慧眼数据库安全审计系统v302-用户使用手册

1、PAGE 拔慧眼数据库安全胺审计系统V3.0.2用户使用手册袄国都兴业信息审爸计系统技术（北哀京）有限公司2012年3月慧眼数据库安全审计系统-用户使用手册PAGE V目 录TOC o 1-3 h z u HYPERLINK l _Toc318720341 1引言 PAGEREF _Toc318720341 h 1 HYPERLINK l _Toc318720342 皑1.1昂白文档目的斑 PAGEREF _Toc318720342 h 靶1 HYPERLINK斑 l _T跋oc31872凹0343佰 澳1.2芭俺术语和缩写版 PAGEREF _Toc318720343 h 芭1 HYPERL

2、INK l _Toc318720344 安2背唉产品简介八 PAGEREF _Toc318720344 h 埃3 HYPERLINK l _Toc318720345 唉2.1扮靶产品背景背 PAGEREF _Toc318720345 h 败3 HYPERLINK l _Toc318720346 半2.2按罢产品特点埃 PAGEREF _Toc318720346 h 熬4 HYPERLINK l _Toc318720347 袄2.3罢罢产品功能坝 PAGEREF _Toc318720347 h 阿4 HYPERLINK l _Toc318720348 柏3扒拜硬件安装邦 PAGEREF _Toc

3、318720348 h 熬5 HYPERLINK l _Toc318720349 版3.1佰搬拆箱检查阿 PAGEREF _Toc318720349 h 袄5 HYPERLINK l _Toc318720350 澳3.2靶般设备上架扒 PAGEREF _Toc318720350 h 按6 HYPERLINK l _Toc318720351 袄3.2.1伴颁1U拔设备上架安 PAGEREF _Toc318720351 h 安6 HYPERLINK l _Toc318720352 班3.2.2唉半2U把设备上架拌 PAGEREF _Toc318720352 h 背7 HYPERLINK l _To

4、c3187隘20353白 唉3.3班懊设备连接胺 PAGEREF _Toc318720353 h 耙9 HYPERLINK l _Toc318720354 胺3.3.1跋拜设备面板指示挨 PAGEREF _Toc318720354 h 奥9 HYPERLINK l _Toc318720355 啊3.3.2板隘设备接口说明佰 PAGEREF _Toc318720355 h 搬10 HYPERLINK l _Toc318720356 斑3.3.3哎隘镜像端口接入扮 PAGEREF _Toc318720356 h 扳10 HYPERLINK l _Toc318720357 啊3.3.4佰搬TAP唉接

5、入班 PAGEREF _Toc318720357 h 摆11 HYPERLINK l _Toc318720358 坝4八碍连接登录哀 PAGEREF _Toc318720358 h 翱14 HYPERLINK l _Toc318720359 哀4.1案笆连接方式翱 PAGEREF _Toc318720359 h 靶14 HYPERLINK l _Toc318720360 坝4.2澳傲修改通信口的隘ip霸设置斑 PAGEREF _Toc318720360 h 爱14 HYPERLINK l _Toc318720361 矮4.3氨隘登录系统埃 PAGEREF _Toc318720361 h 胺16

6、 HYPERLINK l _Toc318720362 扳5佰版慧眼数据库安全哎审计系统管理稗 PAGEREF _Toc318720362 h 扮17 HYPERLINK l _Toc318720363 办5.1暗摆首页耙 PAGEREF _Toc318720363 h 巴17 HYPERLINK l _Toc318720364 挨5.2把办门户框架挨 PAGEREF _Toc318720364 h 隘19 HYPERLINK l _Toc318720365 巴5.2.1罢凹个人设置安 PAGEREF _Toc318720365 h 霸19 HYPERLINK l _Toc318720366 翱

7、5.2版.2八皑实时监控霸 PAGEREF _Toc318720366 h 伴21 HYPERLINK l _Toc318720367 疤5.2.3稗稗系统消息提示爱 PAGEREF _Toc318720367 h 岸22 HYPERLINK l _Toc318720368 捌5.2.4熬隘时间设置按 PAGEREF _Toc318720368 h 斑23 HYPERLINK l _Toc318720369 爸5.2.5办疤注销颁 PAGEREF _Toc318720369 h 拜23 HYPERLINK l _Toc318720370 艾5.3芭扳审计中心伴 PAGEREF _Toc3187

8、20370 h 敖23 HYPERLINK l _Toc318720371 搬5.3.1坝跋数据库审计般 PAGEREF _Toc318720371 h 澳24 HYPERLINK l _Toc318720372 矮5.3.2邦巴其它审计疤 PAGEREF _Toc318720372 h 扳25 HYPERLINK l _Toc318720373 胺5.3.3澳板实名审计凹 PAGEREF _Toc318720373 h 绊29 HYPERLINK l _Toc318720374 斑5.3.4袄傲DOMINO扒审计半 PAGEREF _Toc318720374 h 澳30 HYPERLINK

9、l _Toc318720375 敖5.3.5扮拔本地审计俺 PAGEREF _Toc318720375 h 拜31 HYPERLINK l _Toc3摆1872037唉6岸 佰5.4巴扮攻击监测柏 PAGEREF _Toc318720376 h 班32 HYPERLINK l _Toc318720377 百5.4.1办艾如何开启或关闭跋攻击监测懊 PAGEREF _Toc318720377 h 半32 HYPERLINK l _Toc318720378 吧5.4.2按氨攻击事件查询白 PAGEREF _Toc318720378 h 俺33 HYPERLINK l _Toc318720379 傲

10、5.4安.3爸癌监测引擎配置背 PAGEREF _Toc318720379 h 奥36 HYPERLINK l _Toc318720380 爸5.5敖唉性能分析奥 PAGEREF _Toc318720380 h 奥38 HYPERLINK l _Toc318720381 颁5.5.1埃澳如何指定时间范败围进行延时分析啊 PAGEREF _Toc318720381 h 把38 HYPERLINK l _Toc318720382 矮5.5.2岸柏如何查看分析结袄果奥 PAGEREF _Toc318720382 h 罢40 HYPERLINK l _Toc318720383 白5.5.3笆班如何设置

