管理Agent

数据库审计提供了Agent管理功能,使用该功能您可以设置Agent占用服务器资源的阈值,根据您的需要进行挂起、唤醒或停止Agent等操作。本文介绍管理Agent支持的具体操作。

前提条件

已在您的服务器中安装Agent。具体操作,请参见安装Agent

修改Agent配置

数据库审计支持设置Agent的运行模式和数据审计抓包规则,比如CPU亲和性、最大CPU使用率、最大内存使用量、抓包网口等,您可以参考以下步骤修改Agent配置。

  1. 登录数据库审计系统。

    具体操作,请参见登录数据库审计系统

  2. 在左侧导航栏,选择系统管理 > Agent管理

  3. Agent管理页签,单击需要配置的Agent操作列的配置

    如果需要同时为多个Agent进行相同的配置,您可以选中多个Agent后,单击Agent列表下方的配置

  4. 修改Agent配置对话框,参考以下表格配置Agent参数。

    修改Agent配置

    分类

    参数

    说明

    资源使用限制

    CPU亲和性

    选择启用或禁用CPU亲和性

    CPU亲和性(也称为CPU关联性)指的是让进程尽可能长时间在指定的CPU上运行,而不被迁移到其他处理器上。在多核系统中,每个CPU都有自己的缓存,存储着进程的使用信息。如果进程被调度到其他CPU上运行,原先缓存的信息可能无法被新CPU使用,导致CPU缓存命中率下降,从而降低处理性能。

    启用CPU亲和性后,Agent将仅在单个CPU核心上工作。禁用CPU亲和性后,Agent将在多个CPU核心上工作,这种情况下可能会占用您较多的CPU资源。建议您启用CPU亲和性

    CPU使用上限

    设置Agent最大CPU使用率。默认值为100%,取值范围:0%~100%,填0表示不限制。

    Agent所占有的CPU使用率不会超过该设定值。如果该值设置过小,会导致审计数据不全面,建议您设置合理的值。

    内存使用上限

    设置Agent最大内存使用量。

    Agent缓存数据包所占用的内存不会超过该设定值。如果该值设置过小,会导致审计数据不全面。默认值为200 MB。该值不能超过设备的最大内存。

    熔断保护

    重要

    超出此处任一阈值时,Agent暂停工作,直到所有指标低于阈值。

    系统CPU使用阈值

    设置CPU使用率阈值。默认值100%,取值范围:0%~100%,填0表示不限制。

    当服务器整体的CPU使用率超过该值时,Agent将停止工作。

    系统内存使用阈值

    设置内存使用率阈值。默认值100%,取值范围:0%~100%,填0表示不限制。

    当服务器整体的内存使用率超过该值时,Agent将停止工作。

    系统磁盘读IO阈值

    设置系统磁盘的最大读速率。默认值0,表示不限制。

    当服务器整体的系统磁盘的读速率超过该值时,Agent将停止工作。

    系统磁盘写IO阈

    设置系统磁盘的最大写速率。默认值0,表示不限制。

    当服务器整体的系统磁盘的写速率超过该值时,Agent将停止工作。

    抓包与过滤设置

    抓包网口

    设置需要抓取流量包的网口。多个网口请使用空格分隔。

    设置该参数后,数据库审计服务只抓取您设置的网口上的流量。不设置此参数时,默认抓取全部网口上的流量。

    抓包过滤串

    设置抓包的过滤串。

    配置后,数据库审计服务将不再根据配置的资产自动抓包,只在抓包网口抓取匹配该过滤串的流量。配置示例:(host 192.168.1.100 and port 3306) or (host 192.168.1.101 and port 3306)

    按工具过滤

    配置后将不再转发指定客户端工具的流量,可填写多个,多个值请用半角逗号分隔。配置示例:JDBC,Navicat Premium.exe

    按账号过滤

    配置后将不再转发指定数据库账号的流量,可填写多个,多个值请用半角逗号分隔。配置示例:root,sa

    本地回环审计配置

    回环网口

    设置回环网口的名称。

    不设置时会自动识别回环网口的名称。不建议您设置该参数。

    回环抓包过滤串

    设置回环抓包过滤串。

    配置后,将不再根据配置的资产自动抓包,只在回环网口抓取匹配该过滤串的流量。配置示例:(port 3306) or (port 3307)

    回环网口替换IP(IPv4)

    设置本地回环的IPv4地址。

    设置该地址后,数据库审计服务会将网络流量中本地回环的IPv4地址改为该地址。不设置此参数时,不做任何变更。

    回环网口替换IP(IPv6)

    设置本地回环的IPv6地址。

    设置该地址后,数据库审计服务会将网络流量中本地回环的IPv6地址改为该地址。不设置此参数时,不做任何变更。

    远程登录审计

    默认关闭。启用后,本地流量中的IP端口会被远程连接的IP端口所替换。需要在资产界面添加被远程连接的服务器IP地址,若没有远程连接,则不做替换。开启后,由于存在额外的网络开销、CPU内存资源消耗等原因,服务器的性能会明显下降。

