【正文】 如下圖所示：在描述欄內(nèi)，對將要添加的角色進行描述。 用戶自定義添加的用戶必須要隸屬于相應(yīng)的角色，以限制其對該審計系統(tǒng)的管理、查看的權(quán)限。 例如：設(shè)置用戶最大連接登錄失敗五次，超過五次系統(tǒng)將鎖定登錄界面，并在登錄界面給出如下提示： 設(shè)置鎖定時間為五分鐘，當超過鎖定時間后，刷新方可進入初始登錄界面。系統(tǒng)默認最大連續(xù)登錄失敗5次后系統(tǒng)鎖定，可配次數(shù)范圍020次。在鎖定時間內(nèi)，不可以再次登錄。保留設(shè)置天數(shù)內(nèi)的審計數(shù)據(jù)，超過設(shè)定天數(shù)，將刪除審計數(shù)據(jù)。默認時間授權(quán)到期前30天郵件告警提示，可配范圍1100天。通過點擊，可以改變預(yù)警閥值和保護閥值，設(shè)置好后，點擊“保存”按鈕，彈出如下提示： 點擊“關(guān)閉”按鈕，返回到工作參數(shù)設(shè)置界面。以系統(tǒng)管理員sysadmin登錄系統(tǒng)，鼠標左鍵點擊左側(cè)導航欄中的“系統(tǒng)配置工作參數(shù)”，進入工作參數(shù)界面，右上有“磁盤預(yù)警”一欄，如下圖所示：預(yù)警閥值（磁盤使用率%）：審計中心設(shè)備磁盤的審計數(shù)據(jù)存儲區(qū)使用率預(yù)警閥值，默認預(yù)警閥值為80%，可配范圍5089%。若測試成功，將在服務(wù)器測試下面將顯示“發(fā)送成功”。輸入郵件地址時，若輸入正確，方框顯示為藍色，如下圖所示：若輸入有誤，方框變?yōu)榧t色框，并且會標注錯誤提示，如下圖所示：“加密”項，可以通過后面的下拉菜單選擇是或否，當選擇“否”時，默認端口是25，可以通過上下鍵改變端口；當選擇“是”時，默認端口是465，可以通過上下鍵改變端口。對時間設(shè)置的“時間服務(wù)器”進行設(shè)置，如下圖所示：按照提示輸入主機名或者IP后，“同步”按鈕變?yōu)榭捎?，例如：，如下圖所示：可點擊“同步”將當前系統(tǒng)時間與該處的時間服務(wù)器同步。 如何進行時間設(shè)置時間設(shè)置，即用戶可以設(shè)置系統(tǒng)的日期和時間，也可以將其與某個主機或IP地址的計算機時間進行同步設(shè)置。注意：“不在以上IP地址范圍內(nèi)數(shù)據(jù)”的處理方式為“不采集”，即列表范圍外的IP數(shù)據(jù)包將被丟棄不采集。默認IP采集功能處于開啟狀態(tài)。 知識庫以系統(tǒng)管理員sysadmin登錄系統(tǒng)，鼠標點擊左側(cè)導航欄“系統(tǒng)配置知識庫”，即可進入知識庫配置界面。如需關(guān)聯(lián)審計，則需要添加關(guān)聯(lián)關(guān)系。如上圖所示，該審計服務(wù)器上發(fā)生的INSERT、SELECT、UPDATE操作將不會被審計。當需要審計某個服務(wù)器上發(fā)生的網(wǎng)絡(luò)行為時，則需要正確勾選相應(yīng)的FTP、TELNET、SSH或SMB端口并配置正確的服務(wù)端口。 審計數(shù)據(jù)庫服務(wù)器以系統(tǒng)管理員sysadmin登錄系統(tǒng)，鼠標點擊左側(cè)導航欄“系統(tǒng)配置審計數(shù)據(jù)庫服務(wù)器”，即可進入審計數(shù)據(jù)庫服務(wù)器界面。