卸载Agent程序。 登录数据库安全服务控制台。 在左侧导航栏中，选择“数据库列表”，进入“数据库列表”界面。 在“选择实例”下拉框中，选择需要修改AgentCPU阈值和内存阈值的实例。 单击数据库左侧的展开Agent的详细信息，在Agent所在行的“操作”列，如图1所示，删除已添加的Agent。 图1 删除Agent 重新添加Agent。 请根据您的业务需求，设置CPU阈值和内存阈值。 CPU阈值和内存阈值系统默认为80%。当Agent程序检测到服务器上的内存或CPU超过设定的阈值时，Agent将立即停止运行。 下载Agent。 每个Agent都有唯一的AgentID，是Agent连接数据库安全审计实例的重要密钥。重新添加Agent后，必须重新下载和安装Agent。 安装Agent（Linux操作系统）或安装Agent（Windows操作系统）。 父主题： 数据库安全审计Agent相关

修订记录 发布日期 修改说明 2024-04-10 第五十次正式发布。 控制台新风格升级。 2023-04-07 第四十九次正式发布。 新增无法进入数据库安全服务购买页 2023-03-29 第四十八次正式发布。 新增DBSS服务审计实例网关IP有限制吗？。 2022-11-01 第四十七次正式发布。 修改 如何退订数据库安全服务？ 2022-06-21 第四十六次正式发布。 新增告警邮件异常。 新增备份时持续显示“正在上传备份文件”。 优化部分常见问题描述。 2022-05-12 第四十五次正式发布。 新增数据库安全审计和RDS SQL审计有什么区别？。 新增同一区域可以购买多少个数据库安全审计实例？。 优化部分常见问题描述。 2022-03-18 第四十四次正式发布。 新增购买实例时为何要选择VPC？。 新增云服务首页提示DBSS服务预测容量不足如何处理？。 2021-11-03 第四十三次正式发布。 修改部分常见问题的问答描述。 数据库安全服务支持哪些性能规格？，更新支持的硬盘规格。 2021-10-20 第四十二次正式发布。 修改部分常见问题的问答描述。 新增数据库安全审计可以审计不同VPC的数据库吗？。 数据库安全审计的Agent可以安装在哪些Linux操作系统上？，新增Agent支持以下版本的操作系统： Fedora 29 (64bit) Fedora 30 (64bit) SUSE 13 (64bit) SUSE 15 (64bit) SUSE 42 (64bit) Euler 2.5 (64bit) OpenEuler 20.03 (64bit) Red Hat Enterprise Linux 7.4 (64bit) Red Hat Enterprise Linux 7.6 (64bit) NeoKylin 7.0 (64bit) Kylin Linux Advanced Server release V10 (64bit) Uniontech OS Server 20 Enterprise (64bit) 2021-08-20 第四十一次正式发布。 修改部分常见问题的问答描述。 新增章节如下： DBSS服务能否对第三方工具执行的SQL语句进行捕捉？ DBSS服务是否支持线下部署？ 数据库安全服务实例所属VPC是否可以更改？ 如何对接DBSS服务审计的数据？ 2021-07-15 第四十次正式发布。 修改服务入口导航，将“安全”修改为“ 安全与合规 ”。 2021-06-29 第三十九次正式发布。 新增章节如下： 数据库安全服务是否支持数据实时脱敏？ 购买DBSS服务后添加的数据库不在同一子网有什么影响？ Agent安装失败如何处理？ Agent安装报错“unsupport this Linux version, please check your Linux version with install document!”如何解决？ 2021-04-19 第三十八次正式发布。 数据库安全审计的Agent可以安装在哪些Linux操作系统上？，新增Agent支持CentOS 7.9、CentOS 8.1、CentOS 8.2和Debian 10.0.0版本。 2021-04-01 第三十七次正式发布。 “数据库安全防护”相关内容下线。 2021-03-22 第三十六次正式发布。 新增Agent运行时会消耗安装节点多少资源？ 如何配置数据库安全审计？，优化相关内容描述。 数据库安全审计运行正常但无审计记录，新增关闭SQL SERVER协议的强行加密Section。 2021-02-25 第三十五次正式发布。 如何获取数据库安全服务销售许可证？