數據庫審計係統D2020，agent方式審計如何配置

//www.yolosolive.com/cn/d_201803/1067454_30005_0.htm，agent介紹的很少，跟400再詳細確認下

客戶端（101.1.12.2）：

用於訪問數據庫審計係統管理界麵，進行數據庫審計係統的相關配置。

數據庫審計係統：

管理口IP（183.1.10.52）：被訪問的，實現數據庫審計係統的管理。

業務口IP（22.1.1.61）：用於與數據庫服務器的通信IP進行通信，接收流量探針轉發的流量。

數據庫服務器：

服務器使用的網卡（183.1.0.18）：數據庫服務器的連接IP，所有連接數據庫的流量要經過此網卡，流量探針轉發此網卡的流量。

通信網卡（22.1.1.60）：服務器上流量探針與數據庫審計係統通信的網卡，被轉發網卡的流量從此網卡發向數據庫審計係統的業務口。

8.5  配置步驟

8.5.1  流量探針的配置

1. 下載流量探針安裝包

打開瀏覽器，訪問數據庫審計設備的登錄頁麵，鼠標移至登錄頁麵的右上角，在展開的下拉項中，選擇“流量探針客戶端”，即可下載流量探針安裝包。

圖8-1 下載流量探針客戶端界麵

解壓後，分為Linux和Windows兩個文件夾，其中Windows文件夾中的flowagent.exe為Windows流量探針安裝包，Linux文件夾中的flowagent.tar.gz、flowagent_32.tar.gz為Linux流量探針安裝包。

圖8-2 流量探針客戶端安裝包

2. Linux係統客戶端安裝

使用遠程工具，如Xshell工具，設置連接參數，輸入用戶名、密碼，連接用戶數據庫服務器。

圖8-3 連接Linux服務器

連接上數據庫服務器後，將下載好的流量探針flowagent.tar.gz （如果係統版本為32位，則使用flowagent_32.tar.gz）文件通過文件傳輸工具Xftp上傳到用戶許可的文件夾。例如，上傳到根目錄下的mnt/disk文件夾， 使用命令（cd /路徑名，如“cd /mnt/disk”）進入該文件夾後，接著使用解壓命令“tar -zxvf flowagent.tar.gz”，解壓flowagent.tar.gz文件。

備注：可使用“getconf LONG_BIT ”命令查看Linux係統是64位還是32位。

圖8-4 解壓安裝包

進入解壓後的flowt文件夾，輸入安裝命令“sh setup.sh”，回車後完成安裝。

圖8-5 完成安裝界麵

3. Linux係統的配置

輸入測試命令“cd /mnt/flowt”，回車，繼續輸入命令“ ./flowagent -i eth0,eth1 -s eth2 -h 10.5.8.202”

注：

eth0、eth1、eth2、10.5.8.202根據實際環境填寫。

eth0：數據庫服務器上流量需被轉發的網卡名。

eth1：數據庫服務器上流量需被轉發的網卡名。

eth2：數據庫服務器上通信IP所在的網卡名。

10.5.8.202：數據庫審計設備上接收轉發流量的網卡IP。

運行測試命令後，確認流量探針是否正常運行，如果打印“LoginResult >>> OK”則運行成功，

使用組合鍵“Ctrl+C”退出，流量探針客戶端會自動重新啟動，並按照已通過的參數運行。

4. Windows係統客戶端安裝

(1)     雙擊npcap-0.992.exe文件，根據提示安裝npcap；

圖8-6 Npcap安裝界麵

(2)     點擊“I Agree”，進入下一步，勾選下圖選項後，點擊“Install”安裝；

圖8-7  Npcap安裝選項界麵

(3)     雙擊flowagent.exe文件，根據提示安裝客戶端。

圖8-8 流量探針安裝界麵

5. Windows係統的配置

(1)     填寫數據庫審計設備管理接收轉發流量的網卡IP；

(2)     選擇數據庫服務器通信網卡/IP (數據庫服務器上通信網卡IP，一般情況下為本機的IP)；

(3)     勾選是否需開機啟動；

(4)     勾選數據庫服務器需要轉發流量的網卡，使用鼠標雙擊備注區域，可對該網卡進行備注。網卡描述中帶有“loopback”字樣的網卡為本地回環網卡，部分操作係統安裝好後會出現兩個或者多個本地回環網卡，如需監聽本地回環數據，必須將帶有“loopback”字樣的網卡都勾選轉發。如下圖中帶有“loopback”字樣的網卡1、2必須都勾選後，才可正常監聽本地回環數據。如果隻是監聽本地網卡（不需要回環數據），隻需勾選對應的網卡即可；

(5)     點擊“保存”按鈕，保存配置。

如下圖所示：

圖8-9 流量探針配置頁麵

8.5.2  數據庫審計配置

1. 麵板模式下設置業務口

使用“admin/admin”賬戶登錄數據庫審計係統，打開“係統管理à網絡配置à麵板模式”界麵，鼠標選擇業務口，在出現的懸浮窗上點擊“設置/修改IP”按鈕。

圖8-10 麵板模式下“設置/修改IP”按鈕

填寫業務口IP和掩碼。

圖8-11 填寫業務口IP

注：業務口無法設置網關，配置的IP需與服務器的通信IP三層通信，需配置靜態路由

麵板模式和表格模式下任選一種方式修改業務口IP即可。

點擊“配置生效”按鈕，使得配置業務口IP生效。

圖8-12 表格模式下的配置生效

2. 表格模式下配置業務口IP

使用“admin/admin”賬戶登錄數據庫審計係統，打開“係統管理à網絡配置à表格模式”界麵，選擇業務口，右擊鼠標後點擊“設置/修改IP”按鈕。

圖8-13 表格模式下“設置/修改IP”按鈕

填寫業務口IP和掩碼。

圖8-14 填寫業務口IP

注：業務口無法設置網關，配置的IP需與服務器的通信IP三層通信時，需配置靜態路由。

麵板模式和表格模式下任選一種方式修改業務口IP即可。

點擊“配置生效”按鈕，使得配置業務口IP生效。

圖8-15 表格模式下的配置生效

3. 配置流量探針的通信IP

圖8-16 數據庫審計係統上流量探針配置

4. 配置監聽業務係統配置

具體配置方法與3.4.2節配置方法相同，請參考此小節，配置需要審計的數據庫服務器IP。

8.6  驗證配置

客戶端訪問數據庫服務器，使用“sec/sec”賬戶登錄數據庫審計係統，打開“審計中心à語句查詢à實時查詢”頁麵，能夠查詢到客戶端訪問數據庫服務器的SQL語句記錄。

圖8-17 審計記錄