购买实例时提示资源售罄时如何处理？

当您在购买数据库安全审计时，界面提示资源售罄，请您单击管理控制台左上角的，选择其他区域后购买或提交工单。

DBSS支持的区域说明，请参见哪些区域可以使用数据库安全服务？。

提交工单的详细操作，请参见：提交工单。

数据库安全审计可以应用于哪些场景？

数据库安全审计采用数据库旁路部署方式，在不影响用户业务的提前下，可以对华为云上的RDS、ECS/BMS自建的数据库进行灵活的审计。

基于数据库风险操作，监视数据库登录、操作类型（数据定义、数据操作和数据控制）和操作对象，有效对数据库进行审计。

从风险、会话、SQL注入等多个维度进行分析，帮助您及时了解数据库状况。

提供审计报表模板库，可以生成日报、周报或月报审计报表（可设置报表生成频率）。同时，支持发送报表生成的实时告警通知，帮助您及时获取审计报表。

数据库安全审计的Agent提供哪些功能？

使用数据库安全审计功能，必须在数据库节点或应用节点安装Agent。

数据库安全审计的Agent主要提供以下功能：

1. 获取访问数据库流量
2. 将流量数据上传到审计系统
3. 接收审计系统配置命令
4. 上报数据库状态监控数据

如何添加Hbase数据库并进行审计？

Hbase数据库包含一个主Master节点，一个备Master节点和多个RegionServer节点。

添加Hbase数据库审计时，需将Master节点和RegionServer节点看做独立的数据库进行添加。

约束条件

1. 仅支持hbase(protobuf)格式协议解析，不支持hbase(thrift)协议。
2. 仅支持simple和kerberos认证方式。

说明：kerberos认证场景又分为这三种场景：仅认证、认证+完整性校验、认证+完整性校验+加密场景。

目前华为云支持：仅认证场景。

暂不支持：认证+完整性校验、认证+完整性校验+加密两个场景

操作示例

HBase数据库包含一个主Master，一个备Master和2个RegionServer节点。

1. 主Master节点IP为192.168.0.1，其服务端口为16000。
2. 备Master节点IP为192.168.0.2，其服务端口为16000。
3. RegionServer1节点IP为192.168.0.3，其服务端口为16020。
4. RegionServer1节点IP为192.168.0.4，其服务端口为16020。

添加该HBase数据库进行审计时，需添加4个数据库，其IP和端口分别为：

1. 192.168.0.1:16000(对应主Master节点)。
2. 192.168.0.2:16000(对应备Master节点)。
3. 192.168.0.3:16020(对应RegionServer1节点)。
4. 192.168.0.4:16020(对应RegionServer2节点)。

说明：如果没有备master节点，可以不添加备master数据库。

MRS集群该如何使用HBase数据库审计

MRS集群如果按照默认方式创建，其创建的集群使用的kerberos认证模式下的"认证+加密"方式，该配置下，DBSS无法正常审计到数据，需将其改为我们支持的认证方式。

MRS集群kerberos认证场景下认证方式的更改：

前往集群管理页面，在FusionInsight Manager系统中，选择“集群 > 待操作集群的名称 > HBase > 配置 -> 基础配置”，在这里面找到"hbase.rpc.protection"配置项，更改其对应的值。

"hbase.rpc.protection"配置项值对应的认证方式：

1. authentication: 仅认证
2. integrity: 认证+完整性校验
3. privacy: 认证+完整性校验+加密

无法使用数据库安全审计

问题现象

触发数据库流量后，在SQL语句列表页面搜索执行的语句，不能搜索到相关的审计信息。

建议您按照本章节的操作步骤排查无法审计SQL语句的原因并进行修改。

1. 检查数据库信息是否正确以及数据库的审计是否已开启
2. 检查审计范围中对应数据库是否已启用
3. 检查数据库的Agent程序运行状态
4. 检查数据库安全审计实例安全组规则是否开放

