- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
手册下载
H3C SecPath D2000-G2[E][AK66XX][CN][Cloud-G]系列数据库审计系统
插件安装指导
Copyright © 2022-2025新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
并不得以任何形式传播。本文档中的信息可能变动,恕不另行通知。
目 录
本文档用于指导插件部署方法,请使用admin账户登录数据库审计设备,在“系统—插件设置”处进行配置。
(1)安装包支持X86_64架构Linux系统,支持CentOS7.X及以上、redhat7.X、Ubuntu14.X、15.X、16.X、17.X、18.X,支持远程推送安装和手动安装两种方式。
(2)安装包支持aarch64架构Linux系统,支持KyV10(SP3)+arm、KyV10(SP1)+arm、openEuler 22.03 (LTS-SP1)+arm、centos7+arm,支持远程推送安装和手动安装两种方式。
浏览器中输入URL:https://服务器IP地址:8441(如https://192.168.0.1:8441 ),进入数据库审计系统登录页面,输入系统管理员用户名admin,输入密码(默认密码admin),点击“登录”按钮。
具体操作步骤如下:
1)在左侧导航栏,选择系统->插件设置->插件安装,进入插件安装页面。
图1-1 插件安装页面
2)点击“手动推送”按钮,在弹出对话框中,配置需安装插件服务器的访问地址和认证信息,勾选“默认安装”,单击“确定”按钮。
图1-2 插件推送页面
插件推送参数说明:
服务器地址:数据库服务器或访问数据库系统的应用系统、运维终端的IP地址;
端口:所配置服务器ssh开放端口,一般默认是22;
验证方式:口令,使用用户名密码登录服务器后台安装插件;
证书,使用ssl证书登录服务器后台安装插件;
系统账号:ssh连接所配置服务器后台使用的账户,请确保该账户拥有root账户权限;
系统密码:ssh连接所配置服务器后台使用的密码;
证书密码:生成证书时使用的密码;
系统类型:下拉选择Linux-X64或Linux-aarch64;
通讯地址:审计系统同插件通讯使用的网卡;
默认安装:勾选“默认安装”后,把插件安装包推送到插件服务器后会自动进行安装;如果不勾选默认安装,只推送插件安装包不进行安装;
测试连通性功能说明:点击按钮后,系统将对输入的服务器地址和端口尝试通信,如能连通,提示“连通成功”。如不能连通,系统会报错“该地址无法连通”,请检查服务器地址和端口是否填写错误、服务器ssh服务是否开启,防火墙是否开放该端口;
通讯地址说明:可通过选择网卡或手工输入方式设置。选择网卡的列表为单选,查看通讯网卡列表,配置有IP的网卡为可选择项,未配置IP的网卡置灰无法选中。插件会把选择的网卡IP作为插件同审计系统通讯的IP。将抓取的流量转发给这个网卡。当审计系统存在多个IP时,请确保安装插件的设备能够同选择的通讯网卡IP进行通信。可通过ping命令查看。手工输入时可输入IPv4或者IPv6地址,端口为8441。
3)推送状态列表会显示插件安装情况,提示安装成功后,切换到插件管理页面,插件列表中显示该插件详细信息,运行状态为运行中。
图1-3 推送状态列表提示安装成功
图1-4 插件管理页面
4)至此,手动推送插件安装成功,下一步进行插件配置,请参考本文第2章2.1 进行配置。
Linux操作系统手动安装插件具体操作步骤如下(以Linux-X64插件为例):
1)在左侧导航栏,选择系统->插件设置->插件安装,进入插件安装页面。
图1-5 插件安装页面
2)单击Linux栏的下载按钮,并将压缩包通过传输工具(如MobaXterm)传入Linux系统,或者点击复制下载地址链接,远程连接Linux系统并使用{wget --no-check-certificate [下载链接]},下载压缩包。
图1-6 插件文件压缩包
3)使用tar命令【tar -zxvf auditplugin_linux_x64.tar.gz】解压压缩包,并进入生成的【auditplugin_linux_x64】目录。
图1-7 压缩包解压
图1-8 进入auditplugin_linux_x64目录
4) 使用【vi config.json】进入插件配置命令行模式,按键盘【i】键进入插入模式,配置插件信息,配置完成后,按下键盘【Esc】键,输入【:wq】保存退出。
