04-审计
本章节下载: 04-审计 (795.08 KB)
目 录
主机和帐户及目标服务器的信息管理,如IP、主机名、网络协议、端口号、帐户、密码等信息。
主机和帐户配置既能单个手工添加,又能批量表格导入。
对审计的结果进行查询,此页面可以查询所有的审计数据。
(1) 打开[审计/日常行为/综合查询],打开综合查询页面。如图1-1所示。
选项说明如表1-1。
选项 |
用途说明 |
时间范围 |
查询在指定时间内对数据库进行的所有操作。默认搜索最近五分钟的数据 |
报文 |
查询审计内容。多个关键字用空格分隔,字符个数2~255,特殊字符用空格代替查询条件 |
只查询DB记录 |
默认搜索结果只查询DB的审计记录。去掉选项,可以搜索到所有的审计记录。 |
业务主机群 |
选择查询相关的业务主机群 |
操作类型 |
按指定的数据库操作类型查询 |
关联账号 |
按指定的关联账号查询 |
客户端IP |
按指定的客户端IP查询。如填入192.168.3.25,则查询客户端IP为192.168.3.25的所有操作 |
账号 |
按指定的用户名查询。如填入sa,则可以查询到sa用户登录的所有操作 |
客户端工具 |
默认为“全部”。其中的选项可通过[配置/常规/客户端工具名]页面进行管理 |
服务端IP |
按指定的服务端IP查询。如填入192.168.21.2 ,则查询服务端IP为192.168.21.2 的所有操作 |
SID |
按指定的数据库SID查询 |
来访客户网络 |
默认为“全部”。其中的选项可通过[配置/常规/来访客户网络]页面进行管理 |
(2) 输入查询条件,单击<查询>,显示查询结果列表。如图1-2所示。
默认是只查询200条,如想查询更多可以到[配置/常规/查询参数]配置,最多一次只能查询100000。
此页面只能对Web审计结果进行查询。
(1) 打开[审计/日常行为/WEB查询],打开Web查询页面。如图1-3所示。
图1-3 WEB查询页面
选项说明如表1-2。
表1-2 配置Web查询表
选项 |
用途说明 |
时间范围 |
查询在指定时间内对数据库进行的所有操作。默认搜索最近五分钟的数据 |
报文 |
查询审计内容。多个关键字用空格分隔,字符个数2~255,特殊字符用空格代替查询条件 |
业务主机群 |
选择作用对象。如用户(oracle)、包、表等对象 |
响应码 |
服务器响应返回值,由3位十进制数字组成,出现在由HTTP服务器发送的响应的第一行 |
关联账号 |
按指定的关联账号查询 |
客户端IP |
按指定的客户端IP查询。如填入192.168.3.25,则查询客户端IP为192.168.3.25的所有操作 |
User-Agent |
使用的用户代理,它是一个特殊字符串头,使得服务器能够识别客户端使用的操作系统及版本、CPU 类型、浏览器及版本、浏览器渲染引擎、浏览器语言、浏览器插件等 |
请求方法 |
HTTP协议中的请求方法,如GET,POST等 |
服务器端IP |
按指定的服务端IP查询。如填入192.168.21.2 ,则查询服务端IP为192.168.21.2 的所有操作 |
Referer |
是header的一部分,告诉服务器,客户机是从哪个页面来的(防盗链)。当浏览器发送请求的时候,一般会带上Referer |
HTTP版本 |
HTTP的版本号,默认选择全部 |
来访客户网络 |
默认为”全部”。其中的选项可通过[配置/常规/来访客户网络]页面进行管理 |
(2) 输入查询条件,单击<查询>,显示查询结果列表。如图1-4所示。
图1-4 Web查询列表
对会话审计的结果进行查询。
(1) 进入[审计/日常行为/会话查询],打开会话查询页面。
图1-5 会话查询页面
表1-3 会话查询选项说明
选项 |
用途说明 |
时间范围 |
可选项。查询在指定时间内发起的会话。默认为“最近五分钟” |
协议类型 |
可选项。会话使用的协议类型。如“ORACLE”等 |
探测器 |
可选项。探测器IP地址 |
服务端IP |
可填项。服务端IP地址 |
服务端端口 |
可填项。服务端端口号 |
客户端IP |
可填项。客户端IP地址 |
(2) 输入相关的查询信息,点击<查询>,显示查询结果。
图1-6 会话查询结果
表1-4 查询结果信息说明
选项 |
用途说明 |
导出CSV |
将查询结果导出为CSV格式文件。 下载到本地计算机默认的下载目录 名称为:时间+“_session.csv”,如“20150429141513_sessions.csv” |
协议分布 |
按协议类型,以饼图的方式统计显示会话数分布情况和流量分布情况 |
服务器分布 |
