慧眼數(shù)據(jù)庫安全審計(jì)系統(tǒng)v3.0.2用戶使用手冊

1、慧眼數(shù)據(jù)庫安全審計(jì)系統(tǒng)v3.0.2用戶使用手冊國都興業(yè)信息審計(jì)系統(tǒng)技術(shù)（北京）有限公司2012年3月目 錄1引言11.1文檔目的11.2術(shù)語和縮寫12產(chǎn)品簡介32.1產(chǎn)品背景32.2產(chǎn)品特點(diǎn)42.3產(chǎn)品功能43硬件安裝53.1拆箱檢查53.2設(shè)備上架63.2.11u設(shè)備上架63.2.22u設(shè)備上架73.3設(shè)備連接93.3.1設(shè)備面板指示93.3.2設(shè)備接口說明103.3.3鏡像端口接入103.3.4tap接入114連接登錄144.1連接方式144.2修改通信口的ip設(shè)置144.3登錄系統(tǒng)165慧眼數(shù)據(jù)庫安全審計(jì)系統(tǒng)管理175.1首頁175.2門戶框架195.2.1個(gè)人設(shè)置195.2.2實(shí)時(shí)監(jiān)控

2、215.2.3系統(tǒng)消息提示225.2.4時(shí)間設(shè)置235.2.5注銷235.3審計(jì)中心235.3.1數(shù)據(jù)庫審計(jì)245.3.2其它審計(jì)255.3.3實(shí)名審計(jì)295.3.4domino審計(jì)305.3.5本地審計(jì)315.4攻擊監(jiān)測325.4.1如何開啟或關(guān)閉攻擊監(jiān)測325.4.2攻擊事件查詢335.4.3監(jiān)測引擎配置365.5性能分析385.5.1如何指定時(shí)間范圍進(jìn)行延時(shí)分析385.5.2如何查看分析結(jié)果405.5.3如何設(shè)置詳細(xì)分析條件405.6統(tǒng)計(jì)分析415.6.1sql操作類型統(tǒng)計(jì)415.6.2事件類型統(tǒng)計(jì)435.6.3流量統(tǒng)計(jì)445.7策略中心465.7.1策略配置465.7.2資產(chǎn)配置495

3、.7.3來源規(guī)則525.7.4時(shí)間規(guī)則565.7.5內(nèi)容規(guī)則585.8報(bào)表中心595.8.1如何手動(dòng)生成報(bào)表595.8.2如何使用自動(dòng)報(bào)表605.8.3如何使用歷史報(bào)表615.9系統(tǒng)配置625.9.1審計(jì)數(shù)據(jù)庫服務(wù)器625.9.2審計(jì)web中間件635.9.3知識庫645.9.4ip采集條件655.9.5工作參數(shù)665.9.6角色管理725.9.7補(bǔ)丁管理745.9.8授權(quán)管理765.9.9備份/還原785.9.10重啟/關(guān)機(jī)825.10用戶管理835.10.1如何添加用戶845.10.2如何編輯用戶855.10.3如何刪除用戶855.11系統(tǒng)日志管理855.11.1如何進(jìn)行日志查詢865.1

4、1.2如何查看日志的詳細(xì)信息905.11.3如何進(jìn)行日志刪除905.11.4如何導(dǎo)出系統(tǒng)日志915.11.5如何調(diào)整日志展示列911 引言1.1 文檔目的版權(quán)聲明本手冊包含了慧眼數(shù)據(jù)庫安全審計(jì)系統(tǒng)的硬件上架安裝、快速使用指南、系統(tǒng)功能配置以及faq等內(nèi)容。手冊中涉及相關(guān)文檔、文字內(nèi)容、標(biāo)識等信息均受版權(quán)保護(hù)，手冊的任何部分未經(jīng)許可均不得復(fù)制或者傳播，違者必究。適用范圍本手冊適用于慧眼數(shù)據(jù)庫安全審計(jì)系統(tǒng)的最終用戶。1.2 術(shù)語和縮寫數(shù)據(jù)庫審計(jì)數(shù)據(jù)庫審計(jì)是通過記錄數(shù)據(jù)庫的操作行為作為審計(jì)記錄，反映出數(shù)據(jù)庫被使用的狀況；數(shù)據(jù)庫審計(jì)支持通過網(wǎng)絡(luò)訪問方式把對數(shù)據(jù)庫的操作及內(nèi)容進(jìn)行實(shí)時(shí)的監(jiān)控審計(jì)。審計(jì)類型

5、審計(jì)類型指慧眼數(shù)據(jù)庫安全審計(jì)系統(tǒng)支持的各種類型，包括數(shù)據(jù)庫類型（oracle、db2、mssql、mysql、sybase、infomix）、數(shù)據(jù)庫運(yùn)維類型（ssh、ftp、telnet）以及web中間件類型。數(shù)據(jù)庫sql操作類型數(shù)據(jù)庫審計(jì)支持的sql操作類型，包括 插入操作（insert） o 數(shù)據(jù)插入操作（insert， select into） o 新建數(shù)據(jù)表、數(shù)據(jù)庫、視圖、索引等操作（create table， create database， create view， create index， ） 查詢操作（select） o 數(shù)據(jù)查詢操作（select） o 數(shù)據(jù)表結(jié)構(gòu)查詢操作（

6、show/desc） 刪除操作（delete） o 刪除數(shù)據(jù)操作（delete， truncate table， truncate database， ） o 刪除數(shù)據(jù)表、數(shù)據(jù)庫、視圖、索引等操作（drop table， drop database， drop view， drop index， ） 更新操作（update） o 數(shù)據(jù)更新操作（update） o 數(shù)據(jù)表結(jié)構(gòu)更新操作（alter， rename to ， merge into using ） 用戶訪問（access） o 用戶登錄 特權(quán)操作（privilege） o 用戶權(quán)限改變（grant， deny， revoke） o 用

7、戶建立與刪除 o 備份與恢復(fù)操作（backup， restore） o 事務(wù)操作（commit， rollback to） 數(shù)據(jù)庫特有操作 o microsoft sql server特有操作：dbcc，sp_*， opendatasource， o oralce特有操作 其他操作 o 特定字符串審計(jì) 數(shù)據(jù)庫運(yùn)維審計(jì)數(shù)據(jù)庫運(yùn)維是針對用戶數(shù)據(jù)庫的軟件安裝、配置、備份及實(shí)施，數(shù)據(jù)恢復(fù)、遷移，故障排除、預(yù)防性巡檢等一系列服務(wù)；數(shù)據(jù)庫運(yùn)維審計(jì)是對通過遠(yuǎn)程訪問方式，對數(shù)據(jù)庫進(jìn)行運(yùn)維操作的行為及內(nèi)容審計(jì)，如telnet、ftp、ssh等。web中間件審計(jì)web中間件泛指客戶端訪問web應(yīng)用服務(wù)器，web應(yīng)

8、用服務(wù)器再訪問數(shù)據(jù)庫的應(yīng)用環(huán)境中的web應(yīng)用服務(wù)；web中間件審計(jì)支持對客戶端訪問web應(yīng)用服務(wù)器的行為及內(nèi)容的審計(jì)，同時(shí)支持客戶端訪問web應(yīng)用服務(wù)器和web應(yīng)用服務(wù)器訪問數(shù)據(jù)庫關(guān)聯(lián)行為及內(nèi)容的審計(jì)。審計(jì)服務(wù)器審計(jì)服務(wù)器指數(shù)據(jù)庫服務(wù)器、數(shù)據(jù)庫運(yùn)維服務(wù)器以及web中間件服務(wù)器。審計(jì)客戶端審計(jì)客戶端指訪問審計(jì)服務(wù)器的用戶終端。審計(jì)記錄用戶訪問審計(jì)服務(wù)器產(chǎn)生的每一個(gè)sql操作、運(yùn)維操作或者web訪問記錄下來的行為及內(nèi)容作為一條審計(jì)記錄。自身日志自身日志指慧眼數(shù)據(jù)庫安全審計(jì)系統(tǒng)的配置或狀態(tài)的變更時(shí)生成的記錄。amcamc是審計(jì)管理中心（audit management center）的簡寫，它實(shí)現(xiàn)了