，新增解除浏览器拦截。 2021-01-19 第三十四次正式发布。 新增数据库安全审计的审计日志支持直接转存OBS吗？。 2020-12-18 第三十三次正式发布。 如何处理Agent与数据库安全审计实例之间通信异常？，优化添加入方向安全组规则。 无法使用数据库安全审计，优化添加入方向安全组规则。 2020-08-31 第三十二次正式发布。 如何获取数据库安全服务销售许可证？，新增销售许可证下载链接。 2020-07-20 第三十一次正式发布。 数据库安全审计的审计日志是否支持备份？，新增备份日志说明。 2020-06-29 第三十次正式发布。 如何为数据库安全服务续费？，优化相关内容描述。 如何退订数据库安全服务？，优化相关内容描述。 2020-06-08 第二十九次正式发布。 在业务侧使用中间件会影响数据库安全审计功能吗？，优化相关内容描述。 2020-05-20 第二十八次正式发布。 新增在业务侧使用中间件会影响数据库安全审计功能吗？ 2020-04-22 第二十七次正式发布。 数据库安全审计的Agent可以安装在哪些Linux操作系统上？，新增Agent支持CentOS 7.6（64bit）版本。 2020-04-21 第二十六次正式发布。 新增“如何获取数据库安全服务销售许可证？” 2020-03-16 第二十五次正式发布。 调整了文档大纲，并新增以下章节： 如何修改Agent的CPU和内存的阈值？ 如何安装Agent（Linux操作系统）？ 如何安装Agent（Windows操作系统）？ 如何处理Agent与数据库安全审计实例之间通信异常？ 2020-03-03 第二十四次正式发布。 修改“在专属云上购买数据库安全服务会消耗专属云上的资源吗？”，调整审计消耗资源说明。 2020-02-21 第二十三次正式发布。 新增数据库安全审计的Agent可以安装在哪些Windows操作系统上？ 修改以下数据库安全审计Windows相关描述： 6.1.7-数据库安全服务的直路和旁路模式审计支持哪些操作系统？ 数据库安全审计Agent的进程名称是什么？ 如何下载数据库安全审计的Agent？ 如何查看数据库安全审计Agent的运行状态？ 如何卸载数据库安全审计Agent程序？ 2020-01-06 第二十二次正式发布。 新增以下常见问题： 活动监控策略的“修改”受监控动作，可以审计新增和修改动作吗？ 提示“远程日志数据库连接断开，数据不可用”，如何处理？ 数据库安全审计可以跨可用区使用吗？ “待审计的RDS如果连接了多台ECS，如何部署Agent？” 2019-12-23 第二十一次正式发布。 更新Console界面截图。 2019-11-30 第二十次正式发布。 新增以下常见问题： 数据库安全审计的Agent提供哪些功能？ 数据库安全审计的Agent可以安装在哪些Windows操作系统上？ 数据库安全审计的Agent可以安装在哪些Linux操作系统上？ 2019-11-12 第十九次正式发布。 新增以下常见问题。 什么是数据库安全防护？ 数据库安全审计的日志处理机制是什么？ 数据库安全审计支持多个账号共享使用吗？ 如何配置数据库安全审计？ 如何下载数据库安全审计的Agent？ 数据库安全审计支持TLS连接的应用吗？ 当数据库安全审计Agent的运行状态为“休眠中”时，如何处理？ 如何验证已完成数据库安全审计配置？ 如何查看数据库安全审计的用户操作日志？ 数据库安全防护会自动添加5000端口到安全组吗？ 如果PC通过内网访问RDS（即应用端在云下），如何使用数据库安全审计？ 如何处理界面提示“IP地址、端口号或实例名称无效”？ 如何为RDS购买数据库安全服务？ 2019-11-05 第十八次正式发布。 新增以下常见问题。 数据库安全服务的直路和旁路模式审计支持哪些操作系统？ 数据库安全服务上传日志是通过公网的带宽还是内网的带宽？ 数据库安全审计（旁路模式）是否会影响业务？ 为什么不能在线预览数据库安全审计报表？ 数据库安全防护是否支持一键查询所有DDL语句或者DML语句？ 是否可以更改数据库安全防护实例的网段？ 是否需要配置多个日志存储位置？ 数据库安全防护可以跨区域使用吗？ 使用HexaTier访问被保护的数据库时，使用的是哪个IP地址？ 如何对所有数据库设置数据库安全审计规则？ 如何设置数据库安全审计的INSERT审计策略？ 购买实例时如何选择“子网”？ 2019-10-24 第十七次正式发布。 新增如何选择数据库安全审计的Agent安装节点？。 新增如何关闭数据库SSL？。 新增添加Agent时，在什么场景下需要选择“选择已有Agent”添加方式？。 