11、详细分板析条件颁 PAGEREF _Toc318720383 h 吧40 HYPERLINK l _Toc318720384 唉5.6背巴统计分析皑 PAGEREF _Toc318720384 h 碍41 HYPERLINK l _Toc318720385 艾5.6.1爸埃SQL柏操作类型统计熬 PAGEREF _Toc318720385 h 芭41 HYPERLINK l _Toc318720386 暗5.6.2熬啊事件类型统计颁 PAGEREF _Toc318720386 h 肮43 HYPERLINK l _Toc318720387 白5.6.3叭袄流量统计拔 PAGEREF _Toc3

12、18720387 h 搬44 HYPERLINK l _Toc318720388 搬5.7般斑策略中心阿 PAGEREF _Toc318720388 h 翱46 HYPERLINK l _Toc318720389 凹5.7.1搬跋策略配置颁 PAGEREF _Toc318720389 h 艾46 HYPERLINK l _Toc318720390 暗5.7.2拌摆资产配置扮 PAGEREF _Toc318720390 h 把49 HYPERLINK l _Toc318720391 哀5.7.3胺半来源规则把 PAGEREF _Toc318720391 h 蔼52 HYPERLINK l _To

13、c318暗720392颁 皑5.7.4岸背时间规则搬 PAGEREF _Toc318720392 h 盎56 HYPERLINK l _Toc318720393 袄5.7.5胺埃内容规则暗 PAGEREF _Toc318720393 h 拜58 HYPERLINK l _Toc318720394 拜5.8唉拜报表中心啊 PAGEREF _Toc318720394 h 埃59 HYPERLINK l _Toc318720395 氨5.8.1癌吧如何手动生成报昂表暗 PAGEREF _Toc318720395 h 艾59 HYPERLINK l _Toc318720410 癌5.8.2皑蔼如何使用

14、自动报傲表八 PAGEREF _Toc318720410 h 昂60 HYPERLINK l _Toc318720411 凹5.8.3傲蔼如何使用历史报坝表氨 PAGEREF _Toc318720411 h 矮61 HYPERLINK l _Toc318720412 绊5.9败笆系统配置埃 PAGEREF _Toc318720412 h 巴62 HYPERLINK l _Toc318720413 氨5.9.1唉稗审计数据库服务盎器皑 PAGEREF _Toc318720413 h 扮62 HYPERLINK l _Toc318720414 白5.9.2捌敖审计鞍WEB艾中间件百 PAGEREF

15、 _Toc318720414 h 板63 HYPERLINK l _Toc318720415 摆5.9.3罢把知识库俺 PAGEREF _Toc318720415 h 拔6绊4 HYPERLINK l _Toc318720416 扳5.9.4蔼罢IP碍采集条件摆 PAGEREF _Toc318720416 h 爸65 HYPERLINK l _Toc318720417 鞍5.9.5罢把工作参数胺 PAGEREF _Toc318720417 h 霸66 HYPERLINK l _Toc318720418 奥5.9.6胺袄角色管理按 PAGEREF _Toc318720418 h 埃72 HYPE

16、RLINK l 办_Toc318傲720419八 盎5.9.7暗懊补丁管理拜 PAGEREF _Toc318720419 h 傲74 HYPERLINK l _Toc318720420 碍5.9.8半摆授权管理稗 PAGEREF _Toc318720420 h 伴76 HYPERLINK l _Toc318720421 俺5.9.9唉斑备份熬/办还原蔼 PAGEREF _Toc318720421 h 般78 HYPERLINK l _Toc318720422 挨5.9.按10伴傲重启半/安关机奥 PAGEREF _Toc318720422 h 摆82 HYPERLINK l _Toc31872

17、0423 袄5.10哀癌用户管理碍 PAGEREF _Toc318720423 h 半83 HYPERLINK l _Toc318720424 袄5.10.1爱芭如何添加用户碍 PAGEREF _Toc318720424 h 八84 HYPERLINK l _Toc318720425 败5.10.2氨肮如何编辑用户艾 PAGEREF _Toc318720425 h 袄85 HYPERLINK l _Toc318720426 稗5.10.3矮百如何删除用户皑 PAGEREF _Toc318720426 h 盎85 HYPERLINK l _Toc318720427 昂5.11芭罢系统日志管理俺

18、PAGEREF _Toc318720427 h 八85 HYPERLINK l _Toc318720428 般5.11.1扒八如何进行日志查背询柏 PAGEREF _Toc318720428 h 哎86 HYPERLINK l _Toc318720429 罢5.11.2败阿如何查看日志的熬详细信息胺 PAGEREF _Toc318720429 h 傲90 HYPERLINK l _Toc318720430 斑5.11.3霸爸如何进行日志删把除八 PAGEREF _Toc318720430 h 霸90 HYPERLINK l _Toc318720431 爸5.11.4笆瓣如何导出系统日瓣志翱 P

19、AGEREF _Toc318720431 h 绊91 HYPERLINK l _Toc318720432 叭5.11.5捌稗如何调整日志展柏示列颁 PAGEREF _Toc318720432 h 扮91慧眼数据库安全审计系统v3.0.2-用户使用手册PAGE 100引言文档目的版权声明背本手册包含了隘慧眼数据库安全半审计系统颁的硬件上架安装邦、快速使用指南巴、系统功能配置白以及FAQ等内伴容。手册中涉及爱相关文档、文字般内容、标识等信凹息均受版权保护败，手册的任何部霸分未经许可均不叭得复制或者传播柏，违者必究。适用范围笆本手册适用于爱慧眼数据库安全澳审计系统罢的最终用户。术语和缩写数据库审计艾

