本文介绍了您在使用D100系列数据库审计服务时可能遇到的问题和解决方案,帮助您更好地理解和使用产品。
安装Agent相关问题
数据库审计实例配置相关问题
ECS通过云助手安装的Agent,安装目录是什么?
Linux:/usr/local/rmagent。
Windows:C:\rmagent。
安装了云助手的ECS才可以一键安装Agent,Agent安装后会自动启动。
ECS通过云助手安装的Agent,Agent的日志目录是什么?
Linux
日志目录:
/tmp/rmagent/。日志文件:
ramgent.log。
Windows
日志目录:
C:\Temp\rmagent\rmagent.log。日志文件:
rmagent.log。
安装Agent时,系统提示丢失wpcap.dll怎么办?
在Windows系统安装Agent时提示无法启动此程序,因为您的系统未安装WinPcap,导致wpcap.dll丢失。
参考以下步骤,安装WinPcap:
是否支持在Docker运行的环境中安装Agent?
支持。既可以支持将Agent安装在Docker容器内,也可以支持将Agent安装在所在的宿主服务器上。如果容器是部署在Kubernetes集群中,每启动一个新的镜像节点都需要在新的节点宿主机上手动安装Agent。更多信息请参见安装Agent。
如何卸载Agent程序?
如何卸载通过云助手安装的Agent?
在Agent管理页面安装Agent页签下的通过云助手安装区域,单击开始安装,在通过云助手安装Agent对话框,单击需要卸载Agent的实例操作列的卸载,即可卸载Agent。
如何卸载手动安装的Agent?
Linux服务器
使用root用户登录Linux服务器。
进入Agent安装目录。
执行
./stop_rmagent.sh命令停止Agent服务,并删除Agent安装目录下的所有文件。
Windows服务器
键盘输入win+R,在运行对话框中,输入appwiz.cpl并单击确定,打开卸载或更改程序对话框。找到rmagent和Napcap程序,卸载该程序。
ECS通过云助手安装Agent,安装链接置灰,无法单击安装,是什么原因?
可能是VPC和安全组信息配置有误。通过云助手安装Agent前,您需要先在D100控制台中配置待安装Agent的云服务器ECS所在的专有网络VPC、交换机和安全组。
ECS通过云助手安装Agent,状态显示为“未安装或已停止”,需要如何解决?
登录安装Agent的服务器,在/tmp/rmagent/目录中,查看Agent日志文件rmagent.log。
如果日志中有显示< failed to connect to server, ret: -1.>信息,则可以确认Agent连接不到数据库审计D100实例。您可以通过以下步骤调试。
获取D100实例地址:查看
/usr/local/rmagent/rmagent.ini配置文件中的server_host参数。检查服务器连通状态:在服务器上执行以下命令,查看是否能连通D100实例的地址。
您需要将命令中的
<ttkfgt***>替换为步骤1中获取到的D100实例地址。telnet <ttkfgt***> 9266如果可以连通,需要确认/usr/local/rmagent/rmagent.ini配置文件的
server_host参数值是否和步骤1中获取到的地址一致。如果不一致,您可以按照以下步骤修改保存,并重启Agent。登录云盾数据库审计控制台。在左侧导航栏,单击D100实例,并在顶部菜单栏选择实例所在地域。
在D100实例区域,单击配置。
在配置(VPC)面板,复制域名信息。
返回安装Agent的服务器,执行vi rmagent.ini命令,使用键盘输入i,并将server_host参数值修改为步骤3.a复制的域名。
如果您的应用和数据库部署在同一台服务器中,您必须将loopback参数值修改为1。
按Esc键,输入:wq保存并退出。
在/usr/local/rmagent目录下,执行
./stop_rmagent.sh,停止Agent进程。在/usr/local/rmagent目录下,执行
./start_rmagent.sh启动Agent程序。
如果不能连通,需要修改网络设置,使Agent所在ECS能够与数据库审计D100地址的9266端口连通。具体操作请参见添加安全组规则。
ECS通过云助手安装Agent,执行安装操作后状态显示“安装失败”,如何进行排查?
