天融信数据库审计系统TA-DB-用户手册范本

1、.WD.WD.WD.天融信数据库审计系统TA-DB用手手册目录 TOC o 1-3 h z u HYPERLINK l _Toc3626112741前言 PAGEREF _Toc362611274 h 1HYPERLINK l _Toc3626112751.1文档目的 PAGEREF _Toc362611275 h 1HYPERLINK l _Toc3626112761.2读者对象 PAGEREF _Toc362611276 h 1HYPERLINK l _Toc3626112771.3约定 PAGEREF _Toc362611277 h 1HYPERLINK l _Toc3626112781

2、.4技术服务体系 PAGEREF _Toc362611278 h 1HYPERLINK l _Toc3626112792产品简介 PAGEREF _Toc362611279 h 3HYPERLINK l _Toc3626112803界面 基本操作 PAGEREF _Toc362611280 h 4HYPERLINK l _Toc3626112814系统管理 PAGEREF _Toc362611281 h 6HYPERLINK l _Toc3626112824.1系统状态 PAGEREF _Toc362611282 h 6HYPERLINK l _Toc3626112834.2系统配置 PAGE

3、REF _Toc362611283 h 8HYPERLINK l _Toc3626112844.2.1系统web界面配置 PAGEREF _Toc362611284 h 8HYPERLINK l _Toc3626112854.2.2网络主机名配置 PAGEREF _Toc362611285 h 9HYPERLINK l _Toc3626112864.2.3系统主机名配置 PAGEREF _Toc362611286 h 11HYPERLINK l _Toc3626112874.2.4系统配置管理 PAGEREF _Toc362611287 h 12HYPERLINK l _Toc36261128

4、84.2.5接口配置 PAGEREF _Toc362611288 h 14HYPERLINK l _Toc3626112894.2.6路由配置 PAGEREF _Toc362611289 h 16HYPERLINK l _Toc3626112904.2.7系统时间配置 PAGEREF _Toc362611290 h 18HYPERLINK l _Toc3626112914.2.8磁盘管理 PAGEREF _Toc362611291 h 20HYPERLINK l _Toc3626112924.2.9系统访问控制 PAGEREF _Toc362611292 h 24HYPERLINK l _To

5、c3626112934.2.10设置向导页 PAGEREF _Toc362611293 h 25HYPERLINK l _Toc3626112944.2.11网络接口配置 PAGEREF _Toc362611294 h 26HYPERLINK l _Toc3626112954.2.12安装包列表 PAGEREF _Toc362611295 h 26HYPERLINK l _Toc3626112964.3服务管理 PAGEREF _Toc362611296 h 26HYPERLINK l _Toc3626112974.4服务对象管理 PAGEREF _Toc362611297 h 28HYPER

6、LINK l _Toc3626112984.5下级设备管理 PAGEREF _Toc362611298 h 31HYPERLINK l _Toc3626112994.6任务管理 PAGEREF _Toc362611299 h 35HYPERLINK l _Toc3626113004.7用户管理 PAGEREF _Toc362611300 h 39HYPERLINK l _Toc3626113014.7.1角色管理 PAGEREF _Toc362611301 h 39HYPERLINK l _Toc3626113024.7.2用户管理 PAGEREF _Toc362611302 h 42HYPE

7、RLINK l _Toc3626113034.7.3修改我的密码 PAGEREF _Toc362611303 h 45HYPERLINK l _Toc3626113044.8主机信息 PAGEREF _Toc362611304 h 46HYPERLINK l _Toc3626113054.8.1主机管理 PAGEREF _Toc362611305 h 46HYPERLINK l _Toc3626113064.8.2扫描主机 PAGEREF _Toc362611306 h 48HYPERLINK l _Toc3626113075安全审计 PAGEREF _Toc362611307 h 50HYP

8、ERLINK l _Toc3626113085.1审计管理 PAGEREF _Toc362611308 h 50HYPERLINK l _Toc3626113095.1.1应用协议审计 PAGEREF _Toc362611309 h 50HYPERLINK l _Toc3626113105.1.2在线用户管理 PAGEREF _Toc362611310 h 63HYPERLINK l _Toc3626113115.1.3数据库审计管理 PAGEREF _Toc362611311 h 63HYPERLINK l _Toc3626113125.1.4列集配置 PAGEREF _Toc3626113

9、12 h 66HYPERLINK l _Toc3626113135.1.5过虑器配置 PAGEREF _Toc362611313 h 67HYPERLINK l _Toc3626113145.1.6审计配置 PAGEREF _Toc362611314 h 68HYPERLINK l _Toc3626113155.1.7索引管理 PAGEREF _Toc362611315 h 70HYPERLINK l _Toc3626113165.2系统日志管理 PAGEREF _Toc362611316 h 71HYPERLINK l _Toc3626113175.2.1系统日志事件处理中心 PAGEREF

10、 _Toc362611317 h 72HYPERLINK l _Toc3626113185.2.2系统日志审计 PAGEREF _Toc362611318 h 72HYPERLINK l _Toc3626113195.2.3自定义日志规那么 PAGEREF _Toc362611319 h 72HYPERLINK l _Toc3626113205.3系统报警管理 PAGEREF _Toc362611320 h 73HYPERLINK l _Toc3626113215.3.1系统报警审计 PAGEREF _Toc362611321 h 73HYPERLINK l _Toc3626113225.3.

