Перейти к основному контенту

Инструкция по сбору данных для решения проблем с Magnus

Процесс обработки проблем Magnus в продуктивной среде

Здесь описаны возможные проблемы, которые могут возникать в Magnus, подходы к их диагностике и способы сбора информации.

Общий порядок диагностики

  1. Если возникают проблемы типа недоступности сети, нет прослушивания порта (no listen) и т.п., необходимо проверить:
    • есть ли сетевое соединение между клиентом и Magnus;
    • находится ли контейнер Magnus в исправном состоянии (healthy).
  2. Используйте WebDB для подключения и убедитесь, что:
    • выбран правильный системный пользователь;
    • указан правильный пароль.
  3. Если при использовании сторонних инструментов (например, Navicat) возникает ошибка аутентификации, попробуйте подключиться через официальный клиент командной строки соответствующей СУБД.
  4. Если возникают ошибки типа bad packet, либо при использовании официального клиента командной строки и после проверки корректности имени пользователя и пароля аутентификация всё равно не проходит, необходимо собрать следующую информацию:
    • текущая версия JumpServer;
    • тип клиента;
    • версия клиента;
    • версия сервера базы данных;
    • способ запуска сервера БД;
    • дамп сетевого трафика (packet capture) при прямом подключении соответствующим клиентом к целевой БД (ниже будет описано, как его собрать).

  5. Очень важно воспроизвести проблему в локальной среде.
    Это несложно: используйте те же образы контейнеров, ту же ОС и те же версии ПО, что и у клиента. С высокой вероятностью проблема воспроизведётся.

    Если проблему удалось воспроизвести, то примерно в 90% случаев её можно устранить в рамках одного из ближайших минорных релизов.

3. Командный аудит, перехват команд и запись сессий

Как снять сетевой дамп (packet capture)

На примере Oracle (для других СУБД процедура аналогична).

Важно!

Необходимо снимать трафик при прямом подключении к целевой базе данных с использованием её IP-адреса, имени пользователя и пароля.

То есть нужно подключаться напрямую к БД, а не через Magnus.

  1. Скачайте последнюю версию Wireshark: https://www.wireshark.org/
  2. Запустите Wireshark, нажмите Capture Options и выберите сетевой интерфейс, через который выполняется подключение к СУБД:

    изображение.png

  3. Введите протокол для фильтрации ( для Oracle это tns) (для PostgreSQL или других СУБД можно указать порт, например tcp.port == 5432)

  4. изображение.png

  5. При включенном захвате трафика выполните прямое подключение к целевой базе данных.

  6.  Остановить захват пакетов: Нажать красную кнопку  в левом верхнем углу. Нажать кнопку с дискетой (Save) и сохранить в файл.

  7. Отправьте мне файл дампа (pcap/pcapng) для анализа.
Наверх