用戶可以選中某條生成記錄或者幾條生成記錄，點擊右下角“刪除”按鈕，可將該條生成記錄刪除；點擊“導出”按鈕，界面彈出導出對話框，點擊“導出”按鈕，選擇目標地址保存后，即可導出歷史報表文件。以擁有“歷史報表管理”功能權(quán)限的用戶登錄系統(tǒng)，鼠標點擊左側(cè)導航欄“報表中心歷史報表管理”界面，即可進入歷史報表管理界面。注意：不允許添加名稱相同的報表，會給出提示：報表名稱已存在。 每月任務(wù)的觸發(fā)時間是每月1號凌晨3:00，統(tǒng)計前一月的數(shù)據(jù)。報表接收人：指定自動報表的收件人，需輸入完整的地址，多個收件人之間以“,”分開；輸出格式包括：docx、html、pdf、pptx、rtf和xlsx任務(wù)時間包括：每日：每天將系統(tǒng)所在天前一天的數(shù)據(jù)以事先設(shè)定的報表格式發(fā)送給報表接收人；每周：每周將系統(tǒng)所在周前一周的數(shù)據(jù)以事先設(shè)定的報表格式發(fā)送給報表接收人；每月：每月將系統(tǒng)所在月前一月的數(shù)據(jù)以事先設(shè)定的報表格式發(fā)送給報表接收人。報表任務(wù)包括： 接收人、輸出格式以及時間。 如何添加報表 選中某一個報表模板，點擊頁面右下角的“添加報表”按鈕，即可根據(jù)該報表模板添加報表。左側(cè)“報表模板”區(qū)域顯示系統(tǒng)默認提供的模板，用戶可點擊某個模板右側(cè)的“手動報表”，然后配置好該報表需要的各項參數(shù)：各種報表模板的參數(shù)主要有以下幾種：報表名稱：報表生成后的文件命名時間范圍開始時間：報表統(tǒng)計數(shù)據(jù)的開始時間，默認為昨天的00:00:00；時間范圍結(jié)束時間：報表統(tǒng)計數(shù)據(jù)的結(jié)束時間，默認為昨天的23:59:59；審計數(shù)據(jù)庫服務(wù)器：報表統(tǒng)計的指定服務(wù)器ip地址；生成格式：報表下載后的文本格式docx、html、pdf、pptx、rtf及xlsx；用戶設(shè)置各項參數(shù)后，點擊手動報表對話框中的“下載”按鈕，瀏覽器打開新界面，然后彈出文件下載對話框，此時可以選擇相應(yīng)操作，執(zhí)行打開或保存下載功能。復制內(nèi)容規(guī)則需要輸入新的內(nèi)容規(guī)則名稱。內(nèi)容規(guī)則規(guī)則類型可選關(guān)鍵字或者正則表達式進行匹配，并在下面的空白區(qū)域配置要匹配的關(guān)鍵字或正則表達式。 刪除時間規(guī)則在時間規(guī)則頁面，點擊時間規(guī)則列表上的時間規(guī)則右側(cè)的“刪除”，可刪除時間規(guī)則。下圖是沒有添加任何時間規(guī)則的示例：通過點擊“新建”按鈕，添加不同的時間規(guī)則。如下圖是對“1級部門_部門1”部門添加來源示例：2．編輯來源點擊來源列表中來源名稱右側(cè)的“編輯”，可對來源進行編輯。部門之間是樹狀結(jié)構(gòu)，每個部門下都可以添加來源。在確認刪除對話框中，選擇確定刪除資產(chǎn)組后，資產(chǎn)組和資產(chǎn)組下的自定義資產(chǎn)均被刪除。 復制資產(chǎn)組在資產(chǎn)配置頁面上選中已有資產(chǎn)組，點擊“復制”按鈕，彈出復制資產(chǎn)組頁面。下圖是已添加好的資產(chǎn)組示例：排序： 點擊資產(chǎn)名稱可進行升、倒序排列?？焖俨樵儯?輸入資產(chǎn)組名稱的部分或全部可快速查詢到資產(chǎn)組。