• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

H3C SecPath D2000-G[AK][G510][V]系列数据库审计系统 流量探针安装指导(E6204P07及其以前版本)-5W108

手册下载

H3C SecPath D2000-G[AK][G510][V]系列数据库审计系统

流量探针安装指导

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Copyright © 2021新华三技术有限公司 版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。

除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。

并不得以任何形式传播。本文档中的信息可能变动,恕不另行通知。

 



1 流量探针的安装指导

1.1  流量探针安装包的获取

打开浏览器,访问数据库审计设备的登录页面,鼠标移至登录页面的右上角,在展开的下拉项中,选择“流量探针客户端”,即可下载流量探针安装包。

图1-1 下载流量探针客户端界面

1.2  Linux版本安装与配置

1. 流量探针客户端支持的系统版本

安装包分为64位和32位两种,64位安装包理论上支持Linux 2.6.32 及以上内核版本的Linux系统,例如Centos6 X6432位安装包理论上支持Linux 2.6.24 及以上内核版本的Linux系统,例如Debian 4 X86

2. 流量探针客户端安装

使用远程工具,如MobaXterm工具,设置连接参数,输入用户名、密码,连接用户数据库服务器。

图1-2 连接linux服务器

连接上数据库服务器后,将下载好的流量探针flowagent.tar.gz (如果系统版本为32位,则使用flowagent_32.tar.gz)文件通过文件传输工具如Xftp上传到用户许可的文件夹。例如,上传到根目录下的mnt/disk文件夹,使用命令(cd /路径名,如“cd /mnt/disk”)进入该文件夹后,接着使用解压命令“tar zxvf flowagent.tar.gz”,解压flowagent.tar.gz文件。

备注:可使用“getconf LONG_BIT”命令查看Linux系统是64位还是32位。

图1-3 解压安装包

进入解压后的flowt文件夹(cd flowt/),输入安装命令“sh setup.sh”,回车后完成安装。完成探针安装后,需修改探针监控程序权限与探针管理程序权限,并在修改完两项权限后,手动运行监控程序。

a.     输入命令“chmod 777 /mnt/flowt/flow_system.sh”,修改探针监控程序权限;

b.     输入命令“chmod 777 /mnt/flowt/flow_agentd.sh”,修改探针管理程序权限;

c.     输入命令“/mnt/flowt/flow_system.sh &”,运行探针监控程序。

图1-4 完成安装界面

3. 流量探针客户端运行

(1)     安装完成后,通过“ifconfig””ip  a”命令查看数据库服务器的网卡信息,获取需要进行转发流量的网卡名称。

图1-5 查看网卡信息界面

 

(2)     测试运行流量探针客户端,输入测试命令。

“cd /mnt/flowt”,回车,继续输入命令“./flowagent -i eth0 -s eth1 -h 22.1.1.61”

注:

eth0eth122.1.1.61根据实际环境填写。

eth0:数据库服务器上流量需被转发的网卡名。

eth1:数据库服务器上通信IP所在的网卡名。

22.1.1.61:数据库审计设备上接收转发流量的网卡IP

(3)     运行测试命令后,确认流量探针是否正常运行,如果打印。

“LoginResult >>> OK”则配置并运行成功,如下图:

图1-6 运行命令执行成功后界面

注意:当执行命令,提示” Failed user authentication!”时,是由于数据库审计设备上未配置流量探针IP,需使用admin账号登录数据库审计设备,在策略中心-监听配置-流量探针模块配置客户端IP。配置完成后,再执行上述命令即可。

图1-7 错误提示信息

(4)     使用组合键“Ctrl+C”退出,流量探针客户端将按照已通过的参数运行。此时,该测试参数只是临时保存,需进入参数配置文件配置参数,输入命令“vi /mnt/flowt/argv.txt”,回车后,打开参数配置文件,修改默认参数为之前测试通过的参数,即“-i eth0 -s eth1 -h 22.1.1.61 –D”,修改后保存退出。

(5)     执行“./flow_agentd.sh start”,让探针在后台自动运行。

图1-8 探针执行

(6)     执行命令netstat -ant|grep 7766,如出现如下图以tcp开头的内容且状态为ESTABLISHED,表示流量探针已正常工作。

图1-9 探针正常运行界面

4. 修改流量转发网卡配置

(1)     若需要修改流量转发网卡配置,需先停止流量转发服务,输入命令:

“/mnt/flowt/flow_agentd.sh stop”,停止流量转发服务。

图1-10 探针停止运行界面

注:有些linux系统精简安装,当系统执行./flowt_agentd.sh stop时,发现没有killall命令,提示commond not found问题。以centos系统为例,执行“yum install -y psmisc”命令安装psmisc软件包后即可。

(2)     根据实际情况,可修改流量探针转发配置,通过输入命令“vi /mnt/flowt/argv.txt”,回车后,打开参数配置文件,修改运行参数,修改后保存退出。

修改完成后,输入命令“/mnt/flowt/flow_agentd.sh start”,启动流量转发服务。

5. 流量探针运行参数

系统默认内置的参数如下:

-i eth0 -s eth1 -h 22.1.1.61 –D

·     -i 指定需监听的网卡(网卡名可通过ifconfigip a命令查看)。在-i 后添加网卡名,可同时添加多个网卡,多个网卡间使用英文逗号“,”分割,如-i eth0,eth1;