9、產(chǎn)品功能服務(wù)層面的功能，其目標(biāo)是對安全產(chǎn)品的管理。探針探針是慧眼數(shù)據(jù)庫安全審計(jì)系統(tǒng)用于采集各種審計(jì)數(shù)據(jù)的分布式模塊。探針支持獨(dú)立安裝，或和amc一體安裝。策略對監(jiān)控?cái)?shù)據(jù)進(jìn)行處理，生成審計(jì)記錄以及執(zhí)行某種操作的集合。多級管理中，上級amc支持策略調(diào)度下發(fā)。數(shù)據(jù)轉(zhuǎn)儲(chǔ)數(shù)據(jù)轉(zhuǎn)儲(chǔ)指將慧眼數(shù)據(jù)庫安全審計(jì)系統(tǒng)的審計(jì)記錄，導(dǎo)出轉(zhuǎn)存到系統(tǒng)之外的空間，并能通過手段查詢轉(zhuǎn)存到系統(tǒng)外的歷史記錄的功能。tap設(shè)備tap是分路器設(shè)備，提供網(wǎng)絡(luò)流量的副本，以便進(jìn)行實(shí)時(shí)監(jiān)控和分析；接口分為電口和光接口。2 產(chǎn)品簡介2.1 產(chǎn)品背景薩班斯法案（sox）誕生之日起，為數(shù)不少的安全公司就已經(jīng)預(yù)測到數(shù)據(jù)安全審計(jì)將成為企業(yè)無法回避的問

10、題。只要是正規(guī)的企業(yè)，都無法回避自身的數(shù)據(jù)安全問題。當(dāng)然，上市公司就更加需要重視。事實(shí)上，這里所說的數(shù)據(jù)庫安全審計(jì)，不僅包括了數(shù)據(jù)源的安全，而且也涵蓋了審計(jì)方法與企業(yè)it流程的結(jié)合。數(shù)據(jù)庫是每個(gè)企業(yè)數(shù)據(jù)管理的基礎(chǔ)，盡管這些系統(tǒng)的數(shù)據(jù)完整性和安全性是相當(dāng)重要的，但對數(shù)據(jù)庫采取的安全檢查措施的級別還比不上操作系統(tǒng)和網(wǎng)絡(luò)的安全檢查措施的級別。許多因素都可能破壞數(shù)據(jù)的完整性并導(dǎo)致非法訪問，這些因素包括密碼安全性較差、誤配置、未被察覺的系統(tǒng)后門以及自適應(yīng)數(shù)據(jù)庫安全方法的強(qiáng)制性常規(guī)使用等。針對以上破壞數(shù)據(jù)完整性的威脅都來自于數(shù)據(jù)庫本身的安全策略的漏洞和使用方面的問題，然而對于數(shù)據(jù)庫合法用戶的違規(guī)操作，以及

11、內(nèi)部用戶對數(shù)據(jù)資源的故意泄露或破壞等問題，對企業(yè)帶來的危害會(huì)更加嚴(yán)重，損失也會(huì)相當(dāng)巨大。當(dāng)然，數(shù)據(jù)庫系統(tǒng)本身會(huì)提供一些日志審計(jì)功能，但是想要審計(jì)較為細(xì)致的操作日志就必然要影響到數(shù)據(jù)庫服務(wù)器的性能，一般應(yīng)用數(shù)據(jù)庫的企業(yè)用戶 ，都不愿意開設(shè)多一些的日志審計(jì)功能，這樣必然會(huì)對數(shù)據(jù)庫的安全埋下了安全隱患。當(dāng)產(chǎn)生數(shù)據(jù)安全問題時(shí)，為了尋找案件線索，執(zhí)法機(jī)構(gòu)需要從網(wǎng)絡(luò)上尋找犯罪嫌疑人的活動(dòng)和留下的痕跡并獲取可靠的犯罪證據(jù)，對于偵破犯罪案件，保障社會(huì)穩(wěn)定，維護(hù)公民利益具有十分重要的意義。因此，安全管理要從網(wǎng)絡(luò)系統(tǒng)安全和應(yīng)用安全兩個(gè)方面推進(jìn)，才能有效地全面解決安全問題。數(shù)據(jù)庫網(wǎng)絡(luò)安全審計(jì)是網(wǎng)絡(luò)安全管理工作中的一

12、個(gè)重要組成部分，它可以通過對網(wǎng)絡(luò)數(shù)據(jù)庫的“信息活動(dòng)”實(shí)時(shí)地進(jìn)行監(jiān)控審計(jì)，使管理者對網(wǎng)絡(luò)數(shù)據(jù)庫的“信息活動(dòng)”一目了然，能夠及時(shí)掌握數(shù)據(jù)庫服務(wù)器的應(yīng)用情況，及時(shí)發(fā)現(xiàn)客戶端的使用問題，存在著哪些安全問題和隱患并予以糾正，預(yù)防應(yīng)用安全事件的發(fā)生，即便發(fā)生了也能夠可以快速查證并追根尋源。2.2 產(chǎn)品特點(diǎn)慧眼數(shù)據(jù)庫安全審計(jì)系統(tǒng)是集數(shù)據(jù)庫審計(jì)、數(shù)據(jù)庫安全檢測、數(shù)據(jù)庫優(yōu)化分析三大功能為一體的綜合監(jiān)控審計(jì)系統(tǒng)。該系統(tǒng)采用網(wǎng)絡(luò)旁路實(shí)時(shí)偵聽方式，全線速采集網(wǎng)絡(luò)上所有會(huì)話流，對網(wǎng)絡(luò)中的各種應(yīng)用行為和應(yīng)用內(nèi)容進(jìn)行監(jiān)控、報(bào)警、記錄?；垩蹟?shù)據(jù)庫安全審計(jì)系統(tǒng)不參與被監(jiān)控網(wǎng)絡(luò)的數(shù)據(jù)傳輸活動(dòng)，因此不對網(wǎng)絡(luò)結(jié)構(gòu)和性能產(chǎn)生任何影響，

13、具有很好的透明性和安全性。2.3 產(chǎn)品功能數(shù)據(jù)庫操作和數(shù)據(jù)庫運(yùn)維監(jiān)控、審計(jì)、報(bào)警能夠?qū)W(wǎng)絡(luò)數(shù)據(jù)庫的各種操作進(jìn)行記錄審計(jì)并報(bào)警，提供詳細(xì)的審計(jì)信息（4w：何時(shí) when 、何地 where 、何人 who以及何種行為 what）查詢功能和郵件、syslog報(bào)警方式。同時(shí)提供多種審計(jì)條件，實(shí)現(xiàn)分類審計(jì)或組合審計(jì)。數(shù)據(jù)庫事件審計(jì)分析能夠?qū)W(wǎng)絡(luò)數(shù)據(jù)庫接收發(fā)送的流量包數(shù)進(jìn)行統(tǒng)計(jì)，并提供詳細(xì)的統(tǒng)計(jì)條件（如：時(shí)間、ip地址、協(xié)議類型等），并根據(jù)歷史的數(shù)據(jù)庫操作數(shù)量做出基于：天、周、月的趨勢分析。日志信息查詢 能夠?qū)W(wǎng)絡(luò)中其他設(shè)備發(fā)來的syslog和snmp日志信息進(jìn)行接收和查詢，并提供多種查詢條件，實(shí)現(xiàn)分類

14、或組合查詢。報(bào)表系統(tǒng)可以實(shí)現(xiàn)手動(dòng)報(bào)表和自動(dòng)定制報(bào)表郵件發(fā)送功能。同時(shí)提供靈活的可定制報(bào)表策略和rtf、html和pdf多種報(bào)表格式。系統(tǒng)狀態(tài)配置、查看可以通過界面查看系統(tǒng)狀態(tài)、進(jìn)行系統(tǒng)管理，并提供智能診斷功能。數(shù)據(jù)保護(hù)擁有數(shù)據(jù)存儲(chǔ)區(qū)磁盤空間預(yù)警和數(shù)據(jù)保護(hù)功能。在數(shù)據(jù)存儲(chǔ)區(qū)磁盤空間使用率達(dá)到預(yù)設(shè)的預(yù)警閥值時(shí)通過界面顯示和郵件方式實(shí)現(xiàn)預(yù)警，達(dá)到預(yù)設(shè)的保護(hù)閥值時(shí)根據(jù)設(shè)定的數(shù)據(jù)保護(hù)機(jī)制采取相應(yīng)的處理對審計(jì)數(shù)據(jù)進(jìn)行保護(hù)。自身日志支持完善的自身日志記錄和查詢功能。補(bǔ)丁升級可以通過界面上傳補(bǔ)丁包進(jìn)行補(bǔ)丁的升級和卸載。用戶/角色權(quán)限管理實(shí)現(xiàn)用戶權(quán)限三權(quán)分立，支持基于用戶、產(chǎn)品功能模塊和內(nèi)容訪問三級的權(quán)限管理。