20、数据库审计是通坝过记录霸数据库的操作肮行为爱作为审计记录，蔼反映出数据库被翱使用的状况；数唉据库审计支持通白过网络访问方式澳把对数据库的操扮作及内容进行实癌时的监控审计。审计类型背审计类型指哀慧眼数据库安全袄审计系统傲支持的各种类型皑，包括数据库类佰型（Oracl叭e、DB2、M稗SSql、My鞍Sql、Syb扮ase、Inf阿omix）、数暗据库运维类型（肮Ssh、Ftp板、Telnet搬）以及web中坝间件类型。爸数据库sql操盎作类型八数据库审计支持袄的sql操作类安型，包括熬插入操作（In暗sert） 俺数据插入操作（熬INSERT，跋 SELECT班 按把 INTO） 邦新建数据表、

21、数疤据库、视图、索霸引等操作（CR佰EATE TA板BLE， CR唉EATE DA挨TABASE，凹 CREATE傲 VIEW， 哎CREATE 暗INDEX， 颁罢） 靶查询操作（Se佰lect） 胺数据查询操作（敖SELECT）艾 蔼数据表结构查询肮操作（show罢/desc） 坝删除操作（De般lete） 笆删除数据操作（懊DELETE，澳 TRUNCA唉TE TABL按E， TRUN澳CATE DA熬TABASE，把 俺懊） 拔删除数据表、数半据库、视图、索芭引等操作（DR伴OP TABL挨E， DROP哎 DATABA背SE， DRO挨P VIEW，捌 DROP I霸NDEX， 癌办

22、） 疤更新操作（Up颁date） 芭数据更新操作（拜UPDATE）吧 扳数据表结构更新靶操作（ALTE绊R， RENA班ME 搬扳 TO 安扳， MERGE癌 INTO 哎伴 USING 笆扮） 胺用户访问（Ac班cess） 用户登录 阿特权操作（Pr埃ivilege安） 昂用户权限改变（爸GRANT， 办DENY， R坝EVOKE） 把用户建立与删除案 白备份与恢复操作熬（BACKUP鞍， RESTO岸RE） 板事务操作（CO哎MMIT， R翱OLLBACK颁 TO） 稗数据库特有操作爸 隘Microso安ft SQL 坝Server特奥有操作：DBC胺C，SP_*，般 OPENDA捌TAS

23、OURC吧E， 瓣隘 懊ORALCE特哀有操作 其他操作 罢特定字符串审计皑 数据库运维审计懊数据库运维是针邦对用户数据库的八软件安装、配置澳、备份及实施，伴数据恢复、迁移稗，故障排除、预肮防性巡检等一系安列服务；数据库巴运维审计是对通斑过远程访问方式搬，对数据库进行版运维操作的行为笆及内容审计，如扳telnet、敖ftp、ssh霸等。皑Web中间件审佰计巴web中间件泛叭指客户端访问w埃eb应用服务器百，web应用服癌务器再访问数据扳库的应用环境中笆的web应用服癌务；web中间癌件审计支持对客挨户端访问web八应用服务器的行凹为及内容的审计隘，同时支持客户疤端访问web应柏用服务器和we凹

24、b应用服务器访耙问数据库关联行哎为及内容的审计伴。审计服务器把审计服务器指数背据库服务器、数颁据库运维服务器背以及web中间笆件服务器。审计客户端白审计客户端指访氨问审计服务器的百用户终端。审计记录笆用户访问审计服邦务器产生的每一懊个sql操作、稗运维操作或者w罢eb访问记录下扮来的行为及内容扳作为一条审计记瓣录。自身日志凹自身日志指岸慧眼数据库安全罢审计系统肮的配置或状态的埃变更时生成的记挨录。AMC叭AMC是审计管佰理中心（Aud班it Mana半gement 稗Center）蔼的简写，它实现芭了产品功能服务佰层面的功能，其胺目标是对安全产笆品的管理。探针扒探针是坝慧眼数据库安全阿审计系统

25、唉用于采集各种审唉计数据的分布式癌模块。探针支持安独立安装，或和版AMC一体安装捌。策略罢对监控数据进行昂处理，生成审计翱记录以及执行某坝种操作的集合。笆多级管理中，上按级AMC支持策颁略调度下发。数据转储捌数据转储指将隘慧眼数据库安全胺审计系统般的审计记录，导摆出转存到系统之白外的空间，并能唉通过手段查询转肮存到系统外的历八史记录的功能。TAP设备蔼TAP是分路器败设备，提供网络懊流量的副本，以跋便进行实时监控艾和分析；接口分按为电口和光接口拔。产品简介产品背景坝萨班斯法案（S俺OX）诞生之日澳起，为数不少的艾安全公司就已经敖预测到数据安全坝审计将成为企业啊无法回避的问题癌。只要是正规的傲企

26、业，都无法回爱避自身的数据安罢全问题。当然，阿上市公司就更加邦需要重视。事实澳上，这里所说的版数据库安全审计安，不仅包括了数拌据源的安全，而隘且也涵盖了审计袄方法与企业IT皑流程的结合。皑数据库是每个企颁业数据管理的基罢础，尽管这些系澳统的数据完整性奥和安全性是相当鞍重要的，但对数按据库采取的安全奥检查措施的级别蔼还比不上操作系癌统和网络的安全哎检查措施的级别哎。许多因素都可板能破坏数据的完搬整性并导致非法叭访问，这些因素坝包括密码安全性埃较差、误配置、跋未被察觉的系统坝后门以及自适应拜数据库安全方法哎的强制性常规使佰用等。百针对以上破坏数碍据完整性的威胁翱都来自于数据库拔本身的安全策略邦的漏

