天融信数据库审计系统TA_DB-用户手册

1、天融信数据库审计系统天融信数据库审计系统TA-DBV3.1.002用户手册用户手册天融信TOPSEC北京市海淀区上地东路 1 号华控大厦 100085电话：+8610-82776666传真：+8610-82776677服务热线：+8610-8008105119http:/版权声明版权声明本手册中的所有内容及格式的版权属于北京天融信公司（以下简称天融信）所有，未经天融信许可，任何人不得仿制、拷贝、转译或任意引用。版权所有 不得翻印 2013 天融信公司商标声明商标声明本手册中所谈及的产品名称仅做识别之用。手册中涉及的其他公司的注册商标或是版权属各商标注册人所有，恕不逐一列明。TOPSEC 天融信

2、公司信息反馈信息反馈http:/天融信数据库审计系统 TA-DB 用户手册服务热线：8008105119 i目目 录录1前言前言.11.1文档目的.11.2读者对象.11.3约定.11.4技术服务体系.12产品简介产品简介.33界面基本操作界面基本操作.44系统管理系统管理.64.1系统状态.64.2系统配置.84.2.1系统web界面配置.84.2.2网络主机名配置.94.2.3系统主机名配置.114.2.4系统配置管理.124.2.5接口配置.144.2.6路由配置.164.2.7系统时间配置.184.2.8磁盘管理.204.2.9系统访问控制.244.2.10设置向导页.254.2.11

3、网络接口配置.264.2.12安装包列表.264.3服务管理.264.4服务对象管理.284.5下级设备管理.314.6任务管理.354.7用户管理.394.7.1角色管理.394.7.2用户管理.424.7.3修改我的密码.454.8主机信息.464.8.1主机管理.464.8.2扫描主机.485安全审计安全审计.505.1审计管理.505.1.1应用协议审计.505.1.2在线用户管理.635.1.3数据库审计管理.63天融信数据库审计系统 TA-DB 用户手册服务热线：8008105119 ii5.1.4列集配置.665.1.5过虑器配置.675.1.6审计配置.685.1.7索引管理.

4、705.2系统日志管理.715.2.1系统日志事件处理中心.725.2.2系统日志审计.725.2.3自定义日志规则.725.3系统报警管理.735.3.1系统报警审计.735.3.2系统报警规则.745.3.3自定义报警规则.775.3.4报警事件处理中心.795.3.5潜在危害分析.845.3.6系统报警阀值设置.855.3.7IPS规则管理.865.3.8系统报警统计分析.865.4业务关联.895.4.1业务视图配置.895.4.2Web规则配置.905.5事件辨别扩展管理.945.6统计分析管理.955.6.1统计分析配置.955.6.2自定义报表.1005.6.3统计报表管理.10

5、25.7审计策略.1035.7.1协议端口匹配规则.1035.7.2协议自动匹配规则.1045.7.3WebMail模板设置.1055.7.4数据采集规则.1065.7.5审计级别管理.1085.7.6系统抓包规则配置.1155.7.7事件处理中心.1175.7.8系统包过虑规则.1225.8IP 规则管理.1236流量分析流量分析.1236.1网络流量分析.1236.2历史流量查询.1256.2.1流量统计.1256.2.2流量趋势.1276.2.3流量查询.1286.3流量分析配置.1296.4多点多级模式下的流量统计.1306.5多点多级模式下的历史流量统计.132天融信数据库审计系统

6、TA-DB 用户手册服务热线：8008105119 iii6.6多点多级模式下的流量趋势查询.134附录附录 A过滤器语法过滤器语法.136天融信数据库审计系统 TA-DB 用户手册服务热线：8008105119 11 前言前言本手册主要介绍天融信数据库审计系统（TA-DB）的配置使用和管理。通过阅读本文档，用户可以了解天融信数据库审计系统的主要功能，并根据实际应用环境安装和配置天融信数据库审计系统。1.1 文档目的文档目的本文档主要介绍如何配置该系统。通过阅读本文档，用户能够正确地配置系统，并综合运用该系统提供的多种安全管理方法，有效地管理网络中的安全设备，实现高效可靠的统一管理。1.2 读

7、者对象读者对象本用户手册适用于具有基本网络知识的系统管理员和网络管理员阅读。1.3 约定约定本文档遵循以下约定。图形界面操作的描述采用以下约定： “”表示按钮。点击（选择）一个菜单项采用如下约定：点击（选择） 高级管理高级管理 特殊对象特殊对象 用户用户。文档中出现的提示、警告、说明、示例等，是关于用户在安装和配置天融信数据库审计系统过程中需要特别注意的部分，请用户在明确可能的操作结果后，再进行相关配置。1.4 技术服务体系技术服务体系天融信公司对于自身所有安全产品提供远程产品咨询服务，广大用户和合作伙伴可以通过多种方式获取在线文档、疑难解答等全方位的技术支持。公司主页天融信数据库审计系统 T

8、A-DB 用户手册服务热线：8008105119 2http:/ TA-DB 用户手册服务热线：8008105119 32 产品简介产品简介天融信网络审计系统（TA-DB）是由北京天融信公司自主研发，面向企业级用户，集行为监控与内容审计为一体的产品。它以旁路的方式部署在网络中，不影响网络的性能，且该产品的万兆平台支持串联方式接入网络，实现串联网络环境下的数据监听和审计。具有实时的网络数据采集能力、强大的审计分析功能以及智能的信息处理能力。通过使用该系统，可以实现如下目标：监控用户的数据库操作行为、审计用户的网络传输内容。实现网络行为报警以及后期取证。实现对网络各应用流量的统计分析。该产品适用于