11、2系统报警规那么 PAGEREF _Toc362611322 h 74HYPERLINK l _Toc3626113235.3.3自定义报警规那么 PAGEREF _Toc362611323 h 77HYPERLINK l _Toc3626113245.3.4报警事件处理中心 PAGEREF _Toc362611324 h 79HYPERLINK l _Toc3626113255.3.5潜在危害分析 PAGEREF _Toc362611325 h 84HYPERLINK l _Toc3626113265.3.6系统报警阀值设置 PAGEREF _Toc362611326 h 85HYPERLI

12、NK l _Toc3626113275.3.7IPS规那么管理 PAGEREF _Toc362611327 h 86HYPERLINK l _Toc3626113285.3.8系统报警统计分析 PAGEREF _Toc362611328 h 86HYPERLINK l _Toc3626113295.4业务关联 PAGEREF _Toc362611329 h 89HYPERLINK l _Toc3626113305.4.1业务视图配置 PAGEREF _Toc362611330 h 89HYPERLINK l _Toc3626113315.4.2Web规那么配置 PAGEREF _Toc3626

13、11331 h 90HYPERLINK l _Toc3626113325.5事件区分扩展管理 PAGEREF _Toc362611332 h 94HYPERLINK l _Toc3626113335.6统计分析管理 PAGEREF _Toc362611333 h 95HYPERLINK l _Toc3626113345.6.1统计分析配置 PAGEREF _Toc362611334 h 95HYPERLINK l _Toc3626113355.6.2自定义报表 PAGEREF _Toc362611335 h 100HYPERLINK l _Toc3626113365.6.3统计报表管理 PAG

14、EREF _Toc362611336 h 102HYPERLINK l _Toc3626113375.7审计策略 PAGEREF _Toc362611337 h 103HYPERLINK l _Toc3626113385.7.1协议端口匹配规那么 PAGEREF _Toc362611338 h 103HYPERLINK l _Toc3626113395.7.2协议自动匹配规那么 PAGEREF _Toc362611339 h 104HYPERLINK l _Toc3626113405.7.3WebMail模板设置 PAGEREF _Toc362611340 h 105HYPERLINK l _

15、Toc3626113415.7.4数据采集规那么 PAGEREF _Toc362611341 h 106HYPERLINK l _Toc3626113425.7.5审计级别管理 PAGEREF _Toc362611342 h 108HYPERLINK l _Toc3626113435.7.6系统抓包规那么配置 PAGEREF _Toc362611343 h 115HYPERLINK l _Toc3626113445.7.7事件处理中心 PAGEREF _Toc362611344 h 117HYPERLINK l _Toc3626113455.7.8系统包过虑规那么 PAGEREF _Toc36

16、2611345 h 122HYPERLINK l _Toc3626113465.8IP规那么管理 PAGEREF _Toc362611346 h 123HYPERLINK l _Toc3626113476流量分析 PAGEREF _Toc362611347 h 123HYPERLINK l _Toc3626113486.1网络流量分析 PAGEREF _Toc362611348 h 123HYPERLINK l _Toc3626113496.2历史流量查询 PAGEREF _Toc362611349 h 125HYPERLINK l _Toc3626113506.2.1流量统计 PAGEREF

17、 _Toc362611350 h 125HYPERLINK l _Toc3626113516.2.2流量趋势 PAGEREF _Toc362611351 h 127HYPERLINK l _Toc3626113526.2.3流量查询 PAGEREF _Toc362611352 h 128HYPERLINK l _Toc3626113536.3流量分析配置 PAGEREF _Toc362611353 h 129HYPERLINK l _Toc3626113546.4多点多级模式下的流量统计 PAGEREF _Toc362611354 h 130HYPERLINK l _Toc3626113556

18、.5多点多级模式下的历史流量统计 PAGEREF _Toc362611355 h 132HYPERLINK l _Toc3626113566.6多点多级模式下的流量趋势查询 PAGEREF _Toc362611356 h 134HYPERLINK l _Toc362611357附录 A过滤器语法 PAGEREF _Toc362611357 h 136前言本手册主要介绍天融信数据库审计系统TA-DB的配置使用和管理。通过阅读本文档，用户可以了解天融信数据库审计系统的主要功能，并根据实际应用环境安装和配置天融信数据库审计系统。文档目的本文档主要介绍如何配置该系统。通过阅读本文档，用户能够正确地配置

19、系统，并综合运用该系统提供的多种安全管理方法，有效地管理网络中的安全设备，实现高效可靠的统一管理。读者对象本用户手册适用于具有 基本网络知识的系统管理员和网络管理员阅读。约定本文档遵循以下约定。图形界面操作的描述采用以下约定：“表示按钮。点击选择一个菜单项采用如下约定：点击选择高级管理 特殊对象 用户。文档中出现的提示、警告、说明、例如等，是关于用户在安装和配置天融信数据库审计系统过程中需要特别注意的局部，请用户在明确可能的操作结果后，再进展相关配置。技术服务体系天融信公司对于自身所有安全产品提供远程产品咨询服务，广阔用户和合作伙伴可以通过多种方式获取在线文档、疑难解答等全方位的技术支持。公司

