《慧眼数据库安全审计系统v302-用户使用手册.docx》由会员分享,可在线阅读,更多相关《慧眼数据库安全审计系统v302-用户使用手册.docx(83页珍藏版)》请在三一办公上搜索。
1、慧眼数据库安全审计系统V3.0.2用户使用手册国都兴业信息审计系统技术(北京)有限公司2012年3月慧眼数据库安全审计系统-用户使用手册目 录1引言11.1文档目的11.2术语和缩写12产品简介32.1产品背景32.2产品特点42.3产品功能43硬件安装53.1拆箱检查53.2设备上架63.2.11U设备上架63.2.22U设备上架73.3设备连接93.3.1设备面板指示93.3.2设备接口说明103.3.3镜像端口接入103.3.4TAP接入114连接登录144.1连接方式144.2修改通信口的ip设置144.3登录系统165慧眼数据库安全审计系统管理175.1首页175.2门户框架195.
2、2.1个人设置195.2.2实时监控215.2.3系统消息提示225.2.4时间设置235.2.5注销235.3审计中心235.3.1数据库审计245.3.2其它审计255.3.3实名审计295.3.4DOMINO审计305.3.5本地审计315.4攻击监测325.4.1如何开启或关闭攻击监测325.4.2攻击事件查询335.4.3监测引擎配置365.5性能分析385.5.1如何指定时间范围进行延时分析385.5.2如何查看分析结果405.5.3如何设置详细分析条件405.6统计分析415.6.1SQL操作类型统计415.6.2事件类型统计435.6.3流量统计445.7策略中心465.7.1
3、策略配置465.7.2资产配置495.7.3来源规则525.7.4时间规则565.7.5内容规则585.8报表中心595.8.1如何手动生成报表595.8.2如何使用自动报表605.8.3如何使用历史报表615.9系统配置625.9.1审计数据库服务器625.9.2审计WEB中间件635.9.3知识库645.9.4IP采集条件655.9.5工作参数665.9.6角色管理725.9.7补丁管理745.9.8授权管理765.9.9备份/还原785.9.10重启/关机825.10用户管理835.10.1如何添加用户845.10.2如何编辑用户855.10.3如何删除用户855.11系统日志管理855
4、.11.1如何进行日志查询865.11.2如何查看日志的详细信息905.11.3如何进行日志删除905.11.4如何导出系统日志915.11.5如何调整日志展示列91III慧眼数据库安全审计系统v3.0.2-用户使用手册1 引言1.1 文档目的版权声明本手册包含了慧眼数据库安全审计系统的硬件上架安装、快速使用指南、系统功能配置以及FAQ等内容。手册中涉及相关文档、文字内容、标识等信息均受版权保护,手册的任何部分未经许可均不得复制或者传播,违者必究。适用范围本手册适用于慧眼数据库安全审计系统的最终用户。1.2 术语和缩写数据库审计数据库审计是通过记录数据库的操作行为作为审计记录,反映出数据库被使
5、用的状况;数据库审计支持通过网络访问方式把对数据库的操作及内容进行实时的监控审计。审计类型审计类型指慧眼数据库安全审计系统支持的各种类型,包括数据库类型(Oracle、DB2、MSSql、MySql、Sybase、Infomix)、数据库运维类型(Ssh、Ftp、Telnet)以及web中间件类型。数据库sql操作类型数据库审计支持的sql操作类型,包括 插入操作(Insert) o 数据插入操作(INSERT, SELECT INTO) o 新建数据表、数据库、视图、索引等操作(CREATE TABLE, CREATE DATABASE, CREATE VIEW, CREATE INDEX,