9、对信息保密、非法信息传播/控制比较关心的单位，或需要实施网络行为监控的单位和部门，如政府、军队机关的网络管理部门，公安、保密、司法等国家授权的网络安全监察部门，金融、电信、电力、保险、海关、商检、学校、军工等各行业网络管理中心，以及大中型企业网络管理中心等。注意注意：TA-DB 所能监控与审计的协议因客户购买的授权许可不同，会存在一定的差别。天融信数据库审计系统 TA-DB 用户手册服务热线：8008105119 43 界面基本操作界面基本操作简单介绍一下界面的基本操作。1）管理员在管理主机的浏览器上输入 TA-DB 的管理 URL。如，https：/54，弹出如下登陆页

10、面。2）输入用户名密码后（默认出厂用户名/密码为：superman/talent），点击“登录”，就可以进入管理页面。管理界面默认显示系统状态，包括：硬盘利用率、CPU 利用率、内存利用率系统界面主要分为三个部分，如下图头部区域导航栏主显示区域天融信数据库审计系统 TA-DB 用户手册服务热线：8008105119 5界面头部用于选择操作的子模块，显示重要信息。如下图通过头部的菜单显示模式选择功能可以实现菜单显示的切换，目前支持以下三种模式：精简模式，适合用户日常操作使用高级模式，适合对系统进行高级配置使用专家模式，适合对系统有高度了解的专业人员使用导航栏与主显示区域因具体模块不同而显示不同，

11、在此不做具体说明。在 系统管理模块系统管理模块 系统状态系统状态 系统系统 licenselicense 配置配置 界面中可以查看系统的授权信息、最终客户名、系统型号、版本号、购买的各功能模块开启情况。天融信数据库审计系统 TA-DB 用户手册服务热线：8008105119 64 系统管理系统管理4.1 系统状态系统状态系统状态包括系统状态和系统 License 配置。系统状态中显示系统设备状态，系统License 配置中显示系统基本信息和证书信息。选择系统管理系统管理 系统状态系统状态 系统状态系统状态，进入设备监控页面。分为两部分，分别是当前设备和下级设备。在左边菜单栏显示如下：1）修改、

12、添加监控模块。右侧主界面显示如下：显示当前所有监控的主机信息。包括被监控对象设备号、设备 IP 地址、所监控模块、连接状态以及连接测试功能，当添加了监控对象后，可以点击连接测试，可以测试网络是否通畅。天融信数据库审计系统 TA-DB 用户手册服务热线：8008105119 7选择“监控模块配置”。按照上图提示步骤 1、2，选中设备并点击监控模块配置，弹出配置信息对话框如下：点击添加（同样在此选中模块并点击删除和修改，可以对设备监控模块进行修改）按照图示，选择好所要监控模块，以及显示的图例类型和颜色，并点击保存，则配置完成。2）查看本机详细信息：天融信数据库审计系统 TA-DB 用户手册服务热线

13、：8008105119 8点击左侧菜单中的 当前设备当前设备 localhostlocalhost，在右将显示其所监控对象信息，如下图：查看下级设备的步骤和查看本机一致，只要在左侧菜单选中相应的设备，即在主窗口显示出来。4.2 系统配置系统配置系统配置包括系统 web 界面配置、网络主机名配置、系统主机名配置、系统配置管理、接口配置、路由配置、系统时间配置、磁盘管理、系统访问控制、设置向导页、网络接口配置、安装包管理。4.2.1 系统系统 web 界面配置界面配置管理员通过系统 WEB 页面配置，可以配置 WEB 页面的登录超时时间和登录重试次数和锁定时间，在 WEB 管理页面上，进入系统管理

14、系统管理 系统配置系统配置 系统系统 WEBWEB 页面配置页面配置，可以看到配置框。 天融信数据库审计系统 TA-DB 用户手册服务热线：8008105119 9配置完成后点击“保存”按钮就能完成配置。注意注意：配置保存成功后必须重启 HTTPD 服务才能是配置生效，用户可以选择立即重启，也能稍后在服务管理模块中手动重启 HTTPD 服务，服务重启后用户必须重新登录。4.2.2 网络主机名配置网络主机名配置管理员通过网络主机名配置可以配置主机与名称的对应关系，在 WEB 管理页面上，点击系统管理系统管理 系统配置系统配置 网络主机名配置网络主机名配置，进入网络主机名管理页面，可以对主机名进行

15、添加，修改和删除操作。1）添加网络主机名：点击“添加网络主机名”按钮，在弹出的配置框中进行网络主机名配置。（主机名不支持特殊字符）天融信数据库审计系统 TA-DB 用户手册服务热线：8008105119 10配置完成后点击“保存”按钮完成配置。2）修改网络主机名：在列表中选择需要修改的网络主机。点击“修改网络主机”按钮，在弹出的配置框里进行信息修改，点击“保存”按钮完成修改。3）删除网络主机：在列表中选择需要删除的网络主机。点击“删除网络主机”按钮，在弹出的提示框里点击“是”按钮完成删除。天融信数据库审计系统 TA-DB 用户手册服务热线：8008105119 114.2.3 系统主机名配置系