2019-10-16 第十六次正式发布。 新增数据库安全审计可以跨区域使用吗？。 2019-09-06 第十五次正式发布。 新增在专属云上购买数据库安全服务会消耗专属云上的资源吗？。 新增“数据库安全防护的审计和数据库安全审计功能有哪些区别？”。 2019-08-29 第十四次正式发布。 新增“如何修改数据库安全防护实例的安全组？”。 新增“如何登录HexaTier?”。 2019-08-26 第十三次正式发布。 新增什么是区域、可用区？。 2019-08-21 第十二次正式发布。 修改“常见问题”章节，优化操作入口描述。 2019-08-01 第十一次正式发布。 修改如何为数据库安全服务续费？，更新界面截图以及优化相关内容描述。 2019-07-30 第十次正式发布。 新增数据库安全服务支持哪些性能规格？。 2019-07-22 第九次正式发布。 新增“如何购买定制版数据库安全服务？”。 新增如何为数据库安全服务续费？。 新增如何退订数据库安全服务？。 2019-06-14 第八次正式发布。 修改“忘记HexaTier初始登录密码时如何处理？”，修改相关内容描述。 2019-05-16 第七次正式发布。 修改哪些区域可以使用数据库安全服务？，优化相关内容描述。 2019-01-15 第六次正式发布。 调整文档大纲，优化内容描述。 2018-12-25 第五次正式发布。 新增以下常见问题： 什么是数据库安全审计？ 数据库安全审计可以应用于哪些场景？ 数据库安全审计支持哪些数据库？ 数据库安全审计支持数据库部署在哪些操作系统上？ 数据库安全审计支持双向审计吗？ 数据库安全审计Agent客户端的进程名称是什么？ 数据库安全审计Agent客户端日志的保存在哪里？ 数据库安全审计的操作日志默认保存多久？ 数据库安全审计的审计数据默认保存多久？ 数据库安全审计的审计日志是否支持备份？ 数据库安全审计的操作日志是否可以迁移？ 数据库安全审计发生异常，多长时间用户可以收到告警信息？ 每天发送告警总条数与每天收到的邮件数是相同的吗？ 如何查看数据库的Agent程序的运行状态？ 如何查看数据库安全审计的版本信息？ 如何查看数据库安全审计所有的告警信息？ 2018-10-15 第四次正式发布。 优化部分内容描述。 2018-07-19 第三次正式发布。 新增哪些区域可以使用数据库安全服务？。 2017-11-02 第二次正式发布。 新增“数据库安全服务可以提供哪些关键的精细化功能？” 新增“数据库安全服务的配置流程是什么？” 新增“数据库安全服务是否需要MySQL的root用户权限？” 新增“数据库安全服务产生的日志是否可以导入用户自己的 日志分析 平台？” 新增“使用数据库安全服务需要对业务侧进行哪些配置？” 新增“数据库安全服务防护与 Web应用防火墙 的SQL注入防护有哪些区别？” 新增“动态数据脱敏功能是否会修改数据库的原始数据？” 新增“数据库安全服务是否对用户业务有延时影响？” 2017-09-15 第一次正式发布。

前提条件 给用户组授权之前，请您了解用户组可以添加的DBSS权限，并结合实际需求进行选择，DBSS系统策略如表1所示。DBSS支持的系统权限，请参见：DBSS系统权限。若您需要对除DBSS之外的其它服务授权，IAM支持服务的所有权限请参见系统权限。 表1 DBSS系统权限 系统角色/策略名称 描述 类别 依赖关系 DBSS Audit Administrator 数据库安全服务审计管理员，拥有审核数据库安全服务日志信息的权限。 系统角色 无。 DBSS FullAccess 数据库安全服务所有权限。 系统策略 DBSS ReadOnlyAccess 数据库安全服务只读权限，拥有该权限的用户仅能查看数据库安全服务，不具备服务配置权限。 系统策略

示例流程 图1 给用户授权服务权限流程 创建用户组并授权 在IAM控制台创建用户组，并授予数据库安全服务管理员权限“DBSS Security Administrator”。 创建用户并加入用户组 在IAM控制台创建用户，并将其加入1中创建的用户组。 用户登录并验证权限 新创建的用户登录控制台，切换至授权区域，验证权限： 验证方式（参考）：您可以尝试开启或关闭实例，此时如果提示“您的权限不足”，则表示设置的“DBSS Security Administrator”数据库安全服务安全管理员角色已生效。