6、 ) 查询操作(Select) o 数据查询操作(SELECT) o 数据表结构查询操作(show/desc) 删除操作(Delete) o 删除数据操作(DELETE, TRUNCATE TABLE, TRUNCATE DATABASE, ) o 删除数据表、数据库、视图、索引等操作(DROP TABLE, DROP DATABASE, DROP VIEW, DROP INDEX, ) 更新操作(Update) o 数据更新操作(UPDATE) o 数据表结构更新操作(ALTER, RENAME TO , MERGE INTO USING ) 用户访问(Access) o 用户登录 特权操作
7、(Privilege) o 用户权限改变(GRANT, DENY, REVOKE) o 用户建立与删除 o 备份与恢复操作(BACKUP, RESTORE) o 事务操作(COMMIT, ROLLBACK TO) 数据库特有操作 o Microsoft SQL Server特有操作:DBCC,SP_*, OPENDATASOURCE, o ORALCE特有操作 其他操作 o 特定字符串审计 数据库运维审计数据库运维是针对用户数据库的软件安装、配置、备份及实施,数据恢复、迁移,故障排除、预防性巡检等一系列服务;数据库运维审计是对通过远程访问方式,对数据库进行运维操作的行为及内容审计,如telne
8、t、ftp、ssh等。Web中间件审计web中间件泛指客户端访问web应用服务器,web应用服务器再访问数据库的应用环境中的web应用服务;web中间件审计支持对客户端访问web应用服务器的行为及内容的审计,同时支持客户端访问web应用服务器和web应用服务器访问数据库关联行为及内容的审计。审计服务器审计服务器指数据库服务器、数据库运维服务器以及web中间件服务器。审计客户端审计客户端指访问审计服务器的用户终端。审计记录用户访问审计服务器产生的每一个sql操作、运维操作或者web访问记录下来的行为及内容作为一条审计记录。自身日志自身日志指慧眼数据库安全审计系统的配置或状态的变更时生成的记录。A
9、MCAMC是审计管理中心(Audit Management Center)的简写,它实现了产品功能服务层面的功能,其目标是对安全产品的管理。探针探针是慧眼数据库安全审计系统用于采集各种审计数据的分布式模块。探针支持独立安装,或和AMC一体安装。策略对监控数据进行处理,生成审计记录以及执行某种操作的集合。多级管理中,上级AMC支持策略调度下发。数据转储数据转储指将慧眼数据库安全审计系统的审计记录,导出转存到系统之外的空间,并能通过手段查询转存到系统外的历史记录的功能。TAP设备TAP是分路器设备,提供网络流量的副本,以便进行实时监控和分析;接口分为电口和光接口。2 产品简介2.1 产品背景萨班斯
10、法案(SOX)诞生之日起,为数不少的安全公司就已经预测到数据安全审计将成为企业无法回避的问题。只要是正规的企业,都无法回避自身的数据安全问题。当然,上市公司就更加需要重视。事实上,这里所说的数据库安全审计,不仅包括了数据源的安全,而且也涵盖了审计方法与企业IT流程的结合。数据库是每个企业数据管理的基础,尽管这些系统的数据完整性和安全性是相当重要的,但对数据库采取的安全检查措施的级别还比不上操作系统和网络的安全检查措施的级别。许多因素都可能破坏数据的完整性并导致非法访问,这些因素包括密码安全性较差、误配置、未被察觉的系统后门以及自适应数据库安全方法的强制性常规使用等。针对以上破坏数据完整性的威胁
11、都来自于数据库本身的安全策略的漏洞和使用方面的问题,然而对于数据库合法用户的违规操作,以及内部用户对数据资源的故意泄露或破坏等问题,对企业带来的危害会更加严重,损失也会相当巨大。当然,数据库系统本身会提供一些日志审计功能,但是想要审计较为细致的操作日志就必然要影响到数据库服务器的性能,一般应用数据库的企业用户 ,都不愿意开设多一些的日志审计功能,这样必然会对数据库的安全埋下了安全隐患。当产生数据安全问题时,为了寻找案件线索,执法机构需要从网络上寻找犯罪嫌疑人的活动和留下的痕迹并获取可靠的犯罪证据,对于侦破犯罪案件,保障社会稳定,维护公民利益具有十分重要的意义。因此,安全管理要从网络系统安全和应
