云盾·数据库审计监控不到日志什么问题？

云盾·数据库审计监控不到日志的问题可能由多种原因导致，以下是详细的排查步骤和解决方案：

1. 确认Agent是否正确安装并运行

• 检查Agent状态
  登录云盾数据库审计控制台，在左侧导航栏选择系统配置 > Agent管理，查看目标Agent的状态。如果状态异常，请使用云助手重新安装Agent。

• 手动验证Agent进程
  在Agent所在服务器上执行以下命令，确认Agent进程是否正常运行：

  • Linux: ps aux | grep rmagent
  • Windows: 打开任务管理器，查找dbAgent.exe和dbMonitor.exe进程。

• 重装Agent
  如果Agent未启动或状态异常，可以通过云助手重新安装Agent。具体操作请参见相关文档中的“安装Agent”部分。

2. 检查数据库资产是否正确配置

• 确认数据库资产已添加
  登录数据库审计控制台，查看是否已正确配置需要审计的数据库资产。如果没有配置，请按照以下步骤操作：

  1. 在控制台中选择管理数据库资产。
  2. 添加需要审计的数据库IP、端口及其他相关信息。

• 验证数据库连接
  在Agent所在服务器上，使用以下命令检查与数据库的连接状态：

  • Linux: netstat -ano | grep 数据库端口号
  • Windows: netstat -ano | findstr 数据库端口号
    确保监听状态为ESTABLISHED，并且数据库IP与配置一致。

3. 检查存储空间是否已满

• 查看存储信息
  登录云盾数据库审计控制台，选择目标实例的存储信息模块，查看存储空间是否已用完。如果存储空间已满，建议采取以下措施：

  1. 扩容存储空间：在控制台中选择扩容，并完成支付。
  2. 清空存储：通过OSS备份功能将现有数据备份后清空存储。

• 注意欠费问题
  如果您的账号下有其他日志服务实例发生欠费，可能会导致数据库审计实例的数据无法正常写入。请确保账号无欠费情况。

4. 检查网络连通性

• 测试网络连通性
  按照以下步骤验证Agent与数据库审计实例之间的网络连通性：

  1. 登录ECS服务器。
  2. 使用ping命令检查与数据库审计实例域名的连通性。
  3. 使用telnet命令检查与数据库审计实例域名地址的13001和13002端口是否连通。

• 安全组配置
  确保ECS所在的安全组已开放443端口，以便访问云盾·数据库审计系统。

5. 检查日志是否加密

• 抓包分析流量
  如果数据库流量使用了TLS/SSL加密，可能导致审计失败。请通过抓包工具（如Wireshark）检查流量是否加密。如果流量加密且数据库支持审计，请导入私钥进行解密审计；如果不支持审计，请关闭数据库SSL加密配置或在应用服务器的应用配置文件中取消SSL加密参数。

6. 查看Agent日志排查问题

• 日志路径
  查看Agent的日志文件以获取更多信息：

  • Linux: /tmp/rmagent/ 或 /data/dbAuditAgent/log
  • Windows: C:\TEMP\rmagent\rmagent.log 或 C:\dbagent\dbagent2.*\log

• 常见日志错误
  如果日志中出现failed to connect to server, ret: -1等错误信息，请检查D100实例地址的连通性，并确认配置文件中的server_host参数是否正确。

7. 其他注意事项

• 新启用实例的延迟
  如果是新启用的数据库审计实例，可能需要等待10-15分钟完成初始化。

• 未知用户问题
  如果审计结果中出现“未知用户”，可能是由于刚启用审计时存在未断开的会话，或者通过客户端应用程序（如SqlDbx）访问SQL Server数据库时使用了TDS协议。建议重新连接数据库或避免使用此类客户端。

总结

通过以上步骤逐一排查，可以有效解决云盾·数据库审计监控不到日志的问题。如果问题仍未解决，建议联系技术支持团队（如通过钉钉群咨询）以获取进一步帮助。