20、主页HYPERLINK :/ topsec .cn/ :/ topsec .cn/在线技术资料 HYPERLINK :/ topsec .cn/support/down.asp :/ topsec .cn/support/down.asp安全解决方案 HYPERLINK :/ topsec .cn/solutions/qw.asp :/ topsec .cn/solutions/qw.asp技术支持中心 HYPERLINK :/ topsec .cn/support/support.asp :/ topsec .cn/support/support.asp天融信全国安全服务热线800-810-

21、5119产品简介天融信网络审计系统TA-DB是由北京天融信公司自主研发，面向企业级用户，集行为监控与内容审计为一体的产品。它以旁路的方式部署在网络中，不影响网络的性能，且该产品的万兆平台支持串联方式接入网络，实现串联网络环境下的数据监听和审计。具有实时的网络数据采集能力、强大的审计分析功能以及智能的信息处理能力。通过使用该系统，可以实现如下目标：监控用户的数据库操作行为、审计用户的网络传输内容。实现网络行为报警以及后期取证。实现对网络各应用流量的统计分析。该产品适用于对信息保密、非法信息传播/控制比较关心的单位，或需要实施网络行为监控的单位和部门，如政府、军队机关的网络管理部门，公安、保密、司

22、法等国家授权的网络安全监察部门，金融、电信、电力、保险、海关、商检、学校、军工等各行业网络管理中心，以及大中型企业网络管理中心等。注意：TA-DB所能监控与审计的协议因客户购置的授权许可不同，会存在一定的差异。界面 基本操作简单介绍一下界面的 基本操作。1管理员在管理主机的浏览器上输入TA-DB的管理URL。如， s：/54，弹出如下登陆页面。2输入用户名密码后默认出厂用户名/密码为：superman/talent，点击“登录，就可以进入管理页面。管理界面默认显示系统状态，包括：硬盘利用率、CPU利用率、内存利用率系统界面主要分为三个局部，如以以下列图头部区域导航栏主显示区域界面头部用于选择操

23、作的子模块，显示重要信息。如以以下列图通过头部的菜单显示模式选择功能可以实现菜单显示的切换，目前支持以下三种模式：精简模式，适合用户日常操作使用高级模式，适合对系统进展高级配置使用专家模式，适合对系统有高度了解的专业人员使用导航栏与主显示区域因具体模块不同而显示不同，在此不做具体说明。在 系统管理模块系统状态系统license配置界面中可以查看系统的授权信息、最终客户名、系统型号、版本号、购置的各功能模块开启情况。系统管理系统状态系统状态包括系统状态和系统License配置。系统状态中显示系统设备状态，系统License配置中显示系统 基本信息和证书信息。选择系统管理系统状态系统状态，进入设备

24、监控页面。分为两局部，分别是当前设备和下级设备。在左边菜单栏显示如下：1修改、添加监控模块。右侧主界面显示如下：显示当前所有监控的主机信息。包括被监控对象设备号、设备IP地址、所监控模块、连接状态以及连接测试功能，当添加了监控对象后，可以点击连接测试，可以测试网络是否通畅。选择“监控模块配置。按照上图提示步骤1、2，选中设备并点击监控模块配置，弹出配置信息对话框如下：点击添加同样在此选中模块并点击删除和修改，可以对设备监控模块进展修改按照图示，选择好所要监控模块，以及显示的图例类型和颜色，并点击保存，那么配置完成。2查看本机详细信息：点击左侧菜单中的 当前设备localhost，在右将显示其所

25、监控对象信息，如以以下列图：查看下级设备的步骤和查看本机一致，只要在左侧菜单项选择中相应的设备，即在主窗口显示出来。系统配置系统配置包括系统web界面配置、网络主机名配置、系统主机名配置、系统配置管理、接口配置、路由配置、系统时间配置、磁盘管理、系统访问控制、设置向导页、网络接口配置、安装包管理。系统web界面配置管理员通过系统WEB页面配置，可以配置WEB页面的登录超时时间和登录重试次数和锁定时间，在WEB管理页面上，进入系统管理系统配置系统WEB页面配置，可以看到配置框。配置完成后点击“保存按钮就能完成配置。注意：配置保存成功后必须重启 D服务才能是配置生效，用户可以选择立即重启，也能稍后

26、在服务管理模块中手动重启 D服务，服务重启后用户必须重新登录。网络主机名配置管理员通过网络主机名配置可以配置主机与名称的对应关系，在WEB管理页面上，点击系统管理系统配置网络主机名配置，进入网络主机名管理页面，可以对主机名进展添加，修改和删除操作。1添加网络主机名：点击“添加网络主机名按钮，在弹出的配置框中进展网络主机名配置。主机名不支持特殊字符配置完成后点击“保存按钮完成配置。2修改网络主机名：在列表中选择需要修改的网络主机。点击“修改网络主机按钮，在弹出的配置框里进展信息修改，点击“保存按钮完成修改。3删除网络主机：在列表中选择需要删除的网络主机。点击“删除网络主机按钮，在弹出的提示框里点