支持的授权项 策略包含系统策略和自定义策略，如果系统策略不满足授权要求，管理员可以创建自定义策略，并通过给用户组授予自定义策略来进行精细的访问控制。策略支持的操作与API相对应，授权项列表说明如下： 权限：允许或拒绝某项操作。 授权项：自定义策略中支持的Action，在自定义策略中的Action中写入授权项，可以实现授权项对应的权限功能。 依赖的授权项：部分Action存在对其他Action的依赖，需要将依赖的Action同时写入授权项，才能实现对应的权限功能。 DBSS支持的自定义策略授权项如表1所示： 表1 授权列表 权限 授权项 查询数据库安全审计实例列表 dbss:auditInstance:list 获取数据库安全审计实例的可用规格 dbss:auditInstance:getSpecification 查询数据库安全防护实例列表 dbss:defendInstance:list 删除数据库安全审计实例 dbss:auditInstance:delete 按需购买数据库安全防护实例 dbss:defendInstance:createOnDemand 按需购买数据库安全审计实例 dbss:auditInstance:createOnDemand 按包周期购买数据库安全审计实例 dbss:auditInstance:createOnOrder 重启数据库安全防护实例 dbss:defendInstance:reboot 启动数据库安全审计实例 dbss:auditInstance:start 关闭数据库安全审计实例 dbss:auditInstance:stop 重启数据库安全审计实例 dbss:auditInstance:reboot 启动数据库安全防护实例 dbss:defendInstance:start 关闭数据库安全防护实例 dbss:defendInstance:stop

修订记录 发布日期 修改说明 2024-04-10 第六十九次正式发布。 控制台新风格升级。 2023-06-30 第六十八次正式发布。 新增如下章节： 查看趋势分析章节； 5.4-升级数据库审计实例版本章节。 2023-04-23 第六十七次正式发布。 修改流程指引章节，增加免Agent审计操作流程。 2022-11-30 第六十六次正式发布。 新增章节5.1-总览。 2022-11-16 第六十五次正式发布。 新增自动备份的延时说明。 2022-06-08 第六十四次正式发布。 DBSS对接 CES 功能上线，新增章节： DBSS监控指标说明 设置监控告警规则 查看监控指标 2022-03-24 第六十三次正式发布。 手动备份审计日志功能下线。 购买数据库安全审计：新增参数“企业项目”。 5.9-备份和恢复数据库审计日志：新增“OBS细粒度授权”操作；自动备份时，备份周期可选“每天”和“每小时”。 2022-01-07 第六十二次正式发布。 表1：新增“数据库类型”选择“MySQL”时，自动关联获取数据库列表，按需选择即可的说明。 2021-07-15 第六十一次正式发布。 修改内容：将服务列表入口“安全”修改为“安全与合规”。 新增内容如下： 添加SQL注入规则：新增“添加SQL注入规则”。 添加数据库：新增选择 GaussDB (for MySQL)时自动关联库内所有实例说明。 添加Agent（ECS/BMS自建数据库）：数据库端添加Agent时，新增阈值自定义功能。 操作步骤：告警信息新增“Agent异常”筛选。 2021-06-17 第六十次正式发布。 表1：新增“数据库类型”选择“GaussDB(for MySQL)”时，自动关联获取数据库列表，按需选择即可的说明。 2021-04-19 第五十九次正式发布。 安装Agent（Linux操作系统），修改Agent安装包命名。 管理添加的数据库和Agent，新增“SHA256校验值”，校验Agent包的完整性。 卸载Agent，修改Agent安装包命名。 2021-04-01 第五十八次正式发布。 “数据库安全防护”相关内容下线。 2021-03-22 第五十七次正式发布。 步骤二：添加Agent，优化相关内容描述。 添加风险操作，优化相关内容描述。 2021-01-19 第五十六次正式发布。 优化数据库安全审计步骤流程。 2020-12-18 第五十五次正式发布。 新增步骤四：添加安全组规则。 流程指引，新增添加安全组规则描述。 步骤二：添加Agent，优化相关内容描述。 步骤三：下载并安装Agent，优化相关内容描述。 5.6-查看审计结果，新增前提条件。 2020-12-15 第五十四次正式发布。 步骤一：添加数据库，优化相关内容描述。 2020-11-27 第五十三次正式发布。 添加审计范围，审计范围新增“例外IP”功能。 2020-10-14 第五十二次正式发布。 