27、洞和使用方案面的问题，然而蔼对于数据库合法把用户的违规操作艾，以及内部用户碍对数据资源的故办意泄露或破坏等俺问题，对企业带隘来的危害会更加肮严重，损失也会疤相当巨大。当然耙，数据库系统本埃身会提供一些日翱志审计功能，但蔼是想要审计较为鞍细致的操作日志矮就必然要影响到啊数据库服务器的扮性能，一般应用瓣数据库的企业用芭户 ，都不愿意唉开设多一些的日版志审计功能，这罢样必然会对数据哎库的安全埋下了爸安全隐患。板当产生数据安全伴问题时，为了寻巴找案件线索，执爱法机构需要从网办络上寻找犯罪嫌柏疑人的活动和留绊下的痕迹并获取柏可靠的犯罪证据翱，对于侦破犯罪霸案件，保障社会稗稳定，维护公民巴利益具有十分重啊

28、要的意义。拜因此，安全管理隘要从网俺络肮系统安全和应用暗安全柏两岸个方面推进，才俺能有效地袄全面哎解决安安全问题。数据靶库网络安全审计拔是网络安全管理伴工作中的一个重霸要组成部分，它摆可以通过对网络盎数据库的坝“矮信息活动胺”佰实时地进行八监控扮审计，使管理者皑对网络数据库的拔“疤信息活动懊”笆一目了然，能够瓣及时掌握数据库扮服务器的应用情奥况，及时发现客暗户端的使用问题癌，存在着哪些安霸全问题和隐患并耙予以纠正，预防袄应用安全事件的佰发生，即便发生背了也能够可以快颁速查证并追根寻伴源。产品特点叭慧眼数据库安全哀审计系统百是集数据库审计佰、数据阿库安全检测、数霸据库优化分析安三大功能为一体斑的

29、综合跋监控隘审计系统。该系埃统采用胺网络旁路板实时侦听方式，矮全线速采集网络傲上所有会话流，暗对网络颁中百的版各种矮应用行为和应用败内容进行监控、把报警、记录叭。百慧眼数据库安全颁审计系统岸不参与被胺监控佰网络的数据传输暗活动，因此不对白网络结构和性能叭产生任何影响，敖具有很好的透明埃性和安全性。产品功能叭数据库熬操作和数据库运爸维监控、按审计稗、报警癌能够对网络数据傲库的各种操作进哎行记录审计懊并报警安，提供详细的审霸计信息（4W：挨何时 When伴 、何地 Wh白ere 、何人哎 Who以及何熬种行为 Wha稗t）查询功能敖和邮件、sys捌log报警方式碍。同时提供多种霸审计条件，班实现啊

30、分类审计或组合芭审计。拜数据库事件百审计分析傲能够对网络数据拌库接收发送的流半量包数进行统计按，并提供详细的拔统计条件（如：阿时间、IP地址颁、协议类型等）矮，并根据历史的笆数据库操作数量跋做出基于：天、埃周、月的趋势分熬析。日志信息查询矮 跋能够爸对网络中其他设阿备发来的sys伴log和SNM哎P日志信息进行半接收和查询，并啊提供多种查询条鞍件，实现分类或百组合查询。报表系统摆可以实现手动报岸表和自动定制报耙表邮件发送功能耙。同时提供灵活俺的可定制报表策扳略和rtf、h拔tml和pdf坝多种报表格式。拔系统状态扳配置、查看氨可以通过界面查邦看系统状态、进哀行系统管理，并摆提供智能诊断功罢能。

31、数据保护背拥有数据存储区叭磁盘空间预警和安数据保护功能。澳在数据存储区磁盎盘空间使用率达叭到预设的预警阀稗值时通过界面显癌示和邮件方式实蔼现预警，达到预氨设的保护阀值时凹根据设定的数据耙保护机制采取相埃应的处理对审计蔼数据进行保护。自身日志隘支持完善的自身挨日志记录和查询哀功能扒。补丁升级柏可以通过界面上阿传补丁包进行补翱丁的升级和卸载按。俺用户/角色权限扮管理败实现用户权限三盎权分立，蔼支持基于用户、笆产品功能模块和案内容访问三级的翱权限管理。硬件安装拆箱检查斑在打开包装之后笆，请您先检查随阿机附带的电源线熬、盎网线、随机光盘袄等扮附件是否齐全，瓣所有部件请对照佰装箱单进行检查埃，如有缺损请

32、及蔼时和销售人员联邦系。耙注意：取出设备扒后，不要将外包盎装丢弃，在需要摆搬运时，请务必稗使用原包装，它傲是为您的审计设爱备专门设计的包拌装，具备良好的昂防震功能。胺物 品 名昂 称傲数量矮数据库审计设备蔼1靶电源线把1暗网线芭2傲随机光盘爸1绊小托架拔1胺装箱单碍1袄每台设备有固定艾的序列号，且是奥唯一的。设备序隘列号的位置随设跋备类型不同而不般同，一般分3种疤情况：设备左侧靠前位置设备左侧后部位置设备后部中间位置设备上架盎数据库审计设备凹机箱符合工业机败柜的标准，它的懊高度为1U或者背2U，可以顺利跋的安装到19拌”办标准机柜中去。1U设备上架安装支架白1.靶在每个哎1U败设备附件中，都鞍

33、包括一个支架。邦2.熬将支架安装在机安柜上，将颁A安点安装在机架内班侧。如图所示柏:设备上架班1.笆将设备放到刚装绊好的支架上，调哎整好位置。胺2.懊将位于设备前面矮耳朵的孔与机架颁前侧的孔对应，稗加螺丝固定。2U设备上架疤安装内侧导轨（懊固定在机箱上）捌1. 熬在每个导轨装置背中，都包括一副败内侧可抽拉导轨叭和外侧导轨。阿2. 安按住内侧抽拉导般轨装置上的卡锁巴，将内导轨抽出巴并安装在机箱侧敖面。八(懊内侧导轨安伴装在机箱两侧，斑外侧导轨安装在佰机柜两侧上罢)碍3. 挨将位于内侧抽拉绊导轨的五个孔和佰机箱上侧身的五把个孔相对应，加佰螺丝固定。跋4. 安固定好一侧导轨稗在机箱上，重复翱以上步骤

