一.背景
jumpserver堡垒机针对只是接管ssh来说,正常操作Linux的指令记录应该不会太多,每天有个几千条都已经算很多了。所以默认jumpserver采用MySQL作为存储介质本身也没啥问题。但是我们使用jumpserver对【MySQL应用】进行了托管,导致查询SQL记录以及使用例如DBeaver这样的客户端工具会在后台发送一些查询SQL如校验mysql连接是否已经断开、连接情况频繁的SQL语句等等。导致mysql的terminal_command表会迅速膨胀,terminal_command表有了将近1000w左右的数据量。
具体表现形式,就是查看【审计-命令记录】严重会导致卡死,我们遇到的就是这种场景。
仔细查看jumpserver官方文档,其实能够解决这个问题。既然针对这种存储大量数据的问题,MySQL自然会遇到性能瓶颈,那么官方还提供了Elasticsearch的存储方案,针对这种海量文本数据,Elasticsearch就能发挥其优势。我们对不同的jumpserver组件可以采用不同的存储方案。 例如,【ssh】如果命令增长不是很猛,那么存MySQL其实OK的. 但是例如托管【MySQL数据库应用】这种场景,可以使用Elasticsearch存储介质。
二.具体操作
1.系统设置->终端设置->命令存储
2.新建命令存储Elasticsearch
3.输入ES相关信息保存
可以按天分索引(index), 定义索引前缀即可,这样后期可以方便清理和删除index, 例如清理3个月以前的数据,那么只需要删除相应日期的index即可。
4.更改各组件配置的后端存储方式
例如我这里更新KOKO组件【管理SSH的组件】、Magnus【管理MySQL数据库应用的组件】设置命令存储的介质是Elasticsearch类型
5.验证Elasticsearch是否写入数据
已经有了以jumpserver为前缀,以日期作为分隔的index,并且已经有对应数据
6.查看审计记录,已经很流畅
7. terminal_command表truncate清空
这个看个人情况而定,因为我把SSH和MySQL应用的命令都存储到Elasticsearch了,数据库这张表已经有了1000w数据,考虑到没什么审计价值了,并且页面基本加载不出来,我就直接清空了。
8.定期清理功能
定期清理功能也可以设置一下时间,要不然这些命令会一直往数据库堆积,占用空间。 其实一般存3个月或者6个月基本可以了。