审计代理插件(Agent)是安装在数据库系统或者业务系统上的插件,其功能是捕获访问数据库系统的数据包,并将数据包发送至天翼云数据库审计。当数据库系统部署在公有云、私有云或者实际场景下无法进行端口镜像时,可以通过流量代理的方式抓取数据库流量。
Agent工作原理
Agent在数据库服务器的接口上抓取属于资产下发的IP+Port 的数据库操作的流量。
Agent 包含两个进程:dbagent.exe 和 dbMonitor.exe。DBAgent与天翼云数据库审计的13002端口建立连接负责流量转发,DBMonitor与天翼云数据库审计的13001端口建立连接负责控制部分,包含接收天翼云数据库审计下发的资产和其他配置。
通过SSH远程安装Agent
您可以通过SSH协议将Agent自动安装到需要审计的服务器上,目前仅支持Linux系统。
在界面上输入需要审计的服务器IP、SSH端口、root用户名、密码,天翼云数据库审计通过scp协议将agent安装包传输到宿主机上并自动安装。
1.在菜单栏选择“系统管理 > Agent管理”进入“Agent管理”页面,选择“Agent安装”页签。
2.单击“开始安装”进入通过SSH远程安装Agent页面,编辑审计服务器IP,并添加安装Agent的服务器,单击“安装”。填写参数说明请参见下表
参数 | 参数说明 |
审计服务器IP | 默认为当前的审计服务器IP,用户可以根据需要修改。 |
安装Agent的服务器 | 支持表单格式和文本格式输入。输入需要安装Agent的服务器IP及该服务器root账户的密码,默认端口为22,用户可以根据实际情况修改。支持IPv4和IPv6,最多填写20个。 |
说明
单击“安装状态”可进入“安装状态”查看页面,可进行以下操作:
单击“卸载”可远程卸载已经成功安装了的Agent。
单击“重新安装”可对未成功安装Agent的服务器重新安装。
将光标悬停至“安装失败”后的
图标,查看安装失败原因。
手动安装Agent
可手动下载Agent安装包,并将其手动安装到需要审计的服务器上。目前支持Windows系统和部分Linux系统,支持的操作系统可查看使用限制章节。
使用Linux系统安装Agent
1.在左侧菜单栏选择“系统管理 > Agent管理”进入“Agent管理”页面,选择“Agent安装”页签,点击下载对应版本的Agent安装包。
注意
下载的Agent默认会将流量转发给当前的天翼云数据库审计实例。如需转发到其他天翼云数据库审计实例,请在解压后的Agent路径下agent.ini配置文件中找到serviceIp选项进行地址修改。
无论是Linux版本安装包、AIX版本安装包还是Windows版本安装包,文件夹中均有“ReadMe”文档,文档内包含使用说明、文件说明、注意事项、运行环境说明、配置文件说明。在安装前请仔细阅读该文档并严格按照要求进行操作。
2.安装包下载完之后,将Agent安装包上传到Linux服务器指定目录。
说明
禁止直接运行二进制文件。
解压目录不能出现空格。
每次更换运行或解压目录需重新运行安装脚本。
Linux环境需以root用户运行脚本,指定解释器bash,或不指定解释器直接运行。
3.使用 tar –xf dbAgent_V2.28.tar.gz命令解压Agent安装包,进入Agent安装目录。
4.在安装目录执行 ./install.sh命令即可安装Agent程序。
使用Windows系统安装Agent
1.在左侧菜单栏选择“系统管理 > Agent管理”进入“Agent管理”页面,选择“Agent安装”页签,点击下载对应版本的Agent安装包。
注意
下载的Agent默认会将流量转发给当前的天翼云数据库审计实例。如需转发到其他天翼云数据库审计实例,请在解压后的Agent路径下agent.ini配置文件中找到serviceIp选项进行地址修改。
无论是Linux版本安装包、AIX版本安装包还是Windows版本安装包,文件夹中均有“ReadMe”文档,文档内包含使用说明、文件说明、注意事项、运行环境说明、配置文件说明。在安装前请仔细阅读该文档并严格按照要求进行操作。
2.安装包下载完成之后,将Agent安装包上传到Windows服务器上。
3.解压压缩包到指定运行目录。在Agent的安装目录以管理员身份运行“dbAgent-setup.exe”进入安装向导,单击“下一步”。
4.单击“下一步”之后显示“Install winpcap”和“Install npcap”两个选项,根据实际需求选择完成后单击“下一步”。
说明
如果没有本地审计的需求请选择“Install winpcap”;
如果需要部署本地审计,则选择“Install npcap”。
默认推荐使用“Install winpcap”安装方式,对于Windows操作系统的兼容性较好。
“Data encrypted transmission”仅需要配置agent数据传输加密情况下才需要勾选。
5.单击“安装”。
6.点击“I Agree”同意安装协议后,之后按照提示进行操作。
说明
由于第四步选择的差异,“Wincap”和“Npcap”安装操作选项会有些许差别:
“Wincap”插件根据默认选择安装即可。
“Npcap”插件需要选择Legacy loopback support for Nmap 7,80 and older , Not needed for Wireshark. 和 Install Npcap in WinPcap API-compatible Mode. 两个选项。
