【正文】 安裝到19”標(biāo)準(zhǔn)機柜中去。數(shù)據(jù)保護擁有數(shù)據(jù)存儲區(qū)磁盤空間預(yù)警和數(shù)據(jù)保護功能?；垩蹟?shù)據(jù)庫安全審計系統(tǒng)不參與被監(jiān)控網(wǎng)絡(luò)的數(shù)據(jù)傳輸活動，因此不對網(wǎng)絡(luò)結(jié)構(gòu)和性能產(chǎn)生任何影響，具有很好的透明性和安全性。許多因素都可能破壞數(shù)據(jù)的完整性并導(dǎo)致非法訪問，這些因素包括密碼安全性較差、誤配置、未被察覺的系統(tǒng)后門以及自適應(yīng)數(shù)據(jù)庫安全方法的強制性常規(guī)使用等。多級管理中，上級AMC支持策略調(diào)度下發(fā)。審計服務(wù)器審計服務(wù)器指數(shù)據(jù)庫服務(wù)器、數(shù)據(jù)庫運維服務(wù)器以及web中間件服務(wù)器。 查詢操作（Select） o 數(shù)據(jù)查詢操作（SELECT） o 數(shù)據(jù)表結(jié)構(gòu)查詢操作（show/desc） 慧眼數(shù)據(jù)庫安全審計系統(tǒng)用戶使用手冊國都興業(yè)信息審計系統(tǒng)技術(shù)（北京）有限公司2012年3月79 / 83目 錄1 引言 1 文檔目的 1 術(shù)語和縮寫 12 產(chǎn)品簡介 3 產(chǎn)品背景 3 產(chǎn)品特點 4 產(chǎn)品功能 43 硬件安裝 5 拆箱檢查 5 設(shè)備上架 6 1U設(shè)備上架 6 2U設(shè)備上架 7 設(shè)備連接 9 設(shè)備面板指示 9 設(shè)備接口說明 10 鏡像端口接入 10 TAP接入 114 連接登錄 14 連接方式 14 修改通信口的ip設(shè)置 14 登錄系統(tǒng) 165 慧眼數(shù)據(jù)庫安全審計系統(tǒng)管理 17 首頁 17 門戶框架 19 個人設(shè)置 19 實時監(jiān)控 21 系統(tǒng)消息提示 22 時間設(shè)置 23 注銷 23 審計中心 23 數(shù)據(jù)庫審計 24 其它審計 25 實名審計 29 DOMINO審計 30 本地審計 31 攻擊監(jiān)測 32 如何開啟或關(guān)閉攻擊監(jiān)測 32 攻擊事件查詢 33 監(jiān)測引擎配置 36 性能分析 38 如何指定時間范圍進行延時分析 38 如何查看分析結(jié)果 40 如何設(shè)置詳細(xì)分析條件 40 統(tǒng)計分析 41 SQL操作類型統(tǒng)計 41 事件類型統(tǒng)計 43 流量統(tǒng)計 44 策略中心 46 策略配置 46 資產(chǎn)配置 49 來源規(guī)則 52 時間規(guī)則 56 內(nèi)容規(guī)則 58 報表中心 59 如何手動生成報表 59 如何使用自動報表 60 如何使用歷史報表 61 系統(tǒng)配置 62 審計數(shù)據(jù)庫服務(wù)器 62 審計WEB中間件 63 知識庫 64 IP采集條件 65 工作參數(shù) 66 角色管理 72 補丁管理 74 授權(quán)管理 76 備份/還原 78 重啟/關(guān)機 82 用戶管理 83 如何添加用戶 84 如何編輯用戶 85 如何刪除用戶 85 系統(tǒng)日志管理 85 如何進行日志查詢 86 如何查看日志的詳細(xì)信息 90 如何進行日志刪除 90 如何導(dǎo)出系統(tǒng)日志 91 如何調(diào)整日志展示列 911 引言 文檔目的版權(quán)聲明本手冊包含了慧眼數(shù)據(jù)庫安全審計系統(tǒng)的硬件上架安裝、快速使用指南、系統(tǒng)功能配置以及FAQ等內(nèi)容。 