手册下载
H3C SecPath D2000-G[AK][G510][V]系列数据库审计系统
流量探针安装指导
Copyright © 2021新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
并不得以任何形式传播。本文档中的信息可能变动,恕不另行通知。
目 录
打开浏览器,访问数据库审计设备的登录页面,鼠标移至登录页面的右上角,在展开的下拉项中,选择“流量探针客户端”,即可下载流量探针安装包。
图1-1 下载流量探针客户端界面
安装包分为64位和32位两种,64位安装包理论上支持Linux 2.6.32 及以上内核版本的Linux系统,例如Centos6 X64;32位安装包理论上支持Linux 2.6.24 及以上内核版本的Linux系统,例如Debian 4 X86。
使用远程工具,如MobaXterm工具,设置连接参数,输入用户名、密码,连接用户数据库服务器。
图1-2 连接linux服务器
连接上数据库服务器后,将下载好的流量探针flowagent.tar.gz (如果系统版本为32位,则使用flowagent_32.tar.gz)文件通过文件传输工具如Xftp上传到用户许可的文件夹。例如,上传到根目录下的mnt/disk文件夹,使用命令(cd /路径名,如“cd /mnt/disk”)进入该文件夹后,接着使用解压命令“tar zxvf flowagent.tar.gz”,解压flowagent.tar.gz文件。
备注:可使用“getconf LONG_BIT”命令查看Linux系统是64位还是32位。
图1-3 解压安装包
进入解压后的flowt文件夹(cd flowt/),输入安装命令“sh setup.sh”,回车后完成安装。完成探针安装后,需修改探针监控程序权限与探针管理程序权限,并在修改完两项权限后,手动运行监控程序。
a. 输入命令“chmod 777 /mnt/flowt/flow_system.sh”,修改探针监控程序权限;
b. 输入命令“chmod 777 /mnt/flowt/flow_agentd.sh”,修改探针管理程序权限;
c. 输入命令“/mnt/flowt/flow_system.sh &”,运行探针监控程序。
图1-4 完成安装界面
(1) 安装完成后,通过“ifconfig”或”ip a”命令查看数据库服务器的网卡信息,获取需要进行转发流量的网卡名称。
图1-5 查看网卡信息界面
(2) 测试运行流量探针客户端,输入测试命令。
“cd /mnt/flowt”,回车,继续输入命令“./flowagent -i eth0 -s eth1 -h 22.1.1.61”
注:
eth0、eth1、22.1.1.61根据实际环境填写。
eth0:数据库服务器上流量需被转发的网卡名。
eth1:数据库服务器上通信IP所在的网卡名。
22.1.1.61:数据库审计设备上接收转发流量的网卡IP。
(3) 运行测试命令后,确认流量探针是否正常运行,如果打印。
“LoginResult >>> OK”则配置并运行成功,如下图:
图1-6 运行命令执行成功后界面
注意:当执行命令,提示” Failed user authentication!”时,是由于数据库审计设备上未配置流量探针IP,需使用admin账号登录数据库审计设备,在策略中心-监听配置-流量探针模块配置客户端IP。配置完成后,再执行上述命令即可。
图1-7 错误提示信息
(4) 使用组合键“Ctrl+C”退出,流量探针客户端将按照已通过的参数运行。此时,该测试参数只是临时保存,需进入参数配置文件配置参数,输入命令“vi /mnt/flowt/argv.txt”,回车后,打开参数配置文件,修改默认参数为之前测试通过的参数,即“-i eth0 -s eth1 -h 22.1.1.61 –D”,修改后保存退出。
(5) 执行“./flow_agentd.sh start”,让探针在后台自动运行。
图1-8 探针执行
(6) 执行命令“netstat -ant|grep 7766”,如出现如下图以tcp开头的内容且状态为ESTABLISHED,表示流量探针已正常工作。
图1-9 探针正常运行界面
(1) 若需要修改流量转发网卡配置,需先停止流量转发服务,输入命令:
“/mnt/flowt/flow_agentd.sh stop”,停止流量转发服务。
图1-10 探针停止运行界面
注:有些linux系统精简安装,当系统执行./flowt_agentd.sh stop时,发现没有killall命令,提示commond not found问题。以centos系统为例,执行“yum install -y psmisc”命令安装psmisc软件包后即可。
(2) 根据实际情况,可修改流量探针转发配置,通过输入命令“vi /mnt/flowt/argv.txt”,回车后,打开参数配置文件,修改运行参数,修改后保存退出。
修改完成后,输入命令“/mnt/flowt/flow_agentd.sh start”,启动流量转发服务。
系统默认内置的参数如下:
-i eth0 -s eth1 -h 22.1.1.61 –D
