【数审DAS3000】【agent】数据库agent客户端正常连接到数审9999端口,但是无法审计到日志

2线-侯秋华发表于:2020年12月31日 17:04:03更新于:2021年01月06日 18:17:16

【问题现象】

设备采用agent引流,环境中存在多个数据库,有些已经可以正常审计到了日志了,有些还是无法审计。

查看无法审计到日志的审计对象,agent已正常连接到数据库审计设备,但无法审计到任何日志


【适用场景】

数据库审计版本:支持agent引流的版本均可(5.0、5.0(6.0.0)、6.0(6.0.0))


【原因分析】

已经有数据库可以正常审计,说明设备底层审计引擎是正常工作的,此时应该排查流量和配置问题

可能有两个原因导致这个问题:

1、数据库无流量访问或sql流量未走网卡

2、数据库agent客户端配置错误


【解决办法】

针对于上述两点原因的解决办法:

1、在数据库中抓包,查看是否可以抓取到流量

如果抓不到报文,需要跟客户确认是否进行了数据库操作,以及sql流量的访问是否会经过网卡

比如应用和数据库安装在同一台服务器上,这种场景下应用访问数据库不是肯定走网卡的,需要在进行数据库操作时单独抓每个网卡(包含loop口),以确认流量是否走了网卡,如不走网卡的话,agent是不能实现引流的

2、如果经确认本地网卡抓包可以抓到sql流量,则需要排查agent客户端的配置是否存在问题

比如linux系统的agent客户端,agent.conf文件中的收发包端口配置,还是以上面的场景举例,应用和数据库安装在同一台服务器上,这种时候应用访问数据库走了loop回环口,在配置agent.conf文件时,receive_device收包网卡应该配置为loop网卡名称,send_device发包网卡依然配置为能连接到数据库审计设备的网卡名称

image.png


注:收发包端口说明

收包网卡:是指agent抓取sql流量的网卡

发包网卡:是指agent抓到流量之后用哪个网卡的ip作为源ip发出去

这两个网卡可以是不同的网卡,例如数据库服务器有两个网卡,一个是业务网卡,用来承接数据库访问;一个是管理网卡,用来连接数据库审计;此时在agent配置文件中的收发包网卡配置应是不同的。