购买数据库安全审计，新增购买数据库安全审计实例时选择VPC的说明描述。 “购买数据库安全防护”，新增购买数据库安全防护实例时选择VPC的说明描述。 2020-09-23 第五十一次正式发布。 添加风险操作，新增一条默认风险操作“数据库拖库检测”。 2020-08-31 第五十次正式发布。 查看SQL语句详细信息，新增审计语句和结果集字数长度限制。 创建用户并授权使用DBSS，优化相关内容描述。 2020-07-31 第四十九次正式发布。 设置告警通知，告警通知方式变更，对接 SMN 服务，通知方式多样化。 下线“设置邮件通知”章节。 2020-07-20 第四十八次正式发布。 5.9-备份和恢复数据库审计日志，新增备份日志说明。 2020-07-08 第四十七次正式发布。 安装Agent（Linux操作系统），优化相关内容描述。 安装Agent（Windows操作系统），优化相关内容描述。 2020-06-29 第四十六次正式发布。 购买数据库安全审计，优化相关内容描述。 “购买数据库安全防护”，优化相关内容描述。 2020-06-16 第四十五次正式发布。 添加审计范围，优化相关内容描述。 设置告警通知，优化相关内容描述。 2020-06-08 第四十四次正式发布。 “步骤三：添加防护的数据库”，合并“添加防护的DDM”。 “步骤四：修改业务侧配置文件”，修改章标题并优化相关内容描述。 2020-06-05 第四十三次正式发布。 “购买数据库安全防护”，优化相关内容描述。 添加审计范围，新增审计范围的操作类型。 查看告警信息，新增“日志备份OBS失败”告警类型。 2020-04-30 第四十二次正式发布。 步骤二：添加Agent，优化相关内容描述。 下载Agent，优化相关内容描述。 2020-04-21 第四十一次正式发布。 “步骤四：修改业务侧配置文件”，优化相关内容描述。 2020-04-03 第四十次正式发布。 更新界面截图。 2020-03-20 第三十九次正式发布。 修改管理数据库安全审计实例，新增实例运行状态。 2020-03-16 第三十八次正式发布。 新增字符集“GBK”，oracle数据库增加“19c”版本。 “数据库安全防护故障排查”调整为FAQ。 “数据库安全审计故障排查”调整为FAQ。 2020-03-03 第三十七次正式发布。 修改“购买数据库安全防护”，新增防护实例创建失败相关内容。 修改“管理数据库安全防护实例”，新增查看详情操作说明。 修改购买数据库安全审计，新增审计实例创建失败相关内容。 修改步骤一：添加数据库，优化相关内容描述。 修改管理数据库安全审计实例，新增查看详情操作说明。 2020-02-21 第三十六次正式发布。 新增安装Agent（Windows操作系统）。 修改步骤二：添加Agent，新增添加Agent场景条件。 修改安装Agent（Linux操作系统）。 修改卸载Agent，新增Windows相关描述。 新增Windows相关描述。 2020-01-15 第三十五次正式发布。 修改添加Agent，优化内容描述。 修改安装Agent（Linux操作系统），优化内容描述。 修改备份和恢复数据库审计日志，优化内容描述。 2020-01-06 第三十四次正式发布。 修改权限管理章节，更新界面截图。 修改添加Agent，优化内容描述。 修改安装Agent（Linux操作系统），优化内容描述。 修改如何查看云审计日志，优化内容描述以及更新界面截图。 2019-12-23 第三十三次正式发布。 优化“数据库安全防护使用指导”章节架构。 更新Console界面截图。 2019-11-30 第三十二次正式发布。 新增安装Agent（Windows操作系统）。 修改“购买数据库安全防护”，更新截图以及相关内容描述。 修改添加数据库并开启审计，更新界面截图以及相关内容描述。 修改步骤二：添加Agent，更新界面截图以及相关内容描述。 2019-10-24 第三十一次正式发布。 修改步骤二：添加Agent，优化相关内容描述。 修改步骤三：下载并安装Agent，优化相关内容描述。 2019-10-16 第三十次正式发布。 修改步骤二：添加Agent，优化相关内容描述。 2019-08-29 第二十九次正式发布。 “登录HexaTier ”章节修改为常见问题“如何登录HexaTier？”。 修改“管理数据库安全防护实例”，更新界面截图以及相关内容描述。 2019-08-21 第二十八次正式发布。 修改“登录HexaTier”章节，优化操作入口描述。 修改“数据库安全防护相关操作”，优化操作入口描述。 