16、统主机名配置管理员通过系统主机名配置可以配置系统主机名称和 DNS 服务器，在 WEB 管理页面上，进入系统管理系统管理 系统配置系统配置 系统主机名配置系统主机名配置，进入配置界面，配置完成后点击“保存”按钮完成配置。天融信数据库审计系统 TA-DB 用户手册服务热线：8008105119 124.2.4 系统配置管理系统配置管理管理员通过系统配置管理可以对系统配置进行管理配置，在 WEB 管理页面上，进入系系统管理统管理 系统配置系统配置 系统配置管理系统配置管理，进入配置界面，可以对系统配置进行保存、导入、导出和恢复出厂设置。1）配置保存：点击“配置保存”按钮，页面弹出保存进度条，进度条

17、结束后配置保存操作结束，下次系统重启后将加载保存的配置。2）配置导出：点击“配置导出”按钮，页面弹出配置文件下载框，用户可以将配置文件下载到本机上。天融信数据库审计系统 TA-DB 用户手册服务热线：8008105119 13注意：在 IE 浏览器上必须把下载选项全都选上，以免文件下载框无法弹出。3）配置导入：点击“配置导入”按钮，页面弹出文件上传提示框，用户可以选择本机上的配置文件，点击“上传”按钮，完成配置导入。注意注意：配置导入成功后系统配置将马上生效。4）恢复出厂配置：点击“恢复出厂配置”按钮，系统将导出出厂的配置文件，系统配置将即时恢复到出厂时。天融信数据库审计系统 TA-DB 用户

18、手册服务热线：8008105119 144.2.5 接口配置接口配置管理员通过接口配置可以对系统接口进行管理配置，在 WEB 管理页面上，进入系统管系统管理理 系统配置系统配置 接口配置接口配置，进入系统接口列表界面，可以对系统网络接口配置进行添加IP，修改 IP，删除 IP，启用接口，停用接口操作。1)添加接口 IP：点击“添加接口 IP”按钮，在弹出的接口配置页面中可以配置接口的IP 地址和掩码，配置结束后点击“保存”按钮完成操作。天融信数据库审计系统 TA-DB 用户手册服务热线：8008105119 152)修改接口 IP：在接口列表中选择需要修改的接口，点击“修改接口 IP”按钮，在

19、弹出的接口配置页面中可以修改 IP 地址和掩码(可以添加 ipv6 地址)，配置结束后点击“保存”按钮完成操作。3)删除接口 IP：在接口列表中选择需要删除的接口，点击“删除接口 IP”按钮，完成操作。天融信数据库审计系统 TA-DB 用户手册服务热线：8008105119 164)启用接口：在接口列表中选择需要启用的接口，点击“启用接口”按钮，完成操作。5)停用接口：在接口列表中选择需要停用的接口，点击“停用接口”按钮，完成操作。4.2.6 路由配置路由配置管理员通过路由配置可以对系统路由进行管理配置，在 WEB 管理页面上，进入系统管系统管理理 系统配置系统配置 路由配置路由配置，进入系统

20、路由列表界面，可以对系统路由进行添加，删除操作。天融信数据库审计系统 TA-DB 用户手册服务热线：8008105119 171）添加路由：点击“添加路由”按钮，在路由配置页面中可以配置路由的目的地址和网关、网口，配置完成后点击“保存”按钮完成操作。2）删除路由：在列表中选择要删除的路由，点击“删除路由”按钮，完成操作。天融信数据库审计系统 TA-DB 用户手册服务热线：8008105119 184.2.7 系统时间配置系统时间配置系统时间配置模块可以设置系统的时间、日期、时区信息，以及配置用于系统同步时间的 NTP（Network Time Protocol 网络时间协议，计算机时间同步化的

21、一种协议）服务器。选择系统管理系统管理 系统配置系统配置 系统时间配置系统时间配置,进入系统时间配置页面。系统时间配置模块右侧是时间设定面板，可以设定系统时间、时区等信息。界面右下方有两个按钮。“保存”按钮可以保存当前在右侧设定面板内设定的各项设置。“重置”按钮可以重置未保存的修改。当您需要修改系统日期时，请单击日期框的右侧“日历”按钮。天融信数据库审计系统 TA-DB 用户手册服务热线：8008105119 19此时，将弹出一个微型日历。您可以点击选择年、月、日或点击“今天”按钮选择当前操作系统的时间。当您需要修改系统时间时，您可以点击时间下拉框右方的下拉按钮选择整数时间，或直接输入需要设置

22、的时间，时间格式为：“时：分：秒”。当您需要修改系统时区时，请单击“修改系统时区”按钮，系统将会列出所有时区选项。单击您所要修改的时区，然后点击“保存”按钮保存设置。需要注意的是，系统时间、日期和失去修改后，均需要点击面板右下角的“保存”按钮，保存配置才能生效。若您的工作网络内架设有 NTP 服务器，并且您想通过其校准设备时间。您可以点击NTP 服务器设置框的“添加”按钮。天融信数据库审计系统 TA-DB 用户手册服务热线：8008105119 20在弹出的“添加 NTP 服务器”对话框中输入服务器的 IP 地址或域名，随后点击“添加”后保存设置。若添加正常，右侧 NTP 服务器列表将出现刚才

23、添加的 NTP 服务器地址。添加成功后，建议您使用系统测试功能测试添加的 NTP 服务器是否可以正常使用。用鼠标选中刚刚添加的 NTP 服务器地址，并点击“测试”按钮。若出现“测试成功”字样的提示框，则表明设备可以与 NTP 服务器正常联通并校准时间。反之表明设备无法取得 NTP服务器的信息，请检查添加的 NTP 服务器 IP 地址或域名是否正确。当您成功设置了一台以上的 NTP 服务器后，您可以点击“同步”按钮进行时间同步。要注意的是，若您已经添加了多台 NTP 服务器，系统将按 ID 的先后顺序同步系统时间，并天融信数据库审计系统 TA-DB 用户手册服务热线：8008105119 21以