检查数据库信息是否正确以及数据库的审计是否已开启

1.登录管理控制台。

2. 在页面上方选择“区域”后，单击页面左上方的，选择“安全与合规 > 数据库安全服务”，进入数据库安全审计“总览”界面。

3.在左侧导航树中，选择“数据库列表”，进入数据库列表页面。

4.在“实例列表”下拉列表框中选择数据库所在的实例。

5.查看数据库信息，

6.检查数据库信息是否正确。

如果数据库信息正确，请执行7。

如果数据库信息错误，请先单击“删除”，删除该数据库，再单击“添加数据库”，重新添加该数据库。

a.如果问题已解决，结束操作。

b.如果问题仍存在，请执行7。

7.检查数据库的审计是否已开启。

如果“审计状态”为“已开启”，请执行检查审计范围中对应数据库是否已启用。

如果“审计状态”为“已关闭”，请单击“开启”，开启数据库审计。

a.如果问题已解决，结束操作。

b.如果问题仍存在，请执行检查审计范围中对应数据库是否已启用。

检查审计范围中对应数据库是否已启用

在左侧导航树中，选择“数据库安全审计 > 审计规则”，进入审计范围列表页面，

如果“状态”为“已启用”，请执行检查数据库的Agent程序运行状态。

如果“状态”为“已禁用”，请单击“启用”，启用数据库对应的审计范围规则。

1. 如果问题已解决，结束操作。
2. 如果问题仍存在，请执行检查数据库的Agent程序运行状态。

检查数据库的Agent程序运行状态

1.使用跨平台远程访问工具（例如PuTTY）以root用户通过SSH方式，登录Agent的安装节点。

2.执行以下命令，查看Agent程序的运行状态。

ps -ef|grep audit_agent

如果界面回显以下信息，说明Agent程序运行正常，请执行4。

/opt/dbss_audit_agent/bin/audit_agent

如果界面无回显信息，说明Agent程序运行异常，请执行3。

3.执行以下命令，重新启动Agent。

service audit_agent restart

如果问题已解决，结束操作。

如果问题仍存在，请执行4。

4.执行以下命令，检查Agent与数据库安全审计实例之间的通信状态。

tailf /opt/dbss_audit_agent/log/audit_agent.log

如果界面回显类似以下信息，说明Agent与数据库安全审计实例之间通信正常，请执行效果验证。

如果界面回显类似以下信息，说明Agent与数据库安全审计实例之间通信异常，请检查数据库安全审计实例安全组规则是否开放。

检查数据库安全审计实例安全组规则是否开放

1.进入数据库安全服务管理界面。

2.在左侧导航树中，选择“数据库安全审计 > 数据库列表”，进入数据库列表页面。

3.在“实例列表”下拉列表框中选择数据库所在的实例。

4.记录Agent安装节点IP信息。

单击数据库左侧的展开Agent的详细信息，并记录“安装节点IP”。

5.在数据库列表的上方，单击“添加安全组规则”。

6.在弹出的弹框中，记录数据库审计实例的“安全组名称”（例如default）。

7.单击“前往处理”，进入“安全组”列表界面。

8.在列表右上方的搜索框中输入安全组“default”后，单击或按“Enter”，列表显示“default”安全组信息。

9.单击“default”，进入“入方向规则”页面。

10.检查安全组的入方向规则。

请检查该安全组的入方向规则是否已为4中的安装节点IP配置了TCP协议（端口为8000）和UDP协议（端口为7000-7100）规则。

如果该安全组已配置安装节点的入方向规则，请执行效果验证。

如果该安全组未配置安装节点的入方向规则，请执行11。

11.为安装节点添加入方向安全规则。

在入方向规则页面，单击“添加规则”，

在“添加入方向规则”对话框中，为4中的安装节点IP添加TCP协议（端口为8000）和UDP协议（端口为7000-7100）规则，

单击“确定”，完成添加入方向规则。

效果验证

在数据库中输入一条SQL语句后，在SQL语句列表页面搜索执行的语句。

如果可以搜索到输入的SQL语句信息，说明问题已解决。

如果不能搜索到输入的SQL语句信息，说明问题仍存在，请联系技术支持。