修改“数据库安全审计使用指导”，优化操作入口描述。 修改“故障排查”章节，优化操作入口描述。 2019-08-01 第二十七次正式发布。 修改“登录HexaTier”章节，更新界面截图以及优化相关内容描述。 修改“数据库安全防护相关操作”，更新界面截图以及优化相关内容描述。 2019-07-30 第二十六次正式发布。 修改购买数据库安全审计，优化相关内容描述。 修改其他操作，优化相关内容描述。 2019-07-22 第二十五次正式发布。 新增“购买数据库安全防护”。 新增购买数据库安全审计。 新增“配置隐私数据保护规则”。 新增“管理隐私数据保护规则”。 修改“重置HexaTier登录密码”，优化相关内容描述。 修改管理添加的数据库和Agent，更新界面截图以及优化相关内容描述。 2019-06-28 第二十四次正式发布。 新增“数据库安全防护无法连接防护数据库”。 新增“无法访问数据库安全防护界面”。 2019-06-25 第二十三次正式发布。 新增“数据库安全审计运行正常但无审计记录”。 修改“Agent与数据库安全审计实例之间通信异常”，优化相关内容描述。 修改“无法使用数据库安全审计”，优化相关内容描述。 2019-06-14 第二十二次正式发布。 新增“重置HexaTier登录密码”。 修改“登录HexaTier”章节，更新界面截图以及修改相关内容描述。 修改“数据库安全防护相关操作”，更新界面截图以及修改相关内容描述。 2019-06-12 第二十一次正式发布。 修改“数据库安全审计使用指导”，调整了大纲，更新界面截图以及修改相关内容描述。 新增管理备份的审计日志。 2019-06-10 第二十次正式发布。 修改“数据库安全审计使用指导”章节，更新界面截图以及修改相关内容描述。 2019-05-30 第十九次正式发布。 修改添加数据库并开启审计，修改相关内容描述。 2019-05-22 第十八次正式发布。 新增权限管理章节。 新增“Agent与数据库安全审计实例之间通信异常”。 修改步骤二：添加Agent，优化相关内容描述。 修改“设置邮件和告警通知”，优化相关内容描述。 修改管理数据库审计报表，优化相关内容描述。 修改备份和恢复数据库审计日志，优化相关内容描述。 2019-05-10 第十七次正式发布。 修改“添加数据库”，更新截图以及优化相关内容描述。 修改“登录HexaTier”章节，更新截图以及相关内容描述。 修改“数据库安全防护相关操作”，更新截图以及相关内容描述。 2019-04-15 第十六次正式发布。 修改添加审计范围章节，优化相关内容描述。 2019-04-08 第十五次正式发布。 修改“数据库安全审计配置流程”章节，修改了流程图。 修改备份和恢复数据库审计日志，补充相关内容描述。 修改“数据库安全审计使用指导”，更新界面截图。 2019-03-30 第十四次正式发布。 修改添加数据库章节，优化相关内容描述。 2019-01-15 第十三次正式发布。 调整文档大纲，优化内容描述。 2018-12-25 第十二次正式发布。 新增“无法使用数据库安全审计”。 2018-12-06 第十一次正式发布。 新增“配置数据库防火墙策略”。 新增“基于发现结果生成规则”。 2018-10-15 第十次正式发布。 优化部分内容描述。 2018-09-27 第九次正式发布。 优化“登录HexaTier”章节内容描述。 2018-09-12 第八次正式发布。 优化了内容描述。 2018-07-19 第七次正式发布。 新增“HexaTier”章节。 新增“产品优势”章节。 新增“入门”章节。 新增“连接DDM作为受保护的数据库”章节。 新增“配置参数”章节。 修改“使用场景”章节，优化了内容描述。 2018-04-27 第六次正式发布。 新增5.11-云审计服务支持的关键操作章节。 2018-03-22 第五次正式发布。 调整了文档大纲，并修改了部分内容描述。 2018-01-30 第四次正式发布。 修改“申请DBSS实例”章节，更新界面截图和相关描述。 修改“数据库防护控制台操作指导”章节，更新相关内容描述。 2017-12-04 第三次正式发布。 新增“解绑弹性IP”章节。 2017-11-02 第二次正式发布。 修改“使用场景”章节，优化了内容描述。 修改“管理实例”章节，更新了界面截图以及相关内容描述。 修改“登录HexaTier”章节，修改了操作步骤。 修改“配置高可用模式”章节，修改了操作步骤。 2017-09-15 第一次正式发布。