24、最先成功同步的 NTP 服务器返回的时间为准。同步的时候注意 NTP 服务器的 NTP 服务必须打开，本机的 NTP 服务停止，在系统服务中可以配置。4.2.8 磁盘管理磁盘管理点击 系统管理系统管理 系统配置系统配置 磁盘管理磁盘管理，能够显示当前系统的磁盘使用情况，并能对磁盘数据进行备份、清理操作。 磁盘状态磁盘状态磁盘状态显示数据对象占用磁盘空间大小，以饼状或柱状图形显示磁盘状态,点击“”实现图形的切换。 数据数据备份备份手动备份数据就是根据用户手动添加的规则，进行数据备份工作。选择要备份的数据对象：下拉列表中会显示系统中可备份的数据源类型。天融信数据库审计系

25、统 TA-DB 用户手册服务热线：8008105119 22时间对象选项中填写一个数字，这个数字代表备份多少天之前的数据，例如填 1，代表删除一天以前的数据，我们这里规定一天以前的数据就是昨天的数据。图中 30 代表备份30 天以前的数据。备份服务器是预先配置好的 ftp 服务器，数据将备份到这台指定的服务器上。（关于ftp 服务器配置请参见 4.4 服务对象管理）是否保留备份数据：有两个选项，一个是保留，一个删除。保留就是在备份完成以后，还保留原来系统中的数据不删除。删除则是在备份完成以后，将已经备份完成的部分的数据删除。点击数据备份按钮，系统就会按照前面填好的配置进行备份工作。数据备份规则

26、是用户添加备份的规则，配置好以后不需要人工操作，而由后台程序检查符合条件定期执行。点击添加，如下图所示：天融信数据库审计系统 TA-DB 用户手册服务热线：8008105119 23磁盘利用率上升至百分之多少的时候执行备份工作，这是激活备份功能的条件。注意，这里的磁盘利用率只能填 0-100 的 10 的倍数，如 30,50,70，以 70 为例，它代表磁盘利用率为 70%79%这之间的任何一个利用率状态，而添加 55 这类的数字，则不会被系统识别，因为磁盘利用率刚好达到 55%这个离散的点的概率太低，不便于满足实际的操作效果。其他四项和手动备份中的选项意义相同。点击保存，规则就添加完成了。当

27、系统磁盘的利用率到达 70%的时候，系统会自动备份 30 天以前的还原数据到 ftp_test 服务器上，并且保留原来的数据。 数据数据清理清理数据清理模块帮助用户清理过期无效数据。可以手动清理或自定义数据清理规则。1）手动清理数据。磁盘清理需要配置要清理的数据对象，如下图，在数据对象的下列表中选择想要清理的数据源，在时间对象中填入一个整数，这个整数代表删除多少天以前的数据。例如，下图中的配置代表清理 30 天以前的还原数据。点击右侧的数据清理按钮，系统立即执行清理工作。2）数据清理规则是用户添加备份的规则，配置好以后不需要人工操作，而由后台程序检查符合条件定期执行。点击“添加”

28、，在规则选项页面配置好参数“保存”。规则添加完成。天融信数据库审计系统 TA-DB 用户手册服务热线：8008105119 24磁盘利用率上升至百分之多少的时候执行备份工作，这是激活备份功能的条件。注意，这里的磁盘利用率只能填 0-100 的 10 的倍数，如 30,50,70，以 80 为例，它代表磁盘利用率为 80%89%这之间的任何一个利用率状态，而添加 55 这类的数字，则不会被系统识别,因为磁盘利用率刚好达到 55%这个离散的点的概率太低，不便于满足实际的操作效果。数据对象是要清理的数据源类型，时间对象这里填入一个整数，代表清理多少天以前的数据。当系统磁盘的利用率到达 80%的时候，

29、系统会自动清理 30 天以前的统计分析数据。4.2.9 系统访问控制系统访问控制系统访问控制可以禁止某些 IP 或 IP 域访问 TAW 设备。你若需要禁止某些 IP 或 IP 域访问 TAW 设备，请点击“添加”按钮，并在弹出的输入框中输入要禁止的 IP 地址（域）。允许的格式有标准的 IP 地址格式（如 ）或 CIDR 格式（如 /24）。IP 地址格式支持 IPV6。天融信数据库审计系统 TA-DB 用户手册服务热线：8008105119 25若添加成功，列表中将会显示您刚才添加的 IP 地址（域）。当所有需要禁止的 IP 地址或地址域均已

30、添加后，请单击“启用访问控制”按钮，使您的当前设置生效。若您需要查看当前访问控制的运行状态，请点击“访问控制状态”按钮，系统会返回访问控制进程当前的状态。Firewall is Stop 表明访问控制处于禁用状态，Firewall is Running 表明访问控制处于启用状态，并在中括号内显示访问控制的进程 ID。4.2.10设置向导页设置向导页设置向导页模块，指导用户方便快捷的完成审计策略的配置。包括：数据采集规则，协议端口匹配规则，协议自动匹配规则，以及审计级别配置。点击系统管理 系统配置 设置向导页，设置向导页，进入设置向导页。选择“点击进入”进入数据采集规则页面，设置数据采集规则。天