15、3 硬件安裝3.1 拆箱檢查在打開包裝之后，請您先檢查隨機(jī)附帶的電源線、網(wǎng)線、隨機(jī)光盤等附件是否齊全，所有部件請對照裝箱單進(jìn)行檢查，如有缺損請及時(shí)和銷售人員聯(lián)系。注意：取出設(shè)備后，不要將外包裝丟棄，在需要搬運(yùn)時(shí)，請務(wù)必使用原包裝，它是為您的審計(jì)設(shè)備專門設(shè)計(jì)的包裝，具備良好的防震功能。物 品 名 稱數(shù)量數(shù)據(jù)庫審計(jì)設(shè)備1電源線1網(wǎng)線2隨機(jī)光盤1小托架1裝箱單1每臺(tái)設(shè)備有固定的序列號，且是唯一的。設(shè)備序列號的位置隨設(shè)備類型不同而不同，一般分3種情況：設(shè)備左側(cè)靠前位置設(shè)備左側(cè)后部位置設(shè)備后部中間位置3.2 設(shè)備上架數(shù)據(jù)庫審計(jì)設(shè)備機(jī)箱符合工業(yè)機(jī)柜的標(biāo)準(zhǔn)，它的高度為1u或者2u，可以順利的安裝到19”標(biāo)準(zhǔn)

16、機(jī)柜中去。3.2.1 1u設(shè)備上架安裝支架1.在每個(gè)1u設(shè)備附件中，都包括一個(gè)支架。2.將支架安裝在機(jī)柜上，將a點(diǎn)安裝在機(jī)架內(nèi)側(cè)。如圖所示:設(shè)備上架1.將設(shè)備放到剛裝好的支架上，調(diào)整好位置。2.將位于設(shè)備前面耳朵的孔與機(jī)架前側(cè)的孔對應(yīng)，加螺絲固定。3.2.2 2u設(shè)備上架安裝內(nèi)側(cè)導(dǎo)軌（固定在機(jī)箱上）1. 在每個(gè)導(dǎo)軌裝置中，都包括一副內(nèi)側(cè)可抽拉導(dǎo)軌和外側(cè)導(dǎo)軌。2. 按住內(nèi)側(cè)抽拉導(dǎo)軌裝置上的卡鎖，將內(nèi)導(dǎo)軌抽出并安裝在機(jī)箱側(cè)面。(內(nèi)側(cè)導(dǎo)軌安裝在機(jī)箱兩側(cè)，外側(cè)導(dǎo)軌安裝在機(jī)柜兩側(cè)上)3. 將位于內(nèi)側(cè)抽拉導(dǎo)軌的五個(gè)孔和機(jī)箱上側(cè)身的五個(gè)孔相對應(yīng)，加螺絲固定。4. 固定好一側(cè)導(dǎo)軌在機(jī)箱上，重復(fù)以上步驟再安裝另

17、一側(cè)導(dǎo)軌在機(jī)箱上即可。外側(cè)導(dǎo)軌安裝（固定在機(jī)柜上）在機(jī)箱料包盒里，有前面（短）和后面（長）各一副導(dǎo)軌片。請按照導(dǎo)軌片上箭頭標(biāo)注的方向排好。1. 排好后固定前面的導(dǎo)軌片（短）在外側(cè)導(dǎo)軌上；2. 再附上后面的導(dǎo)軌片（長）固定在外側(cè)導(dǎo)軌上；3. 量出外側(cè)導(dǎo)軌安裝到機(jī)柜的具體深度和長度，調(diào)節(jié)好短、長副導(dǎo)軌片和外側(cè)導(dǎo)軌合適機(jī)柜的距離；4. 重復(fù)相同的步驟安裝另一側(cè)的導(dǎo)軌到機(jī)柜上；5. 將機(jī)箱插入機(jī)柜上的外側(cè)導(dǎo)軌并推進(jìn)時(shí)，聽見“咔”的聲響后，機(jī)箱便順利裝入機(jī)柜中（第一次安裝時(shí)，機(jī)箱上導(dǎo)軌插入機(jī)柜外部導(dǎo)軌的過程和推入過程不是很容易，在推入時(shí)不要用力過猛）；6. 當(dāng)拉出機(jī)箱時(shí)，只要扳動(dòng)機(jī)箱兩側(cè)導(dǎo)軌上的卡鎖扣即

18、可拉出。3.3 設(shè)備連接3.3.1 設(shè)備面板指示設(shè)備面板指示：（以1u服務(wù)器為例）如圖：（自右至左）分別為：電源開關(guān)、重新復(fù)位按鈕、電源指示燈、硬盤工作指示燈、通信口指示燈、備用通信口指示燈、cpu溫度過高指示燈；電源開關(guān)：軟件式開關(guān)，按一下為開，再按一下為關(guān)；重新復(fù)位按鈕：暗埋式設(shè)計(jì)，使用時(shí)用細(xì)物按下，設(shè)備在任何情況下重新啟動(dòng)；電源指示燈：此燈亮?xí)r指示電源為開（只有此燈亮?xí)r代表電源打開）；硬盤工作指示燈：此燈亮?xí)r指示硬盤工作；通信口指示燈：lan0號網(wǎng)口接通指示燈（此燈亮?xí)r只代表網(wǎng)口接通，不代表電源打開）；備用通信口指示燈：lan1號網(wǎng)口接通指示燈（此燈亮?xí)r只代表網(wǎng)口接通，不代表電源打開）；

19、cpu溫度過高指示燈：此燈亮?xí)r說明cpu溫度超過bios中設(shè)定溫度。（該設(shè)備為4網(wǎng)口，lan2、lan3指示燈在機(jī)箱背面網(wǎng)口處。）3.3.2 設(shè)備接口說明1u設(shè)備：2u設(shè)備：a：鼠標(biāo)鍵盤b：usb接口c：com/video接口d：通信口: 用于用戶訪問系統(tǒng)的通信接口e：備用通信口: 用于通過網(wǎng)絡(luò)進(jìn)行設(shè)備內(nèi)部維護(hù)時(shí)使用f、g：采集口: 用于采集網(wǎng)絡(luò)數(shù)據(jù)包的接口，可以使用兩個(gè)接口中的任何一個(gè)或兩個(gè)同時(shí)使用h、i：擴(kuò)展卡插口（可以為光接口卡或者電接口卡）3.3.3 鏡像端口接入數(shù)據(jù)庫審計(jì)設(shè)備一般采用鏡像端口的接入方式，將一個(gè)采集口連接到交換機(jī)的鏡像端口，交換機(jī)鏡像端口的具體配置視不同廠家和型號的交換

20、機(jī)會(huì)有所不同，具體配置方法參見相應(yīng)廠家和型號的交換機(jī)配置手冊。3.3.4 tap接入當(dāng)現(xiàn)場情況由于鏡像端口已經(jīng)被其他設(shè)備占用，或者因?yàn)槟撤N原因無法接鏡像端口，建議采用tap的接入方式。電口tap接入示意圖：光接口tap接入示意圖：冗余電源：（以2u服務(wù)器為例）如圖所示：為2u設(shè)備的冗余電源；要求上下兩個(gè)電源都要接入220v交流電源；任何一個(gè)未接入，即會(huì)報(bào)警；若不想使用兩個(gè)電源供電，可任意拔出一個(gè)電源，就不會(huì)產(chǎn)生報(bào)警（如下兩圖）；拔電源時(shí)，按住電源上面的按鈕，向右側(cè)按，同時(shí)拉電源后面的把手，即可將單個(gè)電源拉出；復(fù)原時(shí)，直接推電源到底，同時(shí)聽到“卡“一聲時(shí)，表示電源推到位并鎖住。4 連接登錄4.1

21、 連接方式產(chǎn)品為b/s架構(gòu)，使用ie瀏覽器軟件即可以對產(chǎn)品進(jìn)行配置和管理。將管理計(jì)算機(jī)通過交換機(jī)和通信口相連即可對設(shè)備進(jìn)行管理。通信口為eth0，備用通信口為eth1。4.2 修改通信口的ip設(shè)置將慧眼數(shù)據(jù)庫安全審計(jì)系統(tǒng)的默認(rèn)ip修改修改為用戶管理環(huán)境要求的ip，通過備用通信口（eth1）進(jìn)入到慧眼數(shù)據(jù)庫安全審計(jì)系統(tǒng)中，修改通信口eth0（審計(jì)中心ip）地址，eth1出廠默認(rèn)的ip地址54，子網(wǎng)掩碼，只能通過網(wǎng)線直連，不支持將備用通信口連到交換機(jī)。在使用命令行修改通信口的ip時(shí)，首先要保證筆記本的ip地址和eth1的ip在同一個(gè)網(wǎng)段，如果不在同一個(gè)網(wǎng)段

22、，要先修改筆記本的ip，如下圖以windows xp為例：然后，用戶可以使用隨機(jī)光盤中的putty.exe程序或者支持ssh連接的遠(yuǎn)程訪問工具，通過備用口的ip連接到后臺(tái)系統(tǒng)，賬號是system，密碼是system。用戶登錄后臺(tái)系統(tǒng)后可以看到如下界面：用戶可以依次輸入help，network，如下圖所示：依次按照提示修改ip、子網(wǎng)掩碼以及網(wǎng)關(guān)。具體操作方法參見“命令手冊2.1 修改網(wǎng)絡(luò)配置network”。4.3 登錄系統(tǒng)使用ie瀏覽器(要求用ie7或以上版本，ie6不能完全支持)，在地址欄中輸入：http:/審計(jì)中心ip （此處的審計(jì)中心ip指審計(jì)中心通信口的ip） 如：http:/192.

