本文介绍了您在使用D100系列数据库审计服务时可能遇到的问题和解决方案,帮助您更好地理解和使用产品。
Agent相关问题
数据库审计实例配置相关问题
ECS通过云助手安装的Agent,安装目录是什么?
Linux:/usr/local/rmagent。
Windows:C:\rmagent。
安装了云助手的ECS才可以一键安装Agent,Agent安装后会自动启动。
ECS通过云助手安装的Agent,Agent的日志目录是什么?
Linux
日志目录:
/tmp/rmagent/。日志文件:
ramgent.log。
Windows
日志目录:C:\TEMP\rmagent\rmagent.log。
日志文件:
rmagent.log。
如果Agent连接不到数据库审计端,日志中会有failed to connect to server, ret: -1.信息提示。
安装Agent时,系统提示丢失wpcap.dll怎么办?
在Windows系统安装Agent时提示无法启动此程序,因为您的系统未安装WinPcap,导致wpcap.dll丢失。
参考以下步骤,安装WinPcap:
是否支持在Docker运行的环境中安装Agent?
支持。既可以支持将Agent安装在Docker容器内,也可以支持将Agent安装在所在的宿主服务器上。如果容器是部署在Kubernetes集群中,每启动一个新的镜像节点都需要在新的节点宿主机上手动安装Agent。更多信息请参见安装Agent。
如何卸载Agent程序?
如何卸载通过云助手安装的Agent?
在Agent管理页面安装Agent页签下的通过云助手安装区域,单击开始安装,在通过云助手安装Agent对话框,单击需要卸载Agent的实例操作列的卸载,即可卸载Agent。
如何卸载手动安装的Agent?
Linux服务器
使用root用户登录Linux服务器。
进入Agent安装目录。
执行
./stop_rmagent.sh命令停止Agent服务,并删除Agent安装目录下的所有文件。
Windows服务器
键盘输入win+R,在运行对话框中,输入appwiz.cpl并单击确定,打开卸载或更改程序对话框。找到rmagent和Winpcap或Npcap程序,卸载该程序。
ECS通过云助手安装Agent,安装链接置灰,无法单击安装,是什么原因?
可能是VPC和安全组信息配置有误。通过云助手安装Agent前,您需要先在D100控制台中配置待安装Agent的云服务器ECS所在的专有网络VPC、交换机和安全组。
ECS通过云助手安装Agent,单击安装后,过一段时间仍然提示需要安装,为什么?
可能是ECS无法访问数据库审计对应的OSS地址。您可以在对应ECS的云助手上查看对应时间段命令内容带有das_agent相关的日志。
如出现下图所示的执行信息,则可以确认是ECS无法访问数据库审计对应的OSS地址导致。
您需要排查防火墙或者安全组方向的策略配置,确认ECS访问已放行。
ECS通过云助手安装Agent,状态显示为“未安装或已停止”,需要如何解决?
登录安装Agent的服务器,在/tmp/rmagent/目录中,查看Agent日志文件rmagent.log。
如果日志中有显示< failed to connect to server, ret: -1.>信息,则可以确认Agent连接不到数据库审计D100实例。您可以通过以下步骤调试。
获取D100实例地址:查看
/usr/local/rmagent/rmagent.ini配置文件中的server_host参数。检查服务器连通状态:在服务器上执行以下命令,查看是否能连通D100实例的地址。
您需要将命令中的
<ttkfgt***>替换为步骤1中获取到的D100实例地址。telnet <ttkfgt***> 9266如果可以连通,需要确认/usr/local/rmagent/rmagent.ini配置文件的
server_host参数值是否和步骤1中获取到的地址一致。如果不一致,您可以按照以下步骤修改保存,并重启Agent。登录云盾数据库审计控制台。在左侧导航栏,单击D100实例,并在顶部菜单栏选择实例所在地域。
在D100实例区域,单击配置。
在配置(VPC)面板,复制域名信息。
返回安装Agent的服务器,执行
vi /usr/local/rmagent/rmagent.ini命令,使用键盘输入i,并将server_host参数值修改为步骤3.a复制的域名。如果您的应用和数据库部署在同一台服务器中,您必须将loopback参数值修改为1。
按Esc键,输入:wq保存并退出。
在/usr/local/rmagent目录下,执行
./stop_rmagent.sh,停止Agent进程。在/usr/local/rmagent目录下,执行
./start_rmagent.sh启动Agent程序。
如果不能连通,需要修改网络设置,使Agent所在ECS能够与数据库审计D100地址的9266端口连通。具体操作请参见添加安全组规则。
ECS通过云助手安装Agent,执行安装操作后状态显示“安装失败”,如何进行排查?