31、融信数据库审计系统 TA-DB 用户手册服务热线：8008105119 26设置完毕后依次点击“下一步”，可以进入“协议端口匹配规则”、“协议自动匹配规则”、“审计级别设置”页面。分别在各设置页面进行设置，快速完成系统审计策略的配置。各页面的规则配置请参见 5.7 审计策略。4.2.11网络接口配置网络接口配置网络接口配置模块，在系统串联时应用。在此不做详述。4.2.12安装包安装包列表列表安装包管理中列出了产品出厂时灌装的数据包，每个数据包都有自己的功能。列表中详细的介绍了数据包的信息，例如版本、编译次数、支持平台、状态等等。可以选择某个已安装的数据包“更新”、“卸载”，未安装的可以选择“安

32、装”，也可以选择安装包“上传”。具体的操作步骤在此不一 一阐述。天融信数据库审计系统 TA-DB 用户手册服务热线：8008105119 274.3 服务管理服务管理服务管理模块列出了当前系统安装的所有服务模块，您可以在此统一管理系统的各项服务的开启、关闭和一些必要设置。如图所示，每行都对应一项服务。第一列显示的是服务的名称，该列是唯一的；第二列显示的是服务的服务状态。状态若为“Stop”则表明此服务处于停止状态，若为 Running进程 ID 值，则表明此服务处于启动状态，其中括号中的数值代表服务的进程ID 号（可以有一个或多个）。第三至五列为服务的操作按钮，“启动服务”，“重新启动”，“停

33、止服务”，“服务配置”几个按钮，分别对应着服务的“启动”，“重新启动”，“停止”及“配置”四天融信数据库审计系统 TA-DB 用户手册服务热线：8008105119 28种操作。需要注意的是，服务有可能没有扩展配置，所以有些服务无法点击“服务配置”是正常的。第六列显示的是服务的描述信息，简单描述该服务的用途。您若要启动某项服务，请点击该服务列中的“启动服务”列中的图标，并在弹出的确认提示框中点击“是”，即可启动该服务。停止与重新启动服务的操作与启动服务的操作类似，点击相应列中的图标即可。当您需要设置某项服务的扩展设置时（如 SNMP 服务），请点击“服务配置”列中的图标，页面将会跳转至该服务的

34、配置页面。需要注意的是，在您配置结束时，您需要点击右下角的“保存”按钮保存您的设置。“返回列表”按钮可以帮助您在配置结束时返回服务管理模块页面。4.4 服务对象管理服务对象管理服务对象管理包括 SMTP 服务器配置、防火墙联动配置、FTP 服务器配置。在此模块主要完成服务对象的添加、删除和修改功能。1）SMTP 服务器配置天融信数据库审计系统 TA-DB 用户手册服务热线：8008105119 29主菜单中依次点击：系统管理系统管理 服务对象管理服务对象管理 SMTP 服务器配置服务器配置。进入 SMTP 服务器配置页面。添加配置：点击“添加”。 按照要求，填入相应配置信息，点击“添加”保存并

35、退出。修改配置：选中需要配置的服务,点击修改，弹出如下配置窗口。按照提示，修改相应参数，修改完成后点击“修改”进行保存退出。天融信数据库审计系统 TA-DB 用户手册服务热线：8008105119 30删除配置：选中需要删除的服务,点击“删除”。测试服务：添加完后，选中目标服务器，点击“测试”弹出如下对话框，填入接收人邮箱地址，点击“测试”，发送成功后会提示用户登录接收人邮箱，并查看测试邮件是否正常接受，否则提示测试失败。2）防火墙联动配置主菜单中依次点击：系统管理系统管理 服务对象管理服务对象管理 防火墙联动配置防火墙联动配置。进入防火墙联动配置页面。添加配置：点击“添加”。 按照要求，填入

36、相应配置信息，点击“添加”保存并退出。天融信数据库审计系统 TA-DB 用户手册服务热线：8008105119 31删除配置：选中需要删除的服务,点击“删除”。测试服务：添加完后，选中目标服务器，点击“测试”，进行防火墙通信测试。（注意：防火墙联动目前只支持天融信防火墙，防火墙密钥需要在防火墙上去获取。）3）FTP 服务器配置主菜单中依次点击：系统管理系统管理 服务对象管理服务对象管理 FTP 服务器配置服务器配置，进入 FTP 服务器配置页面。添加配置：点击“添加”，弹出添加服务配置对话框。按照要求，填入相应配置信息，点击“添加”保存并退出。删除配置：选中需要删除的服务，点击“删除”。天融信

37、数据库审计系统 TA-DB 用户手册服务热线：8008105119 32测试服务：添加完服务器后，选中目标服务器，点击“测试”，进行 FTP 通信测试，成功返回。4.5 下级设备管理下级设备管理系统下级设备管理模块可以指导您方便的添加、删除和管理下级设备。若要使用该模块，请先将系统设置为“高级模式”或“专家模式”，而后您便能在“系统管理”菜单中看到“下级设备管理”选项卡。在添加下级设备之前，请首先在要添加的下级设备中确认以下事项：1）下级设备已正常启动并完成初始化工作。2）下级设备已经添加一个适用于远程管理的用户。该用户所属的角色需要有设备的服务管理权限和查看设备状态的权限。3）下级设备已经正

