数据库审计提供了Agent管理功能,使用该功能您可以设置Agent占用服务器资源的阈值,根据您的需要进行挂起、唤醒或停止Agent等操作。本文介绍管理Agent支持的具体操作。
前提条件
已在您的服务器中安装Agent。具体操作,请参见安装Agent。
修改Agent配置
数据库审计支持设置Agent的运行模式和数据审计抓包规则,比如CPU亲和性、最大CPU使用率、最大内存使用量、抓包网口等,您可以参考以下步骤修改Agent配置。
登录数据库审计系统。
具体操作,请参见登录数据库审计系统。
在左侧导航栏,选择。
在Agent管理页签,单击需要配置的Agent操作列的配置。
如果需要同时为多个Agent进行相同的配置,您可以选中多个Agent后,单击Agent列表下方的配置。
在修改Agent配置对话框,参考以下表格配置Agent参数。
分类
参数
说明
资源使用限制
CPU亲和性
选择启用或禁用CPU亲和性。
CPU亲和性(也称为CPU关联性)指的是让进程尽可能长时间在指定的CPU上运行,而不被迁移到其他处理器上。在多核系统中,每个CPU都有自己的缓存,存储着进程的使用信息。如果进程被调度到其他CPU上运行,原先缓存的信息可能无法被新CPU使用,导致CPU缓存命中率下降,从而降低处理性能。
启用CPU亲和性后,Agent将仅在单个CPU核心上工作。禁用CPU亲和性后,Agent将在多个CPU核心上工作,这种情况下可能会占用您较多的CPU资源。建议您启用CPU亲和性。
CPU使用上限
设置Agent最大CPU使用率。默认值为100%,取值范围:0%~100%,填0表示不限制。
Agent所占有的CPU使用率不会超过该设定值。如果该值设置过小,会导致审计数据不全面,建议您设置合理的值。
内存使用上限
设置Agent最大内存使用量。
Agent缓存数据包所占用的内存不会超过该设定值。如果该值设置过小,会导致审计数据不全面。默认值为200 MB。该值不能超过设备的最大内存。
熔断保护
重要超出此处任一阈值时,Agent暂停工作,直到所有指标低于阈值。
系统CPU使用阈值
设置CPU使用率阈值。默认值100%,取值范围:0%~100%,填0表示不限制。
当服务器整体的CPU使用率超过该值时,Agent将停止工作。
系统内存使用阈值
设置内存使用率阈值。默认值100%,取值范围:0%~100%,填0表示不限制。
当服务器整体的内存使用率超过该值时,Agent将停止工作。
系统磁盘读IO阈值
设置系统磁盘的最大读速率。默认值0,表示不限制。
当服务器整体的系统磁盘的读速率超过该值时,Agent将停止工作。
系统磁盘写IO阈值
设置系统磁盘的最大写速率。默认值0,表示不限制。
当服务器整体的系统磁盘的写速率超过该值时,Agent将停止工作。
抓包与过滤设置
抓包网口
设置需要抓取流量包的网口。多个网口请使用空格分隔。
设置该参数后,数据库审计服务只抓取您设置的网口上的流量。不设置此参数时,默认抓取全部网口上的流量。
抓包过滤串
设置抓包的过滤串。
配置后,数据库审计服务将不再根据配置的资产自动抓包,只在抓包网口抓取匹配该过滤串的流量。配置示例:
(host 192.168.1.100 and port 3306) or (host 192.168.1.101 and port 3306)。按工具过滤
配置后将不再转发指定客户端工具的流量,可填写多个,多个值请用半角逗号分隔。配置示例:
JDBC,Navicat Premium.exe。按账号过滤
配置后将不再转发指定数据库账号的流量,可填写多个,多个值请用半角逗号分隔。配置示例:
root,sa。本地回环审计配置
回环网口
设置回环网口的名称。
不设置时会自动识别回环网口的名称。不建议您设置该参数。
回环抓包过滤串
设置回环抓包过滤串。
配置后,将不再根据配置的资产自动抓包,只在回环网口抓取匹配该过滤串的流量。配置示例:
(port 3306) or (port 3307)。回环网口替换IP(IPv4)
设置本地回环的IPv4地址。
设置该地址后,数据库审计服务会将网络流量中本地回环的IPv4地址改为该地址。不设置此参数时,不做任何变更。
回环网口替换IP(IPv6)
设置本地回环的IPv6地址。
设置该地址后,数据库审计服务会将网络流量中本地回环的IPv6地址改为该地址。不设置此参数时,不做任何变更。
远程登录审计
默认关闭。启用后,本地流量中的IP端口会被远程连接的IP端口所替换。需要在资产界面添加被远程连接的服务器IP地址,若没有远程连接,则不做替换。开启后,由于存在额外的网络开销、CPU内存资源消耗等原因,服务器的性能会明显下降。
本地审计