·     -s 指定安装流量探针服务器上的通信网卡,在-s 后添加网卡名,不可同时添加多个网卡,如-s eth0

·     -h 指定接收流量探针转发流量的审计设备的通信网卡IP,在-h 后添加IP,如-h 22.1.1.61

6. 示例

假设流量探针安装在MySQL服务器105.1.1.19上,转发MySQL服务器流量的网卡名为 eth0MySQL服务器的通信网卡名为eth1,数据库审计设备管理接收转发流量的网卡IP22.1.1.61

(1)     停止流量探针命令

输入命令“/mnt/flowt/flow_agentd.sh stop”

(2)     修改流量探针命令

输入命令“vi /mnt/flowt/argv.txt”,回车后,进入参数配置页,修改运行参数为

“-i eth0 -s eth1 -h 22.1.1.61 -D”,保存,退出;

(3)     启动流量转发服务

修改流量探针配置完成后,输入命令“/mnt/flowt/flow_agentd.sh start”,启动流量转发服务。

7. 流量探针客户端卸载

(1)     卸载流量探针客户端,需先停止流量转发服务,输入命令:/mnt/flowt/flow_agentd.sh stop,停止流量转发服务;

注:出现“command not found”错误,以centos系统为例,使用命令”yum install psmisc -y”

(2)     删除etc目录下的rc.local 文件中的/mnt/flowt/flow_system.sh &,并保存退出。具体步骤如下:

a.     输入“vi /etc/rc.local”命令,打开rc.local 文件;

b.     移动光标到“/mnt/flowt/flow_system.sh &”这行,输入“dd”,删除这行;

图1-11 删除行界面

c.     输入“:wq”,回车,保存退出;

图1-12 保存退出后界面

注:如B步骤误删其它行,请输入“:q!” 回车,不保存修改退出,重新操作即可。

d.     删除运行文件目录,输入命令“rm /mnt/flowt/* -rf”,完成流量探针客户端卸载。

图1-13 删除文件目录

 

1.3  Windows版本安装与配置

Windows版安装包兼容32位与64位系统,理论上Windows用户版支持Windows 7及以上操作系统,Windows服务器版支持Windows Server 2008及以上操作系统。

1. 流量探针客户端安装

(1)     双击npcap-0.992.exe文件,根据提示安装npcap

图1-14 Npcap安装界面

 

(2)     点击“I Agree”,进入下一步,勾选下图选项后,点击“Install”安装;

图1-15  Npcap安装选项界面

(3)     双击flowagent.exe文件,根据提示安装客户端。

图1-16 流量探针安装界面

 

2. 流量探针客户端的配置

安装完成后,打开流量探针客户端,进行流量探针配置。

(1)     填写数据库审计设备管理接收转发流量的网卡IP

(2)     选择数据库服务器通信网卡/IP (数据库服务器上通信网卡IP,一般情况下为本机的IP)

(3)     勾选是否需开机启动;

(4)     勾选数据库服务器需要转发流量的网卡,使用鼠标双击备注区域,可对该网卡进行备注。网卡描述中带有“loopback”字样的网卡为本地回环网卡,部分操作系统安装好后会出现两个或者多个本地回环网卡,如需监听本地回环数据,必须将带有“loopback”字样的网卡都勾选转发。如下图中带有“loopback”字样的网卡12必须都勾选后,才可正常监听本地回环数据。如果只是监听本地网卡(不需要回环数据),只需勾选对应的网卡即可;

(5)     点击“保存”按钮,保存配置。

如下图所示:

图1-17 流量探针配置页面

3. 流量探针客户端卸载

(1)     卸载流量探针客户端,需先停止流量转发服务,然后退出流量探针客户端。

(2)     在开始菜单中,点击“所有程序”,找到“流量探针”项目并点击,选择“Uninstall”,打开卸载程序,程序询问是否移除,点击“是(Y)”,卸载流量探针客户端。

图1-18 卸载快捷键

 

图1-19 卸载确定

 

4. 流量转发服务管理

(1)     停止服务

在任务栏的流量探针图标上,右键点击“停止服务监控”按钮,即可停止服务。

图1-20 停止服务监听

 

(2)     开启服务

在任务栏的流量探针图标上,右键点击“开启服务监控”按钮,即可开启服务。

图1-21 开启服务监控

 

(3)     完全退出

在任务栏的流量探针图标上,右键点击“退出”按钮,即可退出服务。

注:完全退出一定要先停止服务监控,再退出。

2 FAQ

2.1  问题1 提示permission denied问题

使用非root权限登录安装flowagent,运行脚本时可能会出现permission denied问题。

解决办法

需要获取管理员权限执行在命令行前加sudo即可正常运行。如执行命令:

“sudo /mnt/flowagent/flowagent-ieth0 -seth0 -h172.27.53.96”

2.2  问题2 无法随系统启动

使用非root权限登录安装flowagent,自启动脚本会加入flowagent启动项,但由于没有执行权限,可能导致重启服务器系统后无法正常启动flowagent进程。

解决办法

编辑rc.local文件自启动脚本,找到“/mnt/flowagent/flow_system.sh &”行,在改行前面加sudo

 

新华三官网
联系我们