27、击“是按钮完成删除。系统主机名配置管理员通过系统主机名配置可以配置系统主机名称和DNS服务器，在WEB管理页面上，进入系统管理系统配置系统主机名配置，进入配置界面，配置完成后点击“保存按钮完成配置。系统配置管理管理员通过系统配置管理可以对系统配置进展管理配置，在WEB管理页面上，进入系统管理系统配置系统配置管理，进入配置界面，可以对系统配置进展保存、导入、导出和恢复出厂设置。1配置保存：点击“配置保存按钮，页面弹出保存进度条，进度条完毕后配置保存操作完毕，下次系统重启后将加载保存的配置。2配置导出：点击“配置导出按钮，页面弹出配置文件下载框，用户可以将配置文件下载到本机上。注意：在IE浏览器上

28、必须把下载选项全都选上，以免文件下载框无法弹出。3配置导入：点击“配置导入按钮，页面弹出文件上传提示框，用户可以选择本机上的配置文件，点击“上传按钮，完成配置导入。注意：配置导入成功后系统配置将马上生效。4恢复出厂配置：点击“恢复出厂配置按钮，系统将导出出厂的配置文件，系统配置将即时恢复到出厂时。接口配置管理员通过接口配置可以对系统接口进展管理配置，在WEB管理页面上，进入系统管理系统配置接口配置，进入系统接口列表界面，可以对系统网络接口配置进展添加IP，修改IP，删除IP，启用接口，停用接口操作。1)添加接口IP：点击“添加接口IP按钮，在弹出的接口配置页面中可以配置接口的IP地址和掩码，配

29、置完毕后点击“保存按钮完成操作。2)修改接口IP：在接口列表中选择需要修改的接口，点击“修改接口IP按钮，在弹出的接口配置页面中可以修改IP地址和掩码(可以添加ipv6地址)，配置完毕后点击“保存按钮完成操作。3)删除接口IP：在接口列表中选择需要删除的接口，点击“删除接口IP按钮，完成操作。4)启用接口：在接口列表中选择需要启用的接口，点击“启用接口按钮，完成操作。5)停用接口：在接口列表中选择需要停用的接口，点击“停用接口按钮，完成操作。路由配置管理员通过路由配置可以对系统路由进展管理配置，在WEB管理页面上，进入系统管理系统配置路由配置，进入系统路由列表界面，可以对系统路由进展添加，删除

30、操作。1添加路由：点击“添加路由按钮，在路由配置页面中可以配置路由的目的地址和网关、网口，配置完成后点击“保存按钮完成操作。2删除路由：在列表中选择要删除的路由，点击“删除路由按钮，完成操作。系统时间配置系统时间配置模块可以设置系统的时间、日期、时区信息，以及配置用于系统同步时间的NTPNetwork Time Protocol 网络时间协议，计算机时间同步化的一种协议服务器。选择系统管理系统配置系统时间配置,进入系统时间配置页面。系统时间配置模块右侧是时间设定面板，可以设定系统时间、时区等信息。界面右下方有两个按钮。“保存按钮可以保存当前在右侧设定面板内设定的各项设置。“重置按钮可以重置未保

31、存的修改。当您需要修改系统日期时，请单击日期框的右侧“日历按钮。此时，将弹出一个微型日历。您可以点击选择年、月、日或点击“今天按钮选择当前操作系统的时间。当您需要修改系统时间时，您可以点击时间下拉框右方的下拉按钮选择整数时间，或直接输入需要设置的时间，时间格式为：“时：分：秒。当您需要修改系统时区时，请单击“修改系统时区按钮，系统将会列出所有时区选项。单击您所要修改的时区，然后点击“保存按钮保存设置。需要注意的是，系统时间、日期和失去修改后，均需要点击面板右下角的“保存按钮，保存配置才能生效。假设您的工作网络内架设有NTP服务器，并且您想通过其校准设备时间。您可以点击NTP服务器设置框的“添加

32、按钮。在弹出的“添加NTP服务器对话框中输入服务器的IP地址或域名，随后点击“添加后保存设置。假设添加正常，右侧NTP服务器列表将出现刚刚添加的NTP服务器地址。添加成功后，建议您使用系统测试功能测试添加的NTP服务器是否可以正常使用。用鼠标选中刚刚添加的NTP服务器地址，并点击“测试按钮。假设出现“测试成功字样的提示框，那么说明设备可以与NTP服务器正常联通并校准时间。反之说明设备无法取得NTP服务器的信息，请检查添加的NTP服务器IP地址或域名是否正确。当您成功设置了一台以上的NTP服务器后，您可以点击“同步按钮进展时间同步。要注意的是，假设您已经添加了多台NTP服务器，系统将按ID的先后

33、顺序同步系统时间，并以最先成功同步的NTP服务器返回的时间为准。同步的时候注意NTP服务器的NTP服务必须翻开，本机的NTP服务停顿，在系统服务中可以配置。磁盘管理点击系统管理系统配置磁盘管理，能够显示当前系统的磁盘使用情况，并能对磁盘数据进展备份、清理操作。磁盘状态磁盘状态显示数据对象占用磁盘空间大小，以饼状或柱状图形显示磁盘状态,点击“实现图形的切换。数据备份手动备份数据就是根据用户手动添加的规那么，进展数据备份工作。选择要备份的数据对象：下拉列表中会显示系统中可备份的数据源类型。时间对象选项中填写一个数字，这个数字代表备份多少天之前的数据，例如填1，代表删除一天以前的数据，我们这里规定一