刪除操作（Delete） o 刪除數(shù)據(jù)操作（DELETE， TRUNCATE TABLE， TRUNCATE DATABASE， …） o 刪除數(shù)據(jù)表、數(shù)據(jù)庫、視圖、索引等操作（DROP TABLE， DROP DATABASE， DROP VIEW， DROP INDEX， …） 審計客戶端審計客戶端指訪問審計服務(wù)器的用戶終端。數(shù)據(jù)轉(zhuǎn)儲數(shù)據(jù)轉(zhuǎn)儲指將慧眼數(shù)據(jù)庫安全審計系統(tǒng)的審計記錄，導(dǎo)出轉(zhuǎn)存到系統(tǒng)之外的空間，并能通過手段查詢轉(zhuǎn)存到系統(tǒng)外的歷史記錄的功能。針對以上破壞數(shù)據(jù)完整性的威脅都來自于數(shù)據(jù)庫本身的安全策略的漏洞和使用方面的問題，然而對于數(shù)據(jù)庫合法用戶的違規(guī)操作，以及內(nèi)部用戶對數(shù)據(jù)資源的故意泄露或破壞等問題，對企業(yè)帶來的危害會更加嚴(yán)重，損失也會相當(dāng)巨大。 產(chǎn)品功能數(shù)據(jù)庫操作和數(shù)據(jù)庫運維監(jiān)控、審計、報警能夠?qū)W(wǎng)絡(luò)數(shù)據(jù)庫的各種操作進行記錄審計并報警，提供詳細(xì)的審計信息（4W：何時 When 、何地 Where 、何人 Who以及何種行為 What）查詢功能和郵件、syslog報警方式。在數(shù)據(jù)存儲區(qū)磁盤空間使用率達(dá)到預(yù)設(shè)的預(yù)警閥值時通過界面顯示和郵件方式實現(xiàn)預(yù)警，達(dá)到預(yù)設(shè)的保護閥值時根據(jù)設(shè)定的數(shù)據(jù)保護機制采取相應(yīng)的處理對審計數(shù)據(jù)進行保護。 1U設(shè)備上架安裝支架，都包括一個支架。外側(cè)導(dǎo)軌安裝（固定在機柜上）在機箱料包盒里，有前面（短）和后面（長）各一副導(dǎo)軌片。4 連接登錄 連接方式產(chǎn)品為B/S架構(gòu)，使用IE瀏覽器軟件即可以對產(chǎn)品進行配置和管理。通信口 IP地址：掩碼： 網(wǎng)關(guān)： 備用通信口 IP地址：掩碼： 系統(tǒng)內(nèi)置用戶和初始密碼：內(nèi)置默認(rèn)用戶用戶名密碼權(quán)限系統(tǒng)管理員sysadminsysadmin1234首頁、審計中心、攻擊監(jiān)測、性能分析、策略中心、報表中心、系統(tǒng)配置用戶管理員useradminuseradmin1234普通用戶的創(chuàng)建和刪除等管理系統(tǒng)審計員auditadminauditadmin1234查看系統(tǒng)自身操作日志的審計信息amp。其中，上面部分列出了所有數(shù)據(jù)庫審計服務(wù)器，可點擊后面的單個圖標(biāo)查看針對各個服務(wù)器的統(tǒng)計信息。注：與登錄時的用戶名不同。若顯示密碼被勾選，顯示輸入的密碼，否則以“*”代替。2） 若點擊，將顯示當(dāng)前實時審計的數(shù)據(jù)，最多顯示1000條數(shù)據(jù)。選中某一條事件，將在界面的下方顯示出詳細(xì)信息（紅色框內(nèi)區(qū)域）。