图1-9 填写插件配置信息
配置文件请参考readme.txt文件参数说明。
安装插件请使用root账号或请确保该账户拥有root账户权限。
5)使用【./install.sh】命令运行install.sh脚本,当显示 【end install…】提示时,插件安装成功。通过命令【ps aux|grep new_pcap_agent】、【netstat -anp|grep 13579】查看插件运行状态。
图1-10 插件安装成功界面
图1-11 插件进程查看
6)至此,手动推送插件安装成功,下一步进行插件配置,请参考本文第2章2.1 进行配置。
插件日志保存在/home/auditplugin/logs/目录下new_pcap_agent.log文件内,请勿移动或修改该目录。
如果在插件安装后需要修改插件连接信息,请按照readme的说明,修改/home/auditplugin/config目录下的config.json并重启插件服务;如修改安装包文件夹的config.json,请在修改完成后卸载重新安装。
如果数据库服务器曾经安装过审计系统插件,请在安装前执行一次卸载脚本uninstall.sh,确保之前版本插件已经卸载。
安装包支持64位系统,理论上Windows用户版支持Windows 7 SP2及以上操作系统,Windows服务器版支持Windows Server 2008 R2及以上操作系统。 Windows插件不支持远程安装,需要手动安装。
浏览器中输入URL:https://服务器IP地址:8441(如https://192.168.0.1:8441 ),进入数据库审计系统登录页面,输入系统管理员用户名admin,输入密码(默认密码admin),点击“登录”按钮。
Windows操作系统插件安装具体操作步骤如下:
1)在左侧导航栏,选择系统->插件设置->插件安装,进入插件安装页面。
图1-12 插件安装页面
2)单击Windows栏的下载按钮,并将压缩包放入安装插件所在的服务器。或者点击复制下载地址链接,在服务器进行下载压缩包。
3)使用解压缩工具解压压缩包,进入生成的【auditplugin_windows】文件夹。
图1-13 auditplugin_windows文件夹
4)使用文件编辑工具(如记事本)打开config.json文件,填写插件配置信息,保存退出。
图1-14 编辑配置信息
配置文件请参考readme.txt文件参数说明。
安装插件请使用管理员账号或请确保该账户拥有管理员账户权限。
5)填写配置文件保存后,右键点击install.bat,选择以管理员身份运行,进行安装。
图1-15 安装Npcap
6)安装完成后,任务管理器中详细信息查看服务已启动,插件安装完成。
7)至此,手动推送插件安装成功,下一步进行插件配置,请参考本文第2章2.1 进行配置。
插件日志保存在C:\Program Files (x86)\CloudAudit\logs目录下new_pcap_agent.log文件。
如果在插件安装后需要修改插件连接信息,请按照readme的说明,修改C:\Program Files (x86)\CloudAudit\/config目录下的config.json;如修改安装包文件夹的config.json,请在修改完成后卸载重新安装。
需要重新安装插件时,执行uninstall.bat脚本后,执行install.bat脚本时会有如下弹窗,这是插件使用的组件在重复安装,选择否即可。
如果插件安装后未正常运行,请尝试使用命令行进行卸载安装。使用管理员权限打开命令行工具,进入插件安装包目录,输入{.\install.bat},标点符号为英文输入。
如需停止插件服务,管理员用户权限使用命令行工具输入{sc stop SnifferPcap},可停止插件服务。启动插件服务使用{sc start SnifferPcap}命令。
如出现安装npcap卡死或失败的情况,请搜索“npcap安装卡住”“npcap安装失败”关键词,查找解决方法。
图1-16 推送状态列表
对未选择默认安装的插件推送记录或者安装完成再次卸载掉的记录,点击“安装”进行插件安装。
对安装状态为未安装和卸载成功的插件,在确保连接信息没有改变且插件没有手动变更或卸载时,点击“卸载”,可卸载该插件。
对连接信息有变更的插件,可以点击“编辑”进行修改。修改完点击保存,如信息错误将无法保存成功。
