数据安全审计自建数据库资产

支持的自建数据库类型
数据库名称
支持版本
MySQL
5.1、5.2、5.3、5.4、5.5、5.6、5.7、8.0
PostgreSQL
9、10、11、12、13、14
SQL Server
2008、2012、2014、2016、2017、2019
Oracle
8i、9i、10g、11g、12c、18c、19c
MariaDB
5.1、5.2、5.3、5.5、10.0、10.1、10.2、10.3、10.4、10.5、10.6
TDSQL-MySQL
5.7、8.0、10.1
TDSQL-C MySQL
5.7、8.0
DM（达梦）
V7、V8
KingbaseES（金仓）
V8
GaussDB（高斯）
200、300
Redis
所有版本
MongoDB
2.x、3.x、4.x
Hive
所有版本
HBase
所有版本
TiDB
4.5、5.0、6.5
OceanBase
4.2
添加自建数据库资产
1. 登录 数据安全审计控制台，在左侧导航栏中，单击数据资产 > 自建数据库。
2. 在自建数据库页面，单击添加数据资产。
﻿
3. 在添加数据资产弹窗中，配置相关参数，单击提交并继续添加可再次添加。
﻿
参数名称
﻿
描述
添加方式
﻿
根据实际需求选择 选择 CVM 或手动输入 IP。
选择 CVM：部署在私有网络CVM上的资产。
手动输入 IP：通过专线等方式与私有网络打通的资产。
VPC
﻿
可选项，可通过选择资产所在 VPC ，缩小 CVM 实例查找范围。
地域
﻿
若当前服务处于普通区，则地域可选广州、上海、南京、北京、成都、重庆。
若当前服务处于法兰克福，则地域可选法兰克福、新加坡。
若当前服务处于中国香港，则地域可选中国香港。
注意：
添加成功后，不可更改地域。
数据资产名称
﻿
自定义名称，在64个字符之内，不能重复。
数据库资产类型及对应版本
﻿
参考 数据安全审计所支持的自建数据库资产类型及对应版本。
端口
﻿
1-65535。
字符集
﻿
指定数据库连接使用的字符编码（如 UTF-8、GBK 等），需与数据库实际配置一致。
资产所属分组
﻿
将数据资产归类到预设分组（支持新建或选择已有分组），用于多维度管理审计规则、分类检索等场景。
双向审计
启用双向审计之后，存储空间占用将有所提高；返回数据您可到日志详情查看。
﻿
﻿
单 SQL 返回存储行数
设置单条 SQL 语句返回结果的最大行数，超过设定值的结果会截断，影响双向审计的存储内容。
﻿
单 SQL 返回存储空间
设置单条 SQL 语句返回结果的最大存储空间。
﻿
投递双向审计日志
启用后，双向审计生成的日志会投递至指定消息队列，支持持久化存储和分析。
加密审计协议
仅当数据资产类型为 MySQL 或 MariaDB 时，此选项可见。开启此选项后，支持用户上传密钥文件，审计开启了 SSL 加密的数据库。详情参见页面的配置参考链接。	
﻿
﻿
密钥文件
上传密钥文件，大小限制在1MB 以内。
﻿
私钥密码
可选项，若密钥带有密码，请在此输入，限64字符以内。
4. 添加成功后可自行开启审计权限或修改取消审计权限。 
自动同步自建数据库资产
说明：
待同步资产所属的主机需已开通主机安全服务，否则无法识别和同步其上的自建数据库列表。​
若主机安全服务未开通资产指纹功能，则不会同步自建数据库的端口，版本等信息。
在自建数据库页面，单击更新资产列表，数据安全审计将自动获取已开通主机安全服务的主机中的数据库资产。
﻿
﻿
﻿
审计权限配置
注意
开启审计权限将消耗 License 授权资产数。
部分操作需要用户授权，只需按提示操作即可。
Agent在线部署当前仅支持 Linux 操作系统。
审计权限类型
说明
Agent审计
Agent 审计需将 agent（代理程序）部署到数据库服务器或访问数据库的应用服务器中，通过采集数据库资产的流量来进行审计。
CASB审计
CASB 审计即通过数据安全网关（CASB，）服务作为代理来采集流量进行审计。该方式无需在服务器或客户端安装任何组件，借助 CASB 代理实现对流量的采集与审计。
当前仅支持广州、北京、上海地域的Mysql数据资产。
1. 在自建数据库页面，选择目标实例，单击审计权限列的
﻿
，弹出授权授权部署窗口。
﻿
2. 在授权部署窗口完善并确认数据资产信息，确认无误后，单击开启授权并在线部署 Agent。即审计权限开启成功。
﻿
双向审计配置
说明：
启用双向审计之后，存储空间占用将有所提高；返回数据您可到审计日志中查看。
双向审计目前仅支持 MySQL、PostgreSQL、MariaDB、SQL Server、TiDB 和 OceanBase。
1. 在自建数据库页面，选中需要配置双向审计的数据库资产，单击双向审计配置。
﻿
2. 在双向审计配置弹窗中，单击开启双向审计，并设置单 SQL 返回存储行数、单 SQL 返回存储空间。
﻿
3. 单击确定，即可开启成功。
资产分组配置
数据安全审计支持将资产进行分组管理，为后续批量规则配置提供维度。
对单个数据资产进行分组配置
a. 在数据资产列表中，选择需配置的数据库资产，单击操作栏中的编辑。
﻿
b. 在编辑窗口中，选择资产所属分组，确认无误后单击确定，即可完成添加。
﻿
批量配置数据资产分组
a. 在数据资产列表中，选择需要批量配置分组的数据资产，单击批量分组。
﻿
b. 在批量分组窗口中，选择资产所属分组，确认无误后单击确定，即可成功添加。
﻿
﻿