12、用安全两个方面推进,才能有效地全面解决安全问题。数据库网络安全审计是网络安全管理工作中的一个重要组成部分,它可以通过对网络数据库的“信息活动”实时地进行监控审计,使管理者对网络数据库的“信息活动”一目了然,能够及时掌握数据库服务器的应用情况,及时发现客户端的使用问题,存在着哪些安全问题和隐患并予以纠正,预防应用安全事件的发生,即便发生了也能够可以快速查证并追根寻源。2.2 产品特点慧眼数据库安全审计系统是集数据库审计、数据库安全检测、数据库优化分析三大功能为一体的综合监控审计系统。该系统采用网络旁路实时侦听方式,全线速采集网络上所有会话流,对网络中的各种应用行为和应用内容进行监控、报警、记录。
13、慧眼数据库安全审计系统不参与被监控网络的数据传输活动,因此不对网络结构和性能产生任何影响,具有很好的透明性和安全性。2.3 产品功能数据库操作和数据库运维监控、审计、报警能够对网络数据库的各种操作进行记录审计并报警,提供详细的审计信息(4W:何时 When 、何地 Where 、何人 Who以及何种行为 What)查询功能和邮件、syslog报警方式。同时提供多种审计条件,实现分类审计或组合审计。数据库事件审计分析能够对网络数据库接收发送的流量包数进行统计,并提供详细的统计条件(如:时间、IP地址、协议类型等),并根据历史的数据库操作数量做出基于:天、周、月的趋势分析。日志信息查询 能够对网络
14、中其他设备发来的syslog和SNMP日志信息进行接收和查询,并提供多种查询条件,实现分类或组合查询。报表系统可以实现手动报表和自动定制报表邮件发送功能。同时提供灵活的可定制报表策略和rtf、html和pdf多种报表格式。系统状态配置、查看可以通过界面查看系统状态、进行系统管理,并提供智能诊断功能。数据保护拥有数据存储区磁盘空间预警和数据保护功能。在数据存储区磁盘空间使用率达到预设的预警阀值时通过界面显示和邮件方式实现预警,达到预设的保护阀值时根据设定的数据保护机制采取相应的处理对审计数据进行保护。自身日志支持完善的自身日志记录和查询功能。补丁升级可以通过界面上传补丁包进行补丁的升级和卸载。用
15、户/角色权限管理实现用户权限三权分立,支持基于用户、产品功能模块和内容访问三级的权限管理。3 硬件安装3.1 拆箱检查在打开包装之后,请您先检查随机附带的电源线、网线、随机光盘等附件是否齐全,所有部件请对照装箱单进行检查,如有缺损请及时和销售人员联系。注意:取出设备后,不要将外包装丢弃,在需要搬运时,请务必使用原包装,它是为您的审计设备专门设计的包装,具备良好的防震功能。物 品 名 称数量数据库审计设备1电源线1网线2随机光盘1小托架1装箱单1每台设备有固定的序列号,且是唯一的。设备序列号的位置随设备类型不同而不同,一般分3种情况:设备左侧靠前位置设备左侧后部位置设备后部中间位置3.2 设备上
16、架数据库审计设备机箱符合工业机柜的标准,它的高度为1U或者2U,可以顺利的安装到19”标准机柜中去。3.2.1 1U设备上架安装支架1.在每个1U设备附件中,都包括一个支架。2.将支架安装在机柜上,将A点安装在机架内侧。如图所示:设备上架1.将设备放到刚装好的支架上,调整好位置。2.将位于设备前面耳朵的孔与机架前侧的孔对应,加螺丝固定。3.2.2 2U设备上架安装内侧导轨(固定在机箱上)1. 在每个导轨装置中,都包括一副内侧可抽拉导轨和外侧导轨。2. 按住内侧抽拉导轨装置上的卡锁,将内导轨抽出并安装在机箱侧面。(内侧导轨安装在机箱两侧,外侧导轨安装在机柜两侧上)3. 将位于内侧抽拉导轨的五个孔
17、和机箱上侧身的五个孔相对应,加螺丝固定。4. 固定好一侧导轨在机箱上,重复以上步骤再安装另一侧导轨在机箱上即可。外侧导轨安装(固定在机柜上)在机箱料包盒里,有前面(短)和后面(长)各一副导轨片。请按照导轨片上箭头标注的方向排好。1. 排好后固定前面的导轨片(短)在外侧导轨上;2. 再附上后面的导轨片(长)固定在外侧导轨上;3. 量出外侧导轨安装到机柜的具体深度和长度,调节好短、长副导轨片和外侧导轨合适机柜的距离;4. 重复相同的步骤安装另一侧的导轨到机柜上;5. 将机箱插入机柜上的外侧导轨并推进时,听见“咔”的声响后,机箱便顺利装入机柜中(第一次安装时,机箱上导轨插入机柜外部导轨的过程和推入过