对某一条推送记录,点击“删除”,可将本条推送记录删除。注意,删除按钮只是删除这条记录,删除后在插件管理页面该插件依旧在运行中。如要移除插件,请在删除记录之前点击“卸载”按钮,卸载插件;或登录插件所在服务器后台,进入插件目录运行uninstall.sh,卸载插件。
批量操作包括批量安装和批量删除。批量安装:对于插件状态为卸载成功或未安装状态的插件推送记录,勾选记录,点击批量安装,插件将会按照顺序进行安装。批量删除:勾选想要删除的插件推送记录,点击批量删除,即可删除勾选的插件推送记录。
审计系统可以对推送记录进行筛选查询,服务器地址支持模糊查询,在输入地址后点击查询按钮,即可进行查询;操作系统类型可下拉选择Linux-X64;通讯网卡可筛选对应网卡的推送记录;安装状态可筛选不同安装状态的推送记录。
审计系统升级后,原有的插件推送记录进行卸载,安装操作会提示“连接不上服务器”,点击该条记录的编辑按钮,补全信息后再次进行操作即可。
编辑插件推送记录时,服务器地址无法修改,修改后保存报错“IP不可更改”;编辑保存后请重新推送安装插件。
插件更新后,可在原有推送记录重新部署进行更新。首先卸载准备更新的插件,状态变为“卸载成功”后,安装插件,安装成功后在插件管理页面查看该插件的插件版本,确认更新成功。
插件安装后,请勿移动或删除安装文件,否则卸载按钮将无法生效。如已删除安装文件,可通过重新推送该插件进行操作,重新推送插件请删除之前的推送信息。
支持更新审计系统的插件安装包,可在插件安装页面对插件进行更新,更新审计系统提供的插件。
插件进行更新,可点击操作的“更新”按钮,将更新包上传(Windows端包名:auditplugin_windows.zip,Linux端包名:auditplugin_linux_x64.tar.gz),点击确定后提示更新成功,插件版本更新。
注意:1. 更新包文件请勿修改,文件请勿重命名,否则将更新失败,导致插件无法使用。
2. 更新请确认插件版本,同版本或低版本会提示无法更新。
3. 基于aarch64架构的linux系统插件为首个版本,暂不支持更新。
1)客户端安装配置完成之后,使用“admin”账户登录系统,进入[系统-插件设置-插件管理]页面,可看到已在服务器上安装配置完成,并与数据库安全审计系统成功通讯且运行状态为“运行中”的插件,如下图所示:
图2-1 未启用插件页面
插件管理页面说明:
1. 插件名称,用来标识插件信息。
2. 插件版本,用来标识插件版本,插件在1.3.0以上版本支持升级功能。
3. IP地址,插件所在服务器的IP地址。对于存在多个IP地址的服务器,显示的是插件同审计系统通信使用的IP地址。
4. 运行状态,分为运行中和未运行。运行中状态代表插件能够与审计系统进行通信,未运行状态为插件同审计系统通信存在故障。
5. 运行时长,插件自上次启用运行的时间,重启或升级插件运行时长将会刷新。
6. 流量,显示插件采集到的流量大小,可刷新页面查看实时流量。
7. CPU占用,插件对所配置服务器CPU资源的使用,单位是百分比(%),精确到小数点后6位。
8. 内存占用,插件对所配置服务器内存资源的使用,单位是百分比(%),精确到小数点后6位。
9. 操作系统,显示插件所在服务器的操作系统版本。
10. 启用状态,置灰为未启用,蓝色为启用状态。
11. 条件查询,可对运行状态,启用状态,插件名称和IP地址进行条件查询。插件名称支持模糊查询,IP地址不支持模糊查询。
12. 批量删除,可对未运行状态的未启用插件批量删除。
13. 操作,包括插件配置,设置阈值和删除操作。
2)点击插件配置,弹出插件配置窗口,配置插件名称、选择监听的网卡和关联资产,绑定资产完成之后,点击“确定”按钮,系统提示保存成功,该插件已绑定资产,点击启用状态,开启插件并开始转发流量。
图2-2 插件配置按钮
图2-3 插件配置页面
插件配置说明:
1. 插件配置分为两部分,上半部分为基本功能,包括插件名称自定义,选择监听特定网卡,关联多个资产,变更加密通讯状态,对插件进行描述,变更启用状态;下半部分为拓展功能:数据过滤,可指定多个IP和端口,进行符合过滤。
2. (1) 插件名称自定义,可使用中英文、数字、空格和部分字符_|-@.、()():/,长度不能超过50个字符。
(2) 选择监听网卡,下拉列表展示数据库服务器的网卡名称,Linux系统可通过【ifconfig】或【ip a】命令查看对应网卡的网络情况,Windows系统可通过任务管理器-性能标签查看除本地连接外网卡的网络情况。
(3) 关联资产,下拉列表可选择资产进行关联,支持输入关键字进行模糊查询,可选择多个资产进行关联。
