- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
手册下载
H3C SecPath D2000-G2[E][AK66XX][CN][Cloud-G]系列数据库审计系统
故障处理手册
Copyright © 2022-2024 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
本文档介绍H3C SecPath D2000-G2[E][AK66XX][CN][Cloud-G]系列数据库审计系统硬件常见故障和其它常见问题等诊断及处理措施。
(1) 建议使用谷歌浏览器。
(2) 更换和维护设备部件时,请佩戴防静电手腕,以确保您和设备的安全。
(3) 设备正常运行时,建议在完成重要功能的配置后,及时备份配置,以便设备出现故障后能迅速恢复。
(4) 设备出现故障时,请尽可能全面、详细地记录现场信息(包括但不限于以下内容),搜集信息越全面、越详细,越有利于故障的快速定位。
① 记录具体的故障现象、故障时间、配置信息。
② 记录完整的网络拓扑。
③ 记录现场采取的故障处理措施(如配置操作、插拔线缆等)及实施后的现象效果。
④ 记录故障处理过程中使用的所有串口命令行显示信息。
⑤ 搜集设备的日志信息。
⑥ 记录设备故障时电源、硬盘、风扇指示灯的状态,或给现场设备拍照记录。
使用审计管理员(audadmin)账户登录,进入“操作审计”页面,查询指定范围的 admin、secadmin、audadmin 、monadmin账户的操作日志,如下图所示:
图1-1 日志信息
设备可正常启动
设备无法启动
(1)设备是否正常通电
具体操作:查看设备电源线是否正确插好
(2)线缆是否均正常连接
具体操作:查看设备对应插线是否正确
Web页面正常打开,通过https://管理口IP:8441或者http://管理口IP:8081访问地址访问出现web页面登录页面,如下图所示:
图3-1 Web登录页面
Web页面无法打开,web管理界面无法访问,如下图所示:
(1) IP地址是否可达
具体操作:在本地电脑上使用ping命令,如:ping审计系统服务器ip。若ping不通,需要检查网络是否正常,服务器是否为关机状态等,并恢复网络或者将设备开机。
图3-3 Ping测试
具体操作:网址为https://x.x.x.x(服务器IP):8441或http://x.x.x.x(服务器IP):8081。
(3) 确认IP是否正确
具体操作:在服务器上使用命令行输入命令display version查看ip是否配置正确,其中管理口为GE0/0,状态需要为UP,在页面输入网址时管理口地址需要与该地址一致。
图3-4 IP配置是否正确
具体操作:在服务器上使用命令行执行命令netstat -anp|grep 8441和ps -ef | grep java查看端口进程是否被java占用,如下图所示,8441端口使用的进程号和java的进程号一致。
图3-9端口占用情况查询
(5) 端口是否被防火墙拦截
具体操作:在本地电脑上使用命令,telnet 服务器的IP地址 8441 查看或者telnet服务器的IP地址8081查看(取决于当前启用的是https协议还是http协议),连通时如图3-11所示。
图3-10 本地telnet8441端口
图3-11 连通示意图
(6) 检查审计系统所在设备资源使用情况
具体操作:
①登录审计服务器,使用df -h命令查看磁盘使用情况,如下图所示:
图3-12 磁盘空间是否足够
②登录审计服务器,使用top命令查看cpu使用情况,如下图所示:
图3-13 cpu占用情况
输入用户名和密码后,可成功登录进入审计系统。如下图所示:
图4-1 登录成功示意图
输入用户名和账号后无法登录审计系统。
(1)确认账号密码是否正确
具体操作:默认初始用户名密码为admin/admin、audadmin/audadmin、secadmin/secadmin和monadmin/monadmin
如修改过密码,则确认一下密码是否为修改的密码。
(2)密码丢失情况处理
1)admin、audadmin、monadmin账号密码丢失
具体操作:secadmin账号登录系统,可对admin、audadmin、monadmin三个账号重置密码,恢复为初始密码。
2)secadmin账号密码丢失处理
具体操作:ssh登录审计后台,使用命令行输入命令updateSec audit重置secadmin账号密码为 初始密码。
旁路部署完成后,添加对应数据库资产并对数据库进行访问后,有审计日志出现。
图5-1 旁路审计存在流量
旁路部署完成后,添加对应数据库资产并对数据库进行访问后,无审计日志出现。
图5-2 旁路审计不存在流量
(1) 确认环境部署是否成功
具体操作:查看并确认旁路组网环境部署。
(2) 访问数据库与审计系统之间是否可达
具体操作:数据库端ping审计系统地址,查看是否可以ping通,若ping不通则需要检查数据库和审计之间网络设置。
图5-3 数据库是否可达测试
(3) 镜像口是否有流量经过
具体操作:登录审计系统,进入【系统/平台运维/抓包下载】页面:
勾选协议,选择协议:如:TCP;
选择正确的镜像网卡:如:镜像口为GE0/3,则选择网口为:GE0/3;
勾选服务端端口,填写正确的服务端端口:如:3306;
勾选IP地址,选择源地址,输入源IP地址:如:192.16.12.121;
勾选抓包方式,选择按时长抓包:如:5秒;
填写完成后,点击执行按钮。等待5秒后,下载抓包文件,查看抓包文件中是否有ip为192.168.12.121,端口为3306的访问流量。
图5-4 抓包设置
图5-5 抓包流量
(4) 页面网卡配置是否正确
具体操作:登录审计系统,进入【系统/基础设置/网络设置】页面,查看对应镜像网口是否设置为镜像口,如下图为正确设置镜像网口为镜像口。若无,请进行网卡设置。