18、程不是很容易,在推入时不要用力过猛);6. 当拉出机箱时,只要扳动机箱两侧导轨上的卡锁扣即可拉出。3.3 设备连接3.3.1 设备面板指示设备面板指示:(以1U服务器为例)如图:(自右至左)分别为:电源开关、重新复位按钮、电源指示灯、硬盘工作指示灯、通信口指示灯、备用通信口指示灯、CPU温度过高指示灯;电源开关:软件式开关,按一下为开,再按一下为关;重新复位按钮:暗埋式设计,使用时用细物按下,设备在任何情况下重新启动;电源指示灯:此灯亮时指示电源为开(只有此灯亮时代表电源打开);硬盘工作指示灯:此灯亮时指示硬盘工作;通信口指示灯:LAN0号网口接通指示灯(此灯亮时只代表网口接通,不代表电源打开
19、);备用通信口指示灯:LAN1号网口接通指示灯(此灯亮时只代表网口接通,不代表电源打开);CPU温度过高指示灯:此灯亮时说明CPU温度超过BIOS中设定温度。(该设备为4网口,LAN2、LAN3指示灯在机箱背面网口处。)3.3.2 设备接口说明1U设备:2U设备:A:鼠标键盘B:USB接口C:COM/Video接口D:通信口: 用于用户访问系统的通信接口E:备用通信口: 用于通过网络进行设备内部维护时使用F、G:采集口: 用于采集网络数据包的接口,可以使用两个接口中的任何一个或两个同时使用H、I:扩展卡插口(可以为光接口卡或者电接口卡)3.3.3 镜像端口接入数据库审计设备一般采用镜像端口的接
20、入方式,将一个采集口连接到交换机的镜像端口,交换机镜像端口的具体配置视不同厂家和型号的交换机会有所不同,具体配置方法参见相应厂家和型号的交换机配置手册。3.3.4 TAP接入当现场情况由于镜像端口已经被其他设备占用,或者因为某种原因无法接镜像端口,建议采用TAP的接入方式。电口TAP接入示意图:光接口TAP接入示意图:冗余电源:(以2U服务器为例)如图所示:为2U设备的冗余电源;要求上下两个电源都要接入220V交流电源;任何一个未接入,即会报警;若不想使用两个电源供电,可任意拔出一个电源,就不会产生报警(如下两图);拔电源时,按住电源上面的按钮,向右侧按,同时拉电源后面的把手,即可将单个电源拉
21、出;复原时,直接推电源到底,同时听到“卡“一声时,表示电源推到位并锁住。4 连接登录4.1 连接方式产品为B/S架构,使用IE浏览器软件即可以对产品进行配置和管理。将管理计算机通过交换机和通信口相连即可对设备进行管理。通信口为ETH0,备用通信口为ETH1。4.2 修改通信口的ip设置将慧眼数据库安全审计系统的默认IP修改修改为用户管理环境要求的IP,通过备用通信口(ETH1)进入到慧眼数据库安全审计系统中,修改通信口ETH0(审计中心IP)地址,ETH1出厂默认的IP地址172.16.0.254,子网掩码255.255.0.0,只能通过网线直连,不支持将备用通信口连到交换机。在使用命令行修改
22、通信口的IP时,首先要保证笔记本的IP地址和ETH1的IP在同一个网段,如果不在同一个网段,要先修改笔记本的IP,如下图以windows xp为例:然后,用户可以使用随机光盘中的putty.exe程序或者支持ssh连接的远程访问工具,通过备用口的IP连接到后台系统,账号是system,密码是system。用户登录后台系统后可以看到如下界面:用户可以依次输入help,network,如下图所示:依次按照提示修改IP、子网掩码以及网关。具体操作方法参见“命令手册2.1 修改网络配置network”。4.3 登录系统使用IE浏览器(要求用IE7或以上版本,IE6不能完全支持),在地址栏中输入:htt
23、p:/审计中心IP (此处的审计中心IP指审计中心通信口的IP) 如:http:/192.168.1.254 按照以下步骤进行即可登录系统。通信口 IP地址:192.168.1.254掩码: 255.255.255.0网关: 192.168.1.1备用通信口 IP地址:172.16.0.254掩码: 255.255.0.0系统内置用户和初始密码:内置默认用户用户名密码权限系统管理员sysadminsysadmin1234首页、审计中心、攻击监测、性能分析、策略中心、报表中心、系统配置用户管理员useradminuseradmin1234普通用户的创建和删除等管理系统审计员auditadmina