34、天以前的数据就是昨天的数据。图中30代表备份30天以前的数据。备份服务器是预先配置好的ftp服务器，数据将备份到这台指定的服务器上。关于ftp服务器配置请参见 HYPERLINK l _服务对象管理 4.4服务对象管理是否保存备份数据：有两个选项，一个是保存，一个删除。保存就是在备份完成以后，还保存原来系统中的数据不删除。删除那么是在备份完成以后，将已经备份完成的局部的数据删除。点击数据备份按钮，系统就会按照前面填好的配置进展备份工作。数据备份规那么是用户添加备份的规那么，配置好以后不需要人工操作，而由后台程序检查符合条件定期执行。点击添加，如以以下列图所示：磁盘利用率上升至百分之多少的时候执

35、行备份工作，这是激活备份功能的条件。注意，这里的磁盘利用率只能填0-100的10的倍数，如30,50,70，以70为例，它代表磁盘利用率为70%79%这之间的任何一个利用率状态，而添加55这类的数字，那么不会被系统识别，因为磁盘利用率刚好到达55%这个离散的点的概率太低，不便于满足实际的操作效果。其他四项和手动备份中的选项意义一样。点击保存，规那么就添加完成了。当系统磁盘的利用率到达70%的时候，系统会自动备份30天以前的复原数据到ftp_test服务器上，并且保存原来的数据。数据清理数据清理模块帮助用户清理过期无效数据。可以手动清理或自定义数据清理规那么。1手动清理数据。磁盘清理需要配置要清

36、理的数据对象，如以以下列图，在数据对象的以下表中选择想要清理的数据源，在时间对象中填入一个整数，这个整数代表删除多少天以前的数据。例如，以以下列图中的配置代表清理30天以前的复原数据。点击右侧的数据清理按钮，系统立即执行清理工作。2数据清理规那么是用户添加备份的规那么，配置好以后不需要人工操作，而由后台程序检查符合条件定期执行。点击“添加，在规那么选项页面配置好参数“保存。规那么添加完成。磁盘利用率上升至百分之多少的时候执行备份工作，这是激活备份功能的条件。注意，这里的磁盘利用率只能填0-100的10的倍数，如30,50,70，以80为例，它代表磁盘利用率为80%89%这之间的任何一个利用率状

37、态，而添加55这类的数字，那么不会被系统识别,因为磁盘利用率刚好到达55%这个离散的点的概率太低，不便于满足实际的操作效果。数据对象是要清理的数据源类型，时间对象这里填入一个整数，代表清理多少天以前的数据。当系统磁盘的利用率到达80%的时候，系统会自动清理30天以前的统计分析数据。系统访问控制系统访问控制可以制止某些IP或IP域访问TAW设备。你假设需要制止某些IP或IP域访问TAW设备，请点击“添加按钮，并在弹出的输入框中输入要制止的IP地址域。允许的格式有标准的IP地址格式如或CIDR格式如/24。IP地址格式支持IPV6。假设添加成功，列表中将会显示您刚刚添加的IP地址域。当所有需要制止

38、的IP地址或地址域均已添加后，请单击“启用访问控制按钮，使您的当前设置生效。假设您需要查看当前访问控制的运行状态，请点击“访问控制状态按钮，系统会返回访问控制进程当前的状态。Firewall is Stop说明访问控制处于禁用状态，Firewall is Running说明访问控制处于启用状态，并在中括号内显示访问控制的进程ID。设置向导页设置向导页模块，指导用户方便快捷的完成审计策略的配置。包括：数据采集规那么，协议端口匹配规那么，协议自动匹配规那么，以及审计级别配置。点击系统管理系统配置 设置向导页，进入设置向导页。选择“点击进入进入数据采集规那么页面，设置数据采集规那么。设置完毕后依次点

39、击“下一步，可以进入“协议端口匹配规那么、“协议自动匹配规那么、“审计级别设置页面。分别在各设置页面进展设置，快速完成系统审计策略的配置。各页面的规那么配置请参见 HYPERLINK l _审计策略 5.7审计策略。网络接口配置网络接口配置模块，在系统串联时应用。在此不做详述。安装包列表安装包管理中列出了产品出厂时灌装的数据包，每个数据包都有自己的功能。列表中详细的介绍了数据包的信息，例如版本、编译次数、支持平台、状态等等。可以选择某个已安装的数据包“更新、“卸载，未安装的可以选择“安装，也可以选择安装包“上传。具体的操作步骤在此不一一阐述。服务管理服务管理模块列出了当前系统安装的所有服务模块