图5-6 查看镜像网口设置
具体操作:正确绑定网卡后,ssh登录审计后台,利用ps -ef|grep secaudit命令查看进程是否正常(进程数计算方法:1个主进程+解析进程(核数/3+1)+1个插件服务端进程+1个旁路进程)如下图所示:4核机器,旁路模式进程数为5个。
图5-7 旁路模式进程数
(6) 检查资产受保护状态是否开启
具体操作:登录审计系统,进入【资产/资产列表】页面,查看对应数据库资产是否开启受保护状态,如下图为资产开启受保护状态。若无,则需要开启受保护状态。
图5-8 开启资产受保护状态
插件模式部署完成后,添加对应数据库资产并对数据库进行访问后,有审计日志出现。
图6-1 插件模式有审计日志
插件模式部署完成后,添加对应数据库资产并对数据库进行访问后,无审计日志出现。
图6-2 插件模式无审计日志
具体操作:查看并确认组网环境部署。
(2) 访问数据库与审计系统之间是否可达
具体操作:数据库端ping审计系统地址,查看是否可以ping通,若ping不通,则需要检查数据库和审计之间网络设置。
图6-3 数据库ping审计系统
(3) 插件是否正常安装(手动安装插件)
具体操作:
①linux插件:
解压后,查看auditplugin_linux_x64下config.json文件是否按照readme.txt文件进行正确配置;插件配置如下图所示:
图6-4 插件配置
若配置错误,按照readme.txt重新配置即可,并对插件进行卸载后重装。然后检查sniffer服务是否正常。
插件安装完成后,利用systemctl status sniffer命令查看插件是否正常启动。插件正常安装启动情况如下图所示:
图6-5 插件正常安装
若服务未正常启动,则执行命令systemctl start sniffer,执行完成后查看sniffer服务是否正常。
②windows插件:
查看config.json文件是否按照readme.txt文件进行正确配置;插件配置如下图所示:
图6-6 Windows插件配置
若配置出错,按照readme.txt文件重新编辑config.json文件,并在管理员账户下对插件进行卸载后重装。
插件安装完成后,利用任务管理器查看Sniffer服务进程是否正常。插件正常安装启动情况如下图所示:
图6-7 插件正常启动
(4) 插件是否正常安装(插件推送)
具体操作:
①查看需要推送的服务器是否为linux服务器,目前推送仅支持向linux推送。
②查看插件推送所填写服务器地址、端口、验证方式、系统账号、系统密码、系统类型、通讯网卡是否正确。
插件推送参数说明:
服务器地址:数据库服务器IP地址;
端口:数据库服务器ssh开放端口,一般默认是22;
验证方式:口令,使用用户名密码登录数据库服务器后台安装插件;
证书,使用ssl证书登录数据库服务器后台安装插件;
系统账户:数据库服务器后台使用的账户,请确保该账户拥有root账户权限;
系统密码:数据库服务器后台使用的密码;
证书密码:生成证书时使用的密码;
系统类型:下拉选择Linux-X64;
通讯网卡:审计系统同插件通讯使用的网卡;
默认安装:勾选“默认安装”后,把插件安装包推送到插件服务器后会自动进行安装;如果不勾选默认安装,只是推送插件安装包不进行安装。
③确认是否选择了默认安装插件,如未选择,则需点击安装按钮进行安装。
④插件安装完成后,进入对应linux服务器上,利用systemctl status sniffer命令查看插件是否正常启动。插件正常安装启动情况如下图所示:
图6-8 Linux插件正常启动
若服务未正常启动,则执行命令systemctl start sniffer,执行完成后再次查看sniffer服务。
(5) 插件与资产是否进行绑定
具体操作:登录审计系统,进入【系统/插件设置/插件管理】页面,选择目标插件,点击插件设置查看插件是否绑定资产,若未绑定资产,则需在插件配置页面关联资产,选择对应监听网卡将插件和对应资产进行绑定,成功绑定资产如下图所示:
图6-9 插件与资产正确绑定
(6) 插件与资产进行绑定后,查看secaudit进程是否正常
具体操作:插件与资产进行绑定后,ssh登录审计后台,利用ps -ef|grep secaudit 命令查看进程是否正常。
(仅使用插件模式进程数:1个主进程+解析进程(核数/3+1)+1个插件服务端进程)如下图:4核机器,插件模式进程数为4个。
图6-10 插件模式进程数
(7) 检查资产受保护状态是否正常开启
具体操作:登录审计系统,进入【资产/资产列表】页面,查看已绑定插件数据库资产受保护状态是否开启,若未开启,则需开启受保护状态。
图6-11 资产开启受保护状态
(8) 检查流量是否正常发送
具体操作:
登录审计系统,进入【系统/平台运维/抓包下载】页面:
勾选协议,选择协议:如:TCP;
选择正确的管理口:如:管理口为GE0/0,则选择网口为:GE0/0;
勾选服务端端口,填写插件抓包端口:如:13579;
勾选IP地址,选择SRC-IP,输入源IP地址:如:172.16.37.79;
勾选抓包方式,选择按时长抓包:如:5秒。
填写完成后,点击执行按钮。等待5秒后,下载抓包文件,查看抓包文件中是否有ip为192.16.37.79,端口为13579的访问流量。
图6-12 抓包设置 
图6-13 插件流量
(9) 检查插件所在设备资源情况,是否超出阈值
具体操作:登录审计系统,进入【系统/插件设置/插件管理】页面,选择目标插件,点击设置阈值查看当前阈值情况。点击插件名称查看插件状态,进入【 系统/插件设置/插件详情】页面,查看主机信息中资源使用率是否超过阈值。超过阈值情况插件停止抓包,可调整阈值进行恢复。
图6-14 主机信息
若插件流量未正常发送,请检查数据库是否在访问。
支持
