本文介绍了您在使用C100系列数据库审计服务时可能遇到的问题和解决方案,帮助您更好地理解和使用产品。

通过云助手安装的Agent,Agent安装目录是什么?

安装目录:/data/dbAuditAgent

只有操作系统为Linux且已安装了云助手的ECS才可以一键安装Agent,Agent安装后会自动启动。

通过云助手安装的Agent,Agent的日志目录是什么?

日志目录:/data/dbAuditAgent/log

目录下会存在以日期命名的log文件。

安装Agent时,系统提示丢失wpcap.dll,该怎么办?

在Windows系统安装Agent时提示无法启动此程序,因为计算机中丢失wpcap.dll,是因为您的系统未安装WinPcap。安装Agent时缺少wpcap.dll报错信息

您参考以下步骤安装WinPcap即可解决该问题:

  1. 执行卸载脚本,卸载Agent。
  2. 访问WinPcap官网,下载WinPcap 4.1.3,并在您的服务器上安装WinPcap 4.1.3。
  3. 重新安装Agent。具体操作,请参见手动安装Agent

是否支持在Docker运行的环境中安装Agent?

支持。

仅支持将Agent安装在Docker容器所在的宿主服务器上。如果您的容器部署在Kubernetes集群中,每启动一个新的镜像节点都需要在新的节点宿主机上手动安装Agent。更多信息请参见安装Agent

如何卸载Agent程序?

卸载通过云助手安装的Agent

Agent管理页面Agent安装页签下的通过云助手安装区域,单击开始安装,在通过云助手安装Agent对话框,单击需要卸载Agent的实例操作列的卸载,即可卸载Agent。

卸载手动安装的Agent

  • Linux服务器
    1. 使用root用户登录Linux服务器。
    2. 进入Agent安装目录。
    3. 执行./ stop_rmagent.sh命令停止Agent服务,并删除Agent安装目录下的所有文件。
  • Windows服务器

    键盘输入win+R,在运行对话框中,输入appwiz.cpl并单击确定,打开卸载或更改程序对话框。找到rmagent和Napcap程序,卸载该程序。

使用数据库审计时,我可以为RAM用户授予哪些权限?

目前数据库审计支持对RAM用户授予以下权限:
  • AliyunYundunDbAuditFullAccess:授予RAM用户管理云盾数据库审计(DbAudit)的权限(即读写权限)。具体操作,请参见为RAM用户授权
  • AliyunYundunDbAuditReadOnlyAccess:授予RAM用户只读访问云盾数据库审计(DbAudit)的权限。具体操作,请参见为RAM用户授权
说明 RAM用户授权覆盖的范围是针对整个数据库审计服务的读写行为进行授权,暂不支持对已经配置到数据库审计服务里面的单个数据库(包括RDS数据库和自建ECS数据库)添加RAM用户授权。单个数据库是否为RAM用户授权,不影响该RAM用户使用数据库审计服务。

如何选择数据库审计版本?

数据库审计服务按照能够接入审计的数据库的数量划分不同的版本。在购买时,您需要根据计划接入审计的数据库的数量选择合适的版本。例如,若需要审计一个MongoDB和一个MySQL数据库,则选择专业版3实例版本即可。

在选择数据库审计的版本时,不需要考虑数据库类型。

已经购买数据库审计服务后,如何配置?

购买数据库审计实例后,您可以通过以下操作配置数据库审计服务:

  1. 启用数据库审计实例
  2. 配置数据库审计实例
  3. 登录数据库审计系统
  4. 管理数据库资产
  5. 安装Agent

如果您想配置审计规则和告警通知,更多信息,请参见C100快速入门

如何将跨地域、跨VPC或跨账号的服务器接入数据库审计系统?

您需要连通RDS或ECS实例与数据库审计系统之间的网络,即可将不同地域、不同VPC网络、不同账号中的服务器接入数据库审计系统进行审计。

示例一,您在一个阿里云账号下有10多台服务器,分别在华北1(青岛)、华北2(北京)、华北3(张家口)三个不同地域。您只需连通每台服务器与数据库审计系统之间的网络,就可以使用一个数据库审计实例对这些服务器中的数据库进行审计。

示例二,您在一个阿里云账号下有13台ECS,其中9台使用经典网络,4台使用专有网络VPC。您只需连通每台服务器与数据库审计系统之间的网络,就可以使用一个数据库审计实例对这些服务器中的数据库进行审计。
说明 如果服务器与数据库审计系统之间的网络无法连通,则一个数据库审计实例只能对一台服务器中的数据库进行审计。

示例三,您在阿里云账号A下有5台服务器,阿里云账号B下也有5台服务器。您只需连通每台服务器与数据库审计系统之间的网络,就可以使用一个数据库审计实例对这些服务器中的数据库进行审计。

无法打开云盾·数据库审计系统,怎么办?