按服务器类型,以饼图的方式统计显示会话数分布情况和流量分布情况 |
开始时间 |
会话的开始时间 |
结束时间 |
会话的结束时间 |
连接时长 |
会话的连接时长 |
客户端IP |
会话发生的客户端IP地址 |
客户端端口 |
会话发生的客户端端口号 |
服务器IP |
会话发生的服务器IP地址 |
服务器端口 |
会话发生的服务器端口号 |
协议 |
会话的协议类型 |
流量 |
会话产生的流量 |
操作 |
单击,查看会话分析的详细信息 |
审计系统与堡垒机自动关联审计SSH、RDP等加密协议操作行为。
目前支持的协议有:SSH、TELNET、RDP、FTP、SFTP、VNC
目前对这些协议除了基本的信息审计外,另外审计的内容如下:
SSH,TELNET:审计操作命令
RDP:审计图形会话命令和键盘命令
VNC、FTP、SFTP:基本会话信息,包括客户端和主机的信息。
堡垒联动功能需要同品牌的堡垒机才能实现。
具体步骤如下:
(1) 登录堡垒系统,打开[系统/系统配置/安全配置]项,获取API访问键值,如下图所示:
图1-7 获取API访问键
(2) 登陆数据库审计系统,打开[审计/日常行为/会话查询]页面,点击“关联堡垒机IP”的<配置>文字链接,进行配置堡垒机信息。
图1-8 配置堡垒机
配置信息如下表:
表1-5 堡垒配置信息表
字段 |
内容 |
IP |
堡垒机对应的IP地址 |
WEB服务端口 |
默认为443端口 |
API访问键 |
上一步从堡垒机[系统配置/安全配置]页面的“API访问键配置”中获取到的值 |
时间容差 |
与堡垒机关联查询时,容许的时间偏差。有效值0-1800 |
(3) 配置完成后,点击<连接测试>,如弹出“成功”,则配置正确,点击<保存>按钮。如弹出失败提示,则查看相应的配置信息的正确性。
(4) 再打开[探测器/探测器相关配置/网站/数据库物理端口],添加审计对象
图1-9 配置网站/数据库物理端口
(5) 在新增网站/数据库物理端口界面,点击“高级选项”文字链接,配置扩展协议端口
图1-10 扩展协议配置
(6) 如需要审计主机“192.168.50.167”的ssh 22端口,则在扩展协议配置右边的“流量审计”打开审计状态为“YES”即可。
图1-11 配置流量审计
(7) 配置完成后,保存即可。
(8) 打开[探测器/探测器相关配置/探测器],把该审计对象加载到业务主机群中。
图1-12 加载端口
(9) 登陆堡垒系统, 打开[运维/主机运维]页面,选择对应的主机,点击<登录>打开主机并操作相关信息。
图1-13 主机运维
(10) 操作完成后,退出主机。
(11) 登陆审计系统,打开[审计/日常行为/会话查询]页面,默认“只查询堡垒机”选项会处理选中查询,点击<查询>,可以查询到对应的会话审计列表。
(12) 点击审计记录后面的“关联”图标,打开堡垒关联会话页面。
图1-14 会话信息
(13) 点击关联页面的“详细”图标,打开会话详细信息页面
图1-15 会话详细
(14) 点击关联页面的“播放”图标,可打开会话播放页面。
图1-16 播放页面
模拟回放一遍审计记录,但是不是真实的对服务器进行回放。
(1)打开[审计/日常行为/回放],打开回放页面。如图1-17所示。
详细选项如表1-6。
表1-6 审计回放查询条件说明
选项 |
用途说明 |
时间范围 |
查询在指定时间内对数据库进行的所有操作。默认搜索最近五分钟的数据 |
报文 |
查询审计内容。多个关键字用空格分隔,字符个数2~255,特殊字符用空格代替查询条件 |
业务主机群 |
选择查询相关的业务主机群 |
操作类型 |
选择查询的操作类型。如select,insert,update,delete等操作 |
关联账号 |
按指定的关联账号查询 |
客户端IP |
按指定的客户端IP查询。如填入192.168.3.25,则查询客户端IP为192.168.3.25的所有操作 |
账号 |
按指定的用户名查询。如填入sa,则可以查询到sa用户登录的所有操作 |
客户端工具 |
默认为”全部”。其中的选项可通过[配置/常规/客户端工具名]页面进行管理 |
服务端IP |
按指定的服务端IP查询。如填入192.168.21.2 ,则查询服务端IP为192.168.21.2 的所有操作 |
SID |
按指定的数据库SID查询 |
来访客户网络 |
默认为”全部”。其中的选项可通过[配置/常规/来访客户网络]页面进行管理 |
(2)输入查询条件,单击<回放>,回放审计查询结果记录。如图1-18所示。
注意:此功能已经删除。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!