6.安装完成后点击“完成”退出安装向导。
监控Agent状态
在“Agent管理”页面,在已安装Agent列表的操作列下点击“监控”进入“Agent监控信息”页面,用户可以根据需要设置监控的时段,或者选择不同的监控指标(CPU占用、内存占用、转发速率、丢包数量、磁盘读写)。
修改Agent配置
1.在“Agent管理”页面,选择需要修改配置的Agent,在列表中单击“操作”列中的“配置”。
2.弹出修改配置对话框,可根据需要修改相关参数,修改完成后单击“确定”,各配置项参数请参见下表。
配置项 | 配置项说明 |
CPU亲和性 | 启用后,Agent将仅在单颗CPU核心上工作。CPU亲和性指的是进程在指定的CPU上尽量长时间运行而不被迁移到其他处理器,也称为CPU关联性。在多核运行的机器上,每个CPU会有缓存,缓存着进程使用信息,如果进程被调度到其他CPU上,CPU缓存命中率会降低,导致处理性能降低。一旦修改配置,Agent会自动重启生效。 |
CPU使用上限 | 默认值为100%,取值范围:0%~100%,填0表示不限制。 |
内存使用上限 | Agent缓存数据包所用的内存,默认值200MB,不能超过设备的最大内存。 |
系统CPU使用阈值 | 默认值100%,取值范围:0%~100%,填0表示不限制。 |
系统内存使用阈值 | 默认值100%,取值范围:0%~100%,填0表示不限制。 |
系统磁盘读IO阈值 | 默认值0,表示不限制。不能超过系统磁盘的最大读速率。 |
系统磁盘写IO阈值 | 默认值0,表示不限制。不能超过系统磁盘的最大写速率。 |
抓包网口 | 配置后将只抓取指定网口上的流量,为空时抓取全部网口上的流量,多个网口请用空格分隔。 |
抓包过滤串 | 配置后,抓包网口将只抓取匹配该过滤串(通常设置为指定主机的指定端口流量,例如:host 192.168.0.1 and port 3306)的流量。一旦配置,将不再根据配置的资产自动抓包。 |
按工具过滤 | 填写后将不再转发指定客户端工具的流量,可填写多个,多个值请用逗号分隔。 |
按账号过滤 | 填写后将不再转发指定数据库账号的流量,可填写多个,多个值请用逗号分隔。 |
本地回环配置 | 系统支持本地回环审计功能,此功能可以实现不通过TCP/IP连接的本地数据库访问审计。 |
回环网口 | 回环网口的名称,为空时会自动识别,不建议配置此项。 |
回环抓包过滤串 | 配置后回环网口将只抓取匹配该过滤串的流量。一旦配置,将不再根据配置的资产自动抓包。 |
回环网口替换IP(v4/v6) | 将流量中本地回环的IPv4或IPv6地址改为设置的值,为空则不替换。 |
远程登录审计 | 默认关闭。启用后,本地流量中的IP端口会被远程连接的IP端口所替换。需要在资产界面添加被远程连接的服务器IP地址,若没有远程连接,则不做替换。一旦开启,性能会明显下降。 |
本地审计 | 支持审计非网络形式(进程间通信等)的数据库通信数据,目前仅支持Oracle,PostgreSQL,MySQL,SQL Server ,DB2的特定版本。 |
调试模式 | 默认关闭。开启后会记录下更详细的调试日志。 |
数据传输加密 | 默认关闭。开启后会对Agent转发的数据进行加密。 |
CPU异常保护阈值 | 当Agent的CPU使用超过该值时,Agent将自动修复异常。正常情况下,Agent的CPU使用不会超出所配的上限,该配置可作为兜底保护,防止特殊情况发生。默认值100%,填0表示关闭CPU异常保护功能。 |
内存异常保护阈值 | 当Agent的内存使用超过该值时,Agent将自动修复异常。该配置可作为兜底保护,防止特殊情况发生。默认值300M,填0表示关闭内存异常保护功能。 |
Agent标签管理
1.在“Agent管理”页面,点击标签显示列对应区域。
2.选择标签或者输入新的标签点击阅读即可完成标签添加。
3.对应已经有标签的Agent,可以点击“X”移除该标签。
其他操作
操作 | 说明 |
挂起 | 勾选处于“连接正常”状态的Agent,单击“挂机”可以让正在正常运行中的Agent不再传送数据,但保持连接状态。 |
唤醒 | 勾选处于“挂起”状态的Agent,单击“唤醒”可将该Agent转为正常运行状态。 |
启动 | 勾选处于“停止”状态的Agent,单击“启动”可将该Agent转为正常运行状态。 对于V4.0.65之前版本安装的Agent,处于“停止”状态的Agent已经断开链路,不能远程启动,只能登录Agent所在服务器后手动启动。 |
停止 | 勾选处于“连接正常”或者“挂起”状态的Agent,点击“停止”可停止Agent。 |
升级 | 勾选处于“连接正常”状态的Agent,单击“升级”可将当前Agent版本升级至内置Agent中的最新版本。 |
回退 | 勾选处于“连接正常”状态的Agent,单击“回退”可将当前Agent版本退回至升级前的Agent版本。 |
日志 | 单击“操作”列中的“更多 > 日志”可下载当前Agent的最近1天日志。 |
诊断 | 单击“操作”列中的“更多 > 诊断”,查看当前Agent运行状态。 |
卸载 | 勾选处于“连接正常”、“停止”和“挂起”状态的Agent,单击“卸载”可远程卸载该Agent。 |
删除 | 勾选处于“异常”状态的Agent,单击“删除”可将当前Agent从Agent列表中删除。 |