安全审计功能可自动识别高危操作、SQL注入、新增访问等风险。

前提条件

  • 已在DAS中接入对应的数据库实例,并且接入状态显示为连接正常
  • 实例已开启DAS专业版,详情请参见DAS专业版
  • 目前支持如下数据库:
    • RDS MySQL高可用版、三节点企业版。
    • PolarDB MySQL单节点、历史库、集群版。
  • 当前支持的地域:华东1(杭州)、华东2(上海)、华北1(青岛)、华北2(北京)、华南1(深圳)、华北3(张家口)、华北5(呼和浩特)、西南1(成都)、华南3(广州)、华南2(河源)、华北6(乌兰察布)、中国(香港)、新加坡、马来西亚(吉隆坡)和印度尼西亚(雅加达)。

存储时长

安全审计的实时审计检测结果存储时长最长为30天。

查看全局安全审计

若您有多个数据库实例,您可以在全局安全风险趋势区域,查看当前所有数据库的安全审计结果。

  1. 登录DAS控制台
  2. 在左侧导航栏,单击安全审计
  3. 选择时间范围,查看指定时间范围内以小时为粒度的全局安全风险趋势安全风险详情
    说明 选择时间范围时,查询结束时间需晚于查询开始时间,且查询开始时间和查询结束时间的间隔不能超过7天。您可以最多查看2周内的全局安全审计结果。

    单击趋势图中的时间点,查看该时间点后一小时的安全风险详情。

    参数 说明
    高风险请求 DAS会根据如下规则,自动识别三种类型的高风险请求
    • DDL(新建表、修改表结构、修改索引、重命名表等操作)。
    • 全表更新(例如全表Update、全表Delete等操作)。
    • 大请求,默认规则是满足下面三个条件中的任意一个:
      • 扫描行数大于或等于100万。
      • 返回行数大于或等于10万。
      • 更新行数大于或等于10万。
    SQL注入 通过在Web表单、域名或页面请求中插入SQL命令,以欺骗服务器执行非法SQL,从而危害数据库安全。
    说明 DAS会持续不断地监控和识别数据库中是否存在SQL注入的情况,并且发现访问来源。
    新增访问来源 DAS会与历史的访问来源纪录进行对比,自动识别新增的访问来源,帮助您确认是否存在未知的机器访问。
    说明
    • 新增访问的检测结果,存在最多10分钟延迟。
    • 过去七天没有出现过的访问来源,为新增访问。
      • 新建数据库实例开启安全审计后,前七天没有新增访问数据。
      • 已有数据库实例,如果之前未开启过安全审计功能,开启此功能后,前七天没有新增访问数据。

查看单个实例的安全审计

  1. 登录DAS控制台
  2. 在左侧导航栏中,单击实例监控
  3. 找到目标实例,单击实例ID,进入目标实例详情页。
  4. 在左侧导航栏单击SQL洞察和审计,然后在右侧打开的页面单击安全审计
  5. 设置安全审计的时间范围,单击查看,即可查看指定时间范围内以小时为粒度的安全审计结果。

    单击趋势图中的时间点,查看该时间点后一小时的安全审计详情。

    参数 说明
    高危操作 DAS会根据如下规则,自动识别三种类型的高危操作
    • DDL(新建表、修改表结构、修改索引、重命名表等操作)。
    • 全表更新(例如全表Update、全表Delete等操作)。
    • 大请求,默认规则是满足下面三个条件中的任意一个:
      • 扫描行数大于或等于100万。
      • 返回行数大于或等于10万。
      • 更新行数大于或等于10万。
    SQL注入 通过在Web表单、域名或页面请求中插入SQL命令,以欺骗服务器执行非法SQL,从而危害数据库安全。
    说明 DAS会持续不断地监控和识别数据库中是否存在SQL注入的情况,并且发现访问来源。
    新增访问 DAS会与历史的访问来源纪录进行对比,自动识别新增的访问来源,帮助您确认是否存在未知的机器访问。
    说明
    • 新增访问的检测结果,存在最多10分钟延迟。
    • 过去七天没有出现过的访问来源,为新增访问。
      • 新建数据库实例开启安全审计后,前七天没有新增访问数据。
      • 已有数据库实例,如果之前未开启过安全审计功能,开启此功能后,前七天没有新增访问数据。