24、uditadmin1234查看系统自身操作日志的审计信息& 说明:慧眼数据库安全审计系统目前只支持使用IE 7及以上版本浏览器,使用其他浏览器有可能出现部分功能显示异常现象。Flash支持10.0.32.18以上版本。1) 输入用户名和密码,即可登录系统。2) 部署首次安装的慧眼数据库安全审计系统应以系统管理员身份登录系统,系统管理员默认用户名和密码为sysadmin,sysadmin1234。3) 用户首次登录系统的时候需要更改当前的密码,且密码必须符合以下规范:1. 字母、数字、特殊字符的组合2. 长度大于8位3. 不能与原密码相同 注意:当用户连续5次输入错误的密码进行登录,系统将弹出提
25、示,如下图所示:此时需要等待5分钟后再刷新界面进行登录。5 慧眼数据库安全审计系统管理5.1 首页“首页”主要反映该审计系统的全局信息,包括审计服务器及策略相关配置情况、事件类型及SQL操作延时及安全攻击事件趋势、磁盘信息、CPU、内存以及网口通信状态信息等。如下图所示。其中,上面部分列出了所有数据库审计服务器,可点击后面的单个图标查看针对各个服务器的统计信息。系统初装无审计服务器时显示如下:点击“添加”即可跳转到“审计数据库服务器”界面。第二部分显示过去的12个小时数据库操作事件的统计情况,如下图所示:第三部分是针对数据库服务器的各事件类型、SQL操作的延时、服务器遭受安全攻击的数量进行展示
26、。鼠标移到折线整点处,可看到当时时间段的数据统计数:事件类型排名:单点显示过去的12小时内数据库服务器发生的相应事件类型的审计记录总数,总体显示总数前5名的事件类型,如上图所示单点为过去的12小时发生名为“SQLSERVER”事件的记录数为1411条;延时趋势:单点显示当时的1小时内数据库服务器操作的平均延时时间(以毫秒为单位),总体显示过 去的12个小时的延时趋势;攻击事件趋势:单点显示当时的1小时内数据库服务器遭受攻击的总数,总体显示过去12小时的攻击事件趋势,如下图所示单点为11:00至12:00的数据库服务器遭受攻击的总数为12。首页下方显示的是当前系统磁盘的使用情况(以百分比表示),
27、以及各以太网口的使用状态(当网口未连接网线时,显示红色,否则显示绿色),鼠标移到相应的图标处,可显示具体信息。如下图所示:5.2 门户框架以系统管理员sysadmin登录系统后,在界面的右上角可以看到如下图所示的门户菜单栏:从左依次为:个人设置、实时监控、系统消息提示、时间设置、注销。5.2.1 个人设置以系统管理员sysadmin登录系统后,点击按钮,弹出个人设置界面,如下图所示:个人设置包括用户名全名、电子邮箱、密码三项。全名:输入系统用户的名称,默认的全名是sysadmin。注:与登录时的用户名不同。当输入“全名”后,“保存”和“重置”两个按钮变为可用状态。若点击“重置”按钮,状态变为用
28、户上一次保存时的“全名”;若点击“保存”按钮,将输入信息进行保存,然后“保存”和“重置”两个按钮再次变为不可用状态,并且,再次登录系统后,保存了的名称将显示在门户菜单中,例如:输入用户全名为:abcdef,如下图所示:电子邮箱:输入电子邮箱地址。同上,当输入“电子邮箱”后,“保存”和“重置”两个按钮变为可用状态。若点击“重置”按钮,状态变为用户上一次保存时的“电子邮箱”;若点击“保存”按钮,将输入信息进行保存,然后“保存”和“重置”两个按钮再次变为不可用状态。密码:是否修改密码。若要修改密码,密码长度不能少于8位,并且密码必须包含字母、数字和特殊字符。例如:abc1234。若显示密码被勾选,显
29、示输入的密码,否则以“*”代替。输入新密码后,“保存”和“重置”两个按钮变为可用,点击“保存”按钮,保存新密码,再次登录系统时,要使用新设定的“密码”进行登录;点击“重置”按钮,不保存。然后,返回到初始登录个人设置界面的状态。5.2.2 实时监控如上图所示,报警信息以红、黄、绿三个颜色圆圈代表审计数据库服务器监控到的数据风险级别为高、中、低。数字表示审计数据库服务器按相应风险级别所实时监控到的数据。注:提示数据个数范围为0-9999条。当超过9999条数据时,以“9999+”形式表示。1) 点击三个风险级别的颜色圆圈,分别会弹出当前风险级别的审计记录页面。2) 若点击,将显示当前实时审计的数据