40、，您可以在此统一管理系统的各项服务的开启、关闭和一些必要设置。如以下列图，每行都对应一项服务。第一列显示的是服务的名称，该列是唯一的；第二列显示的是服务的服务状态。状态假设为“Stop那么说明此服务处于停顿状态，假设为Running进程ID值，那么说明此服务处于启动状态，其中括号中的数值代表服务的进程ID号可以有一个或多个。第三至五列为服务的操作按钮，“启动服务，“重新启动，“停顿服务，“服务配置几个按钮，分别对应着服务的“启动，“重新启动，“停顿及“配置四种操作。需要注意的是，服务有可能没有扩展配置，所以有些服务无法点击“服务配置是正常的。第六列显示的是服务的描述信息，简单描述该服务的用途。

41、您假设要启动某项服务，请点击该服务列中的“启动服务列中的图标，并在弹出确实认提示框中点击“是，即可启动该服务。停顿与重新启动服务的操作与启动服务的操作类似，点击相应列中的图标即可。当您需要设置某项服务的扩展设置时如SNMP服务，请点击“服务配置列中的图标，页面将会跳转至该服务的配置页面。需要注意的是，在您配置完毕时，您需要点击右下角的“保存按钮保存您的设置。“返回列表按钮可以帮助您在配置完毕时返回服务管理模块页面。服务对象管理服务对象管理包括SMTP服务器配置、防火墙联动配置、FTP服务器配置。在此模块主要完成服务对象的添加、删除和修改功能。1SMTP服务器配置主菜单中依次点击：系统管理 服务

42、对象管理 SMTP服务器配置。进入SMTP服务器配置页面。添加配置：点击“添加。按照要求，填入相应配置信息，点击“添加保存并退出。修改配置：选中需要配置的服务,点击修改，弹出如下配置窗口。按照提示，修改相应参数，修改完成后点击“修改进展保存退出。删除配置：选中需要删除的服务,点击“删除。测试服务：添加完后，选中目标服务器，点击“测试弹出如下对话框，填入接收人邮箱地址，点击“测试，发送成功后会提示用户登录接收人邮箱，并查看测试邮件是否正常承受，否那么提示测试失败。2防火墙联动配置主菜单中依次点击：系统管理 服务对象管理 防火墙联动配置。进入防火墙联动配置页面。添加配置：点击“添加。按照要求，填入

43、相应配置信息，点击“添加保存并退出。删除配置：选中需要删除的服务,点击“删除。测试服务：添加完后，选中目标服务器，点击“测试，进展防火墙通信测试。注意：防火墙联动目前只支持天融信防火墙，防火墙密钥需要在防火墙上去获取。3FTP服务器配置主菜单中依次点击：系统管理 服务对象管理 FTP服务器配置，进入FTP服务器配置页面。添加配置：点击“添加，弹出添加服务配置对话框。按照要求，填入相应配置信息，点击“添加保存并退出。删除配置：选中需要删除的服务，点击“删除。测试服务：添加完服务器后，选中目标服务器，点击“测试，进展FTP通信测试，成功返回。下级设备管理系统下级设备管理模块可以指导您方便的添加、删

44、除和管理下级设备。假设要使用该模块，请先将系统设置为“高级模式或“专家模式，而后您便能在“系统管理菜单中看到“下级设备管理选项卡。在添加下级设备之前，请首先在要添加的下级设备中确认以下事项：1下级设备已正常启动并完成初始化工作。2下级设备已经添加一个适用于远程管理的用户。该用户所属的角色需要有设备的服务管理权限和查看设备状态的权限。3下级设备已经正确设置webservices服务并以成功开启该服务。您可在下级设备菜单中，选择 系统管理服务管理，在菜单中查找 webservices工程，假设服务状态显示为Running，那么说明服务已成功开启。下级设备管理：您可以点击“添加按钮，并在弹出的“下级

45、设备选项对话框的“下级设备webservices通讯设置中填入要添加的下级设备的必要信息。其中IP地址为下级设备的IP地址；通讯端口为下级设备webservices的服务端口默认为8888；认证用户名及密码为webservices通讯时使用的用户认证信息；部署方式为“多点设备或“多级设备两种。填写完这些信息后，请点击“获取下级信息按钮。这时设备会自动获取下级的设备相关信息。获取的信息会显示在“下级设备配置框中，包括“设备ID，“设备名称，“设备服务地址注：为空那么使用下级的默认的IP地址，“设备服务端口这四项。请首先核对设备ID是否与要添加的下级设备ID匹配。您可以更改“设备名称项，使用您便于

46、记忆的设备名称。默认获取的是设备注册时的名称信息。确认无误后，点击“添加按钮。假设添加成功，您可在设备列表中看到刚添加的设备信息。假设您要删除某个下级设备，您可以在列表中选择要删除的行，并点击“删除按钮。假设您要修改某个下级设备设置，您可以在列表中选择要修改的设备，并点击“修改按钮。需要注意的是，修改设备对话框不支持您修改设备的IP地址及部署方式，您假设已经改变设备的IP地址及部署方式，应将旧设置删除而后添加新的设置。常见错误信息：添加、修改下级设备属性时，系统会检测当前的下级设备树由设备上下级部署模式构成的一棵树形构造，检测通过后会执行预制命令设置下级节点。倘假设不符合部署标准，或运行命令时