通过ECS云助手进行排查。在ECS云助手页面的命令执行结果页签中查找命令名称为DBAudit-Agent-Shell的记录,单击操作栏中的查看,查看具体执行信息。
如果其中有访问OSS获取Agent安装包失败的信息,可以获取访问的OSS地址,然后登录安装Agent的云主机,执行wget命令访问这个地址进行确认。命令格式示例如下:
wget OSS地址如何选择实例数量?
数据库审计服务按照能够接入审计的数据库数量进行划分。您需要根据计划接入审计的数据库数量选择购买实例个数。
例如,需要审计一个RDS(for MySQL)和一个自建MySQL数据库,则选择2实例即可。
在选择数据库审计的版本时,不需要考虑数据库类型。
已经购买数据库审计服务后,如何配置?
购买数据库审计实例后,您可以通过以下操作配置数据库审计服务:
如果您需要配置审计规则和告警通知,更多信息,请参见C100快速入门。
D100的Agent状态异常怎么办?
登录数据库审计控制台,在左侧导航栏选择,在Agent管理页面Agent连接管理页签中该查看该Agent状态。如果您无法获取Agent所在ECS的IP信息,进行以下操作:
登录ECS服务器,执行
ps aux|grep rmagent命令查看Agent进程是否启动。如果进程不存在,需要您执行
/usr/local/rmagent/start_rmagent.sh命令手动启动。如果手动执行后,Agent进程还未启动,则需要查看Agent运行日志。登录安装Agent的服务器,在
/tmp/rmagent/目录中,查看Agent日志文件rmagent.log。在日志文件末行中,查看数据头信息的日期和时间是否为最新的。
若不是则表示进程未启动,需要您在Agent管理页面的Agent安装页签中单击授权Token,将下载最新的token更新到
/usr/local/rmagent目录中,再次执行上述步骤b。
如果有Agent状态显示为“异常”,可以单击操作列的配置,根据提示内容对状态异常的Agent配置参数进行调整。配置说明参考下表。
配置项
说明
系统CPU使用率阈值
系统CPU使用率超过设定值时,Agent将被挂起,停止抓包,待使用率减少后唤醒Agent。建议您根据实际使用场景设置合理的阈值。
系统内存使用率阈值
系统内存使用率超过该值时,Agent将被挂起,停止抓包,待使用率减少后唤醒Agent。建议您根据实际使用场景设置合理的阈值。
Agent CPU最大使用率
Agent CPU最大使用率,超过设定值时,Agent将被挂起,并会继续抓包,但是会导致审计数据不全面,待使用率减少后唤醒Agent。建议您根据实际使用场景设置合理的阈值。
Agent内存最大使用率
Agent内存使用率超过设定值时,Agent将被挂起,停止抓包,待使用率减少后唤醒Agent。建议您根据实际使用场景设置合理的阈值。
如果您的问题仍未解决,可通过钉钉群联系相关支持人员进行咨询。
如何确认D100的Agent已经发送出去包了?
登录安装Agent的服务器,在/tmp/rmagent/目录中,查看Agent日志文件rmagent.log。
在日志中查找RD: x(x Byte/s)关键字,如果这个值是0,就表示Agent没有发送出去包。
如果数字不是0,则表示已经发送出去包了。
使用数据库审计时,可以为RAM用户授予哪些权限?
目前数据库审计支持对RAM用户授予以下权限:
AliyunServiceRoleForDbaudit:授予RAM用户管理云盾数据库审计(DbAudit)的权限(即读写权限)。具体操作,请参见为RAM用户授权。
RAM用户授权覆盖的范围是针对整个数据库审计服务的读写行为,暂不支持对已配置到数据库审计服务中的单个数据库(包括RDS数据库和自建ECS数据库)添加RAM用户授权。单个数据库是否为RAM用户授权,不影响该RAM用户使用数据库审计服务。
如何将多个VPC下的数据库资产接入数据库审计系统?