30、,最多显示1000条数据。同时,数据列表按照风险级别(包括高、中、低、无)的不同显示颜色也不同,与门户菜单的风险级别圆圈相对应,即“高”对应红色,“中”对应黄色,“低”对应绿色,“无”对应无色。如下图所示:数据列表显示数据范围为0-1000条。每5秒钟刷新一次进行数据更新,最新监控到的数据将显示在列表的最下方。并且,监控数据具有排重功能。数据列表区域的颜色与门户菜单代表风险级别的圆圈颜色相同,如上图,风险级别为“中”,门户菜单中以黄色圆圈表示,那么数据列表的区域显示为黄色。并且,可以对列表的数据进行排序,如上图所示,按事件ID进行排序,那么点击“”后面的三角即可,上三角表示时间ID从小到大排序
31、,下三角与其相反。同理,也可按风险级别、审计数据库服务器、事件类型、操作来源、操作时间中的任意一项进行排序。选中某一条事件,将在界面的下方显示出详细信息(红色框内区域)。点击,可配置来源、操作类型及风险级别的过滤条件,过滤条件创建后,对界面上已展示数据进行过滤。5.2.3 系统消息提示,此图片代表系统消息提示,气泡里面的数字,代表消息条数。系统默认有6条消息提示。即:配置IP过滤条件、配置邮件服务器、配置时间服务器、配置审计服务器、配置授权告警、配置磁盘预警阀值。若增加配置或完成某个配置,那么系统会实时监测,数字会相应增加或减小,配置过的消息提示将不再进行提示。 点击气泡, 可查看具体提示信息
32、。当有授权告警时,会在此增加提示,如下图所示:当有磁盘预警时,会在此增加提示,如下图所示:另外,还有“同步”提示,当系统修改某一信息或者配置后,需要点击气泡,进行同步。例如:在策略配置中,添加了一条事件类型,并且为它新建了一条策略,此时,点击气泡,将有如下提示:提示内容:策略发生了变化,点击“同步”按钮,进行系统同步配置。若有些配置已经完成了,那么会对其他配置进行提示,消息提示数目是实时更新显示的。并且,当鼠标移开气泡时,提示会关闭。注:每增加一个消息提示,都会显示在消息提示的首页。5.2.4 时间设置点击门户菜单的系统时间设置,那么直接跳转到“系统配置-工作参数”界面,进行时间设置。5.2.
33、5 注销在任意时刻,点击门户菜单的按钮,弹出如下对话框:若点击“确定”按钮,跳转到初始登录界面;若点击“取消”,关闭此对话框。5.3 审计中心审计中心包括: 数据库审计, 其它审计,实名审、DOMINO审计和本地审计。通过审计中心,可以对系统已审计到的数据进行查看,通过设置时间等查询条件对审计到的数据进行更精确的查询。5.3.1 数据库审计以系统管理员sysadmin登录系统, 鼠标点击左侧导航栏“审计中心-数据库审计”,即可进入数据库审计界面。数据库审计是对系统记录的对数据库的操作行为进行的审计。进入数据库审计页面以后,默认的查询条件是今天,点击查询,可以查看今天已审计到的对数据库的操作行为
34、的记录。选择查看日期: 通过点击下方的日期选择需要查看的日期的审计记录,点击和分别向左和向滑动日期, 点击滑到日期列表的最左边,点击滑到日期列表的最右边。详细信息: 点击一条数据,在右边列表页面可以查看到选中数据的详细信息。导出:在查询结果区域的“导出”按钮可批量导出前1万条记录。点击每条记录右侧详细信息处可以导出当前对应的一条数据。SQL回放:点击一条数据,在右边列表页面的详细信息中点击“SQL回放”,可对同一会话中的SQL语句进行回放。点击播放,界面展示SQL语句已经SQL语句的返回状态。播放时可进行暂停、查看第一条和查看最后的操作。用户关联: 对操作来源IP可以通过点击“用户关联”,在新