34、再安装背另一侧导轨在机盎箱上即可。拌外侧导轨安装（耙固定在机柜上）盎在机箱料包盒里白，有前面（短）颁和后面（长）各疤一副导轨片。请鞍按照导轨片上箭拜头标注的方向排挨好。板1. 昂排好后固定前面斑的导轨片（短）盎在外侧导轨上；败2. 安再附上后面的导奥轨片（长）固定搬在外侧导轨上；柏3. 罢量出外侧导轨安柏装到机柜的具体氨深度和长度，调哎节好短、长副导挨轨片和外侧导轨矮合适机柜的距离叭；霸4. 跋重复相同的步骤芭安装另一侧的导跋轨到机柜上；傲5. 扳将机箱插入机柜袄上的外侧导轨并跋推进时，听见癌“版咔蔼”搬的声响后，机箱芭便顺利装入机柜斑中（第一次安装霸时，机箱上导轨瓣插入机柜外部导拜轨的过程和

35、推入昂过程不是很容易霸，哀在推入时不要用翱力过猛）；按6. 蔼当拉出机箱时，佰只要扳动机箱两俺侧导轨上的卡锁癌扣即可拉出。设备连接设备面板指示爱设备面板指示：霸（以1U服务器扮为例）奥如图：（自右至笆左）分别为：矮电源开关、重新暗复位按钮、电源半指示灯、硬盘工挨作指示灯、通信岸口指示灯、备用皑通信口指示灯、把C哎PU熬温度过高指示灯氨；拜电源开关：软件版式开关，按一下皑为开，再按一下啊为关；碍重新复位按钮：阿暗埋式设计，使爸用时用细物按下胺，设备在任何情奥况下重新启动；胺电源指示灯：此般灯亮时指示电源案为开（只有此灯耙亮时代表电源打办开）；般硬盘工作指示灯安：此灯亮时指示扒硬盘工作；俺通信口指

36、示灯：艾LAN0号网口背接通指示灯（此鞍灯亮时只代表网艾口接通，不代表笆电源打开）；把备用通信口指示阿灯：LAN1号氨网口接通指示灯袄（此灯亮时只代傲表网口接通，不澳代表电源打开）吧；凹C啊PU傲温度过高指示灯白：此灯亮时说明艾CPU温度超过坝BIOS中设定唉温度。坝（该设备为4网氨口，LAN2、办LAN3指示灯柏在机箱背面网口邦处。）设备接口说明1U设备：2U设备：A：鼠标键盘B：USB接口笆C伴：班COM/Vid拔eo阿接口班D吧：通信口奥:板 矮用于用户访问系稗统的通信接口阿E昂：备用通信口熬:颁 颁用于通过网络进艾行设备内部维护哎时使用版F捌、版G碍：采集口艾:邦 扮用于采集网络数八据

37、包的接口，可背以使用两个接口捌中的任何一个或扮两个同时使用罢H矮、敖I邦：扩展卡插口鞍（可以为光接口扳卡或者电接口卡板）镜像端口接入绊数据库审计设备碍一般采用镜像端疤口的接入方式，疤将一个采集口连哀接到交换机的镜般像端口，交换机巴镜像端口的具体鞍配置视不同厂家碍和型号的交换机唉会有所不同，具把体配置方法参见版相应厂家和型号八的交换机配置手百册。TAP接入搬当现场情况由于白镜像端口已经被捌其他设备占用，坝或者因为某种原佰因无法接镜像端唉口，建议采用T爸AP的接入方式霸。熬电口TAP接入拜示意图：霸光接口TAP接拌入示意图：爸冗余电源：（以巴2U服务器为例背）稗如图所示：为2哀U设备的冗余电把源；

38、矮要求上下两个电斑源都要接入22霸0V交流电源；鞍任何一个未接入摆，即会报警；矮若不想使用两个盎电源供电，可任凹意拔出一个电源般，就不会产生报袄警（如下两图）岸；吧拔电源时，按住拜电源上面的按钮扮，向右侧按，同绊时拉电源后面的霸把手，即可将单摆个电源拉出；复按原时，直接推电蔼源到底，同时听碍到氨“拌卡昂“昂一声时，表示电把源推到位并锁住哎。连接登录连接方式办产品为B/S架搬构，使用IE浏拜览器软件即可以啊对产品进行配置俺和管理。将管理版计算机通过交换坝机和碍通信奥口相连即可对设百备进行管理。斑通信口八为ETH0板，备用通信昂口为ETH1。矮修改斑通信口凹的ip设置敖将叭慧眼数据库安全般审计系统

39、挨的默认IP修改拌修改为用户管理澳环境要求的IP柏，通过爸备用通信绊口（ETH1）巴进入到耙慧眼数据库安全阿审计系统拜中，修改安通信哀口ETH0（审挨计中心IP）地扳址，ETH1出扒厂默认的IP地笆址172.16凹.0.254，哀子网掩码255盎.255.0.拔0，只能通过网败线直连，不支持柏将爸备用通信敖口连到交换机。哀在使用命令行修皑改矮通信口败的IP时，首先哎要保证笔记本的安IP地址和ET把H1的IP在同吧一个网段，如果瓣不在同一个网段拌，要先修改笔记盎本的IP，如下把图以windo凹ws xp为例跋：癌然后，用户可以熬使用随机光盘中俺的putty.伴exe程序或者般支持ssh连接疤的远

40、程访问工具佰，通过佰备用口摆的IP连接到后隘台系统，账号是佰system，敖密码是syst胺em。稗用户登录后台系伴统后可以看到如奥下界面：扒用户可以绊依次输入hel唉p，netwo拌rk，如下图所罢示：版依次按照提示奥修改IP、子网板掩码以及网关。绊具体操作方法参疤见把“巴命令手册2.1蔼 瓣修改网络配置n艾etwork伴”背。登录系统哎使用IE浏览器颁(要求用IE7袄或以上版本，I澳E6不能完全支柏持)，在地址栏哀中输入：htt搬p:/审计中笆心IP （此处皑的审计中心IP白指审计中心吧通信埃口的IP） 如耙： HYPERLINK 54/ 拜http:/蔼192.168板.1.碍254哀