报表类型 数据库安全审计为用户提供了8种报表模板，各报表名称如表1所示。用户可根据实际业务情况生成报表、设置报表的执行任务。 表1 报表说明 报表模板名称 报表类型 说明 数据库安全综合报表 综合报表 提供数据库整体审计状况，主要从风险分布、会话分布和登录状况等几个维度进行审计分析，为数据库管理提供整体审计状况依据。 数据库安全合规报表 合规报表 根据《中国国家信息安全保护检验标准》和国家等级保护的检测要求对数据库进行数据统计。帮助数据库管理人员、审计人员及时发现各种异常行为和违规操作，并为快速定位分析、整体信息管理提供决策依据。 SOX-萨班斯报表 合规报表 参考《萨班斯法案》针对用户全面把控数据库内部活动的要求，对数据库进行数据统计。帮助数据库管理人员、 审计人员及时发现各种异常行为和违规操作，并为快速定位分析、整体信息管理提供决策依据。 数据库服务器分析报表 数据库专项报表 分别为数据库活动用户统计、访问数据库来源IP数量统计、数据库登录及请求统计分析和使用数据库操作时间判断数据库服务器性能。 客户端IP分析报表 客户端专项报表 统计源IP中客户端应用程序、数据库用户数量和SQL语句数量。 DML命令报表 数据库操作专项报表 通过DML命令分析用户与特权操作。 DDL命令报表 数据库操作专项报表 通过DDL命令分析用户与特权操作。 DCL命令报表 数据库操作专项报表 通过DCL命令分析用户与特权操作。

常见场景 请您根据数据库类型以及数据库部署场景，为待审计的数据库添加Agent。数据库常见的部署场景说明如下： ECS/BMS自建数据库的常见部署场景如图1和图2所示。 图1 一个应用端连接多个ECS/BMS自建数据库 图2 多个应用端连接同一个ECS/BMS自建数据库 RDS关系型数据库的常见部署场景如图3和图4所示。 图3 一个应用端连接多个RDS 图4 多个应用端连接同一个RDS 添加Agent方式的详细说明如表1所示。 当您的应用和数据库（ECS/BMS自建数据库）都部署在同一个节点上时，Agent需在数据库端添加。 数据库安全审计还支持批量部署流量采集Agent，针对大规模业务场景（容器化部署应用、数据库（RDS关系型数据库）数量大），能够显著提升产品配置的效率，降低配置的复杂度，减少运维人员的日常维护压力。详细操作步骤，请参见容器化部署数据库安全审计Agent。 表1 添加Agent方式说明 使用场景 Agent安装节点 审计功能说明 注意事项 ECS/BMS自建数据库 数据库端 可以审计所有访问该数据库的应用端的所有访问记录。 在数据库端添加Agent。 当某个应用端连接多个ECS/BMS自建数据库时，所有连接该应用端的数据库都需要添加Agent。 RDS关系型数据库 应用端 （应用端部署在云上） 可以审计该应用端与其连接的所有数据库的访问记录。 在应用端添加Agent。 当某个应用端连接多个RDS时，所有连接该应用端的RDS关系型数据库都需要添加Agent。当其中一个RDS选择“安装节点类型”后，其余RDS添加Agent时，选择“选择已有Agent”添加方式。详细操作请参见•“添加方式”选择“选择已有Agent” 当多个应用端连接同一个RDS时，所有连接该RDS的应用端都需要添加Agent。 代理端（应用端部署在云下） 只能审计代理端与后端数据库之间的访问记录，无法审计应用端与后端数据库的访问记录。 在应用端添加Agent。 “安装节点IP”需要配置为代理端的IP地址。

在Linux操作系统上卸载Agent 使用跨平台远程访问工具（例如PuTTY）以root用户通过SSH方式，登录已安装Agent的节点。 执行以下命令，进入Agent安装包“xxx.tar.gz”解压后所在目录。 cd Agent安装包解压后所在目录 执行以下命令，查看是否有卸载脚本“uninstall.sh”的执行权限。 ll 如果有卸载脚本的执行权限，请执行4。 如果没有卸载脚本的执行权限，请执行以下操作： 执行以下命令，添加卸载脚本执行权限。 chmod +x uninstall.sh 确认有安装脚本执行权限后，请执行4。 执行以下命令，卸载Agent。 sh uninstall.sh 如果界面回显以下信息，说明卸载成功。 1 2 3 4 5 6 7 uninstall audit agent... exist os-release file stopping audit agent audit agent stopped stop audit_agent success service audit_agent does not support chkconfig uninstall audit agent completed!