通过ECS云助手进行排查。在ECS云助手页面的命令执行结果页签中查找命令名称为DBAudit-Agent-Shell的记录,单击操作栏中的查看,查看具体执行信息。
如果其中有访问OSS获取Agent安装包失败的信息,可以获取访问的OSS地址,然后登录安装Agent的云主机,执行wget命令访问这个地址进行确认。命令格式示例如下:
wget OSS地址IDC下数据库服务器中Agent解析不了数据库审计服务域名地址,是什么原因?
IDC数据库服务器到数据库审计实例的网络存在问题,导致Agent无法正常连接。您需要在IDC网络环境中增加阿里云的内网DNS地址,连通专有网络连接到阿里云服务。具体内容,请参见内网DNS解析简介。
Agent底层是否调用了子进程,例如dbmonitor、dbagent?如果调用到子进程那么它们之间是什么依赖关系?
Agent不使用进程dbmonitor、dbAgent。Agent自身就是独立的进程,没有调用相应的子进程。
如果Agent异常离线或不上线,审计不到日志吗?
是的。Agent异常离线可能是因为Agent连接不到数据库审计D100实例端。这种情况下Agent日志中会有failed to connect to server, ret: -1.信息提示。
怎么确认Agent的异常状态?
没有连接到数据库审计实例上
在数据库审计控制台的D100实例的页面,查看是否有Agent所在ECS信息(Agent服务器IP)。
如果没有ECS信息,则需要通过SSH登录到ECS上,执行命令
ps aux|grep rmagent>,看下是否有Agent进程。如果没有Agent进程,则执行
/usr/local/rmagent/start_rmagent.sh命令手动启动Agent程序后,再确认进程是否存在。如果进程依然不存在,则需要查看Agent日志。
日志的最末端显示的为最新日志,先看下日志前面的头信息中的日期和时间是否为当前最新的。
如果不是当前最新时间
在D100实例的页面的Agent安装页签,下载最新的Token文件。
将Token文件更新到ECS的
/usr/local/rmagent目录中。执行
start_rmagent.sh启动Agent程序。
如果是最新的日期和时间,则根据日志输出的内容来进行判断。
超限挂起
在数据库审计控制台的D100实例的页面,查看Agent所在ECS信息。
如果有异常对应的Agent的信息,会有异常信息内容的提示,可根据提示内容进行调整。
常见异常信息为CPU或者内存超限挂起。默认超限挂起阈值如下:
ECS的CPU的使用率(cpu_limit),默认值为100%。
Agent占用ECS的CPU的百分比(my_cpu_limit),默认值为20%。
ECS的内存的使用率(mem_limit),默认值为100%。
Agent占用ECS的内存的百分比(my_mem_limit),默认值为10%。
如果需要提高超限阈值,在Agent连接管理页签,单击对应Agent服务器的操作列的配置,修改对应阈值后,单击保存。
如何选择实例数量?
数据库审计服务按照能够接入审计的数据库数量进行划分。您需要根据计划接入审计的数据库数量选择购买实例个数。
例如,需要审计一个RDS(for MySQL)和一个自建MySQL数据库,则选择2实例即可。
在选择数据库审计的版本时,不需要考虑数据库类型。
已经购买数据库审计服务后,如何配置?
购买数据库审计实例后,您可以通过以下操作配置数据库审计服务:
启用数据库审计实例:购买完成后会在数据库审计D100的控制台上看到购买后的实例。默认是未启用状态。单击启用,等待10-15分钟后完成启用。
配置数据库审计实例:待启用完成后,单击配置打开数据库审计D100实例的网络配置页面。需选择后续需要部署Agent的ECS的相同VPC。配置完成后生成数据库审计D100的地址。
登录数据库审计系统:进入到数据库审计D100实例主页。
重要配置数据库所在的VPC信息(网络和安全组),保证网络连接正常后:
VPC下的云服务器ECS才能连通数据库审计系统。
才能通过云助手在对应VPC下的ECS中安装Agent。手动安装Agent时需要用到此处配置的VPC信息。
管理数据库资产:添加要审计的数据库。
安装Agent:在用户终端、目标数据库服务器或负责连接数据库的应用服务器上安装Agent,收集数据库访问流量,并进一步将这些数据流量转发到审计系统进行分析和记录。
如果您需要配置审计规则和告警通知,更多信息,请参见D100快速入门。
配置D100实例VPC信息时,找不到刚创建的安全组,为什么?
对于刚创建的安全组,数据同步会有延迟,耐心等待后刷新页面即可。
D100的Agent状态异常怎么办?