23、168.1.254 按照以下步驟進(jìn)行即可登錄系統(tǒng)。通信口 ip地址：54掩碼： 網(wǎng)關(guān)： 備用通信口 ip地址：54掩碼： 系統(tǒng)內(nèi)置用戶和初始密碼：內(nèi)置默認(rèn)用戶用戶名密碼權(quán)限系統(tǒng)管理員sysadminsysadmin1234首頁、審計(jì)中心、攻擊監(jiān)測、性能分析、策略中心、報(bào)表中心、系統(tǒng)配置用戶管理員useradminuseradmin1234普通用戶的創(chuàng)建和刪除等管理系統(tǒng)審計(jì)員auditadminauditadmin1234查看系統(tǒng)自身操作日志的審計(jì)信息& 說明：慧眼數(shù)據(jù)庫安全審計(jì)系統(tǒng)目

24、前只支持使用ie 7及以上版本瀏覽器，使用其他瀏覽器有可能出現(xiàn)部分功能顯示異?，F(xiàn)象。flash支持8以上版本。1) 輸入用戶名和密碼，即可登錄系統(tǒng)。2) 部署首次安裝的慧眼數(shù)據(jù)庫安全審計(jì)系統(tǒng)應(yīng)以系統(tǒng)管理員身份登錄系統(tǒng)，系統(tǒng)管理員默認(rèn)用戶名和密碼為sysadmin，sysadmin1234。3) 用戶首次登錄系統(tǒng)的時(shí)候需要更改當(dāng)前的密碼，且密碼必須符合以下規(guī)范：1. 字母、數(shù)字、特殊字符的組合2. 長度大于8位3. 不能與原密碼相同 注意：當(dāng)用戶連續(xù)5次輸入錯(cuò)誤的密碼進(jìn)行登錄，系統(tǒng)將彈出提示，如下圖所示：此時(shí)需要等待5分鐘后再刷新界面進(jìn)行登錄。5 慧眼數(shù)據(jù)庫安全審計(jì)系統(tǒng)管理5.

25、1 首頁“首頁”主要反映該審計(jì)系統(tǒng)的全局信息，包括審計(jì)服務(wù)器及策略相關(guān)配置情況、事件類型及sql操作延時(shí)及安全攻擊事件趨勢、磁盤信息、cpu、內(nèi)存以及網(wǎng)口通信狀態(tài)信息等。如下圖所示。其中，上面部分列出了所有數(shù)據(jù)庫審計(jì)服務(wù)器，可點(diǎn)擊后面的單個(gè)圖標(biāo)查看針對各個(gè)服務(wù)器的統(tǒng)計(jì)信息。系統(tǒng)初裝無審計(jì)服務(wù)器時(shí)顯示如下：點(diǎn)擊“添加”即可跳轉(zhuǎn)到“審計(jì)數(shù)據(jù)庫服務(wù)器”界面。第二部分顯示過去的12個(gè)小時(shí)數(shù)據(jù)庫操作事件的統(tǒng)計(jì)情況，如下圖所示：第三部分是針對數(shù)據(jù)庫服務(wù)器的各事件類型、sql操作的延時(shí)、服務(wù)器遭受安全攻擊的數(shù)量進(jìn)行展示。鼠標(biāo)移到折線整點(diǎn)處，可看到當(dāng)時(shí)時(shí)間段的數(shù)據(jù)統(tǒng)計(jì)數(shù)：事件類型排名：單點(diǎn)顯示過去的12小時(shí)內(nèi)

26、數(shù)據(jù)庫服務(wù)器發(fā)生的相應(yīng)事件類型的審計(jì)記錄總數(shù)，總體顯示總數(shù)前5名的事件類型，如上圖所示單點(diǎn)為過去的12小時(shí)發(fā)生名為“sqlserver”事件的記錄數(shù)為1411條；延時(shí)趨勢：單點(diǎn)顯示當(dāng)時(shí)的1小時(shí)內(nèi)數(shù)據(jù)庫服務(wù)器操作的平均延時(shí)時(shí)間（以毫秒為單位），總體顯示過 去的12個(gè)小時(shí)的延時(shí)趨勢；攻擊事件趨勢：單點(diǎn)顯示當(dāng)時(shí)的1小時(shí)內(nèi)數(shù)據(jù)庫服務(wù)器遭受攻擊的總數(shù)，總體顯示過去12小時(shí)的攻擊事件趨勢，如下圖所示單點(diǎn)為11：00至12：00的數(shù)據(jù)庫服務(wù)器遭受攻擊的總數(shù)為12。首頁下方顯示的是當(dāng)前系統(tǒng)磁盤的使用情況（以百分比表示），以及各以太網(wǎng)口的使用狀態(tài)（當(dāng)網(wǎng)口未連接網(wǎng)線時(shí)，顯示紅色，否則顯示綠色），鼠標(biāo)移到相應(yīng)的圖標(biāo)

27、處，可顯示具體信息。如下圖所示：5.2 門戶框架以系統(tǒng)管理員sysadmin登錄系統(tǒng)后，在界面的右上角可以看到如下圖所示的門戶菜單欄：從左依次為：個(gè)人設(shè)置、實(shí)時(shí)監(jiān)控、系統(tǒng)消息提示、時(shí)間設(shè)置、注銷。5.2.1 個(gè)人設(shè)置以系統(tǒng)管理員sysadmin登錄系統(tǒng)后，點(diǎn)擊按鈕，彈出個(gè)人設(shè)置界面，如下圖所示：個(gè)人設(shè)置包括用戶名全名、電子郵箱、密碼三項(xiàng)。全名：輸入系統(tǒng)用戶的名稱，默認(rèn)的全名是sysadmin。注：與登錄時(shí)的用戶名不同。當(dāng)輸入“全名”后，“保存”和“重置”兩個(gè)按鈕變?yōu)榭捎脿顟B(tài)。若點(diǎn)擊“重置”按鈕，狀態(tài)變?yōu)橛脩羯弦淮伪４鏁r(shí)的“全名”；若點(diǎn)擊“保存”按鈕，將輸入信息進(jìn)行保存，然后“保存”和“重置”兩

28、個(gè)按鈕再次變?yōu)椴豢捎脿顟B(tài)，并且，再次登錄系統(tǒng)后，保存了的名稱將顯示在門戶菜單中，例如：輸入用戶全名為：abcdef，如下圖所示：電子郵箱：輸入電子郵箱地址。同上，當(dāng)輸入“電子郵箱”后，“保存”和“重置”兩個(gè)按鈕變?yōu)榭捎脿顟B(tài)。若點(diǎn)擊“重置”按鈕，狀態(tài)變?yōu)橛脩羯弦淮伪４鏁r(shí)的“電子郵箱”；若點(diǎn)擊“保存”按鈕，將輸入信息進(jìn)行保存，然后“保存”和“重置”兩個(gè)按鈕再次變?yōu)椴豢捎脿顟B(tài)。密碼：是否修改密碼。若要修改密碼，密碼長度不能少于8位，并且密碼必須包含字母、數(shù)字和特殊字符。例如：abc1234。若顯示密碼被勾選，顯示輸入的密碼，否則以“*”代替。輸入新密碼后，“保存”和“重置”兩個(gè)按鈕變?yōu)榭捎?，點(diǎn)擊“保

29、存”按鈕，保存新密碼，再次登錄系統(tǒng)時(shí)，要使用新設(shè)定的“密碼”進(jìn)行登錄；點(diǎn)擊“重置”按鈕，不保存。然后，返回到初始登錄個(gè)人設(shè)置界面的狀態(tài)。5.2.2 實(shí)時(shí)監(jiān)控如上圖所示，報(bào)警信息以紅、黃、綠三個(gè)顏色圓圈代表審計(jì)數(shù)據(jù)庫服務(wù)器監(jiān)控到的數(shù)據(jù)風(fēng)險(xiǎn)級別為高、中、低。數(shù)字表示審計(jì)數(shù)據(jù)庫服務(wù)器按相應(yīng)風(fēng)險(xiǎn)級別所實(shí)時(shí)監(jiān)控到的數(shù)據(jù)。注：提示數(shù)據(jù)個(gè)數(shù)范圍為0-9999條。當(dāng)超過9999條數(shù)據(jù)時(shí)，以“9999+”形式表示。1） 點(diǎn)擊三個(gè)風(fēng)險(xiǎn)級別的顏色圓圈，分別會(huì)彈出當(dāng)前風(fēng)險(xiǎn)級別的審計(jì)記錄頁面。2） 若點(diǎn)擊，將顯示當(dāng)前實(shí)時(shí)審計(jì)的數(shù)據(jù)，最多顯示1000條數(shù)據(jù)。同時(shí)，數(shù)據(jù)列表按照風(fēng)險(xiǎn)級別（包括高、中、低、無）的不同顯示顏色也