云盾·数据库审计系统需要使用HTTPS访问,所以需要审计ECS所在的安全组打开443端口访问。

数据库审计服务未审计到数据,如何排查?

配置完数据库审计服务后,您可以通过查看查询分析 > 审计日志中审计到的语句,验证配置是否正确。

如果最近5分钟审计到的语句数为0,即5分钟之内审计设备没有解析到执行数据库资产的语句,您可以通过以下步骤排查:

  1. 登录云盾数据库审计控制台,查看该数据库审计实例。
    • 如果是新启用的数据库审计实例,请确认是否安装Agent并配置数据库资产。
      • 如果未安装Agent或未配置数据库资产,请参见管理数据库资产安装Agent
      • 如果已安装Agent和配置数据库资产,请执行下一步骤。
    • 如果是原来已启用的数据库审计实例,请执行下一步骤。
  2. 访问C100页面,查看本实例的存储信息,检查存储空间是否已经用完。
    • 如果存储空间已经用完,建议您扩容存储空间,具体操作,请参见配置数据库审计实例;或者将现有审计记录通过控制台的OSS备份备份,备份结束后清空存储。
      说明
      • 日志服务的存储一般会延时1小时~2小时。
      • 如果您账号下有其他日志服务实例发生了欠费,会导致数据库审计实例的数据无法正常写入。
    • 如果存储空间还未用完,请执行下一步骤。
  3. 登录数据库审计系统(具体操作,请参见登录数据库审计系统)。在系统管理 > Agent管理页面,查看Agent状态。
    • 如果Agent状态存在异常,请参见安装Agent,使用云助手重装Agent。
    • 如果Agent状态正常,请执行下一步骤。
  4. 通过Agent日志排查问题。

    通过云助手安装的Agent的日志目录为/data/dbAuditAgent/log,目录下保存以日期命名的log文件。

如果您的问题仍未解决,请加入钉群(钉群号:44518739),联系产品技术专家进行咨询。

存储空间占满后如何处理?

数据库审计的审计记录存储在阿里云日志服务SLS(Log Service)中,存储时长可设置为30天~185天。日志服务依据存储时间自动清理过期审计记录。存储空间占满后,您可以参考以下两种处理方案:

扩容存储空间

  1. 登录云盾数据库审计控制台
  2. 在左侧导航栏,单击C100实例
  3. 定位到需要进行存储空间扩容的实例,单击存储信息模块下的扩容
  4. 变配页面选择扩容空间的大小,可扩容空间为1 TB~200 TB。
  5. 单击立即购买并完成支付。

OSS投递

日志服务支持将Logstore中的数据自动归档到对象存储服务OSS(Object Storage Service),可以发挥日志更多的效用。OSS数据支持自由设置生命周期,可以长时间存储日志。

前提条件
  • 已开通日志服务,创建Project和Logstore,并成功采集到日志数据。具体操作,请参见日志服务快速入门
  • 已开通OSS服务,并在日志服务Project所在地域创建Bucket,请参见开通OSS服务
  1. 登录云盾数据库审计控制台
  2. 在左侧导航栏,单击C100实例
  3. 定位到需要进行存储空间扩容的实例,单击存储信息区域下的配置
  4. 存储管理对话框,单击OSS备份
  5. OSS投递管理页面进行日志服务的OSS投递,更多信息,请参见创建OSS投递任务(旧版)
重要
  • 日志服务Project和OSS的Bucket必须位于相同地域,不支持跨地域投递数据。
  • 投递后并被清理的数据为备份数据,无法通过数据库审计直接查看。如果您需要查看已备份数据,可以将OSS中的数据导入日志分析服务,导入完成后,可查看已备份数据。导入备份数据的详细指导请参见导入OSS数据