数据安全审计部署的核心目标是把 Agent 安装到数据库服务器或访问数据库的应用服务器中。Agent 部署流程如下所示:
1. 配置数据资产实例,操作详情请参见 管理自建数据库。
2. 开启审计权限,操作详情请参见 管理云数据库。
3. 部署 Agent,支持在线部署或下载 Agent。
4. Agent 安装。
Agent 程序部署位置
根据所添加的数据库在云环境中的实际部署方式,您需要将 Agent 程序部署在以下位置:
云服务器自建数据库:Agent 程序需要部署在数据库所在的云服务器上。
云数据库:Agent 程序需要部署在对应的应用服务器上,通常为访问数据库的应用系统所在服务器。
Linux 在线部署:对于便宜云服务器租用内网的 Linux 系统,推荐使用在线部署。
注意
便宜云服务器租用内网 Agent:确保部署 Agent 的 VPC 已在 VPC 通道列表中,添加该 VPC 的资产即可自动创建 VPC 通道。
便宜云服务器租用外 Agent:需要开通白名单,便宜云服务器租用外 Agent 才能正常上报流量。请 联系我们 协助开通。
部署 Agent 的服务器,出方向需要放通端口8081(心跳通讯端口)、7000(日志采集流量通讯端口)、7001(守护进程通信端口)。
部署 Agent
在线部署
1. 登录 数据安全审计控制台,在左侧导航栏中,单击配置管理 > Agent 管理 > Agent 部署,进入 Agent 部署页面。
1. 在 Agent 部署页面,单击 Linux 在线部署。
2. 在 Agent 在线部署页面,选择 CVM 所在的地域和 VPC ,在需要部署 Agent 的 CVM 后单击部署,即可自动部署 Agent 。已经部署的 Agent ,可执行卸载操作(即使 Agent 未连接,在此也可以在线卸载)。还可以选中多个 CVM ,进行批量部署。
?
下载 Agent
1. 登录 数据安全审计控制台,在左侧导航栏中,单击配置管理 > Agent 管理 > Agent 部署,进入 Agent 部署页面。
2. 在 Agent 部署页面,选择下载 Linux Agent 或 Windows Agent。
注意
Agent 安装包已通过文件名区分部署场景,在部署前仔细检查,避免出错。
如 dsaagent_innernet_linux _xxx.zip 是便宜云服务器租用内网 Linux Agent。
如 dsaagent_outnet_win_xxx.zip 是便宜云服务器租用外 Windows Agent。
Agent 安装
下载 Agent 完成后,需要将 Agent 安装在相应服务器上才能实现审计效果。
如果您使用的是云服务器 + 自建数据库模式,则建议您将 Agent 安装在数据库服务器上。
如果您使用的是云数据库,则需要在连接数据库的应用服务器上安装 Agent。
Linux 版本
注意
Linux 需在部署 Agent 之前,安装 python2。
1. 将
dsaagent_innernet_linux _xxx.zip
安装包上传到需要安装的机器上,如 /data。2. 使用
unzip dsaagent_innernet_xxx.zip
命令进行解压,得到 /data/CapAgent 目录。3. 执行命令
chmod -R 755 CapAgent
。4. 执行
cd CapAgent/bin
,再执行 nohup ./start.sh 1>/dev/null 2>/dev/nul
。5. 在命令行,执行
netstat -ano | grep 7000
如下图即确认连接成功。
?
?说明
其他命令。
停止 agent:
nohup ./stop.sh 1>/dev/null 2>/dev/nul
。重启 agent:
nohup ./restart.sh 1>/dev/null 2>/dev/nul
。Windows 版本
数据安全审计 Agent Windows 版本只支持 Windows vista/2008 及以上版本。
1. 下载 Windows 版本 Agent 后,解压到安装目录。
2. 安装 Npcap。
2.1 进入 CapAgent 下的 thirdparty 目录,双击 npcap-1.78.exe,单击 I Agree。
?
2.2 勾选 Install Npcap in WinPcap API-compatible Mode,单击 Install。
?
2.3 单击 Next > Finish,Npcap 安装成功。
?
3. 进入 CapAgent下的 bin 目录,使用管理员用户双击 star.bat 文件。
4. 执行成功后,Console 显示结果如下图所示。同时,可以在任务管理器中,看到 CapAgentForWin.exe 进程。
?
?5. 检查 CapAgentForWin 是否成功启动并连接审计服务成功。
5.1 在任务管理器中确认 CapAgentForWin 进程已运行。
?
5.2 在 cmd 控制台,执行
netstat -ano | findstr 7000
,如下图即确认连接成功。?
说明
6. Agent 停止。
在 CapAgent_win/bin 目录下双击 stop.bat 文件即可。
?