41、按照以下步骤奥进行即可登录系靶统。靶通信澳口 胺IP地址：19跋2.168.1蔼.254爱掩码： 25把5.255.2按55.0版网关： 19啊2.168.1蔼.1啊备用通信吧口 IP扒地址：172.搬16.0.25挨4斑掩码： 25把5.255.0扳.0肮系统内置用户和稗初始密码：巴内置默认用户班用户名俺密码颁权限办系统管理员扒sysadmi佰n绊sysadmi败n123拌4板首页碍、蔼审计中心、攻击笆监测、性能分析癌、策略中心、报安表中心、系统霸配置斑用户管理员按useradm板in叭useradm俺in123吧4懊普通用户的创建摆和删除巴等管理敖系统审计员办auditad按min斑aud

42、itad绊min123叭4疤查看系统自身扳操作佰日志的审计信息 SHAPE 说明：阿慧眼数据库安全巴审计系统皑目前只支持使用伴IE 7及以上扒版本浏览器，使案用其他浏览器有袄可能出现部分功哎能显示异常现象安。Flash支扒持10.0.3芭2.18以上版凹本。 SHAPE 啊输入用户名和密拜码，即可登录系敖统。挨部署首次安装的胺慧眼数据库安全坝审计系统坝应以系统管理员阿身份登录系统，叭系统管理员默认靶用户名和密码为吧sysadmi耙n，sysad巴min123坝4矮。靶用户首次登录系扳统的时候需要更板改当前的密码，唉且密码必须符合肮以下规范：败字母、数字、特唉殊字符的组合长度大于8位矮不能与原密

43、码相稗同 注意：肮当用户连续5次般输入错误的密码八进行登录，系统安将弹出提示，如班下图所示：拌此时需要等待5氨分钟后再刷新界爸面进行登录。澳慧眼数据库安全埃审计系统肮管理首页傲“邦首页敖”拜主要反映该审计跋系统的全局信息颁，包括审计服务懊器及策略相般关配置情况、事柏件类型及暗SQL操作延时爱及安全攻击事件挨趋势、磁盘信息隘、CPU、内存版以及网口通信状叭态信息等。如下摆图所示。奥其中，上面部分盎列出了所有数据版库审计服务器，邦可点击后面的单靶个图标查看针对半各个服务器的统绊计信息。系统初岸装无审计服务器挨时显示如下：昂点击扳“把添加昂”癌即可跳转到胺“伴审计数据库服务鞍器稗”阿界面。懊第二部分

44、显示过斑去的12个小时白数据库操作事件鞍的统计情况，如班下图所示：稗第三部分是针对坝数据库服务器的半各事件类型、S白QL操作的延时瓣、服务器遭受安挨全攻击的数量进班行展示。爱鼠标移到折线整岸点处，可看到当盎时时间段的数据扒统计数：疤事件类型排名：耙单点显示过去的佰12小时内数据颁库服务器发生的哀相应事件类型的凹审计记录总数，坝总体显挨示总数前5名的半事件类型，如上邦图所示单点为过笆去的12小时发昂生名为巴“斑SQLSERV哎ER翱”阿事件的记录数为拜1411条；疤延时趋势：单点矮显示当时的1小笆时内数据库服务捌器操作的平均延凹时时间（以毫秒安为单位），总体爱显示过按稗翱 去的12个隘小时的延时

45、趋势挨；笆攻击事件趋势：邦单点显示当时的芭1小时内数据库蔼服务器遭受攻击霸的总数，总体显板示过去12小时案的攻击拜事件趋势，如下瓣图所示单点为1霸1：00至12隘：00的数据库拔服务器遭受攻击邦的总数为12。爱首页下方显示的搬是当前系统磁盘哎的使用情况（以碍百分比表示），澳以及各以太网口般的使用状态（当罢网口未连接网线傲时，显示红色，熬否则显示绿色）熬，鼠标移到相应暗的图标处，可显佰示具体信息。如哎下图所示：门户框架邦以系统管理员s碍ysadmin懊登录系统后，在柏界面的右上角可案以看到如下图所办示的门户菜单栏搬：颁从左依次为：个懊人设置、实时监艾控、系统鞍消息提示哀、时间设置、注稗销。个人设

46、置奥以系统管理员s拔ysadmin背登录系统后，点芭击办按钮，弹出个人芭设置界面，如下八图所示：案个人设置包括用袄户名全名、电子捌邮箱、密码三项百。柏全名：颁输入系统用户的傲名称，默认的全蔼名是sysad绊min。搬注：与登录时的罢用户名不同。案当输入摆“隘全名般”叭后，摆“扒保存哀”俺和跋“胺重置扮”熬两个按钮变为可疤用艾状态。若疤点击扒“安重置熬”板按钮，状态变为鞍用户上一次保存把时的埃“啊全名疤”凹；澳若点击翱“捌保存爱”邦按钮，将输入信版息进行保存，然氨后版“吧保存半”癌和疤“绊重置邦”半两个按钮再次变扒为不可用败状态，并且，再板次登录系统后，爸保存了的名称将巴显示在门户菜单爱中，例如

47、：输入案用户全名为：a案bcdef，如靶下图所示：败电子邮箱：输入把电子邮箱地址。版同上，疤当输入柏“俺电子邮箱懊”办后，凹“般保存办”皑和昂“案重置扳”百两个按钮变为可颁用百状态。若拌点击翱“半重置翱”跋按钮，状态变为昂用户上一次保存吧时的绊“斑电子邮箱巴”哎；败若点击把“哀保存案”矮按钮，将输入信般息进行保存，然罢后啊“搬保存颁”拌和蔼“八重置版”笆两个按钮再次变伴为不可用皑状态。傲密码斑：是否修改密码皑。瓣若跋要修改密码跋，盎密码长度不能少半于8位，并且密耙码必须包含字母斑、数字和特殊字败符。例如：ab蔼c1234。般若显示密码被勾案选，显示输入的绊密码矮，否则以背“摆*跋”叭代替。敖输

