H3C SecPath数据库审计系统 Web配置指导(E6702)-5W101

04-审计

1 审计

主机和帐户及目标服务器的信息管理，如IP、主机名、网络协议、端口号、帐户、密码等信息。

主机和帐户配置既能单个手工添加，又能批量表格导入。

1.1 综合查询

1.1.1 功能简介

对审计的结果进行查询，此页面可以查询所有的审计数据。

1.1.2 审计查询

(1) 打开[审计/日常行为/综合查询]，打开综合查询页面。如图1-1所示。

图1-1 审计查询页面

选项说明如表1-1。

表1-1 配置审计查询表

选项	用途说明
时间范围	查询在指定时间内对数据库进行的所有操作。默认搜索最近五分钟的数据
报文	查询审计内容。多个关键字用空格分隔，字符个数2~255，特殊字符用空格代替查询条件
只查询DB记录	默认搜索结果只查询DB的审计记录。去掉选项，可以搜索到所有的审计记录。
业务主机群	选择查询相关的业务主机群
操作类型	按指定的数据库操作类型查询
关联账号	按指定的关联账号查询
客户端IP	按指定的客户端IP查询。如填入192.168.3.25，则查询客户端IP为192.168.3.25的所有操作
账号	按指定的用户名查询。如填入sa，则可以查询到sa用户登录的所有操作
客户端工具	默认为“全部”。其中的选项可通过[配置/常规/客户端工具名]页面进行管理
服务端IP	按指定的服务端IP查询。如填入192.168.21.2 ，则查询服务端IP为192.168.21.2 的所有操作
SID	按指定的数据库SID查询
来访客户网络	默认为“全部”。其中的选项可通过[配置/常规/来访客户网络]页面进行管理

(2) 输入查询条件，单击<查询>，显示查询结果列表。如图1-2所示。

图1-2 审计查询结果页面

默认是只查询200条，如想查询更多可以到[配置/常规/查询参数]配置，最多一次只能查询100000。

1.2 Web查询

1.2.1 功能简介

此页面只能对Web审计结果进行查询。

1.2.2 Web审计查询

(1) 打开[审计/日常行为/WEB查询]，打开Web查询页面。如图1-3所示。

图1-3 WEB查询页面

选项说明如表1-2。

表1-2 配置Web查询表

选项	用途说明
时间范围	查询在指定时间内对数据库进行的所有操作。默认搜索最近五分钟的数据
报文	查询审计内容。多个关键字用空格分隔，字符个数2~255，特殊字符用空格代替查询条件
业务主机群	选择作用对象。如用户(oracle)、包、表等对象
响应码	服务器响应返回值，由3位十进制数字组成，出现在由HTTP服务器发送的响应的第一行
关联账号	按指定的关联账号查询
客户端IP	按指定的客户端IP查询。如填入192.168.3.25，则查询客户端IP为192.168.3.25的所有操作
User-Agent	使用的用户代理，它是一个特殊字符串头，使得服务器能够识别客户端使用的操作系统及版本、CPU 类型、浏览器及版本、浏览器渲染引擎、浏览器语言、浏览器插件等
请求方法	HTTP协议中的请求方法，如GET，POST等
服务器端IP	按指定的服务端IP查询。如填入192.168.21.2 ，则查询服务端IP为192.168.21.2 的所有操作
Referer	是header的一部分，告诉服务器，客户机是从哪个页面来的（防盗链）。当浏览器发送请求的时候，一般会带上Referer
HTTP版本	HTTP的版本号，默认选择全部
来访客户网络	默认为”全部”。其中的选项可通过[配置/常规/来访客户网络]页面进行管理

(2) 输入查询条件，单击<查询>，显示查询结果列表。如图1-4所示。

图1-4 Web查询列表

1.3 会话查询

1.3.1 功能简介

对会话审计的结果进行查询。

1.3.2 基本会话审计查询

(1) 进入[审计/日常行为/会话查询]，打开会话查询页面。

图1-5 会话查询页面

表1-3 会话查询选项说明

选项	用途说明
时间范围	可选项。查询在指定时间内发起的会话。默认为“最近五分钟”
协议类型	可选项。会话使用的协议类型。如“ORACLE”等
探测器	可选项。探测器IP地址
服务端IP	可填项。服务端IP地址
服务端端口	可填项。服务端端口号
客户端IP	可填项。客户端IP地址