· -i 指定需监听的网卡(网卡名可通过ifconfig或ip a命令查看)。在-i 后添加网卡名,可同时添加多个网卡,多个网卡间使用英文逗号“,”分割,如-i eth0,eth1;
· -s 指定安装流量探针服务器上的通信网卡,在-s 后添加网卡名,不可同时添加多个网卡,如-s eth0;
· -h 指定接收流量探针转发流量的审计设备的通信网卡IP,在-h 后添加IP,如-h 22.1.1.61。
假设流量探针安装在MySQL服务器105.1.1.19上,转发MySQL服务器流量的网卡名为 eth0,MySQL服务器的通信网卡名为eth1,数据库审计设备管理接收转发流量的网卡IP为22.1.1.61。
(1) 停止流量探针命令
输入命令“/mnt/flowt/flow_agentd.sh stop”;
(2) 修改流量探针命令
输入命令“vi /mnt/flowt/argv.txt”,回车后,进入参数配置页,修改运行参数为
“-i eth0 -s eth1 -h 22.1.1.61 -D”,保存,退出;
(3) 启动流量转发服务
修改流量探针配置完成后,输入命令“/mnt/flowt/flow_agentd.sh start”,启动流量转发服务。
(1) 卸载流量探针客户端,需先停止流量转发服务,输入命令:“/mnt/flowt/flow_agentd.sh stop”,停止流量转发服务;
注:出现“command not found”错误,以centos系统为例,使用命令”yum install psmisc -y”
(2) 删除etc目录下的rc.local 文件中的“/mnt/flowt/flow_system.sh &”,并保存退出。具体步骤如下:
a. 输入“vi /etc/rc.local”命令,打开rc.local 文件;
b. 移动光标到“/mnt/flowt/flow_system.sh &”这行,输入“dd”,删除这行;
图1-11 删除行界面
c. 输入“:wq”,回车,保存退出;
图1-12 保存退出后界面
注:如B步骤误删其它行,请输入“:q!”, 回车,不保存修改退出,重新操作即可。
d. 删除运行文件目录,输入命令“rm /mnt/flowt/* -rf”,完成流量探针客户端卸载。
图1-13 删除文件目录
Windows版安装包兼容32位与64位系统,理论上Windows用户版支持Windows 7及以上操作系统,Windows服务器版支持Windows Server 2008及以上操作系统。
(1) 双击npcap-0.992.exe文件,根据提示安装npcap;
图1-14 Npcap安装界面
(2) 点击“I Agree”,进入下一步,勾选下图选项后,点击“Install”安装;
图1-15 Npcap安装选项界面
(3) 双击flowagent.exe文件,根据提示安装客户端。
图1-16 流量探针安装界面
安装完成后,打开流量探针客户端,进行流量探针配置。
(1) 填写数据库审计设备管理接收转发流量的网卡IP;
(2) 选择数据库服务器通信网卡/IP (数据库服务器上通信网卡IP,一般情况下为本机的IP);
(3) 勾选是否需开机启动;
(4) 勾选数据库服务器需要转发流量的网卡,使用鼠标双击备注区域,可对该网卡进行备注。网卡描述中带有“loopback”字样的网卡为本地回环网卡,部分操作系统安装好后会出现两个或者多个本地回环网卡,如需监听本地回环数据,必须将带有“loopback”字样的网卡都勾选转发。如下图中带有“loopback”字样的网卡1、2必须都勾选后,才可正常监听本地回环数据。如果只是监听本地网卡(不需要回环数据),只需勾选对应的网卡即可;
(5) 点击“保存”按钮,保存配置。
如下图所示:
图1-17 流量探针配置页面
(1) 卸载流量探针客户端,需先停止流量转发服务,然后退出流量探针客户端。
(2) 在开始菜单中,点击“所有程序”,找到“流量探针”项目并点击,选择“Uninstall”,打开卸载程序,程序询问是否移除,点击“是(Y)”,卸载流量探针客户端。
图1-18 卸载快捷键
图1-19 卸载确定
(1) 停止服务
在任务栏的流量探针图标上,右键点击“停止服务监控”按钮,即可停止服务。
图1-20 停止服务监听
(2) 开启服务
在任务栏的流量探针图标上,右键点击“开启服务监控”按钮,即可开启服务。
图1-21 开启服务监控
(3) 完全退出
在任务栏的流量探针图标上,右键点击“退出”按钮,即可退出服务。
注:完全退出一定要先停止服务监控,再退出。
使用非root权限登录安装flowagent,运行脚本时可能会出现permission denied问题。
解决办法
需要获取管理员权限执行在命令行前加sudo即可正常运行。如执行命令:
“sudo /mnt/flowagent/flowagent-ieth0 -seth0 -h172.27.53.96”
使用非root权限登录安装flowagent,自启动脚本会加入flowagent启动项,但由于没有执行权限,可能导致重启服务器系统后无法正常启动flowagent进程。
解决办法
编辑rc.local文件自启动脚本,找到“/mnt/flowagent/flow_system.sh &”行,在改行前面加sudo。