48、入新密码后，般“拌保存敖”吧和邦“敖重置氨”伴两个按钮变为可癌用，点击靶“叭保存靶”般按钮，保存新密耙码，再次登录系邦统时，要使用新澳设定的绊“暗密码疤”矮进行登录；点击皑“袄重置拜”蔼按钮，不保存。鞍然后，返回到初搬始登录个人设置八界面的状态。实时监控翱如上图所示，报扒警信息以红、黄柏、绿三个凹颜色圆圈凹代表胺审计数据库服务靶器监控到的数据胺风险级别氨为高、中、低。拜数字表示审计数拔据库拔服务器按相应风拔险级别所实时监按控柏到的数据。板注：八提示数据个数范叭围为0-999矮9条败。当超过999版9条数据时，以办“艾9999+把”唉形式表示。拜点击爸三个风险级别的扳颜色圆圈隘，分别会弹出当坝前

49、风险级别的审翱计记录页面。蔼若点击隘，将显示当前实百时审计的数据，埃最多显示100败0条数据。拔同时，数据列表把按照风险级别（绊包括高、中、低半、无）的不同显安示颜色也不同，扮与门户菜单的风拌险级别圆圈相对邦应，即百“安高败”按对应红色，安“背中疤”傲对应黄色，氨“版低翱”白对应绿色，肮“奥无摆”巴对应无色。板如下图所示：俺数据列表显示数翱据范围为0-1唉000条。唉每5秒钟刷新一绊次进行数据更新斑，扒最新监控到的数吧据将显示在列表伴的最下方。并且澳，监控数据具有埃排重功能。疤数据列表区域的稗颜色与门户菜单瓣代表风险级别的鞍圆圈颜色相同，瓣如上图，风险级爱别为癌“胺中岸”矮，门户菜单中以鞍黄色

50、圆圈表示，芭那么数据列表的败区域显示为黄色岸。柏并且，可以对列唉表的数据进行排癌序，如上图所示翱，按事件ID进哀行排序，那么点白击爸“霸”巴后面的三角即可般，上三角表示时蔼间ID从小到大跋排序，下三角与伴其相反。罢同理，也可按风笆险级别、审计数伴据库服务器、事坝件类型、操作来按源、操作时间中绊的任意一项进行拜排序。懊选中某一条事件傲，将在界面的下吧方显示出详细信鞍息（红色框内区半域）。艾点击笆，可配置来源、扳操作类型及风险鞍级别的过滤条件阿，过滤条件创建靶后，对界面上已败展示数据进行过捌滤。系统消息提示安，此图片颁代表系统消息提鞍示，气泡里面的巴数字，代表消息绊条数。唉系统默认有拌6皑条消息提

51、示。即傲：柏配置IP过滤条哀件、百配置邮件服务器靶、配置时间服务蔼器、袄配置审计服务器胺、案配置授权告警伴、配置磁盘预警矮阀值笆。巴若增加配置或完哎成某个配置，那皑么系统会实时监唉测，数字会相应罢增加或减小，配跋置过的消息提示巴将不再进行提示摆。叭 疤点击气泡，扮 可查看具体提罢示信息。稗当有授权告警时鞍，会在此佰增加瓣提示跋，如下图所示：斑当有磁盘预警时傲，会在此增加提奥示，如下图所示翱：皑另外，芭还有俺“拌同步翱”昂提示懊，当系统修改某八一信息或者配置敖后，需要点击气癌泡，进行同步。癌例如：在策略配颁置中，添加了一敖条事件类型，并埃且为它新建了一蔼条策略，此时，疤点击气泡，将有拌如下提示：

52、叭笆提示内容：策略拜发生了变化，点伴击扒“扳同步傲”搬按钮，进行系统碍同步配置。按阿若有些配置已经靶完成了，那么会版对其他配置进行板提示，笆消息提示数目是敖实时更新显示的昂。并且，当鼠标扳移开气泡时，提矮示会关闭。隘阿注：每增加一个熬消息提示，都会霸显示在消息提示隘的首页。时间设置罢点击门户菜单的凹系统时间设置，熬那么直接跳转到扮“捌系统配置-啊工作参数背”巴界面，进行时间靶设置爸。注销绊在任意时刻，点啊击门户菜单的靶按钮，弹出如下俺对话框：爸若点击埃“拔确定癌”拌按钮，跳转到初哀始登录界面；若按点击扳“拌取消拜”懊，关闭此对话框把。审计中心澳审计中心包括：俺 数据库审计，埃 笆其它审计，稗实

53、名审、凹DOMINO审版计碍和本地审计安。通过审计中心斑，可以对系统已稗审计到的数据进芭行查看，通过设罢置时间等查询条蔼件对审计到的数阿据进行更精确的吧查询。 数据库审计稗以系统管理员s疤ysadmin佰登录系统， 鼠奥标点击左侧导航班栏袄“坝审计板中心-数据库岸审计案”白，即可进入数据邦库审计界面。背数据库审计是对叭系统记录的对数拜据库的操作行为皑进行的审计。芭进入数据库审计鞍页面以后，默认爸的查询条件是今暗天，点击查询，版可以查看今天已办审计到的对数据盎库的操作行为的绊记录。把选择查看日期：板 通过点击下方班的日期选择需要拜查看的日期的审岸计记录，点击傲和伴分别耙向左和向滑动啊日期斑， 点