47、出错，系统会弹出提示。常用的提示有：Add node is localhost.说明添加的下级设备ID号与本机上级设备一样，请检查您的设置信息是否正确。Add node has localhost subdevice in current topology.说明本机节点已经存在于要添加的下级设备的下级树中，部署模式制止这种添加方式。Add node is a subdevice in current topology.说明加的下级设备已经在设备下级树中，您不能重复添加下级设备。Order subdevice failed.Error cli ： 错误信息说明在下级设备上执行预制操作命令时失败，

48、并显示失败的命令。执行失败可能是IP地址设置有误，认证用户名及密码设置有误或权限不够等原因所导致。设备连接选项：假设您对本设备操作及部署比较熟悉，您也可以修改下级设备添加执行时的选项。点击“设置按钮，您会看到以下三项选项。其中，第一项为选择是否开启添加前的检查，关闭添加前的检查虽然可以加快添加执行的速度，但是具有一定风险，强烈建议您开启此选项默认开启。连接超时时间及连接尝试次数为设置添加设备时，上下级设备交互的最大等待时间和失败重试次数，假设您的网络状况不好时，可以适当延长超时时间和增加尝试次数。一般情况下建议保持默认。任务管理管理员通过任务管理页面可以管理对下级设备下发的策略和从上级收到的策

49、略，点击系统管理任务管理任务管理，进入任务列表页面。任务管理包含两个子模块：“我发起的任务和“我接收的任务，如图：下发策略：系统对配置的策略提供下发策略的功能，以自定义审计条件为例，勾选上需要下发的策略，点击“添加到待下发策略按钮，将策略添加到待下发策略列表中。在待下发策略页面中，左侧是下发策略的列表，用户对下发策略进展上移，下移的顺序调整，删除策略。清空策略等操作；右侧是下发策略的具体内容，即策略的CLI命令，用户也可以手动编辑下发策略内容。注意：除非是专业的技术人员，否那么最好不要在页面右侧手动编辑策略的CLI命令，容易出现错误。策略编辑完成后，点击“策略下发按钮进展策略下发，在弹出的下发

50、信息配置框中，用户可以选择策略下发的下级设备，策略接收的用户，备注等信息。下级设备列表是用户添加的下级设备，详情参看系统下级设备添加模块；策略接收用户分为自动执行和选择接收用户：自动执行指策略下发到下级设备马上就执行；如果选择用户，那么策略下发到下级设备后不会马上执行，必须有指定的用户才能执行。配置完成后点击“策略下发按钮进展策略下发，管理页面会跳转到任务管理我下发的任务 的任务列表。点击“详情按钮能看见具体的下发策略内容。同时，在下级设备上的 任务管理我接收的任务中，会有接收到的任务信息。同样，点击“详情按钮看到接收到的策略的具体信息，该信息和上级设备中“我发起的任务中的任务详情是一致的，此

51、时，下级用户superman能够看到对发给自己的任务进展确认，执行和拒绝等操作。当任务状态是“新建任务，待确认时，必须先点击“确认按钮确认任务，此时任务状态变为“已确认，点击“执行按钮执行命令，如果成功，任务状态变为“执行完毕，如果失败，任务状态变为“操作失败；用户也可以点击“拒绝按钮拒绝执行任务，并发送拒绝原因给上级设备。用户管理用户管理模块，主要实现用户的增、删、改、查和角色权限分配的编辑功能。角色管理TA-DB支持用户通过WEB页面进展系统角色管理，在WEB管理页面上，进入系统管理用户管理角色管理，可以看到角色列表，能对角色进展添加，删除和角色授权。1新建角色：点击“新建角色，弹出角色配

52、置框，可以添加角色名称，并且支持从原有的角色中继承角色权限。2删除角色：在角色列表中选择要删除的角色，点击“删除角色按钮就能完成删除操作。注意：系统默认的角色是无法删除的。3角色授权：在角色列表中选择要配置权限的角色，点击“角色授权按钮，进展角色的权限配置。系统的每个模块分为“读，“写，“编辑，“删除，“操作五种权限，可以对每个模块的每个权限进展配置，配置完权限后点击“保存按钮就能完成对角色权限的配置。用户管理TA-DB支持用户通过WEB页面进展系统用户管理，在WEB管理页面上，进入系统管理用户管理用户管理，可以看到系统用户列表，可以对系统用户进展添加和删除操作。1添加用户，点击“添加用户按钮

53、，可以进入用户信息的配置框，添加用户名，密码和用户角色等用户信息，配置完成后点击“添加按钮完成用户的添加。注意：用户添加完毕后必须重启 D服务，添加用户才生效。2删除用户，在列表中选择要删除的用户，点击“删除用户按钮，完成对用户的删除操作。注意：系统默认的用户是无法删除的。3导出用户证书。点击“导出用户证书，弹出获取用户证书的信息页面，在该页面键入相应信息，点击“获取证书即可。4导出CA证书。点击“导出CA证书，选择“翻开或“保存证书即可。修改我的密码TA-DB支持用户通过WEB页面修改当前登录用户的密码，在WEB管理页面上，进入系统管理用户管理修改我的密码，可以对当前登录用户的密码进展修改操