35、的页面上设置时间关联到登录SMP认证系统的用户名。下图是点击操作来源IP“192.168.10.208”右侧的“用户关联”页面以后,查到的关联结果示例:排序: 可以通过点击查询结果中的列名进行升、倒序排列。点击“查询”按钮的下拉箭头,进入到查询设置页面,当鼠标移动到查询条件上时,下方的说明框里是对查询条件的详细说明。通过设置查询条件,可以更精确的查询到审计记录。5.3.2 其它审计以系统管理员sysadmin登录系统, 鼠标点击左侧导航栏“审计中心-其它审计”,即可进入其它审计界面。其它审计中包含了:运维,WEB中间件,WEB中间件关联,SYSLOG日志,SNMP日志。点击“其它审计”右侧的单
36、选框,可以切换到具体的审计页面。比如,点击运维单选框,运维审计页面被打开。5.3.2.1 运维运维是对访问数据库服务器行为的审计。进入运维审计页面以后,默认的查询条件是今天,点击查询,可以查看今天已审计到的对数据库服务器访问的记录。选择查看日期: 通过点击下方的日期选择需要查看的日期的审计记录,点击和分别向左和向滑动日期, 点击滑到日期列表的最左边,点击滑到日期列表的最右边。详细信息: 点击一条数据,在右边列表页面可以查看到选中数据的详细信息。导出:在查询结果区域的“导出”按钮可批量导出前1万条记录。点击每条记录右侧详细信息处可以导出当前对应的一条数据。用户关联: 对操作来源IP可以通过点击“
37、用户关联”,在新的页面上设置时间关联到来源IP的用户名,同数据库审计中的该功能。排序: 可以通过点击查询结果中的列名进行升、倒序排列。点击“查询”按钮的下拉箭头,进入到查询设置页面, 当鼠标移动到查询条件上时,下方的说明框里是对查询条件的详细说明。通过设置查询条件,可以更精确的查询到审计记录。5.3.2.2 WEB中间件WEB中间件审计是对中间件访问记录的审计。进入WEB中间件审计页面以后,默认的查询条件是今天,点击查询,可以查看今天已审计到的对WEB中间件访问情况的记录。选择查看日期: 通过点击下方的日期选择需要查看的日期的审计记录,点击和分别向左和向滑动日期, 点击滑到日期列表的最左边,点
38、击滑到日期列表的最右边。详细信息: 点击一条数据,在右边列表页面可以查看到选中数据的详细信息。导出:在查询结果区域的“导出”按钮可批量导出前1万条记录。点击每条记录右侧详细信息处可以导出当前对应的一条数据。排序: 可以通过点击查询结果中的列名进行升、倒序排列。点击“查询”按钮的下拉箭头,进入到查询设置页面,如下图:当鼠标移动到查询条件上时,下方的说明框里是对查询条件的详细说明。通过设置查询条件,可以更精确的查询到审计记录。5.3.2.3 WEB中间件关联WEB中间件关联是对通过访问WEB中间件来访问数据库服务器的行为进行关联的结果的审计。进入WEB中间件关联审计页面以后,默认的查询条件是今天,
39、点击查询,可以查看今天已审计到的数据库操作与WEB中间件访问的两者之间已关联到的信息的记录。选择查看日期: 通过点击下方的日期选择需要查看的日期的审计记录,点击和分别向左和向滑动日期, 点击滑到日期列表的最左边,点击滑到日期列表的最右边。详细信息: 点击一条数据,在右边列表页面可以查看到选中数据的详细信息。导出:在查询结果区域的“导出”按钮可批量导出前1万条记录。点击每条记录右侧详细信息处可以导出当前对应的一条数据。排序: 可以通过点击查询结果中的列名进行升、倒序排列。点击“查询”按钮的下拉箭头,进入到查询设置页面,如下图:当鼠标移动到查询条件上时,下方的说明框里是对查询条件的详细说明。通过设
40、置查询条件,可以更精确的查询到审计记录。5.3.2.4 SYSLOG日志SYSLOG日志是对审计数据库所在主机的SYSLOG日志的审计。进入SYSLOG日志审计页面以后,默认的查询条件是今天,点击查询,可以查看今天已审计到的数据库所在主机的SYSLOG日志审计记录。选择查看日期: 通过点击下方的日期选择需要查看的日期的审计记录,点击和分别向左和向滑动日期, 点击滑到日期列表的最左边,点击滑到日期列表的最右边。详细信息: 点击一条数据,在右边列表页面可以查看到选中数据的详细信息。导出:在查询结果区域的“导出”按钮可批量导出前1万条记录。点击每条记录右侧详细信息处可以导出当前对应的一条数据。排序:
41、 可以通过点击查询结果中的列名进行升、倒序排列。点击“查询”按钮的下拉箭头,进入到查询设置页面当鼠标移动到查询条件上时,下方的说明框里是对查询条件的详细说明。通过设置查询条件,可以更精确的查询到审计记录。5.3.2.5 SNMP日志SNMP日志是对审计数据库所在主机的SNMP日志的审计。进入SNMP日志审计页面以后,默认的查询条件是今天,点击查询,可以查看今天已审计到的数据库所在主机的SNMP日志审计记录。选择查看日期: 通过点击下方的日期选择需要查看的日期的审计记录,点击和分别向左和向滑动日期, 点击滑到日期列表的最左边,点击滑到日期列表的最右边。详细信息: 点击一条数据,在右边列表页面可以
42、查看到选中数据的详细信息。导出:在查询结果区域的“导出”按钮可批量导出前1万条记录。点击每条记录右侧详细信息处可以导出当前对应的一条数据。排序: 可以通过点击查询结果中的列名进行升、倒序排列。点击“查询”按钮的下拉箭头,进入到查询设置页面。当鼠标移动到查询条件上时,下方的说明框里是对查询条件的详细说明。通过设置查询条件,可以更精确的查询到审计记录。5.3.3 实名审计以系统管理员sysadmin登录系统, 鼠标点击左侧导航栏“审计中心-实名审计”,即可进入实名审计界面。实名审计是此处展示的是访问SMP系统的用户登入(用户活动开始时间)登出(用户活动结束时间)时间和用户的IP。该功能默认为关闭状
43、态,默认用户需要首先进行SMP配置:在“查询”按钮下方点击“SMP配置”,弹出对话框,如下图所示:状态:用户可点击选择是否开启SMP审计功能,默认为“关”即不审计;IP、端口:指定SMP关联系统服务器的IP和端口;保存后即可生效。查询条件包括用户活动开始时间、用户活动结束时间、用户名和IP。查询条件可以以单一条件进行查询也可以以组合条件进行查询(默认的查询条件是今天)。用户活动开始时间即用户登入数据库的时间,用户活动结束时间即用户登出数据库的时间,只要用户的登入和登出时间在开始时间和结束时间范围内就会将该用户的信息查询出来。例如:设置的开始时间和结束时间分别是:2011-03-17 00:00
44、:00和2011-03-18 23:59:59。则查询结果为所有登入时间大于等于开始时间和登出时间小于等于结束时间的记录。排序: 点击查询结果中的列名,可对选择列进行升、倒序排列。5.3.4 DOMINO审计以系统管理员sysadmin登录系统, 鼠标点击左侧导航栏“审计中心-DOMINO审计”,即可进入实名审计界面。DOMINO审计是针对DOMINO文档型数据库产品而进行的数据库审计。通过DOMINO审计查询可以根据查询条件,把审计到的数据包括用户名、服务器名、端口、流量、事务数、读写文档数、会话时长以及数据库等相关信息查询出来。DOMINO审计支持的查询条件包括:时间范围、DOMINO服务
45、器名、用户名以及数据库名。对于DOMINO服务器名信息,系统可以自动从审计数据中获取,查询时用户手动选取服务器即可。而对于用户名和数据库名信息,需要用户手动输入关键字,其中支持关键字的模糊查询。例如:在用户名输入框中输入admin为关键字,就可以查询出用户名含有admin字段的所有用户。DOMINO审计查询界面包括两部分,查询结果和详细信息。查询结果以表格形式展现DOMINO审计信息,点击列名可以按照该列数据进行排序。查询结果每次返回100条记录,可以拖动鼠标至底部进行再次查询,直至返回所有符合条件的记录。点击查询结果标题右上侧的导出标志,可以对符合查询条件的记录进行导出,其中导出文件将以csv格式保存。详细信息包括数据库和其他相关信息,用户也可以点击导出标志,对单条审计记录进行导出,导出文件以txt格式保存。注:用户需要以DOMINO服务器名,在审计数据库服务器页面内添加DOMINO类型的服务器。首页就可以展现基于该DOMINO服务器的统计信息,其中包括:会话趋势、流量趋势以及事务趋势。5.3.5 本地审计以系统管理员sysadmin登录系统, 鼠标点击左侧导航栏“审计中心-本地审计”,即可进入本地审计界面。本地审计是通过数据库账号、密码(实例名)连接到数据库服务器