54、击翱滑到日期列表的邦最左边，点击哀滑到摆日期列表搬的稗最右边搬。啊详细信息： 点俺击一条数据，在摆右边列表页面可按以查看到选中数肮据的详细信息。般导出：扒在查询结果区域肮的鞍“凹导出唉”隘按钮可批量导出搬前1万条记录。敖点击每条记录右翱侧详细信息处可翱以导出当前对应矮的一条数据。笆SQL回放：点氨击一条数据，在百右边列表页面的哀详细信息中点击颁“SQL回放”芭,可对同一会话拜中的SQL语句败进行回放。点击凹播放，界面展示懊SQL语句已经摆SQL语句的返罢回状态。播放时扳可进行暂停、查哀看第一条和查看澳最后的操作。翱用户关联班： 对操作拔来源半IP可以通过点挨击百“肮用户懊关联伴”把，在新的页面

55、上懊设置时间关联到霸登录SMP认证摆系统的用户名。氨下图是点击操作爱来源IP摆“凹192.168奥.10.208霸”班右侧的俺“芭用户关联懊”办页面岸以后，查到的关皑联结果示例：八排序： 可以通罢过点击查询结果按中的列名进行升捌、倒序排列。傲点击懊“霸查询把”埃按钮的下拉箭头板，进入到查询设俺置页面哀，邦当鼠标移动到查罢询条件上时，下靶方的说明框里是坝对查询条件的详案细说明。艾通过设置查询条暗件，可以更精确背的查询到审计记昂录。其它审计耙以系统管理员s熬ysadmin昂登录系统， 鼠挨标点击左侧导航班栏拌“岸审计碍中心-其它审按计埃”癌，即可进入其它埃审计界面。哀其它审计中包含挨了：运维，WE

56、扮B中间件，WE背B中间件关联，疤SYSLOG日败志，SNMP日哀志。胺点击霸“扳其它审计扮”佰右侧的单选框，氨可以切换到具体拔的审计页面。比败如，点击运维单八选框，运维审计巴页面被打开。运维拔运维是对访问数耙据库服务器行为坝的审计。敖进入运维审计页艾面以后，默认的胺查询条件是今天坝，点击查询，可矮以查看今天已审澳计到的对数据库按服务器访问的记疤录。八选择查看日期：岸 通过点击下方靶的日期选择需要白查看的日期的审伴计记录，点击岸和吧分别懊向左和向滑动皑日期颁， 点击办滑到日期列表的按最左边，点击板滑到败日期列表瓣的颁最右边柏。按详细信息： 点澳击一条数据，在暗右边列表页面可吧以查看到选中数扳据

57、的详细信息。百导出：拌在查询结果区域靶的敖“奥导出肮”扳按钮可批量导出哀前1万条记录。斑点击每条记录右柏侧详细信息处可傲以导出当前对应笆的一条数据。霸用户关联： 对颁操作罢来源凹IP可以通过点蔼击般“疤用户邦关联半”叭，在新的页面上盎设置时间关联到搬来源IP的用户搬名白，同数据库审计板中的该功能。稗排序： 可以通搬过点击查询结果靶中的列名进行升爱、倒序排列。唉点击哎“吧查询盎”澳按钮的下拉箭头伴，进入到查询设版置页面， 哀当鼠标移动到查爸询条件上时，下疤方的说明框里是蔼对查询条件的详爱细说明。扳通过设置查询条鞍件，可以更精确熬的查询到审计记拌录。WEB中间件百WEB中间件审芭计是对中间件访伴问

58、记录的审计。矮进入WEB中间敖件审计页面以后案，默认的查询条爸件是今天，点击柏查询，可以查看芭今天已审计到的昂对WEB中间件阿访问情况的记录扒。版选择查看日期：懊 通过点击下方搬的日期选择需要昂查看的日期的审岸计记录，点击拜和肮分别敖向左和向滑动傲日期班， 点击阿滑到日期列表的扳最左边，点击疤滑到扳日期列表矮的隘最右边安。阿详细信息： 点捌击一条数据，在绊右边列表页面可氨以查看到选中数败据的详细信息。半导出：白在查询结果区域安的霸“败导出澳”巴按钮可批量导出拜前1万条记录。昂点击每条记录右版侧详细信息处可百以导出当前对应佰的一条数据。颁排序： 可以通傲过点击查询结果半中的列名进行升半、倒序排列

59、。办点击碍“疤查询奥”袄按钮的下拉箭头凹，进入到查询设哀置页面，如下图八：扳当鼠标移动到查埃询条件上时，下叭方的说明框里是白对查询条件的详氨细说明。罢通过设置查询条翱件，可以更精确哀的查询到审计记伴录。懊WEB中间件关鞍联罢WEB凹中间件关联是对芭通过访问WEB哎中间件来访问数安据库服务器的行半为进行关联的结奥果的审计。耙进入WEB中间矮件关联审计页面安以后，默认的查阿询条件是今天，阿点击查询，可以版查看今天已审计翱到的数据库操作昂与WEB中间件哀访问的两者之间哀已关联到的信息柏的记录。邦选择查看日期：叭 通过点击下方佰的日期选择需要胺查看的日期的审肮计记录，点击艾和摆分别伴向左和向滑动傲日期

60、唉， 点击哀滑到日期列表的蔼最左边，点击瓣滑到疤日期列表隘的靶最右边唉。哎详细信息： 点扮击一条数据，在埃右边列表页面可昂以查看到选中数拌据的详细信息。拜导出：办在查询结果区域柏的班“阿导出把”案按钮可批量导出版前1万条记录。版点击每条记录右唉侧详细信息处可般以导出当前对应拜的一条数据。版排序： 可以通暗过点击查询结果跋中的列名进行升跋、倒序排列。半点击邦“佰查询瓣”袄按钮的下拉箭头邦，进入到查询设癌置页面，如下图阿：挨当鼠标移动到查熬询条件上时，下霸方的说明框里是挨对查询条件的详稗细说明。佰通过设置查询条癌件，可以更精确拌的查询到审计记蔼录。般SYSLOG日阿志斑SYSLOG日俺志是对审计数