30、不同，與門戶菜單的風(fēng)險(xiǎn)級別圓圈相對應(yīng)，即“高”對應(yīng)紅色，“中”對應(yīng)黃色，“低”對應(yīng)綠色，“無”對應(yīng)無色。如下圖所示：數(shù)據(jù)列表顯示數(shù)據(jù)范圍為0-1000條。每5秒鐘刷新一次進(jìn)行數(shù)據(jù)更新，最新監(jiān)控到的數(shù)據(jù)將顯示在列表的最下方。并且，監(jiān)控?cái)?shù)據(jù)具有排重功能。數(shù)據(jù)列表區(qū)域的顏色與門戶菜單代表風(fēng)險(xiǎn)級別的圓圈顏色相同，如上圖，風(fēng)險(xiǎn)級別為“中”，門戶菜單中以黃色圓圈表示，那么數(shù)據(jù)列表的區(qū)域顯示為黃色。并且，可以對列表的數(shù)據(jù)進(jìn)行排序，如上圖所示，按事件id進(jìn)行排序，那么點(diǎn)擊“”后面的三角即可，上三角表示時(shí)間id從小到大排序，下三角與其相反。同理，也可按風(fēng)險(xiǎn)級別、審計(jì)數(shù)據(jù)庫服務(wù)器、事件類型、操作來源、操作時(shí)間中的

31、任意一項(xiàng)進(jìn)行排序。選中某一條事件，將在界面的下方顯示出詳細(xì)信息（紅色框內(nèi)區(qū)域）。點(diǎn)擊，可配置來源、操作類型及風(fēng)險(xiǎn)級別的過濾條件，過濾條件創(chuàng)建后，對界面上已展示數(shù)據(jù)進(jìn)行過濾。5.2.3 系統(tǒng)消息提示，此圖片代表系統(tǒng)消息提示，氣泡里面的數(shù)字，代表消息條數(shù)。系統(tǒng)默認(rèn)有6條消息提示。即：配置ip過濾條件、配置郵件服務(wù)器、配置時(shí)間服務(wù)器、配置審計(jì)服務(wù)器、配置授權(quán)告警、配置磁盤預(yù)警閥值。若增加配置或完成某個(gè)配置，那么系統(tǒng)會(huì)實(shí)時(shí)監(jiān)測，數(shù)字會(huì)相應(yīng)增加或減小，配置過的消息提示將不再進(jìn)行提示。 點(diǎn)擊氣泡， 可查看具體提示信息。當(dāng)有授權(quán)告警時(shí)，會(huì)在此增加提示，如下圖所示：當(dāng)有磁盤預(yù)警時(shí)，會(huì)在此增加提示，如下圖所示：

32、另外，還有“同步”提示，當(dāng)系統(tǒng)修改某一信息或者配置后，需要點(diǎn)擊氣泡，進(jìn)行同步。例如：在策略配置中，添加了一條事件類型，并且為它新建了一條策略，此時(shí)，點(diǎn)擊氣泡，將有如下提示：提示內(nèi)容：策略發(fā)生了變化，點(diǎn)擊“同步”按鈕，進(jìn)行系統(tǒng)同步配置。若有些配置已經(jīng)完成了，那么會(huì)對其他配置進(jìn)行提示，消息提示數(shù)目是實(shí)時(shí)更新顯示的。并且，當(dāng)鼠標(biāo)移開氣泡時(shí)，提示會(huì)關(guān)閉。注：每增加一個(gè)消息提示，都會(huì)顯示在消息提示的首頁。5.2.4 時(shí)間設(shè)置點(diǎn)擊門戶菜單的系統(tǒng)時(shí)間設(shè)置，那么直接跳轉(zhuǎn)到“系統(tǒng)配置-工作參數(shù)”界面，進(jìn)行時(shí)間設(shè)置。5.2.5 注銷在任意時(shí)刻，點(diǎn)擊門戶菜單的按鈕，彈出如下對話框：若點(diǎn)擊“確定”按鈕，跳轉(zhuǎn)到初始登錄

33、界面；若點(diǎn)擊“取消”，關(guān)閉此對話框。5.3 審計(jì)中心審計(jì)中心包括： 數(shù)據(jù)庫審計(jì)， 其它審計(jì)，實(shí)名審、domino審計(jì)和本地審計(jì)。通過審計(jì)中心，可以對系統(tǒng)已審計(jì)到的數(shù)據(jù)進(jìn)行查看，通過設(shè)置時(shí)間等查詢條件對審計(jì)到的數(shù)據(jù)進(jìn)行更精確的查詢。5.3.1 數(shù)據(jù)庫審計(jì)以系統(tǒng)管理員sysadmin登錄系統(tǒng)， 鼠標(biāo)點(diǎn)擊左側(cè)導(dǎo)航欄“審計(jì)中心-數(shù)據(jù)庫審計(jì)”，即可進(jìn)入數(shù)據(jù)庫審計(jì)界面。數(shù)據(jù)庫審計(jì)是對系統(tǒng)記錄的對數(shù)據(jù)庫的操作行為進(jìn)行的審計(jì)。進(jìn)入數(shù)據(jù)庫審計(jì)頁面以后，默認(rèn)的查詢條件是今天，點(diǎn)擊查詢，可以查看今天已審計(jì)到的對數(shù)據(jù)庫的操作行為的記錄。選擇查看日期： 通過點(diǎn)擊下方的日期選擇需要查看的日期的審計(jì)記錄，點(diǎn)擊和分別向左和向

34、滑動(dòng)日期， 點(diǎn)擊滑到日期列表的最左邊，點(diǎn)擊滑到日期列表的最右邊。詳細(xì)信息： 點(diǎn)擊一條數(shù)據(jù)，在右邊列表頁面可以查看到選中數(shù)據(jù)的詳細(xì)信息。導(dǎo)出：在查詢結(jié)果區(qū)域的“導(dǎo)出”按鈕可批量導(dǎo)出前1萬條記錄。點(diǎn)擊每條記錄右側(cè)詳細(xì)信息處可以導(dǎo)出當(dāng)前對應(yīng)的一條數(shù)據(jù)。sql回放：點(diǎn)擊一條數(shù)據(jù)，在右邊列表頁面的詳細(xì)信息中點(diǎn)擊“sql回放”,可對同一會(huì)話中的sql語句進(jìn)行回放。點(diǎn)擊播放，界面展示sql語句已經(jīng)sql語句的返回狀態(tài)。播放時(shí)可進(jìn)行暫停、查看第一條和查看最后的操作。用戶關(guān)聯(lián)： 對操作來源ip可以通過點(diǎn)擊“用戶關(guān)聯(lián)”，在新的頁面上設(shè)置時(shí)間關(guān)聯(lián)到登錄smp認(rèn)證系統(tǒng)的用戶名。下圖是點(diǎn)擊操作來源ip“192.168.

35、10.208”右側(cè)的“用戶關(guān)聯(lián)”頁面以后，查到的關(guān)聯(lián)結(jié)果示例：排序： 可以通過點(diǎn)擊查詢結(jié)果中的列名進(jìn)行升、倒序排列。點(diǎn)擊“查詢”按鈕的下拉箭頭，進(jìn)入到查詢設(shè)置頁面，當(dāng)鼠標(biāo)移動(dòng)到查詢條件上時(shí)，下方的說明框里是對查詢條件的詳細(xì)說明。通過設(shè)置查詢條件，可以更精確的查詢到審計(jì)記錄。5.3.2 其它審計(jì)以系統(tǒng)管理員sysadmin登錄系統(tǒng)， 鼠標(biāo)點(diǎn)擊左側(cè)導(dǎo)航欄“審計(jì)中心-其它審計(jì)”，即可進(jìn)入其它審計(jì)界面。其它審計(jì)中包含了：運(yùn)維，web中間件，web中間件關(guān)聯(lián)，syslog日志，snmp日志。點(diǎn)擊“其它審計(jì)”右側(cè)的單選框，可以切換到具體的審計(jì)頁面。比如，點(diǎn)擊運(yùn)維單選框，運(yùn)維審計(jì)頁面被打開。