38、确设置 webservices 服务并以成功开启该服务。您可在下级设备菜单中，选择 系统管理系统管理 服务管理服务管理，在菜单中查找 webservices 项目，若服务状态显示为Running，则表明服务已成功开启。下级设备管理：天融信数据库审计系统 TA-DB 用户手册服务热线：8008105119 33您可以点击“添加”按钮，并在弹出的“下级设备选项”对话框的“下级设备webservices 通讯设置”中填入要添加的下级设备的必要信息。其中 IP 地址为下级设备的 IP 地址；通讯端口为下级设备 webservices 的服务端口（默认为 8888）；认证用户名及密码为 webservi

39、ces 通讯时使用的用户认证信息；部署方式为“多点设备”或“多级设备”两种。填写完这些信息后，请点击“获取下级信息”按钮。这时设备会自动获取下级的设备相关信息。天融信数据库审计系统 TA-DB 用户手册服务热线：8008105119 34获取的信息会显示在“下级设备配置”框中，包括“设备 ID”，“设备名称”，“设备服务地址”（注：为空则使用下级的默认的 IP 地址），“设备服务端口”这四项。请首先核对设备 ID 是否与要添加的下级设备 ID 匹配。您可以更改“设备名称”项，使用您便于记忆的设备名称。默认获取的是设备注册时的名称信息。确认无误后，点击“添加”按钮。若添加成功，您可在设备列表中看

40、到刚添加的设备信息。若您要删除某个下级设备，您可以在列表中选择要删除的行，并点击“删除”按钮。若您要修改某个下级设备设置，您可以在列表中选择要修改的设备，并点击“修改”按钮。需要注意的是，修改设备对话框不支持您修改设备的 IP 地址及部署方式，您若已经改变设备的 IP 地址及部署方式，应将旧设置删除而后添加新的设置。常见错误信息：添加、修改下级设备属性时，系统会检测当前的下级设备树（由设备上下级部署模式构成的一棵树形结构），检测通过后会执行预制命令设置下级节点。倘若不符合部署规范，或运行命令时出错，系统会弹出提示。常用的提示有：天融信数据库审计系统 TA-DB 用户手册服务热线：8008105

41、119 35Add node is localhost.表明添加的下级设备 ID 号与本机（上级设备）相同，请检查您的设置信息是否正确。Add node has localhost subdevice in current topology.表明本机节点已经存在于要添加的下级设备的下级树中，部署模式禁止这种添加方式。Add node is a subdevice in current topology.表明加的下级设备已经在设备下级树中，您不能重复添加下级设备。Order subdevice failed.Error cli ： 错误信息 表明在下级设备上执行预制操作命令时失败，并显示失败的命

42、令。执行失败可能是 IP地址设置有误，认证用户名及密码设置有误或权限不够等原因所导致。设备连接选项：若您对本设备操作及部署比较熟悉，您也可以修改下级设备添加执行时的选项。点击“设置”按钮，您会看到以下三项选项。其中，第一项为选择是否开启添加前的检查，关闭添加前的检查虽然可以加快添加执行的速度，但是具有一定风险，强烈建议您开启此选项（默认开启）。连接超时时间及连接尝试次数为设置添加设备时，上下级设备交互的最大等待时间和失败重试次数，若您的网络状况不好时，可以适当延长超时时间和增加尝试次数。一般情况下建议保持默认。4.6 任务管理任务管理管理员通过任务管理页面可以管理对下级设备下发的策略和从上级收

43、到的策略，点击系统管理系统管理 任务管理任务管理 任务管理任务管理，进入任务列表页面。天融信数据库审计系统 TA-DB 用户手册服务热线：8008105119 36任务管理包含两个子模块：“我发起的任务”和“我接收的任务”，如图：下发策略：系统对配置的策略提供下发策略的功能，以自定义审计条件为例，勾选上需要下发的策略，点击“添加到待下发策略”按钮，将策略添加到待下发策略列表中。在待下发策略页面中，左侧是下发策略的列表，用户对下发策略进行上移，下移的顺序调整，删除策略。清空策略等操作；右侧是下发策略的具体内容，即策略的 CLI 命令，用户也可以手动编辑下发策略内容。天融信数据库审计系统 TA-D

44、B 用户手册服务热线：8008105119 37注意：除非是专业的技术人员，否则最好不要在页面右侧手动编辑策略的 CLI 命令，容易出现错误。策略编辑完成后，点击“策略下发”按钮进行策略下发，在弹出的下发信息配置框中，用户可以选择策略下发的下级设备，策略接收的用户，备注等信息。下级设备列表是用户添加的下级设备，详情参看系统下级设备添加模块；策略接收用户分为自动执行和选择接收用户：自动执行指策略下发到下级设备马上就执行；如果选择用户，则策略下发到下级设备后不会马上执行，必须有指定的用户才能执行。天融信数据库审计系统 TA-DB 用户手册服务热线：8008105119 38配置完成后点击“策略下发

45、”按钮进行策略下发，管理页面会跳转到任务管理任务管理 我我下发的任务下发的任务 的任务列表。点击“详情”按钮能看见具体的下发策略内容。同时，在下级设备上的 任务管理任务管理 我接收的任务我接收的任务中，会有接收到的任务信息。同样，点击“详情”按钮看到接收到的策略的具体信息，该信息和上级设备中“我发起的任务”中的任务详情是一致的，此时，下级用户 superman 能够看到对发给自己的任务进行确认，执行和拒绝等操作。天融信数据库审计系统 TA-DB 用户手册服务热线：8008105119 39当任务状态是“新建任务，待确认”时，必须先点击“确认”按钮确认任务，此时任务状态变为“已确认”，点击“执行