安装Agent 在您安装新版Agent的时候，需要您为当前安装的Agent自定义一个密码。 请您根据数据库类型以及数据库的部署环境，在相应节点上安装Agent。 将下载的Agent安装包“xxx.tar.gz”上传到待安装Agent的节点（例如使用WinSCP工具）。 使用跨平台远程访问工具（例如PuTTY）以root用户通过SSH方式，登录该节点。 执行以下命令，进入Agent安装包“xxx.tar.gz”所在目录。 cd Agent安装包所在目录 执行以下命令，解压缩“xxx.tar.gz”安装包。 tar -xvf xxx.tar.gz 执行以下命令，进入解压后的目录。 cd 解压后的目录 执行以下命令，查看是否有安装脚本“install.sh”的执行权限。 ll 如果有安装脚本的执行权限，请执行7。 如果没有安装脚本的执行权限，请执行以下操作： 执行以下命令，添加安装脚本执行权限。 chmod +x install.sh 确认有安装脚本执行权限后，请执行7。 执行以下命令，安装Agent。 sh install.sh 用户系统是Ubantu时，执行以下命令安装Agent：bash install.sh Agent程序是以DBSS普通用户运行的，在首次安装Agent时，需要创建Agent用户，执行sh install.sh命令后，需要您自行设置DBSS用户的密码。 界面回显以下信息，说明安装成功。否则，说明Agent安装失败。 1 2 3 4 5 start agent starting audit agent audit agent started start success install dbss audit agent done! 如果Agent安装失败，请您确认安装节点的运行系统是否满足Linux操作系统要求，并重新安装Agent。 执行以下命令，查看Agent程序的运行状态。 service audit_agent status 如果界面回显以下信息，说明Agent程序运行正常。 audit agent is running.

常见安装场景 请您根据数据库的类型以及部署场景，在数据库端或应用端安装Agent。数据库常见的部署场景说明如下： ECS/BMS自建数据库的常见部署场景如图1和图2所示。 图1 一个应用端连接多个ECS/BMS自建数据库 图2 多个应用端连接同一个ECS/BMS自建数据库 RDS关系型数据库的常见部署场景如图3和图4所示。 图3 一个应用端连接多个RDS 图4 多个应用端连接同一个RDS 安装Agent节点的详细说明如表1所示。 当您的应用和数据库（ECS/BMS自建数据库）都部署在同一个节点上时，Agent需在数据库端安装。 表1 安装Agent场景说明 使用场景 Agent安装节点 审计功能说明 注意事项 ECS/BMS自建数据库 数据库端 可以审计所有访问该数据库的应用端的所有访问记录。 在数据库端安装Agent。 当某个应用端连接多个ECS/BMS自建数据库时，需要在所有连接该应用端的数据库端安装Agent。 RDS关系型数据库 应用端（应用端部署在云上） 可以审计该应用端与其连接的所有数据库的访问记录。 在应用端安装Agent。 当多个应用端连接同一个RDS时，所有连接该RDS的应用端都需要安装Agent。 RDS关系型数据库 代理端（应用端部署在云下） 只能审计代理端与后端数据库之间的访问记录，无法审计应用端与后端数据库的访问记录。 在代理端安装Agent。

安装Agent 在Windows主机安装“Npcap”软件。 如果该Windows主机已安装“Npcap”，请执行2。 如果该Windows主机未安装“Npcap”，请执行以下步骤： 请前往https://nmap.org/npcap/下载Npcap最新软件安装包。 图5 下载npcap 将下载好的npcap-xxxx.exe软件安装包上传至需要安装agent的虚拟机。 双击npcap软件安装包。 在弹出的对话框中，单击“I Agree”，如图6所示。 图6 同意安装“Npcap” 在弹出的对话框中，单击“Install”，不勾选安装选项，如图7所示。 图7 安装“Npcap” 在弹出的对话框中，单击“Next”。 单击“Finish”，完成安装。 以“Administrator”用户登录到Windows主机。 将下载的Agent安装包“xxx.zip”复制到该主机任意一个目录下。 进入Agent安装包所在目录，并解压缩安装包。 进入解压后的文件夹，双击“install.bat”执行文件。 安装成功，界面如图8所示，按任意键结束安装。 图8 Agent安装成功 安装完成后，在Windows任务管理器中查看“dbss_audit_agent”进程。 如果进程不存在，说明Agent安装失败，请尝试重新安装Agent。