36、運(yùn)維運(yùn)維是對訪問數(shù)據(jù)庫服務(wù)器行為的審計(jì)。進(jìn)入運(yùn)維審計(jì)頁面以后，默認(rèn)的查詢條件是今天，點(diǎn)擊查詢，可以查看今天已審計(jì)到的對數(shù)據(jù)庫服務(wù)器訪問的記錄。選擇查看日期： 通過點(diǎn)擊下方的日期選擇需要查看的日期的審計(jì)記錄，點(diǎn)擊和分別向左和向滑動(dòng)日期， 點(diǎn)擊滑到日期列表的最左邊，點(diǎn)擊滑到日期列表的最右邊。詳細(xì)信息： 點(diǎn)擊一條數(shù)據(jù)，在右邊列表頁面可以查看到選中數(shù)據(jù)的詳細(xì)信息。導(dǎo)出：在查詢結(jié)果區(qū)域的“導(dǎo)出”按鈕可批量導(dǎo)出前1萬條記錄。點(diǎn)擊每條記錄右側(cè)詳細(xì)信息處可以導(dǎo)出當(dāng)前對應(yīng)的一條數(shù)據(jù)。用戶關(guān)聯(lián)： 對操作來源ip可以通過點(diǎn)擊“用戶關(guān)聯(lián)”，在新的頁面上設(shè)置時(shí)間關(guān)聯(lián)到來源ip的用戶名，同數(shù)據(jù)庫審計(jì)中的該功能。排序： 可

37、以通過點(diǎn)擊查詢結(jié)果中的列名進(jìn)行升、倒序排列。點(diǎn)擊“查詢”按鈕的下拉箭頭，進(jìn)入到查詢設(shè)置頁面， 當(dāng)鼠標(biāo)移動(dòng)到查詢條件上時(shí)，下方的說明框里是對查詢條件的詳細(xì)說明。通過設(shè)置查詢條件，可以更精確的查詢到審計(jì)記錄。 web中間件web中間件審計(jì)是對中間件訪問記錄的審計(jì)。進(jìn)入web中間件審計(jì)頁面以后，默認(rèn)的查詢條件是今天，點(diǎn)擊查詢，可以查看今天已審計(jì)到的對web中間件訪問情況的記錄。選擇查看日期： 通過點(diǎn)擊下方的日期選擇需要查看的日期的審計(jì)記錄，點(diǎn)擊和分別向左和向滑動(dòng)日期， 點(diǎn)擊滑到日期列表的最左邊，點(diǎn)擊滑到日期列表的最右邊。詳細(xì)信息： 點(diǎn)擊一條數(shù)據(jù)，在右邊列表頁面可以查看到選中數(shù)據(jù)的詳細(xì)信

38、息。導(dǎo)出：在查詢結(jié)果區(qū)域的“導(dǎo)出”按鈕可批量導(dǎo)出前1萬條記錄。點(diǎn)擊每條記錄右側(cè)詳細(xì)信息處可以導(dǎo)出當(dāng)前對應(yīng)的一條數(shù)據(jù)。排序： 可以通過點(diǎn)擊查詢結(jié)果中的列名進(jìn)行升、倒序排列。點(diǎn)擊“查詢”按鈕的下拉箭頭，進(jìn)入到查詢設(shè)置頁面，如下圖：當(dāng)鼠標(biāo)移動(dòng)到查詢條件上時(shí)，下方的說明框里是對查詢條件的詳細(xì)說明。通過設(shè)置查詢條件，可以更精確的查詢到審計(jì)記錄。 web中間件關(guān)聯(lián)web中間件關(guān)聯(lián)是對通過訪問web中間件來訪問數(shù)據(jù)庫服務(wù)器的行為進(jìn)行關(guān)聯(lián)的結(jié)果的審計(jì)。進(jìn)入web中間件關(guān)聯(lián)審計(jì)頁面以后，默認(rèn)的查詢條件是今天，點(diǎn)擊查詢，可以查看今天已審計(jì)到的數(shù)據(jù)庫操作與web中間件訪問的兩者之間已關(guān)聯(lián)到的信息的記錄

39、。選擇查看日期： 通過點(diǎn)擊下方的日期選擇需要查看的日期的審計(jì)記錄，點(diǎn)擊和分別向左和向滑動(dòng)日期， 點(diǎn)擊滑到日期列表的最左邊，點(diǎn)擊滑到日期列表的最右邊。詳細(xì)信息： 點(diǎn)擊一條數(shù)據(jù)，在右邊列表頁面可以查看到選中數(shù)據(jù)的詳細(xì)信息。導(dǎo)出：在查詢結(jié)果區(qū)域的“導(dǎo)出”按鈕可批量導(dǎo)出前1萬條記錄。點(diǎn)擊每條記錄右側(cè)詳細(xì)信息處可以導(dǎo)出當(dāng)前對應(yīng)的一條數(shù)據(jù)。排序： 可以通過點(diǎn)擊查詢結(jié)果中的列名進(jìn)行升、倒序排列。點(diǎn)擊“查詢”按鈕的下拉箭頭，進(jìn)入到查詢設(shè)置頁面，如下圖：當(dāng)鼠標(biāo)移動(dòng)到查詢條件上時(shí)，下方的說明框里是對查詢條件的詳細(xì)說明。通過設(shè)置查詢條件，可以更精確的查詢到審計(jì)記錄。 syslog日志syslog日志是

40、對審計(jì)數(shù)據(jù)庫所在主機(jī)的syslog日志的審計(jì)。進(jìn)入syslog日志審計(jì)頁面以后，默認(rèn)的查詢條件是今天，點(diǎn)擊查詢，可以查看今天已審計(jì)到的數(shù)據(jù)庫所在主機(jī)的syslog日志審計(jì)記錄。選擇查看日期： 通過點(diǎn)擊下方的日期選擇需要查看的日期的審計(jì)記錄，點(diǎn)擊和分別向左和向滑動(dòng)日期， 點(diǎn)擊滑到日期列表的最左邊，點(diǎn)擊滑到日期列表的最右邊。詳細(xì)信息： 點(diǎn)擊一條數(shù)據(jù)，在右邊列表頁面可以查看到選中數(shù)據(jù)的詳細(xì)信息。導(dǎo)出：在查詢結(jié)果區(qū)域的“導(dǎo)出”按鈕可批量導(dǎo)出前1萬條記錄。點(diǎn)擊每條記錄右側(cè)詳細(xì)信息處可以導(dǎo)出當(dāng)前對應(yīng)的一條數(shù)據(jù)。排序： 可以通過點(diǎn)擊查詢結(jié)果中的列名進(jìn)行升、倒序排列。點(diǎn)擊“查詢”按鈕的下拉箭頭，進(jìn)入到查詢設(shè)置

41、頁面當(dāng)鼠標(biāo)移動(dòng)到查詢條件上時(shí)，下方的說明框里是對查詢條件的詳細(xì)說明。通過設(shè)置查詢條件，可以更精確的查詢到審計(jì)記錄。 snmp日志snmp日志是對審計(jì)數(shù)據(jù)庫所在主機(jī)的snmp日志的審計(jì)。進(jìn)入snmp日志審計(jì)頁面以后，默認(rèn)的查詢條件是今天，點(diǎn)擊查詢，可以查看今天已審計(jì)到的數(shù)據(jù)庫所在主機(jī)的snmp日志審計(jì)記錄。選擇查看日期： 通過點(diǎn)擊下方的日期選擇需要查看的日期的審計(jì)記錄，點(diǎn)擊和分別向左和向滑動(dòng)日期， 點(diǎn)擊滑到日期列表的最左邊，點(diǎn)擊滑到日期列表的最右邊。詳細(xì)信息： 點(diǎn)擊一條數(shù)據(jù)，在右邊列表頁面可以查看到選中數(shù)據(jù)的詳細(xì)信息。導(dǎo)出：在查詢結(jié)果區(qū)域的“導(dǎo)出”按鈕可批量導(dǎo)出前1萬條記錄。點(diǎn)擊每

42、條記錄右側(cè)詳細(xì)信息處可以導(dǎo)出當(dāng)前對應(yīng)的一條數(shù)據(jù)。排序： 可以通過點(diǎn)擊查詢結(jié)果中的列名進(jìn)行升、倒序排列。點(diǎn)擊“查詢”按鈕的下拉箭頭，進(jìn)入到查詢設(shè)置頁面。當(dāng)鼠標(biāo)移動(dòng)到查詢條件上時(shí)，下方的說明框里是對查詢條件的詳細(xì)說明。通過設(shè)置查詢條件，可以更精確的查詢到審計(jì)記錄。5.3.3 實(shí)名審計(jì)以系統(tǒng)管理員sysadmin登錄系統(tǒng)， 鼠標(biāo)點(diǎn)擊左側(cè)導(dǎo)航欄“審計(jì)中心-實(shí)名審計(jì)”，即可進(jìn)入實(shí)名審計(jì)界面。實(shí)名審計(jì)是此處展示的是訪問smp系統(tǒng)的用戶登入（用戶活動(dòng)開始時(shí)間）登出（用戶活動(dòng)結(jié)束時(shí)間）時(shí)間和用戶的ip。該功能默認(rèn)為關(guān)閉狀態(tài)，默認(rèn)用戶需要首先進(jìn)行smp配置：在“查詢”按鈕下方點(diǎn)擊“smp配置”，彈出對話框，如下