點擊資產(chǎn)組右側(cè)的“編輯”可編輯資產(chǎn)組。通過資產(chǎn)配置界面可對審計數(shù)據(jù)庫服務(wù)器下的資產(chǎn)進行配置，包括添加自定義資產(chǎn)，添加自定義資產(chǎn)到邏輯資產(chǎn)組。保存策略后，即可在事件類型下方的策略列表處查看各策略名稱。其中“動作規(guī)則”中的“異常串”處可匹配SQL操作的返回信息中出現(xiàn)的關(guān)鍵字，不區(qū)分大小寫，輸入多個時以英文逗號分隔；“內(nèi)容規(guī)則”處可根據(jù)需求選擇匹配的內(nèi)容規(guī)則。 如何設(shè)置策略用戶自定義事件類型后，即可添加策略。 注意： 內(nèi)置的“未知事件”用于匹配所有被用戶自定義策略遺漏的事件； 內(nèi)置的“未知事件”不允許刪除，只允許更改響應(yīng)方式，并且不允許在“未知事件類型”下添加策略。當一條操作行為被策略命中生成事件后，這條事件的事件類型就是這個策略所在分組的事件類型名稱。如下圖所示，若點擊對比昨天：流量統(tǒng)計分析趨勢圖中有所選時間和要對比時間的曲線圖，其中較深顏色的曲線為所選時間統(tǒng)計曲線，較淺顏色曲線為要對比時間的統(tǒng)計曲線；流量排名中有百分比和總數(shù)的對比情況，且在數(shù)據(jù)前方有上升或者下降箭頭提示，其中黑色數(shù)據(jù)為所選時間的流量統(tǒng)計，灰色為要對比時間的相應(yīng)的流量統(tǒng)計，且在上方有日期提示。 如何查看分析結(jié)果設(shè)置好查詢條件后，點擊按鈕，統(tǒng)計結(jié)果即顯示在下方。 流量統(tǒng)計流量統(tǒng)計主要是對各個審計服務(wù)器審計到的數(shù)據(jù)的流量，按照流量的類型進行分類統(tǒng)計。統(tǒng)計的結(jié)果分為 “事件類型統(tǒng)計分析趨勢圖”和“事件類型排名” 兩種方式展示。通過查看統(tǒng)計到的事件類型協(xié)助用戶分析服務(wù)器在所選時間內(nèi)進行的操作事件。 SQL操作類型統(tǒng)計分析趨勢圖用來展示所選條件的SQL操作類型按時間的統(tǒng)計趨勢，當鼠標放在趨勢圖節(jié)點時，會展示該節(jié)點所在時間的統(tǒng)計信息，如下圖所示： SQL操作類型排名用來展示所統(tǒng)計的各個操作類型的排名、操作類型、百分比、總數(shù)。如下圖所示：系統(tǒng)默認的時間范圍查詢條件為：今天，點擊下拉按鈕可打開并選擇其余時間查詢條件。 SQL操作類型統(tǒng)計SQL操作類型統(tǒng)計主要是對各個審計服務(wù)器審計到的數(shù)據(jù)，按照SQL的操作類型進行分類統(tǒng)計。如果沒有符合查詢條件的數(shù)據(jù)，會在查詢結(jié)果中間顯示：“沒有找到符合條件的結(jié)果”。如下圖所示：時間范圍的查詢條件有：最近5分鐘、最近10分鐘、最近30分鐘、最近1小時、最近3小時、最近12小時、最近24小時、最近7天、本日、本周、本月。用戶可以自定義修改特征規(guī)則的報警級別，或者通過勾選某條規(guī)則設(shè)置啟用或著停用該規(guī)則。 監(jiān)測引擎配置監(jiān)測引擎配置是系統(tǒng)內(nèi)置的安全攻擊事件匹配的配置，用戶可以自定義修改報警級別、啟用或者停用該配置。其中攻擊事件源IP和攻擊事件目的IP條件需要按照IP地址的標準格式輸入，攻擊事件源端口和攻擊事件目的端口條件的端口范圍在0~65535之間，其中0表示無相應(yīng)的端口。 