登录数据库审计控制台,在左侧导航栏选择,在Agent管理页面Agent连接管理页签中该查看该Agent状态。如果您无法获取Agent所在ECS的IP信息,进行以下操作:
登录ECS服务器,执行
ps aux|grep rmagent命令查看Agent进程是否启动。如果进程不存在,需要您执行
/usr/local/rmagent/start_rmagent.sh命令手动启动。如果手动执行后,Agent进程还未启动,则需要查看Agent运行日志。登录安装Agent的服务器,在
/tmp/rmagent/目录中,查看Agent日志文件rmagent.log。在日志文件末行中,查看数据头信息的日期和时间是否为最新的。
若不是则表示进程未启动,需要您在Agent管理页面的Agent安装页签中单击授权Token,将下载最新的token更新到
/usr/local/rmagent目录中,再次执行上述步骤b。
如果有Agent状态显示为“异常”,可以单击操作列的配置,根据提示内容对状态异常的Agent配置参数进行调整。配置说明参考下表。
配置项
说明
系统CPU使用率阈值
系统CPU使用率超过设定值时,Agent将被挂起,停止抓包,待使用率减少后唤醒Agent。建议您根据实际使用场景设置合理的阈值。
系统内存使用率阈值
系统内存使用率超过该值时,Agent将被挂起,停止抓包,待使用率减少后唤醒Agent。建议您根据实际使用场景设置合理的阈值。
Agent CPU最大使用率
Agent CPU最大使用率,超过设定值时,Agent将被挂起,并会继续抓包,但是会导致审计数据不全面,待使用率减少后唤醒Agent。建议您根据实际使用场景设置合理的阈值。
Agent内存最大使用率
Agent内存使用率超过设定值时,Agent将被挂起,停止抓包,待使用率减少后唤醒Agent。建议您根据实际使用场景设置合理的阈值。
如果您的问题仍未解决,可通过钉钉群联系相关支持人员进行咨询。
如何确认D100的Agent已经发送出去包了?
登录数据库审计控制台。
在左侧导航栏选择。
在Agent管理页面Agent连接管理页签中该查看对应的发送包数(包/秒)和发送流量(KB/秒)。
使用数据库审计时,可以为RAM用户授予哪些权限?
目前数据库审计支持对RAM用户授予以下权限:
AliyunServiceRoleForDbaudit:授予RAM用户管理云盾数据库审计(DbAudit)的权限(即读写权限)。具体操作,请参见为RAM用户授权。
RAM用户授权覆盖的范围是针对整个数据库审计服务的读写行为,暂不支持对已配置到数据库审计服务中的单个数据库(包括RDS数据库和自建ECS数据库)添加RAM用户授权。单个数据库是否为RAM用户授权,不影响该RAM用户使用数据库审计服务。
如何将多个VPC下的数据库资产接入数据库审计系统?
同账号、同地域下多个VPC审计
数据库审计D100支持添加多个VPC网络的能力,将同账号下同地域的多个VPC加入到数据库审计的网络配置中,即可支持多VPC环境的审计。
说明一个数据库审计D100实例最多可添加5个VPC。
不同数据库实例数量对应的支持VPC的数量不同,VPC数量由带宽决定,每个VPC需要100MB带宽支持,带宽与实例个数对应详情,请参见计费方式。
您也可以通过VPC互联的方式,连通Agent所在服务器与数据库审计D100实例,配置VPC之间的网络。
跨账号、跨地域审计
您需要连通Agent所在服务器与数据库审计D100实例配置VPC之间的网络(如高速通道、VPN网关、云企业网(Cloud Enterprise Network)和智能接入网关等),即可将不同地域、不同VPC网络、不同账号中的数据库资产审计能力接入数据库审计系统中。
在某些运维场景下,如IDC中的客户端通过公网访问RDS数据库,在客户端支持SSH隧道访问时,可以通过D100实例配置VPC内的ECS作为SSH隧道,Agent部署在VPC内的ECS上也可实现审计。
说明该场景下由于通过隧道连接,审计日志的客户端IP均为隧道ECS的IP,请根据使用场景酌情使用。
建议您通过VPC互通的方式进行审计。
数据库审计服务未审计到数据,如何排查?