43、圖所示：狀態(tài)：用戶可點(diǎn)擊選擇是否開啟smp審計(jì)功能，默認(rèn)為“關(guān)”即不審計(jì)；ip、端口：指定smp關(guān)聯(lián)系統(tǒng)服務(wù)器的ip和端口；保存后即可生效。查詢條件包括用戶活動(dòng)開始時(shí)間、用戶活動(dòng)結(jié)束時(shí)間、用戶名和ip。查詢條件可以以單一條件進(jìn)行查詢也可以以組合條件進(jìn)行查詢（默認(rèn)的查詢條件是今天）。用戶活動(dòng)開始時(shí)間即用戶登入數(shù)據(jù)庫的時(shí)間，用戶活動(dòng)結(jié)束時(shí)間即用戶登出數(shù)據(jù)庫的時(shí)間，只要用戶的登入和登出時(shí)間在開始時(shí)間和結(jié)束時(shí)間范圍內(nèi)就會(huì)將該用戶的信息查詢出來。例如：設(shè)置的開始時(shí)間和結(jié)束時(shí)間分別是：2011-03-17 00:00:00和2011-03-18 23:59:59。則查詢結(jié)果為所有登入時(shí)間大于等于開始時(shí)間和

44、登出時(shí)間小于等于結(jié)束時(shí)間的記錄。排序： 點(diǎn)擊查詢結(jié)果中的列名，可對選擇列進(jìn)行升、倒序排列。5.3.4 domino審計(jì)以系統(tǒng)管理員sysadmin登錄系統(tǒng)， 鼠標(biāo)點(diǎn)擊左側(cè)導(dǎo)航欄“審計(jì)中心-domino審計(jì)”，即可進(jìn)入實(shí)名審計(jì)界面。domino審計(jì)是針對domino文檔型數(shù)據(jù)庫產(chǎn)品而進(jìn)行的數(shù)據(jù)庫審計(jì)。通過domino審計(jì)查詢可以根據(jù)查詢條件，把審計(jì)到的數(shù)據(jù)包括用戶名、服務(wù)器名、端口、流量、事務(wù)數(shù)、讀寫文檔數(shù)、會(huì)話時(shí)長以及數(shù)據(jù)庫等相關(guān)信息查詢出來。domino審計(jì)支持的查詢條件包括：時(shí)間范圍、domino服務(wù)器名、用戶名以及數(shù)據(jù)庫名。對于domino服務(wù)器名信息，系統(tǒng)可以自動(dòng)從審計(jì)數(shù)據(jù)中獲取，查詢

45、時(shí)用戶手動(dòng)選取服務(wù)器即可。而對于用戶名和數(shù)據(jù)庫名信息，需要用戶手動(dòng)輸入關(guān)鍵字，其中支持關(guān)鍵字的模糊查詢。例如：在用戶名輸入框中輸入admin為關(guān)鍵字，就可以查詢出用戶名含有admin字段的所有用戶。domino審計(jì)查詢界面包括兩部分，查詢結(jié)果和詳細(xì)信息。查詢結(jié)果以表格形式展現(xiàn)domino審計(jì)信息，點(diǎn)擊列名可以按照該列數(shù)據(jù)進(jìn)行排序。查詢結(jié)果每次返回100條記錄，可以拖動(dòng)鼠標(biāo)至底部進(jìn)行再次查詢，直至返回所有符合條件的記錄。點(diǎn)擊查詢結(jié)果標(biāo)題右上側(cè)的導(dǎo)出標(biāo)志，可以對符合查詢條件的記錄進(jìn)行導(dǎo)出，其中導(dǎo)出文件將以csv格式保存。詳細(xì)信息包括數(shù)據(jù)庫和其他相關(guān)信息，用戶也可以點(diǎn)擊導(dǎo)出標(biāo)志，對單條審計(jì)記錄進(jìn)行導(dǎo)

46、出，導(dǎo)出文件以txt格式保存。注：用戶需要以domino服務(wù)器名，在審計(jì)數(shù)據(jù)庫服務(wù)器頁面內(nèi)添加domino類型的服務(wù)器。首頁就可以展現(xiàn)基于該domino服務(wù)器的統(tǒng)計(jì)信息，其中包括：會(huì)話趨勢、流量趨勢以及事務(wù)趨勢。5.3.5 本地審計(jì)以系統(tǒng)管理員sysadmin登錄系統(tǒng)， 鼠標(biāo)點(diǎn)擊左側(cè)導(dǎo)航欄“審計(jì)中心-本地審計(jì)”，即可進(jìn)入本地審計(jì)界面。本地審計(jì)是通過數(shù)據(jù)庫賬號、密碼（實(shí)例名）連接到數(shù)據(jù)庫服務(wù)器，查詢數(shù)據(jù)庫本身提供的審計(jì)功能審計(jì)到的數(shù)據(jù)。本地審計(jì)界面中，從數(shù)據(jù)庫服務(wù)器列表中選擇數(shù)據(jù)庫服務(wù)器，點(diǎn)擊“審計(jì)”，進(jìn)行配置后查詢。第一次進(jìn)入審計(jì)界面后，系統(tǒng)默認(rèn)從數(shù)據(jù)庫服務(wù)器列表中選擇一個(gè)數(shù)據(jù)庫服務(wù)器，并提示

47、需要配置訪問連接所需要的數(shù)據(jù)庫賬號、密碼等（最好使用系統(tǒng)管理員賬號，本地審計(jì)系統(tǒng)不會(huì)記錄此賬號相關(guān)信息），如下圖：輸入數(shù)據(jù)庫賬號、密碼、實(shí)例名（oracle數(shù)據(jù)庫需要提供實(shí)例名）后，點(diǎn)擊“保存并審計(jì)”后，系統(tǒng)可連接到選中的數(shù)據(jù)庫服務(wù)器，并查詢出該數(shù)據(jù)庫服務(wù)器自身審計(jì)的結(jié)果。5.4 攻擊監(jiān)測攻擊監(jiān)測主要是監(jiān)測網(wǎng)絡(luò)上攻擊數(shù)據(jù)庫的行為，包括對數(shù)據(jù)庫服務(wù)器的網(wǎng)絡(luò)攻擊檢測、運(yùn)維服務(wù)攻擊檢測和操作系統(tǒng)的攻擊檢測。用戶可以開啟或關(guān)閉該監(jiān)測，并且可以進(jìn)行監(jiān)測引擎配置，也可以設(shè)置條件對各種監(jiān)測結(jié)果進(jìn)行查詢。5.4.1 如何開啟或關(guān)閉攻擊監(jiān)測以系統(tǒng)管理員sysadmin登錄系統(tǒng)，鼠標(biāo)點(diǎn)擊左側(cè)導(dǎo)航欄“攻擊監(jiān)測-監(jiān)測

48、引擎配置”，鼠標(biāo)點(diǎn)擊左上角顯示開關(guān)按鈕，即可實(shí)現(xiàn)攻擊檢測的開啟或關(guān)閉。如圖所示：在系統(tǒng)安裝初始狀態(tài)下，該監(jiān)測事件處于開啟狀態(tài)。當(dāng)攻擊檢測引擎處于停止?fàn)顟B(tài)時(shí)，該按鈕顯示如下圖所示：切換開/關(guān)狀態(tài)時(shí)，會(huì)彈出如下對話框：點(diǎn)擊“確定”按鈕，返回到監(jiān)測引擎配置界面。5.4.2 攻擊事件查詢以系統(tǒng)管理員sysadmin登錄系統(tǒng)，鼠標(biāo)左鍵點(diǎn)擊左側(cè)導(dǎo)航欄中的“攻擊監(jiān)測-攻擊事件查詢”，進(jìn)入“攻擊事件查詢”界面。 如何設(shè)置時(shí)間范圍查詢系統(tǒng)默認(rèn)的時(shí)間范圍查詢條件為：本日，點(diǎn)擊下拉按鈕可打開并選擇其余時(shí)間查詢條件。如下圖所示：時(shí)間范圍的查詢條件有：最近5分鐘、最近10分鐘、最近30分鐘、最近1小時(shí)、最