同账号、同地域下多个VPC审计
数据库审计D100支持添加多个VPC网络的能力,将同账号下同地域的多个VPC加入到数据库审计的网络配置中,即可支持多VPC环境的审计。
说明一个数据库审计D100实例最多可添加5个VPC。
不同数据库实例数量对应的支持VPC的数量不同,VPC数量由带宽决定,每个VPC需要100MB带宽支持,带宽与实例个数对应详情,请参见计费方式。
您也可以通过VPC互联的方式,连通Agent所在服务器与数据库审计D100实例,配置VPC之间的网络。
跨账号、跨地域审计
您需要连通Agent所在服务器与数据库审计D100实例配置VPC之间的网络(如高速通道、VPN网关、云企业网(Cloud Enterprise Network)和智能接入网关等),即可将不同地域、不同VPC网络、不同账号中的数据库资产审计能力接入数据库审计系统中。
在某些运维场景下,如IDC中的客户端通过公网访问RDS数据库,在客户端支持SSH隧道访问时,可以通过D100实例配置VPC内的ECS作为SSH隧道,Agent部署在VPC内的ECS上也可实现审计。
说明该场景下由于通过隧道连接,审计日志的客户端IP均为隧道ECS的IP,请根据使用场景酌情使用。
建议您通过VPC互通的方式进行审计。
数据库审计服务未审计到数据,如何排查?
登录数据库审计控制台,在左侧导航栏选择,在审计日志页面查看审计到的SQL语句是否正确。如果最近5分钟的审计数为0,即5分钟之内审计设备没有解析到执行语句,您可以通过以下步骤排查。
登录云盾数据库审计控制台,查看该数据库审计实例。
如果是新启用的数据库审计实例,请确认是否安装Agent并配置数据库资产。
登录云盾数据库审计控制台,在左侧导航栏,选择D100实例,在目标实例存储信息模块下查看本实例的存储空间是否已经用完。
如果已经用完,建议您扩容,具体操作,请参见配置数据库审计实例。或者将现有数据通过OSS备份功能进行备份,备份结束后清空存储。
说明日志服务的存储一般会延时1小时~2小时。
如果您账号下有其他日志服务实例发生了欠费,会导致数据库审计实例的数据无法正常写入。
登录数据库审计控制台,在左侧导航栏选择,在Agent管理页面Agent连接管理页签中该查看该Agent状态。
如果Agent状态存在异常,使用云助手重装Agent,具体操作,请参见安装Agent。
通过Agent日志排查问题。
通过云助手安装的Agent的日志目录为
/tmp/rmagent/,目录下保存以日期命名的log文件。
如果您的问题仍未解决,可以通过钉钉群联系相关支持人员进行咨询。
/usr/local/rmagent/rmagent.ini文件中server_host的地址为xx.xx.xx.xx格式的IP,如何解决?
D100的地址一般都是根据域名形式生成的,不是实际的IP。如果有,可能是安装过A100的Agent。需要先卸载A100的Agent后重新部署D100上面的Agent。卸载A100的Agent具体步骤,请参见A100售后支持相关问题。
存储空间占满后如何处理?
数据库审计的审计记录存储在阿里云日志服务SLS中,存储时长可设置为30天~185天。日志服务依据存储时间自动清理过期审计记录,存储空间占满后,您可以参考以下两种处理方案:
扩容存储空间
登录云盾数据库审计控制台,在左侧导航栏,选择D100实例。
单击目标实例存储信息模块下的扩容。
在变配页面的日志存储选项中选择扩容空间的大小,可扩容空间为10TB~200TB。
选中我已阅读并同意数据库审计服务协议。
单击立即购买并完成支付。
OSS投递
日志服务支持将Logstore中的数据自动归档到对象存储OSS,可以发挥日志更多的效用。OSS数据支持自由设置生命周期,可以长时间存储日志。您可以通过以下步骤创建OSS投递任务。
前提条件:
投递后并被清理的数据为备份数据,无法通过数据库审计直接查看。如果您需要查看已备份数据,可以将OSS中的数据导入日志分析服务,导入完成后,可查看已备份数据。具体操作,请参见导入OSS数据。
登录云盾数据库审计控制台,在左侧导航栏,选择D100实例。
单击目标实例存储信息模块下的配置。
在存储管理对话框中,单击OSS备份。
在OSS投递管理页面创建OSS投递任务,具体操作,请参见创建OSS投递任务(旧版)。