例如：在策略配置中，添加了一條事件類型，并且為它新建了一條策略，此時，點擊氣泡，將有如下提示： 提示內(nèi)容：策略發(fā)生了變化，點擊“同步”按鈕，進行系統(tǒng)同步配置。 數(shù)據(jù)庫審計以系統(tǒng)管理員sysadmin登錄系統(tǒng)， 鼠標(biāo)點擊左側(cè)導(dǎo)航欄“審計中心數(shù)據(jù)庫審計”，即可進入數(shù)據(jù)庫審計界面。點擊播放，界面展示SQL語句已經(jīng)SQL語句的返回狀態(tài)。點擊“其它審計”右側(cè)的單選框，可以切換到具體的審計頁面。用戶關(guān)聯(lián)： 對操作來源IP可以通過點擊“用戶關(guān)聯(lián)”，在新的頁面上設(shè)置時間關(guān)聯(lián)到來源IP的用戶名，同數(shù)據(jù)庫審計中的該功能。導(dǎo)出：在查詢結(jié)果區(qū)域的“導(dǎo)出”按鈕可批量導(dǎo)出前1萬條記錄。詳細(xì)信息： 點擊一條數(shù)據(jù)，在右邊列表頁面可以查看到選中數(shù)據(jù)的詳細(xì)信息。選擇查看日期： 通過點擊下方的日期選擇需要查看的日期的審計記錄，點擊和分別向左和向滑動日期， 點擊滑到日期列表的最左邊，點擊滑到日期列表的最右邊。進入SNMP日志審計頁面以后，默認(rèn)的查詢條件是今天，點擊查詢，可以查看今天已審計到的數(shù)據(jù)庫所在主機的SNMP日志審計記錄。通過設(shè)置查詢條件，可以更精確的查詢到審計記錄。則查詢結(jié)果為所有登入時間大于等于開始時間和登出時間小于等于結(jié)束時間的記錄。例如：在用戶名輸入框中輸入admin為關(guān)鍵字，就可以查詢出用戶名含有admin字段的所有用戶。 本地審計以系統(tǒng)管理員sysadmin登錄系統(tǒng)， 鼠標(biāo)點擊左側(cè)導(dǎo)航欄“審計中心本地審計”，即可進入本地審計界面。當(dāng)攻擊檢測引擎處于停止?fàn)顟B(tài)時，該按鈕顯示如下圖所示： 切換開/關(guān)狀態(tài)時，會彈出如下對話框： 點擊“確定”按鈕，返回到監(jiān)測引擎配置界面。如果查詢條件所設(shè)置的時間范圍的跨度比較大，例如：，則可通過 和進行上翻和下翻，通過和 進行翻到最前和最后。設(shè)置條件后，點擊“查詢”按鈕后詳細(xì)條件將隱藏，相應(yīng)的查詢結(jié)果將會顯示在界面上。修改后，用戶可點擊右下方的“保存”按鈕保存相應(yīng)的設(shè)置。 如何設(shè)置詳細(xì)分析條件在“延時分析”界面，點擊按鈕右側(cè)的下拉三角按鈕，即可在下方彈出詳細(xì)查詢條件設(shè)置菜單，如下圖所示：通過勾選和手動填寫可以增加查詢條件注：當(dāng)鼠標(biāo)移動到相應(yīng)查詢條件時，在“說明”對話框?qū)ο鄳?yīng)查詢條件進行詳細(xì)說明。如下圖所示：時間范圍的查詢條件有：今天、昨天、最近7天、最近30天、自定義。以系統(tǒng)管理員sysadmin登錄系統(tǒng)，鼠標(biāo)點擊左側(cè)導(dǎo)航欄中的“統(tǒng)計分析事件類型統(tǒng)計”菜單，進入事件類型統(tǒng)計界面（默認(rèn)為全部服務(wù)器的“今天”的所有事件類型的統(tǒng)計）。通過查看統(tǒng)計到的流量類型協(xié)助用戶分析服務(wù)器在所選時間內(nèi)進行的數(shù)據(jù)流量。 策略中心 策略配置以擁有“策略配置”功能權(quán)限的用戶登錄系統(tǒng)，鼠標(biāo)點擊左側(cè)導(dǎo)航欄“策略中心—策略配置”，即可打開“策略配置”界面。