49、近3小時(shí)、最近12小時(shí)、最近24小時(shí)、最近7天、本日、本周、本月和自定義。用戶可以通過單擊按鈕更改日期和時(shí)間，如下圖所示：用戶可以單擊時(shí)間按鈕，在下拉菜單中選取時(shí)間，如上圖所示：也可以進(jìn)行手動(dòng)輸入，如下圖所示： 如何查看查詢結(jié)果在攻擊事件查詢界面，點(diǎn)擊“查詢”按鈕，左側(cè)是查詢結(jié)果列表，右側(cè)是詳細(xì)信息列表。1）查詢結(jié)果列表在查詢結(jié)果中，默認(rèn)的展示列為：時(shí)間日期：數(shù)據(jù)庫攻擊事件發(fā)生的日期和時(shí)間；源ip：發(fā)生數(shù)據(jù)庫攻擊事件的源ip地址；目的ip：發(fā)生數(shù)據(jù)庫攻擊事件的目的ip地址；源端口：發(fā)生數(shù)據(jù)庫攻擊事件的源ip端口目的端口：發(fā)生數(shù)據(jù)庫攻擊事件的目的端口；協(xié)議：數(shù)據(jù)庫攻擊事件的網(wǎng)絡(luò)應(yīng)用

50、協(xié)議；級別：數(shù)據(jù)庫攻擊事件的報(bào)警級別；特征規(guī)則：數(shù)據(jù)庫攻擊事件匹配的安全特征規(guī)則；攻擊事件描述：數(shù)據(jù)庫攻擊事件的簡單文字描述。查詢結(jié)果會(huì)以天為單位分頁顯示，點(diǎn)擊其中一天就可以查看當(dāng)天的記錄（如上圖所示）。當(dāng)前被查看的日期以灰色顯示。如果查詢條件所設(shè)置的時(shí)間范圍的跨度比較大，例如：2011.06.01到2011.06.28，則可通過 和進(jìn)行上翻和下翻，通過和 進(jìn)行翻到最前和最后。如果沒有符合查詢條件的數(shù)據(jù)，會(huì)在查詢結(jié)果中間顯示：“沒有找到符合條件的結(jié)果”。2）詳細(xì)信息列表選擇某一條記錄，在右側(cè)的“詳細(xì)信息”區(qū)域即顯示出該條記錄的詳細(xì)信息。 如何將監(jiān)測事件導(dǎo)出在查詢結(jié)果區(qū)域的“導(dǎo)出”

51、按鈕可批量導(dǎo)出前1萬條記錄。點(diǎn)擊每條記錄右側(cè)詳細(xì)信息處可以導(dǎo)出當(dāng)前對應(yīng)的一條數(shù)據(jù)。導(dǎo)出文件可用excel工具打開，內(nèi)容如下圖所示： 如何設(shè)置詳細(xì)查詢條件在“攻擊事件查詢”界面，點(diǎn)擊按鈕右側(cè)的下拉三角按鈕，即可在下方彈出詳細(xì)查詢條件。當(dāng)前系統(tǒng)主要提供以下幾個(gè)條件的查詢：攻擊事件源ip、攻擊事件源端口、攻擊事件目的ip、攻擊事件目的端口、攻擊事件協(xié)議、攻擊事件級別、說明。其中攻擊事件源ip和攻擊事件目的ip條件需要按照ip地址的標(biāo)準(zhǔn)格式輸入，攻擊事件源端口和攻擊事件目的端口條件的端口范圍在065535之間，其中0表示無相應(yīng)的端口。設(shè)置條件后，點(diǎn)擊“查詢”按鈕后詳細(xì)條件將隱藏，相應(yīng)的查

52、詢結(jié)果將會(huì)顯示在界面上。點(diǎn)擊左下角的“重置所有條件”按鈕，將清空所有的查詢條件，包括將“時(shí)間范圍”條件重新置為默認(rèn)條件“本日”。注：當(dāng)鼠標(biāo)移動(dòng)到相應(yīng)查詢條件時(shí)，在“說明”對話框?qū)ο鄳?yīng)查詢條件進(jìn)行詳細(xì)說明。5.4.3 監(jiān)測引擎配置監(jiān)測引擎配置是系統(tǒng)內(nèi)置的安全攻擊事件匹配的配置，用戶可以自定義修改報(bào)警級別、啟用或者停用該配置。以系統(tǒng)管理員sysadmin登錄系統(tǒng)，鼠標(biāo)點(diǎn)擊左側(cè)導(dǎo)航欄“攻擊監(jiān)測-監(jiān)測引擎配置”，即可進(jìn)入監(jiān)測引擎配置界面，如下圖所示：監(jiān)測引擎配置界面的展示列如下：名稱：系統(tǒng)內(nèi)置的數(shù)據(jù)庫網(wǎng)絡(luò)攻擊特征規(guī)則的名稱，按照攻擊對象類型主要分為三種：數(shù)據(jù)庫、操作系統(tǒng)、網(wǎng)絡(luò)應(yīng)用。其中數(shù)據(jù)庫類型主要是

53、對數(shù)據(jù)庫服務(wù)器的攻擊特征規(guī)則，操作系統(tǒng)類型主要是對操作系統(tǒng)級別的攻擊特征規(guī)則，網(wǎng)絡(luò)應(yīng)用主要是對運(yùn)維服務(wù)的攻擊特征規(guī)則；如下圖所示：類型：攻擊事件的安全類型，如緩沖區(qū)溢出、權(quán)限提升、漏洞利用、口令猜測等；級別：攻擊事件的檢測報(bào)警級別，分為高、中高、中、中低、低五種；描述：攻擊特征規(guī)則的簡單文字描述。默認(rèn)狀態(tài)下所有的規(guī)則都是出于啟用狀態(tài)。用戶可以自定義修改特征規(guī)則的報(bào)警級別，或者通過勾選某條規(guī)則設(shè)置啟用或著停用該規(guī)則。修改后，用戶可點(diǎn)擊右下方的“保存”按鈕保存相應(yīng)的設(shè)置。5.5 性能分析“性能分析”主要是基于現(xiàn)有的數(shù)據(jù)記錄的分析，通過查看各數(shù)據(jù)庫服務(wù)器的響應(yīng)延時(shí)協(xié)助用戶分析定位服務(wù)器的性能。以系統(tǒng)

54、管理員sysadmin登錄系統(tǒng)，鼠標(biāo)點(diǎn)擊左側(cè)導(dǎo)航欄中的“性能分析-延時(shí)分析”菜單，進(jìn)入延時(shí)分析界面，如下圖所示：5.5.1 如何指定時(shí)間范圍進(jìn)行延時(shí)分析系統(tǒng)默認(rèn)的時(shí)間范圍查詢條件為：本日，點(diǎn)擊下拉按鈕可打開并選擇其余時(shí)間查詢條件。如下圖所示：時(shí)間范圍的查詢條件有：最近5分鐘、最近10分鐘、最近30分鐘、最近1小時(shí)、最近3小時(shí)、最近12小時(shí)、最近24小時(shí)、最近7天、本日、本周、本月。用戶可以通過單擊按鈕更改日期和時(shí)間，如下圖所示：用戶可以單擊時(shí)間按鈕，在下拉菜單中選取時(shí)間，如上圖所示：也可以采用手動(dòng)輸入，如下圖所示：5.5.2 如何查看分析結(jié)果設(shè)置查詢條件后點(diǎn)擊“分析”按鈕，查詢結(jié)果即顯示在下方

55、列表在查詢結(jié)果的上方會(huì)顯示查詢結(jié)果（成功/失?。?、查詢結(jié)果的總記錄數(shù)和查詢用時(shí)；查詢結(jié)果會(huì)以天為單位分頁顯示點(diǎn)擊其中一天就可以查看當(dāng)天的記錄。當(dāng)前被查看的日期以灰色顯示。如果查詢條件所設(shè)置的日期范圍的跨度比較大，例如：2011.06.01到2011.06.28，則可通過 和進(jìn)行上翻和下翻，通過和 進(jìn)行翻到最前和最后。如果沒有符合查詢條件的數(shù)據(jù)，會(huì)在查詢結(jié)果中間顯示：“沒有找到符合條件的結(jié)果”。5.5.3 如何設(shè)置詳細(xì)分析條件在“延時(shí)分析”界面，點(diǎn)擊按鈕右側(cè)的下拉三角按鈕，即可在下方彈出詳細(xì)查詢條件設(shè)置菜單，如下圖所示：通過勾選和手動(dòng)填寫可以增加查詢條件注：當(dāng)鼠標(biāo)移動(dòng)到相應(yīng)查詢條件時(shí)，在“說明”對話框?qū)ο鄳?yīng)查詢條件進(jìn)行詳細(xì)說明。如果要重新選擇全部條件，可以點(diǎn)擊“重置條件”按鈕進(jìn)行全部條件的重新設(shè)置。5.6 統(tǒng)計(jì)分析 統(tǒng)計(jì)分析分為sql操作類型統(tǒng)計(jì)、事件類型統(tǒng)計(jì)和流量統(tǒng)計(jì)三種統(tǒng)計(jì)方式。5.6.1 sql操作類型統(tǒng)計(jì)sql操作