审计代理插件(Agent)是安装在数据库系统或者业务系统上的插件,其功能是捕获访问数据库系统的数据包,并将数据包发送至天翼云数据库审计。当数据库系统部署在公有云、私有云或者实际场景下无法进行端口镜像时,可以通过流量代理的方式抓取数据库流量。
支持的操作系统
Agent支持的操作系统版本请参考使用限制。
Agent工作原理
Agent在数据库服务器的接口上抓取属于资产下发的IP+Port 的数据库操作的流量。
Agent 包含两个进程:dbagent.exe 和 dbMonitor.exe。
DBAgent与天翼云数据库审计的13002端口建立连接负责流量转发。
DBMonitor与天翼云数据库审计的13001端口建立连接负责控制部分,包含接收天翼云数据库审计下发的资产和其他配置。
通过SSH远程安装Agent
您可以通过SSH协议将Agent自动安装到需要审计的服务器上,目前仅支持Linux系统。
在界面上输入需要审计的服务器IP、SSH端口、root用户名、密码,天翼云数据库审计通过scp协议将agent安装包传输到宿主机上并自动安装。
在菜单栏选择“系统管理 > Agent管理”进入“Agent管理”页面,选择“Agent安装”页签。
单击“开始安装”进入通过SSH远程安装Agent页面,编辑审计服务器IP,并添加安装Agent的服务器,单击“安装”。
填写参数说明请参见下表:
参数 参数说明 审计服务器IP 默认为当前的审计服务器IP,用户可以根据需要修改。 安装Agent的服务器 输入需要安装Agent的服务器IP及该服务器root账户的密码,默认端口为22,用户可以根据实际情况修改。
支持表单格式和文本格式输入。
支持IPv4和IPv6。
最多填写20个。
说明
单击“安装状态”可进入“安装状态”查看页面,可进行以下操作:
- 单击“卸载”可远程卸载已经成功安装了的Agent。
- 单击“重新安装”可对未成功安装Agent的服务器重新安装。
- 将光标悬停至“安装失败”后的
图标,查看安装失败原因。 - 若您的业务部署在一类节点的资源池上,审计服务器IP需改为数据库审计所在的VPC组的公网IP。(一类节点可参考支持的区域,如何获取VPC组的公网IP可参考VPC-查看终端节点章节)
手动安装Agent
您可手动下载Agent安装包,并将其手动安装到需要审计的服务器上。目前支持Windows系统和部分Linux系统,支持的操作系统可查看使用限制。
使用Linux系统安装Agent
在左侧菜单栏选择“系统管理 > Agent管理”进入“Agent管理”页面,选择“Agent安装”页签,点击下载对应版本的Agent安装包。
注意
- 下载的Agent默认会将流量转发给当前的天翼云数据库审计实例。如需转发到其他天翼云数据库审计实例,请在解压后的Agent路径下agent.ini配置文件中找到serviceIp选项进行地址修改。
- 无论是Linux版本安装包、AIX版本安装包还是Windows版本安装包,文件夹中均有“ReadMe”文档,文档内包含使用说明、文件说明、注意事项、运行环境说明、配置文件说明。在安装前请仔细阅读该文档并严格按照要求进行操作。
安装包下载完之后,将Agent安装包上传到Linux服务器指定目录。
说明
- 禁止直接运行二进制文件。
- 解压目录不能出现空格。
- 每次更换运行或解压目录需重新运行安装脚本。
- Linux环境需以root用户运行脚本,指定解释器bash,或不指定解释器直接运行。
使用
tar –xf dbAgent_V2.28.tar.gz命令解压Agent安装包,进入Agent安装目录。在安装目录执行
./install.sh命令即可安装Agent程序。
使用Windows系统安装Agent
在左侧菜单栏选择“系统管理 > Agent管理”进入“Agent管理”页面,选择“Agent安装”页签,点击下载对应版本的Agent安装包。
注意
- 下载的Agent默认会将流量转发给当前的天翼云数据库审计实例。如需转发到其他天翼云数据库审计实例,请在解压后的Agent路径下agent.ini配置文件中找到serviceIp选项进行地址修改。
- 无论是Linux版本安装包、AIX版本安装包还是Windows版本安装包,文件夹中均有“ReadMe”文档,文档内包含使用说明、文件说明、注意事项、运行环境说明、配置文件说明。在安装前请仔细阅读该文档并严格按照要求进行操作。
安装包下载完成之后,将Agent安装包上传到Windows服务器上。
解压压缩包到指定运行目录。在Agent的安装目录以管理员身份运行“dbAgent-setup.exe”进入安装向导,单击“下一步”。
单击“下一步”之后显示“Install winpcap”和“Install npcap”两个选项,根据实际需求选择完成后单击“下一步”。
说明
- 如果没有本地审计的需求请选择“Install winpcap”;
- 如果需要部署本地审计,则选择“Install npcap”。
- 默认推荐使用“Install winpcap”安装方式,对于Windows操作系统的兼容性较好。
- “Data encrypted transmission”仅需要配置agent数据传输加密情况下才需要勾选。
单击“安装”。
点击“I Agree”同意安装协议后,之后按照提示进行操作。
说明
由于第四步选择的差异,“Wincap”和“Npcap”安装操作选项会有些许差别。
- “Wincap”插件根据默认选择安装即可。