46、”按钮执行命令，如果成功，任务状态变为“执行完毕”，如果失败，任务状态变为“操作失败”；用户也可以点击“拒绝”按钮拒绝执行任务，并发送拒绝原因给上级设备。4.7 用户管理用户管理用户管理模块，主要实现用户的增、删、改、查和角色权限分配的编辑功能。4.7.1 角色管理角色管理TA-DB 支持用户通过 WEB 页面进行系统角色管理，在 WEB 管理页面上，进入 系统管理系统管理 用户管理用户管理 角色管理角色管理，可以看到角色列表，能对角色进行添加，删除和角色授权。天融信数据库审计系统 TA-DB 用户手册服务热线：8008105119 401）新建角色：点击“新建角色”，弹出角色配置框，可以添加

47、角色名称，并且支持从原有的角色中继承角色权限。天融信数据库审计系统 TA-DB 用户手册服务热线：8008105119 412）删除角色：在角色列表中选择要删除的角色，点击“删除角色”按钮就能完成删除操作。注意：系统默认的角色是无法删除的。3）角色授权：在角色列表中选择要配置权限的角色，点击“角色授权”按钮，进行角色的权限配置。天融信数据库审计系统 TA-DB 用户手册服务热线：8008105119 42系统的每个模块分为“读”，“写”，“编辑”，“删除”，“操作”五种权限，可以对每个模块的每个权限进行配置，配置完权限后点击“保存”按钮就能完成对角色权限的配置。4.7.2 用户管理用户管理TA

48、-DB 支持用户通过 WEB 页面进行系统用户管理，在 WEB 管理页面上，进入 系统管理系统管理 用户管理用户管理 用户管理用户管理，可以看到系统用户列表，可以对系统用户进行添加和删除操作。天融信数据库审计系统 TA-DB 用户手册服务热线：8008105119 431）添加用户，点击“添加用户”按钮，可以进入用户信息的配置框，添加用户名，密码和用户角色等用户信息，配置完成后点击“添加”按钮完成用户的添加。注意：用户添加完毕后必须重启 HTTPD 服务，添加用户才生效。天融信数据库审计系统 TA-DB 用户手册服务热线：8008105119 442）删除用户，在列表中选择要删除的用户，点击“

49、删除用户”按钮，完成对用户的删除操作。注意：系统默认的用户是无法删除的。3）导出用户证书。点击“导出用户证书”，弹出获取用户证书的信息页面，在该页面键入相应信息，点击“获取证书”即可。天融信数据库审计系统 TA-DB 用户手册服务热线：8008105119 454）导出 CA 证书。点击“导出 CA 证书”，选择“打开”或“保存”证书即可。4.7.3 修改我的密码修改我的密码TA-DB 支持用户通过 WEB 页面修改当前登录用户的密码，在 WEB 管理页面上，进入系系统管理统管理 用户管理用户管理 修改我的密码修改我的密码，可以对当前登录用户的密码进行修改操作。注意：用户管理模块的各种操作完成

50、后，都必须重新启动系统的 HTTPD 服务，才能使配置生效，用户可以选择配置完成后马上重启服务，也可以稍后在“服务管理”模块中手动重启服务，重启 HTTPD 服务后用户必须重新登录 WEB 管理页面才能进行操作。天融信数据库审计系统 TA-DB 用户手册服务热线：8008105119 464.8 主机信息主机信息主机信息模块主要功能是用于用户实名制审计，TAW 将主机信息与审计出来的网络事件做关联，从而可以将某一网络事件定位到内网中具体的某一人，达到网络实名制审计的效果。包括主机管理、扫描主机。4.8.1 主机主机管理管理主机管理主要用于添加、删除、修改、导入、导出用户主机信息。

51、 添加主机添加主机添加主机模块完成主机的添加设置。主机较多情况下，为了方便管理，可以选择添加组然后在组下添加主机。选择 系统管理系统管理 主机信息主机信息 主机管理主机管理，进入主机管理页面。点击“添加主机”，在弹出的添加主机页面，键入主机名和主机 IP 确定即可。组下添加主机，点击“添加组”，弹出的添加组页面键入组名，左侧导航栏选择组，然后在组下添加主机即可。 信息导入信息导入主机管理中的导入功能包括导入本地扫描数据和外部数据，外部数据可以是 ldif 或csv 格式数据。(csv 数据是可以被 excel 直接打开的逗号分割数据，字段格式要和主机扫描导出的数据一致，ldif

52、是 ldap 数据格式)天融信数据库审计系统 TA-DB 用户手册服务热线：8008105119 47选择 系统管理系统管理 主机信息主机信息 主机管理主机管理，选择左面要导入的用户节点后，点击“导入”按钮，在弹出的导入数据页面选择导入数据类型“确定”，即可导入数据。（提示：叶子节点不能导入数据） 信息导出信息导出 选择 系统管理系统管理 主机信息主机信息 主机管理主机管理，选择左面要导出的用户节点后，点击“导出”按钮即可导出数据，导出数据为 ldif 格式。导出 ldif 文件格式天融信数据库审计系统 TA-DB 用户手册服务热线：8008105119 484.8.2 扫描扫描