如何將監(jiān)測事件導出在查詢結(jié)果區(qū)域的“導出”按鈕可批量導出前1萬條記錄。當前被查看的日期以灰色顯示。如下圖所示：時間范圍的查詢條件有：最近5分鐘、最近10分鐘、最近30分鐘、最近1小時、最近3小時、最近12小時、最近24小時、最近7天、本日、本周、本月和自定義。如圖所示：在系統(tǒng)安裝初始狀態(tài)下，該監(jiān)測事件處于開啟狀態(tài)。第一次進入審計界面后，系統(tǒng)默認從數(shù)據(jù)庫服務(wù)器列表中選擇一個數(shù)據(jù)庫服務(wù)器，并提示需要配置訪問連接所需要的數(shù)據(jù)庫賬號、密碼等（最好使用系統(tǒng)管理員賬號，本地審計系統(tǒng)不會記錄此賬號相關(guān)信息），如下圖： 輸入數(shù)據(jù)庫賬號、密碼、實例名（ORACLE數(shù)據(jù)庫需要提供實例名）后，點擊“保存并審計”后，系統(tǒng)可連接到選中的數(shù)據(jù)庫服務(wù)器，并查詢出該數(shù)據(jù)庫服務(wù)器自身審計的結(jié)果。首頁就可以展現(xiàn)基于該DOMINO服務(wù)器的統(tǒng)計信息，其中包括：會話趨勢、流量趨勢以及事務(wù)趨勢。查詢結(jié)果每次返回100條記錄，可以拖動鼠標至底部進行再次查詢，直至返回所有符合條件的記錄。而對于用戶名和數(shù)據(jù)庫名信息，需要用戶手動輸入關(guān)鍵字，其中支持關(guān)鍵字的模糊查詢。DOMINO審計是針對DOMINO文檔型數(shù)據(jù)庫產(chǎn)品而進行的數(shù)據(jù)庫審計。例如：設(shè)置的開始時間和結(jié)束時間分別是：20110317 00:00:00和20110318 23:59:59。該功能默認為關(guān)閉狀態(tài)，默認用戶需要首先進行SMP配置：在“查詢”按鈕下方點擊“SMP配置”，彈出對話框，如下圖所示：狀態(tài)：用戶可點擊選擇是否開啟SMP審計功能，默認為“關(guān)”即不審計；IP、端口：指定SMP關(guān)聯(lián)系統(tǒng)服務(wù)器的IP和端口；保存后即可生效。當鼠標移動到查詢條件上時，下方的說明框里是對查詢條件的詳細說明。導出：在查詢結(jié)果區(qū)域的“導出”按鈕可批量導出前1萬條記錄。 SNMP日志SNMP日志是對審計數(shù)據(jù)庫所在主機的SNMP日志的審計。點擊每條記錄右側(cè)詳細信息處可以導出當前對應(yīng)的一條數(shù)據(jù)。進入SYSLOG日志審計頁面以后，默認的查詢條件是今天，點擊查詢，可以查看今天已審計到的數(shù)據(jù)庫所在主機的SYSLOG日志審計記錄。排序： 可以通過點擊查詢結(jié)果中的列名進行升、倒序排列。選擇查看日期： 通過點擊下方的日期選擇需要查看的日期的審計記錄，點擊和分別向左和向滑動日期， 點擊滑到日期列表的最左邊，點擊滑到日期列表的最右邊。點擊“查詢”按鈕的下拉箭頭，進入到查詢設(shè)置頁面，如下圖：當鼠標移動到查詢條件上時，下方的說明框里是對查詢條件的詳細說明。詳細信息： 點擊一條數(shù)據(jù)，在右邊列表頁面可以查看到選中數(shù)據(jù)的詳細信息。通過設(shè)置查詢條件，可以更精確的查詢到審計記錄。點擊每條記錄右側(cè)詳細信息處可以導出當前對應(yīng)的一條數(shù)據(jù)。