在事件類型列表處，選中一條記錄，即可顯示“編輯”、“刪除”按鈕。策略的應(yīng)用對象有三種方式，如下圖所示：：策略將應(yīng)用于當(dāng)前勾選的服務(wù)器組，匹配其下的數(shù)據(jù)庫服務(wù)器。資產(chǎn)配置界面左側(cè)列出已有的審計數(shù)據(jù)庫服務(wù)器，界面右側(cè)列出服務(wù)器所屬的資產(chǎn)組列表。全部應(yīng)用： 點擊全部應(yīng)用，界面上所有的配置都將被應(yīng)用并生效。復(fù)制資產(chǎn)組功能對選定資產(chǎn)組復(fù)制為另一個資產(chǎn)組， 包括資產(chǎn)組下的資產(chǎn)也被復(fù)制。 新建/編輯/刪除部門1．新建部門在來源規(guī)則頁面，點擊“新建部門”按鈕后，可進入新建部門頁面，如下圖添加部門示例：2．編輯部門在來源列表中點擊部門右側(cè)的“編輯”，即可對部門重新進行配置，同點擊“添加部門”。 新建時間規(guī)則在時間規(guī)則頁面，點擊“新建”按鈕后，可進入新建時間頁面。 編輯內(nèi)容規(guī)則在內(nèi)容規(guī)則頁面，點擊內(nèi)容規(guī)則列表上的內(nèi)容規(guī)則右側(cè)的“編輯”，可對內(nèi)容規(guī)則進行編輯。 注意：如果下載報表時選擇“html”格式，導(dǎo)出文件為壓縮包，需解壓。編輯各項信息后，點擊界面右下方的“保存”按鈕，報表成功保存，回到報表模板管理界面。2． 自動報表的郵件服務(wù)器在“系統(tǒng)管理—工作參數(shù)”的“郵件SMTP服務(wù)器”中配置，具體可參見“”。歷史報表管理界面的左側(cè)“報表模板”下面有一個下拉按鈕，可以根據(jù)系統(tǒng)設(shè)定的分類標(biāo)準(zhǔn)對報表模板進行快速過濾。點擊“添加”按鈕，進入“審計數(shù)據(jù)庫設(shè)置”界面，用戶可自定義配置審計服務(wù)器組名稱、數(shù)據(jù)庫類型、版本以及該組下的多個審計數(shù)據(jù)庫服務(wù)器的詳細(xì)信息。注意：配置數(shù)據(jù)庫服務(wù)器信息后（包括添加、編輯、刪除），在門戶界面的右上角紅色氣泡處生成消息，提醒同步，如下圖所示：需要點擊“同步”，并看到“同步成功”的提示后，配置才能生效 審計WEB中間件以系統(tǒng)管理員sysadmin登錄系統(tǒng)，鼠標(biāo)點擊左側(cè)導(dǎo)航欄“系統(tǒng)配置審計WEB中間件”，即可進入中間件配置界面。知識庫是用來配置慧眼數(shù)據(jù)庫安全審計系統(tǒng)的內(nèi)置事件類型、策略、來源、時間規(guī)則。，需要點擊右下角的“同步”按鈕配置才能生效；或在門戶界面的消息提醒處點擊策略“同步”并看到“同步成功”的提示后配置生效。點擊“保存”按鈕，將彈出如下提示：點擊“確定”按鈕，進入登錄界面。 并且，在所填寫的郵件地址中會收到一封郵件，內(nèi)容為：“恭喜您，當(dāng)您 收到該郵件時，您的郵件服務(wù)器測試已通過！” 若測試失敗，將彈出錯誤告警提示，如下圖所示：同時在服務(wù)器測試方框下面，給出如下發(fā)送失敗提示：所有信息都輸入完成，單擊“保存”按鈕保存當(dāng)前輸入信息，并彈出如下提示： 點擊“關(guān)閉”按鈕，返回到工作參數(shù)設(shè)置界面。 如何設(shè)置授權(quán)預(yù)警授權(quán)預(yù)警，即系統(tǒng)的授權(quán)使用時間預(yù)警。