(4) 加密通讯,开启加密通讯,插件对抓到的数据包进行加密转发。
(5) 描述,可对插件添加描述,只能包含中英文、数字、空格和部分字符_|-@.、()():/,长度不能超过200个字符。
(6) 状态,和插件管理列表的启用状态按钮一致。
3. 数据过滤功能。应用已有插件配置,可下拉选择其他已保存的插件,应用其他插件的数据过滤配置。数据过滤可对IP和端口进行过滤。配置的过滤条件请确保逻辑上不会冲突,比如包含某ip且不包含某ip的条件会导致该ip访问数据库的行为不会被记录。注:如已选择其他插件配置,可点击下拉框右侧的
进行清空,该按钮仅清空标签栏,IP和端口过滤条件不会清空。
阈值指的是插件所在服务器的资源使用情况,用户可根据需要对插件使用场景进行限制,修改阈值大小并保存,当CPU、内存、流量存在任一项超过阈值时,插件将停止抓包,直至三项限制都满足,才会重新开始工作。
图2-4 设置阈值窗口
默认的阈值设置为CPU 80%、内存80%和流量阈值90%。当任意一项大于阈值时,插件停止工作;
阈值可填为空,当配置都为空时,插件不停止工作。
如用户期望无论什么情况都不停止抓包,可将阈值都设置为100%或都为空。流量阈值应用在插件同系统通讯,转发流量使用的网卡上。如果插件同审计系统通讯和数据库通讯使用同一张网卡,对于默认90%的流量阈值,当数据库流量达到网卡带宽的50%时,插件如果工作,将会使用剩下的50%带宽,此时已经超过了90%的流量阈值,插件将停止转发流量。
删除按钮只可删除未运行状态的未启用插件,如用户在插件卸载后发现该插件仍为运行中状态,等待30s后再次查看,变更为未运行状态,即可删除。
在插件更新后,通过插件管理-批量升级按钮,可对1.3.0及以上版本运行中的插件进行批量升级,处于未运行状态的插件无法进行批量升级操作。
操作步骤:勾选待升级的插件,确保已选中的插件均为运行中状态,点击批量升级,持续刷新页面,插件运行状态变为未运行,一段时间后又再次变为运行中,运行时长归零,同时插件版本更新,同插件安装页面的插件版本一致。
在插件管理界面,可以点击某一个插件名称,进入插件详情。
插件详情可以查看插件的基本信息,包括插件名称,插件地址,插件版本,注册时间,运行状态,运行时长。注册时间为该插件第一次安装,同审计系统通信的时间。除此之外,还可查看关联资产状况和主机信息。
图2-5 插件名称
图2-6 插件详情页面
关联资产页面可查看关联资产信息。列表展示插件关联资产的资产名称、资产类型、IP地址、端口和保护状态。该处的保护状态和资产处保护状态保持一致。删除操作为解除插件和资产的关联,删除资产后,将无法审计到该资产的日志。
图2-7 关联资产页面
主机信息页面可查看插件所在主机名称、操作系统版本、平台。同时,可查看主机 CPU,内存使用率趋势和流量趋势。图表5S刷新一次。点击图表下方的文字,可取消显示该数据,再次点击再次显示数据。可通过趋势了解数据库服务器的资源使用情况。
图2-8 主机信息页面
使用非root权限登录安装插件,运行脚本时可能会出现permission denied问题。
解决办法:
需要获取管理员权限执行在命令行前加sudo即可正常运行。如执行命令:
“sudo bash install.sh”。
1.判断网络连通性,尝试ping推送插件的服务器,确认主机存活,网络连通。
2.检查服务器有无scp命令,如提示commond not found。
解决办法:
安装scp命令,执行“yum -y install openssh-clients”,再次推送。
1.Linux系统,以CentOS7为例
进入/home/plugin目录:cd /home/auditplugin/
编辑修改config.json:vim config.json
修改完成后重新启动sniffer服务:systemctl restart sniffer
2.Windows系统,以Windows10为例
点击此电脑,进入C盘,进入Program Files(x86)文件夹,在已安装插件的情况下,存在CloudAudit文件夹,如图所示
右键点击config.json,选择打开方式,选择“选择其他应用”,使用记事本打开文件,进行编辑修改。
Windows端插件重复下载,系统会自动重命名为auditplugin_windows (1),此时按照安装步骤进行安装,右键以管理员身份运行会失败。出现该问题可将重复的插件文件夹删除,重新命名文件夹为auditplugin_windows,再次以管理员身份运行,即可成功安装插件。
支持