53、主机主机主机扫描主要功能是扫描主机 IP 对应的主机名。当用户没有手动导入主机信息时，可以通过主机扫描功能来扫描主机 netbios 名(对应主机要开 netbios 服务,windows 默认开启此服务)，然后导入主机管理里面，从而用主机名来实现用户实名制映射。内网扫描：选择 系统管理系统管理 主机信息主机信息 扫描主机扫描主机 点击“内网扫描”，填入用户内网网段，即可对内网主机名进行扫描。内网网段支持以下格式：1）网络号/掩码，如：/242）起始地址-结束地址，如：4-443）多个 ip 地址用逗号隔开，如：192.1

54、68.71.244,55，.4）或者以上三种格式的组合，之间用逗号隔开，如：/24,55-,导出数据：扫描结果也可以通过页面导出来，供管理员编辑后再导入到主机管理里面。导出结果为 csv 格式。天融信数据库审计系统 TA-DB 用户手册服务热线：8008105119 49扫描结果也可以通过 主机管理主机管理 导入数据导入数据，直接导入相应的组内。通过扫描的主机信息，映射实名制审计结果。天融信数据库审计系统 TA-DB 用户手册服务热线：8008105119 505 安全审计安全审计TA-DB 能够对

55、多种网络行为进行审计，支持对HTTP、FTP、SMTP、Pop3、WebMail、P2P、telnet、MSN、QQ 等协议的审计记录，支持对SQL Server、Mysql、Oracle、DB2、Sybase、Informix 等数据库操作行为的审计；同时也支持用户根据个人需求进行自定义审计。在“安全审计”里可以对已经收集到的数据根据协议分类进行查询分析。5.1 审计管理审计管理审计管理，包括应用协议审计、在线用户管理、数据库审计管理、列集配置、过虑器配置、审计配置、索引管理七个模块。5.1.1 应用协议审计应用协议审计登录系统，进入“应用协议审计”，可以看到所有协议的审计查询界面，同时提供

56、了实时刷新查看的功能，点击“自动刷新数据”，可以自动显示最近十分钟内收到的最新数据；如果想看到更为详细的情况，请点击每条数据后面的“详情”按钮。 应用协议审计列表应用协议审计列表对不同类型数据库的相关协议进行审计，例如：Oracle、Mysql、DB2 等。可以通过设置时间段、起始时间、源地址、目的地址、协议内容等条件进行审计，并在审计结果提供审计结果详情，提供给管理员更完整的用户行为信息。注意：TA-DB 所能监控与审计的协议因客户购买的授权许可不同，会存在一定的差别。点击 安全审计安全审计 审计管理审计管理 应用协议审计应用协议审计，系统左侧会列出多种应用协议的选项。天融信数

57、据库审计系统 TA-DB 用户手册服务热线：8008105119 51列表分成三部分：应用协议审计、应用协议分组审计和查询任务管理器。应用协议审计包括主流的应用层协议。应用协议分组主要是与目前大部分网络软件的应用相结合进行审计。HTTP 审计HTTP 审计包括网络发布审计和网页浏览审计。点击列表中的 HTTPHTTP 审计审计 网页浏览网页浏览审计审计 选项。天融信数据库审计系统 TA-DB 用户手册服务热线：8008105119 52网页浏览审计的审计条件分为基本条件设置、IP 条件设置、时间条件设置、用户条件设置、网页浏览条件设置，上图列出的是基本条件设置，上面主要是设置审计的时间段，下图

58、为 IP 条件设置，可以设置被审计内容的源 IP 和目的 IP，可以是地址段。网页浏览条件设置是设置和网页浏览应用相关的选项。将审计选项设置好以后，点击页面右侧的查看结果集，就可以审计到符合所设置的条件的网页内容。显示审计结果的列表是可以用户修改的，用户可以根据自己对内容的关心程度，进行添加和隐藏。点击每一列上面的列名称右边的小三角，可以显示出一个下拉菜单，将鼠标滑动到“列”那一选项，系统又会显示一个菜单，这个菜单会列出许多复选框，这些复选框就是审计结果表格的列字段，点击复选框添加选中列，取消复选框删除选中列。例如选中源端口，显示结果如下：天融信数据库审计系统 TA-DB 用户手册服务热线：8

59、008105119 53审计结果的列表会增加显示源端口一列。每条审计结果都有一列详情，详情能够还原出该审计结果的全部内容，点击详情会弹出新的窗口，显示还原内容。详情会显示与网页浏览相关的重要信息，包括访问地址、使用的浏览器以及服务器结果等。用户可以点击原始页面链接，跟踪到实际访问的页面。注意：不是所有的 http 审计事件的详情中都可以看见原始页面还原连接。一般只有访问类型为 get 类型的详情中才会看见原始页面还原连接。数据库操作审计数据库审计是针对使用不同类型的数据库进行网络操作的审计。审计结果详情中可以看见每条数据库操作语句。数据库操作审计包括：ORACLE 审计、Mysql 审计、Sq

60、lserver审计、DB2 审计、Informix 审计、Sysbase 审计、PostgreSQL 审计。下面以 ORACLE 审计为例，进行页面说明。其他类型的数据库审计页面功能点类似，在此不一一阐述。ORACLE 审计包括：基本条件设置、IP 条件设置、时间条件设置、用户条件设置、Oracle 条件配置。基本条件设置，设置审计内容的时间跨度，也可是设置自动刷新的时间间隔。天融信数据库审计系统 TA-DB 用户手册服务热线：8008105119 54IP 条件设置，设置审计内容的源 IP 地址和目的 IP 地址，支持地址段添加。Oracle 条件配置，设置数据库名、用户名、数据库表名等配置