数据库名称	支持版本
MySQL	5.1、5.2、5.3、5.4、5.5、5.6、5.7、8.0
PostgreSQL	9、10、11、12、13、14
SQL Server	2008、2012、2014、2016、2017、2019
Oracle	8i、9i、10g、11g、12c、18c、19c
MariaDB	5.1、5.2、5.3、5.5、10.0、10.1、10.2、10.3、10.4、10.5、10.6
TDSQL-MySQL	5.7、8.0、10.1
TDSQL-C MySQL	5.7、8.0
DM（达梦）	V7、V8
KingbaseES（金仓）	V8
GaussDB（高斯）	200、300
Redis	所有版本
MongoDB	2.x、3.x、4.x
Hive	所有版本
HBase	所有版本
TiDB	4.5、5.0、6.5
OceanBase	4.2

参数名称			描述
添加方式			根据实际需求选择选择 CVM 或手动输入 IP。选择 CVM：部署在私有网络CVM上的资产。手动输入 IP：通过专线等方式与私有网络打通的资产。
VPC			可选项，可通过选择资产所在 VPC ，缩小 CVM 实例查找范围。
地域			若当前服务处于普通区，则地域可选广州、上海、南京、北京、成都、重庆。若当前服务处于法兰克福，则地域可选法兰克福、新加坡。若当前服务处于中国香港，则地域可选中国香港。注意：添加成功后，不可更改地域。
数据资产名称			自定义名称，在64个字符之内，不能重复。
数据库资产类型及对应版本			参考数据安全审计所支持的自建数据库资产类型及对应版本。
端口			1-65535。
字符集			指定数据库连接使用的字符编码（如 UTF-8、GBK 等），需与数据库实际配置一致。
资产所属分组			将数据资产归类到预设分组（支持新建或选择已有分组），用于多维度管理审计规则、分类检索等场景。
双向审计	启用双向审计之后，存储空间占用将有所提高；返回数据您可到日志详情查看。
		单 SQL 返回存储行数	设置单条 SQL 语句返回结果的最大行数，超过设定值的结果会截断，影响双向审计的存储内容。
		单 SQL 返回存储空间	设置单条 SQL 语句返回结果的最大存储空间。
		投递双向审计日志	启用后，双向审计生成的日志会投递至指定消息队列，支持持久化存储和分析。
加密审计协议	仅当数据资产类型为 MySQL 或 MariaDB 时，此选项可见。开启此选项后，支持用户上传密钥文件，审计开启了 SSL 加密的数据库。详情参见页面的配置参考链接。
		密钥文件	上传密钥文件，大小限制在1MB 以内。
		私钥密码	可选项，若密钥带有密码，请在此输入，限64字符以内。

审计权限类型	说明
Agent审计	Agent 审计需将 agent（代理程序）部署到数据库服务器或访问数据库的应用服务器中，通过采集数据库资产的流量来进行审计。
CASB审计	CASB 审计即通过数据安全网关（CASB，）服务作为代理来采集流量进行审计。该方式无需在服务器或客户端安装任何组件，借助 CASB 代理实现对流量的采集与审计。当前仅支持广州、北京、上海地域的Mysql数据资产。

自建数据库资产

本页目录：

支持的自建数据库类型

添加自建数据库资产

自动同步自建数据库资产

审计权限配置

双向审计配置

资产分组配置