支持审计非网络形式(即进程间通信等)的数据库通信数据,目前仅支持Oracle、PostgreSQL、MySQL、SQL Server的特定版本。未满足上述要求的情况,不建议开启该配置项。
其他
调试模式
选择启用或禁用调试模式。
启用调试模式后,数据库审计服务会记录更详细的调试日志。
数据传输加密
选择启用或禁用数据传输加密。
启用后会对Agent转发的数据进行加密。
CPU异常保护阈值
当Agent的CPU使用超过该值时,Agent将自动修复异常。正常情况下,Agent的CPU使用不会超出您设置的上限,该配置可作为兜底措施,防止特殊情况发生。默认值100%,填0表示关闭CPU异常保护功能。
内存异常保护阈值
当Agent的内存使用超过该值时,Agent将自动修复异常。正常情况下,Agent的内存使用不会超出您设置的上限,该配置可作为兜底措施,防止特殊情况发生。默认值300 MB,填0表示关闭内存异常保护功能。
单击确定。
查看Agent监控信息
数据库审计服务支持查看指定时间内已安装Agent的服务器CPU、内存使用情况,以及网口的转发速率和丢包数量等信息。您可以参考以下步骤查看Agent监控到的服务器数据:
登录数据库审计系统。
具体操作,请参见登录数据库审计系统。
在左侧导航栏,选择。
定位到需要查看监控信息的Agent,单击其操作列下的监控。
在监控信息对话框,单击CPU占用、内存占用、转发速率、丢包数量、磁盘读取或磁盘写入页签,查看对应数据的趋势图。
数据库审计默认为您展示实时的监控信息,您可以在时间范围下拉列表中选择需要查看的时间范围。
使用标签管理Agent
在Agent数量较多的场景下,使用Agent标签可以帮助您快速区分不同Agent的业务属性或物理位置等属性。您可以参考以下步骤为Agent添加和移除标签。
登录数据库审计系统。
具体操作,请参见登录数据库审计系统。
在左侧导航栏,选择。
在Agent管理页面,选中需要设置标签的Agent,在列表下方设置标签的下拉列表中选择添加标签或移除标签。
在添加标签或移除标签对话框,选择需操作的标签,并单击确定。
管理Agent状态
根据使用场景的需要,您可以对Agent进行挂起、唤醒、停止、删除等操作。您可以参考以下步骤执行具体操作。
登录数据库审计系统。
具体操作,请参见登录数据库审计系统。
在左侧导航栏,选择。
定位到需要操作的Agent,参考以下说明挂起、唤醒、停止或删除Agent。
挂起Agent
如果Agent所在服务器的CPU或内存资源消耗过大,您可以使用挂起功能停止Agent的工作。选中需要挂起的Agent,单击Agent列表下方的挂起。挂起Agent后,该Agent将停止转发数据库访问流量到审计系统等操作,但仍会和数据库系统保持通信连接。
重要只有状态为正常的Agent才能执行挂起操作。
唤醒Agent
挂起Agent后,如果您需要Agent再次正常运行,可以使用唤醒功能,将挂起状态的Agent恢复正常运行。选中需要唤醒的Agent,单击Agent列表下方的唤醒。
停止Agent
如果Agent所在服务器的CPU或内存资源消耗过大,或您暂时无需Agent转发您数据库的访问流量,您可以使用停止功能。您只能停止挂起或正常状态的Agent。选中需要停止的Agent,单击Agent列表下方
图标下拉列表中的停止。停止Agent后,Agent会停止向数据库审计系统转发数据库的访问流量,并中断和数据库审计系统之间的网络连接。如果需要再次启用Agent,您需要在Agent所在服务器手动启用Agent。启动Agent
停止Agent后,如果您需要Agent再次正常运行,可以使用启动功能,将停止状态的Agent恢复正常运行。选中需要启动的Agent,单击Agent列表下方的启动。
升级Agent版本
您可以通过升级操作,将状态为连接正常的Agent升级至最新版本。选中需要升级的Agent,单击Agent列表下方
图标下拉列表中的升级。回退Agent版本
您可以通过回退操作,将状态为连接正常的Agent回退至升级前的版本。选中需要回退版本的Agent,单击Agent列表下方
图标下拉列表中的回退。下载Agent日志
单击需要下载日志的Agent操作列的,可下载当前Agent最近1天的日志。
诊断Agent
单击目标Agent操作列的,可查看当前Agent的运行状态。
卸载Agent
选中状态为连接正常、停止和挂起的Agent,单击Agent列表下方的卸载,即可卸载相应Agent。
删除Agent
如果Agent处于异常状态或您无需使用Agent转发数据库的访问流量,您可以删除Agent。选中需要删除的Agent,单击Agent列表下方
图标下拉列表中的删除。您也可以定位到需要删除的Agent,单击其操作列下的删除。删除Agent后,该Agent将从Agent列表中移除。