54、作。注意：用户管理模块的各种操作完成后，都必须重新启动系统的 D服务，才能使配置生效，用户可以选择配置完成后马上重启服务，也可以稍后在“服务管理模块中手动重启服务，重启 D服务后用户必须重新登录WEB管理页面才能进展操作。主机信息主机信息模块主要功能是用于用户实名制审计，TAW将主机信息与审计出来的网络事件做关联，从而可以将某一网络事件定位到内网中具体的某一人，到达网络实名制审计的效果。包括主机管理、扫描主机。主机管理主机管理主要用于添加、删除、修改、导入、导出用户主机信息。添加主机添加主机模块完成主机的添加设置。主机较多情况下，为了方便管理，可以选择添加组然后在组下添加主机。选择 系统管理

55、主机信息 主机管理，进入主机管理页面。点击“添加主机，在弹出的添加主机页面，键入主机名和主机IP确定即可。组下添加主机，点击“添加组，弹出的添加组页面键入组名，左侧导航栏选择组，然后在组下添加主机即可。信息导入主机管理中的导入功能包括导入本地扫描数据和外部数据，外部数据可以是ldif或csv格式数据。(csv数据是可以被excel直接翻开的逗号分割数据，字段格式要和主机扫描导出的数据一致，ldif 是ldap数据格式)选择 系统管理 主机信息 主机管理，选择左面要导入的用户节点后，点击“导入按钮，在弹出的导入数据页面选择导入数据类型“确定，即可导入数据。提示：叶子节点不能导入数据信息导出 选择

56、 系统管理 主机信息 主机管理，选择左面要导出的用户节点后，点击“导出按钮即可导出数据，导出数据为ldif格式。导出ldif文件格式扫描主机主机扫描主要功能是扫描主机IP对应的主机名。当用户没有手动导入主机信息时，可以通过主机扫描功能来扫描主机netbios名(对应主机要开netbios服务,windows默认开启此服务)，然后导入主机管理里面，从而用主机名来实现用户实名制映射。内网扫描：选择 系统管理 主机信息 扫描主机 点击“内网扫描，填入用户内网网段，即可对内网主机名进展扫描。内网网段支持以下格式：1网络号/掩码，如：/242起始地址-完毕地址，如：4-443多个ip地址用逗号隔开，如：

57、44,55，.4或者以上三种格式的组合，之间用逗号隔开，如：/24,55-,导出数据：扫描结果也可以通过页面导出来，供管理员编辑后再导入到主机管理里面。导出结果为csv格式。扫描结果也可以通过 主机管理导入数据，直接导入相应的组内。通过扫描的主机信息，映射实名制审计结果。安全审计TA-DB能够对多种网络行为进展审计，支持对 、FTP、SMTP、Pop3、WebMail、P2P、telnet、MSN、QQ等协议的审计记录，支持对SQLServer、Mysql、Oracle、DB2、Sybase、Informix等数据库操作行为的审计；同时也支持用户根据个人需求进展自定义审计。在“安全审计里可以对

58、已经收集到的数据根据协议分类进展查询分析。审计管理审计管理，包括应用协议审计、在线用户管理、数据库审计管理、列集配置、过虑器配置、审计配置、索引管理七个模块。应用协议审计登录系统，进入“应用协议审计，可以看到所有协议的审计查询界面，同时提供了实时刷新查看的功能，点击“自动刷新数据，可以自动显示最近十分钟内收到的最新数据；如果想看到更为详细的情况，请点击每条数据后面的“详情按钮。应用协议审计列表对不同类型数据库的相关协议进展审计，例如：Oracle、Mysql、DB2等。可以通过设置时间段、起始时间、源地址、目的地址、协议内容等条件进展审计，并在审计结果提供审计结果详情，提供给管理员更完整的用户

59、行为信息。注意：TA-DB所能监控与审计的协议因客户购置的授权许可不同，会存在一定的差异。点击 安全审计审计管理应用协议审计，系统左侧会列出多种应用协议的选项。列表分成三局部：应用协议审计、应用协议分组审计和查询任务管理器。应用协议审计包括主流的应用层协议。应用协议分组主要是与目前大局部网络软件的应用相结合进展审计。 审计 审计包括网络发布审计和网页浏览审计。点击列表中的 审计网页浏览审计 选项。网页浏览审计的审计条件分为 基本条件设置、IP条件设置、时间条件设置、用户条件设置、网页浏览条件设置，上图列出的是 基本条件设置，上面主要是设置审计的时间段，以以下列图为IP条件设置，可以设置被审计内

60、容的源IP和目的IP，可以是地址段。网页浏览条件设置是设置和网页浏览应用相关的选项。将审计选项设置好以后，点击页面右侧的查看结果集，就可以审计到符合所设置的条件的网页内容。显示审计结果的列表是可以用户修改的，用户可以根据自己对内容的关心程度，进展添加和隐藏。点击每一列上面的列名称右边的小三角，可以显示出一个下拉菜单，将鼠标滑动到“列那一选项，系统又会显示一个菜单，这个菜单会列出许多复选框，这些复选框就是审计结果表格的列字段，点击复选框添加选中列，取消复选框删除选中列。例如选中源端口，显示结果如下：审计结果的列表会增加显示源端口一列。每条审计结果都有一列详情，详情能够复原出该审计结果的全部内容，