    本地审计

    支持审计非网络形式(即进程间通信等)的数据库通信数据,目前仅支持Oracle、PostgreSQL、MySQL、SQL Server的特定版本。未满足上述要求的情况,不建议开启该配置项。

    其他

    调试模式

    选择启用或禁用调试模式。

    启用调试模式后,数据库审计服务会记录更详细的调试日志。

    数据传输加密

    选择启用或禁用数据传输加密。

    启用后会对Agent转发的数据进行加密。

    CPU异常保护阈值

    当Agent的CPU使用超过该值时,Agent将自动修复异常。正常情况下,Agent的CPU使用不会超出您设置的上限,该配置可作为兜底措施,防止特殊情况发生。默认值100%,填0表示关闭CPU异常保护功能。

    内存异常保护阈值

    当Agent的内存使用超过该值时,Agent将自动修复异常。正常情况下,Agent的内存使用不会超出您设置的上限,该配置可作为兜底措施,防止特殊情况发生。默认值300 MB,填0表示关闭内存异常保护功能。

  5. 单击确定

查看Agent监控信息

数据库审计服务支持查看指定时间内已安装Agent的服务器CPU、内存使用情况,以及网口的转发速率和丢包数量等信息。您可以参考以下步骤查看Agent监控到的服务器数据:

  1. 登录数据库审计系统。

    具体操作,请参见登录数据库审计系统

  2. 在左侧导航栏,选择系统管理 > Agent管理

  3. 定位到需要查看监控信息的Agent,单击其操作列下的监控

  4. 监控信息对话框,单击CPU占用内存占用转发速率丢包数量磁盘读取磁盘写入页签,查看对应数据的趋势图。

    数据库审计默认为您展示实时的监控信息,您可以在时间范围下拉列表中选择需要查看的时间范围。

    监控信息

使用标签管理Agent

在Agent数量较多的场景下,使用Agent标签可以帮助您快速区分不同Agent的业务属性或物理位置等属性。您可以参考以下步骤为Agent添加和移除标签。

  1. 登录数据库审计系统。

    具体操作,请参见登录数据库审计系统

  2. 在左侧导航栏,选择系统管理 > Agent管理

  3. Agent管理页面,选中需要设置标签的Agent,在列表下方设置标签的下拉列表中选择添加标签移除标签

    添加标签移除标签对话框,选择需操作的标签,并单击确定

管理Agent状态

根据使用场景的需要,您可以对Agent进行挂起、唤醒、停止、删除等操作。您可以参考以下步骤执行具体操作。

  1. 登录数据库审计系统。

    具体操作,请参见登录数据库审计系统

  2. 在左侧导航栏,选择系统管理 > Agent管理

  3. 定位到需要操作的Agent,参考以下说明挂起、唤醒、停止或删除Agent。

    • 挂起Agent

      如果Agent所在服务器的CPU或内存资源消耗过大,您可以使用挂起功能停止Agent的工作。选中需要挂起的Agent,单击Agent列表下方的挂起。挂起Agent后,该Agent将停止转发数据库访问流量到审计系统等操作,但仍会和数据库系统保持通信连接。

      重要

      只有状态为正常的Agent才能执行挂起操作。

    • 唤醒Agent

      挂起Agent后,如果您需要Agent再次正常运行,可以使用唤醒功能,将挂起状态的Agent恢复正常运行。选中需要唤醒的Agent,单击Agent列表下方的唤醒

    • 停止Agent

      如果Agent所在服务器的CPU或内存资源消耗过大,或您暂时无需Agent转发您数据库的访问流量,您可以使用停止功能。您只能停止挂起正常状态的Agent。选中需要停止的Agent,单击Agent列表下方image图标下拉列表中的停止。停止Agent后,Agent会停止向数据库审计系统转发数据库的访问流量,并中断和数据库审计系统之间的网络连接。如果需要再次启用Agent,您需要在Agent所在服务器手动启用Agent。

    • 启动Agent

      停止Agent后,如果您需要Agent再次正常运行,可以使用启动功能,将停止状态的Agent恢复正常运行。选中需要启动的Agent,单击Agent列表下方的启动

    • 升级Agent版本

      您可以通过升级操作,将状态为连接正常的Agent升级至最新版本。选中需要升级的Agent,单击Agent列表下方image图标下拉列表中的升级

    • 回退Agent版本

      您可以通过回退操作,将状态为连接正常的Agent回退至升级前的版本。选中需要回退版本的Agent,单击Agent列表下方image图标下拉列表中的回退

    • 下载Agent日志

      单击需要下载日志的Agent操作列的更多 > 日志,可下载当前Agent最近1天的日志。

    • 诊断Agent

      单击目标Agent操作列的更多 > 诊断,可查看当前Agent的运行状态。

    • 卸载Agent

      选中状态为连接正常、停止和挂起的Agent,单击Agent列表下方的卸载,即可卸载相应Agent。

    • 删除Agent

      如果Agent处于异常状态或您无需使用Agent转发数据库的访问流量,您可以删除Agent。选中需要删除的Agent,单击Agent列表下方image图标下拉列表中的删除。您也可以定位到需要删除的Agent,单击其操作列下的删除。删除Agent后,该Agent将从Agent列表中移除。