(2) 输入相关的查询信息，点击<查询>，显示查询结果。

图1-6 会话查询结果

表1-4 查询结果信息说明

选项	用途说明
导出CSV	将查询结果导出为CSV格式文件。下载到本地计算机默认的下载目录名称为：时间+“_session.csv”，如“20150429141513_sessions.csv”
协议分布	按协议类型，以饼图的方式统计显示会话数分布情况和流量分布情况
服务器分布	按服务器类型，以饼图的方式统计显示会话数分布情况和流量分布情况
开始时间	会话的开始时间
结束时间	会话的结束时间
连接时长	会话的连接时长
客户端IP	会话发生的客户端IP地址
客户端端口	会话发生的客户端端口号
服务器IP	会话发生的服务器IP地址
服务器端口	会话发生的服务器端口号
协议	会话的协议类型
流量	会话产生的流量
操作	单击，查看会话分析的详细信息

1.4 堡垒联动查询

1.4.1 功能简介

审计系统与堡垒机自动关联审计SSH、RDP等加密协议操作行为。

目前支持的协议有：SSH、TELNET、RDP、FTP、SFTP、VNC

目前对这些协议除了基本的信息审计外，另外审计的内容如下：

SSH，TELNET：审计操作命令

RDP：审计图形会话命令和键盘命令

VNC、FTP、SFTP：基本会话信息，包括客户端和主机的信息。

堡垒联动功能需要同品牌的堡垒机才能实现。

1.4.2 堡垒联动配置和查询

具体步骤如下：

(1) 登录堡垒系统，打开[系统/系统配置/安全配置]项，获取API访问键值，如下图所示：

图1-7 获取API访问键

(2) 登陆数据库审计系统，打开[审计/日常行为/会话查询]页面，点击“关联堡垒机IP”的<配置>文字链接，进行配置堡垒机信息。

图1-8 配置堡垒机

配置信息如下表：

表1-5 堡垒配置信息表

字段	内容
IP	堡垒机对应的IP地址
WEB服务端口	默认为443端口
API访问键	上一步从堡垒机[系统配置/安全配置]页面的“API访问键配置”中获取到的值
时间容差	与堡垒机关联查询时，容许的时间偏差。有效值0-1800

(3) 配置完成后，点击<连接测试>，如弹出“成功”，则配置正确，点击<保存>按钮。如弹出失败提示，则查看相应的配置信息的正确性。

(4) 再打开[探测器/探测器相关配置/网站/数据库物理端口]，添加审计对象

图1-9 配置网站/数据库物理端口

(5) 在新增网站/数据库物理端口界面，点击“高级选项”文字链接，配置扩展协议端口

图1-10 扩展协议配置

(6) 如需要审计主机“192.168.50.167”的ssh 22端口，则在扩展协议配置右边的“流量审计”打开审计状态为“YES”即可。

图1-11 配置流量审计

(7) 配置完成后，保存即可。

(8) 打开[探测器/探测器相关配置/探测器]，把该审计对象加载到业务主机群中。

图1-12 加载端口

(9) 登陆堡垒系统，打开[运维/主机运维]页面，选择对应的主机，点击<登录>打开主机并操作相关信息。

图1-13 主机运维

(10) 操作完成后，退出主机。

(11) 登陆审计系统，打开[审计/日常行为/会话查询]页面，默认“只查询堡垒机”选项会处理选中查询，点击<查询>，可以查询到对应的会话审计列表。

(12) 点击审计记录后面的“关联”图标，打开堡垒关联会话页面。

图1-14 会话信息

(13) 点击关联页面的“详细”图标，打开会话详细信息页面

图1-15 会话详细

(14) 点击关联页面的“播放”图标，可打开会话播放页面。

图1-16 播放页面

1.5 回放

模拟回放一遍审计记录，但是不是真实的对服务器进行回放。

（1）打开[审计/日常行为/回放]，打开回放页面。如图1-17所示。

图1-17 审计回放查询页面

详细选项如表1-6。

表1-6 审计回放查询条件说明

选项	用途说明
时间范围	查询在指定时间内对数据库进行的所有操作。默认搜索最近五分钟的数据
报文	查询审计内容。多个关键字用空格分隔，字符个数2~255，特殊字符用空格代替查询条件
业务主机群	选择查询相关的业务主机群
操作类型	选择查询的操作类型。如select,insert,update,delete等操作
关联账号	按指定的关联账号查询
客户端IP	按指定的客户端IP查询。如填入192.168.3.25，则查询客户端IP为192.168.3.25的所有操作
账号	按指定的用户名查询。如填入sa，则可以查询到sa用户登录的所有操作
客户端工具	默认为”全部”。其中的选项可通过[配置/常规/客户端工具名]页面进行管理
服务端IP	按指定的服务端IP查询。如填入192.168.21.2 ，则查询服务端IP为192.168.21.2 的所有操作
SID	按指定的数据库SID查询
来访客户网络	默认为”全部”。其中的选项可通过[配置/常规/来访客户网络]页面进行管理