系統(tǒng)默認(rèn)設(shè)置審計數(shù)據(jù)保留30天后刪除，可配保存范圍為0365天。系統(tǒng)默認(rèn)鎖定時間為5分鐘，可配鎖定時間范圍為19999分鐘。系統(tǒng)默認(rèn)的角色有：報表使用者、統(tǒng)計分析員、報表管理者、外審計員、安全觀察員、性能監(jiān)控員、策略管理員、內(nèi)審計員、系統(tǒng)管理員以及安全管理員。以系統(tǒng)管理員sysadmin登錄系統(tǒng)，鼠標(biāo)點擊左側(cè)導(dǎo)航欄“系統(tǒng)配置角色管理”，即可進入到角色管理界面，如下圖所示： 如何添加角色如果要添加新角色，點擊角色管理界面左下角的按鈕，進入到角色設(shè)置界面，如下圖所示：（1）角色名稱和描述“角色名”是必填項且具有唯一性的，不允許重復(fù)，否則會給出提示：角色名已存在。設(shè)置好后，點擊“保存”按鈕，提示操作已成功，即對當(dāng)前設(shè)定進行保存。 如何設(shè)置用戶登陸安全性用戶登陸安全性，即限定用戶安全登錄次數(shù)，連續(xù)登錄失敗超過設(shè)定次數(shù)，系統(tǒng)將自動鎖定。當(dāng)審計中心的授權(quán)距離授權(quán)到期時間小于或等于此處配置的發(fā)送時間時，系統(tǒng)將每天向所配置的郵件地址發(fā)送一封授權(quán)到期提醒郵件。支持檢測系統(tǒng)的磁盤占用率功能，提供預(yù)警的配置界面，支持磁盤占用率的預(yù)警閥值設(shè)置。如下圖所示：姓名、郵件地址、SMTP服務(wù)器，可以按照提示信息輸入。以系統(tǒng)管理員sysadmin登錄系統(tǒng)，鼠標(biāo)點擊左側(cè)導(dǎo)航欄“系統(tǒng)配置工作參數(shù)”，即可進入到工作參數(shù)設(shè)置界面。如下圖所示： IP采集條件以系統(tǒng)管理員sysadmin登錄系統(tǒng)，鼠標(biāo)點擊左側(cè)導(dǎo)航欄“系統(tǒng)配置IP采集條件”，即可進入采集配置界面。如上圖。其中，端口顯示為數(shù)據(jù)庫的默認(rèn)端口，如DB2默認(rèn)為50000，oracle為1521等。歷史報表信息包括：報表名稱、報表模板、生成時間、接收人、生成格式、標(biāo)簽以及狀態(tài)。修改了相應(yīng)參數(shù)后，“保存”按鈕變?yōu)榭捎脿顟B(tài)，點擊“保存”后，系統(tǒng)回到報表列表界面。 如何配置報表任務(wù)在報表配置頁面的報表任務(wù)信息欄中，用戶可以對自動報表進行任務(wù)設(shè)置。根據(jù)用戶實際需要，系統(tǒng)內(nèi)置幾種不同的報表模板，用戶可以根據(jù)系統(tǒng)內(nèi)置的報表模板添加報表，并可以對其進行編輯或刪除等操作。復(fù)制內(nèi)容規(guī)則功能對選定內(nèi)容規(guī)則復(fù)制為另一個內(nèi)容規(guī)則， 包括內(nèi)容規(guī)則下的配置也被復(fù)制。如下圖是設(shè)置周日歷時間為每周的周一到周五的9：00：0018：30：00的時間規(guī)則示例： 如下圖是設(shè)置時間段從2011/06/06 00：00：00到2011/06/16 23：59：59的時間規(guī)則示例： 編輯時間規(guī)則在時間規(guī)則頁面，點擊時間規(guī)則列表上的時間規(guī)則右側(cè)的“編輯”，可對時間規(guī)則進行編輯。 新建/編輯/刪除來源1．新建來源在來源規(guī)則頁面，選中需要添加來源的部門，再點擊“新建來源