登录数据库审计控制台,在左侧导航栏选择,在审计日志页面查看审计到的SQL语句是否正确。如果最近5分钟的审计数为0,即5分钟之内审计设备没有解析到执行语句,您可以通过以下步骤排查。
登录云盾数据库审计控制台,查看该数据库审计实例。
如果是新启用的数据库审计实例,请确认是否安装Agent并配置数据库资产。
登录云盾数据库审计控制台,在左侧导航栏,选择D100实例,在目标实例存储信息模块下查看本实例的存储空间是否已经用完。
如果已经用完,建议您扩容,具体操作,请参见配置数据库审计实例。或者将现有数据通过OSS备份功能进行备份,备份结束后清空存储。
说明日志服务的存储一般会延时1小时~2小时。
如果您账号下有其他日志服务实例发生了欠费,会导致数据库审计实例的数据无法正常写入。
登录数据库审计控制台,在左侧导航栏选择,在Agent管理页面Agent连接管理页签中该查看该Agent状态。
如果Agent状态存在异常,使用云助手重装Agent,具体操作,请参见安装Agent。
通过Agent日志排查问题。
通过云助手安装的Agent的日志目录为
/tmp/rmagent/,目录下保存以日期命名的log文件。
如果您的问题仍未解决,可以通过钉钉群联系相关支持人员进行咨询。
/usr/local/rmagent/rmagent.ini文件中server_host的地址为xx.xx.xx.xx格式的IP,如何解决?
D100的地址一般都是根据域名形式生成的,不是实际的IP。如果有,可能是安装过A100的Agent。需要先卸载A100的Agent后重新部署D100上面的Agent。卸载A100的Agent具体步骤,请参见A100售后支持相关问题。
存储空间占满后如何处理?
数据库审计的审计记录存储在阿里云日志服务SLS中,存储时长可设置为30天~185天。日志服务依据存储时间自动清理过期审计记录,存储空间占满后,您可以参考以下两种处理方案:
扩容存储空间
登录云盾数据库审计控制台,在左侧导航栏,选择D100实例。
单击目标实例存储信息模块下的扩容。
在变配页面的日志存储选项中选择扩容空间的大小,可扩容空间为10TB~200TB。
选中我已阅读并同意数据库审计服务协议。
单击立即购买并完成支付。
OSS投递
日志服务支持将Logstore中的数据自动归档到对象存储OSS,可以发挥日志更多的效用。OSS数据支持自由设置生命周期,可以长时间存储日志。您可以通过以下步骤创建OSS投递任务。
前提条件:
投递后并被清理的数据为备份数据,无法通过数据库审计直接查看。如果您需要查看已备份数据,可以将OSS中的数据导入日志分析服务,导入完成后,可查看已备份数据。具体操作,请参见导入OSS数据。
登录云盾数据库审计控制台,在左侧导航栏,选择D100实例。
单击目标实例存储信息模块下的配置。
在存储管理对话框中,单击OSS备份。
在OSS投递管理页面创建OSS投递任务,具体操作,请参见创建OSS投递任务(旧版)。
开启数据库审计后,对数据库有什么影响?
开启数据库审计后,不会对数据库性能有任何影响。因为数据库审计是旁路部署方式,依赖Agent进行流量采集转发。
数据库审计的C100实例和D100实例的区别?
支持的数据库类型不同。具体内容,请参见支持的数据库类型。
支持的地域不相同。具体内容,请参见支持的地域。
支持审计的数据库个数及对应提供的性能和价格不同。具体内容,请参见计费方式。
数据库审计动态扩容存储空间逻辑不同。
C100:采用日志服务(SLS)产品进行实时日志分析及存储,可动态扩容存储空间。单个C100实例支持审计3、5、10、25、50或80个数据库实例。
D100:采用日志服务(SLS)产品进行实时日志分析及存储,可动态扩容存储空间。依托云原生的底层架构,采用云原生数据库、负载均衡、日志服务等原生组件,为您提供SaaS化的数据库审计服务。可适应高并发、高流量、多实例统一管理的审计场景需求。单个D100实例支持审计1~150个数据库实例,可按需扩容审计的数据库实例数量。支持按需扩展日志存储空间,最多可扩容200 TB存储空间。
审计结果中出现未知用户是什么情况?
开始审计MySQL协议类型数据库时,若数据库已存在连接中的会话,则该连接会话中的SQL语句会出现“未知用户”的情况。在启动审计后新建的会话连接中的SQL语句可正常审计到用户信息。
如果您需要马上就有用户信息,请让应用和数据库先断开连接,然后重新连接即可。
通过客户端应用程序(SqlDbx等)访问SQL Server数据库场景下,由于数据传输使用的是TDS应用程序协议,在输入数据库用户进行身份验证时,是通过SSL强加密传输的,因此会出现无法审计到数据库账号信息的情况。
如果您需要审计到用户信息,建议不通过客户端应用程序(SqlDbx等)访问SQL Server数据库。