進入運維審計頁面以后，默認的查詢條件是今天，點擊查詢，可以查看今天已審計到的對數(shù)據(jù)庫服務(wù)器訪問的記錄。其它審計中包含了：運維，WEB中間件，WEB中間件關(guān)聯(lián)，SYSLOG日志，SNMP日志。下圖是點擊操作來源IP“”右側(cè)的“用戶關(guān)聯(lián)”頁面以后，查到的關(guān)聯(lián)結(jié)果示例：排序： 可以通過點擊查詢結(jié)果中的列名進行升、倒序排列。SQL回放：點擊一條數(shù)據(jù)，在右邊列表頁面的詳細信息中點擊“SQL回放”,可對同一會話中的SQL語句進行回放。選擇查看日期： 通過點擊下方的日期選擇需要查看的日期的審計記錄，點擊和分別向左和向滑動日期， 點擊滑到日期列表的最左邊，點擊滑到日期列表的最右邊。通過審計中心，可以對系統(tǒng)已審計到的數(shù)據(jù)進行查看，通過設(shè)置時間等查詢條件對審計到的數(shù)據(jù)進行更精確的查詢。 注：每增加一個消息提示，都會顯示在消息提示的首頁。當有授權(quán)告警時，會在此增加提示，如下圖所示：當有磁盤預(yù)警時，會在此增加提示，如下圖所示：另外，還有“同步”提示，當系統(tǒng)修改某一信息或者配置后，需要點擊氣泡，進行同步。系統(tǒng)默認有6條消息提示。同理，也可按風險級別、審計數(shù)據(jù)庫服務(wù)器、事件類型、操作來源、操作時間中的任意一項進行排序。每5秒鐘刷新一次進行數(shù)據(jù)更新，最新監(jiān)控到的數(shù)據(jù)將顯示在列表的最下方。1） 點擊三個風險級別的顏色圓圈，分別會彈出當前風險級別的審計記錄頁面。 實時監(jiān)控如上圖所示，報警信息以紅、黃、綠三個顏色圓圈代表審計數(shù)據(jù)庫服務(wù)器監(jiān)控到的數(shù)據(jù)風險級別為高、中、低。例如：abc1234。同上，當輸入“電子郵箱”后，“保存”和“重置”兩個按鈕變?yōu)榭捎脿顟B(tài)。全名：輸入系統(tǒng)用戶的名稱，默認的全名是sysadmin。鼠標移到折線整點處，可看到當時時間段的數(shù)據(jù)統(tǒng)計數(shù)：事件類型排名：單點顯示過去的12小時內(nèi)數(shù)據(jù)庫服務(wù)器發(fā)生的相應(yīng)事件類型的審計記錄總數(shù)，總體顯示總數(shù)前5名的事件類型，如上圖所示單點為過去的12小時發(fā)生名為“SQLSERVER”事件的記錄數(shù)為1411條；延時趨勢：單點顯示當時的1小時內(nèi)數(shù)據(jù)庫服務(wù)器操作的平均延時時間（以毫秒為單位），總體顯示過 去的12個小時的延時趨勢；攻擊事件趨勢：單點顯示當時的1小時內(nèi)數(shù)據(jù)庫服務(wù)器遭受攻擊的總數(shù)，總體顯示過去12小時的攻擊事件趨勢，如下圖所示單點為11：00至12：00的數(shù)據(jù)庫服務(wù)器遭受攻擊的總數(shù)為12。如下圖所示。1) 輸入用戶名和密碼，即可登錄系統(tǒng)。 登錄系統(tǒng)使用IE瀏覽器(要求用IE7或以上版本，IE6不能完全支持)，在地址欄中輸入：://審計中心IP （此處的審計中心IP指審計中心通信口的IP） 如： 按照以下步驟進行即可登錄系統(tǒng)。 修改通信口的ip設(shè)置將慧眼數(shù)據(jù)庫安全審計系統(tǒng)的默認IP修改修改為用戶管理環(huán)境要求的IP，通過備用通信口（ETH1）進入到慧眼數(shù)據(jù)庫安全審計系統(tǒng)中，修改通信口ETH0