- “Npcap”插件需要选择Legacy loopback support for Nmap 7,80 and older , Not needed for Wireshark. 和 Install Npcap in WinPcap API-compatible Mode. 两个选项。
安装完成后点击“完成”退出安装向导。
监控Agent状态
在“Agent管理”页面,在已安装Agent列表的操作列下点击“监控”进入“Agent监控信息”页面,用户可以根据需要设置监控的时段,或者选择不同的监控指标(CPU占用、内存占用、转发速率、丢包数量、磁盘读写)。
修改Agent配置
在“Agent管理”页面,选择需要修改配置的Agent,在列表中单击“操作”列中的“配置”。
弹出修改配置对话框,可根据需要修改相关参数,修改完成后单击“确定”。
各配置项参数请参见下表。
配置项 配置项说明 CPU亲和性 启用后,Agent将仅在单颗CPU核心上工作。
CPU亲和性指的是进程在指定的CPU上尽量长时间运行而不被迁移到其他处理器,也称为CPU关联性。在多核运行的机器上,每个CPU会有缓存,缓存着进程使用信息,如果进程被调度到其他CPU上,CPU缓存命中率会降低,导致处理性能降低。
一旦修改配置,Agent会自动重启生效。
CPU使用上限 默认值为100%,取值范围:0%~100%,填0表示不限制。 内存使用上限 Agent缓存数据包所用的内存,默认值200MB,不能超过设备的最大内存。 系统CPU使用阈值 默认值100%,取值范围:0%~100%,填0表示不限制。 系统内存使用阈值 默认值100%,取值范围:0%~100%,填0表示不限制。 系统磁盘读IO阈值 默认值0,表示不限制。不能超过系统磁盘的最大读速率。 系统磁盘写IO阈值 默认值0,表示不限制。不能超过系统磁盘的最大写速率。 抓包网口 配置后将只抓取指定网口上的流量,为空时抓取全部网口上的流量,多个网口请用空格分隔。 抓包过滤串 配置后,抓包网口将只抓取匹配该过滤串(通常设置为指定主机的指定端口流量,例如:host 192.168.0.1 and port 3306)的流量。一旦配置,将不再根据配置的资产自动抓包。 按工具过滤 填写后将不再转发指定客户端工具的流量,可填写多个,多个值请用逗号分隔。 按账号过滤 填写后将不再转发指定数据库账号的流量,可填写多个,多个值请用逗号分隔。 本地回环配置 系统支持本地回环审计功能,此功能可以实现不通过TCP/IP连接的本地数据库访问审计。
本地回环审计是指Agent为客户端工具注入.so程序,客户端工具与服务端的通信流量客户端工具会复制一份发送给Agent,Agent转发给天翼云数据库审计。
Agent安装成功后,需要在Web界面开启“本地审计”功能。
回环网口 回环网口的名称,为空时会自动识别,不建议配置此项。 回环抓包过滤串 配置后回环网口将只抓取匹配该过滤串的流量。一旦配置,将不再根据配置的资产自动抓包。 回环网口替换IP(v4/v6) 将流量中本地回环的IPv4或IPv6地址改为设置的值,为空则不替换。 远程登录审计 默认关闭。
启用后,本地流量中的IP端口会被远程连接的IP端口所替换。需要在资产界面添加被远程连接的服务器IP地址,若没有远程连接,则不做替换。
一旦开启,性能会明显下降。
本地审计 支持审计非网络形式(进程间通信等)的数据库通信数据,目前仅支持Oracle,PostgreSQL,MySQL,SQL Server ,DB2的特定版本。 调试模式 默认关闭。开启后会记录下更详细的调试日志。 数据传输加密 默认关闭。开启后会对Agent转发的数据进行加密。 CPU异常保护阈值 当Agent的CPU使用超过该值时,Agent将自动修复异常。
正常情况下,Agent的CPU使用不会超出所配的上限,该配置可作为兜底保护,防止特殊情况发生。默认值100%,填0表示关闭CPU异常保护功能。
内存异常保护阈值 当Agent的内存使用超过该值时,Agent将自动修复异常。该配置可作为兜底保护,防止特殊情况发生。默认值300M,填0表示关闭内存异常保护功能。
Agent标签管理
在“Agent管理”页面,点击标签显示列对应区域。
选择标签或者输入新的标签点击阅读即可完成标签添加。
对应已经有标签的Agent,可以点击“X”移除该标签。
其他操作
| 操作 | 说明 |
|---|---|
| 挂起 | 勾选处于“连接正常”状态的Agent,单击“挂机”可以让正在正常运行中的Agent不再传送数据,但保持连接状态。 |
| 唤醒 | 勾选处于“挂起”状态的Agent,单击“唤醒”可将该Agent转为正常运行状态。 |
| 启动 | 勾选处于“停止”状态的Agent,单击“启动”可将该Agent转为正常运行状态。 对于V4.0.65之前版本安装的Agent,处于“停止”状态的Agent已经断开链路,不能远程启动,只能登录Agent所在服务器后手动启动。 |
| 停止 | 勾选处于“连接正常”或者“挂起”状态的Agent,点击“停止”可停止Agent。 |
| 升级 | 勾选处于“连接正常”状态的Agent,单击“升级”可将当前Agent版本升级至内置Agent中的最新版本。 |
| 回退 | 勾选处于“连接正常”状态的Agent,单击“回退”可将当前Agent版本退回至升级前的Agent版本。 |
| 日志 | 单击“操作”列中的“更多 > 日志”可下载当前Agent的最近1天日志。 |
| 诊断 | 单击“操作”列中的“更多 > 诊断”,查看当前Agent运行状态。 |
| 卸载 | 勾选处于“连接正常”、“停止”和“挂起”状态的Agent,单击“卸载”可远程卸载该Agent。 |
| 删除 | 勾选处于“异常”状态的Agent,单击“删除”可将当前Agent从Agent列表中删除。 |
