本地部署VDAS审计云端应用服务器

一、客户环境以及需求

客户拓普的网络架构较为简洁，采用三方防火墙作为总出口，下联核心交换机。核心交换机再连接至各个汇聚交换机，超融合设备则直接连接到汇聚交换机。在超融合设备上，通过虚拟化技术部署了数据库审计系统（VDAS）。客户拥有两个应用系统，均部署在天翼云上，分别使用MySQL和Oracle数据库。客户希望在内网部署数据库审计系统，以便对天翼云上的应用系统进行风险审计，从而实现风险排查和事后溯源的效果。

二、配置步骤

1.超融合部署VDAS详见手册

2.由于客户应用服务器在天翼云，只能通过安装插件的形式获取日志

首先需要确认业务系统CPU架构，确认方法：

使用命令uname –a，输出内容中有关键词 aarch64 就是 ARM 架构，有关键词 x86_64 就是 X86 架构；使用对应的插件安装包

1）上传secsmartlinuxplugin.tar.gz到/home目录，输入命令tar -zxvf secsmartlinuxplugin.tar.gz解压

执行cd /home/ auditplugin_linux_x64，切换到/home/ auditplugin_linux_x64目录下。

2）编辑configFile.json

输入vi configFile.json回车，后输入i进入编辑模式,修改配置文件

configFile.json，修改配置以下一个字段就可以了：

注意：mgtIP字段是审计服务器的地址，需要填写数据审计的内网IP地址，不要写映射后的公网地址；

按“esc”，输入“:wq”保存并退出

3）配置好后，当前路径下直接运行./install.sh，如图

4）最后，确认审计插件状态是否正常，如图：

相关操作命令如下：

centos7, redhat7之后的系统请使用：

启动服务：systemctl start sniffer

停止服务：systemctl stop sniffer（安装时不用执行）

重启服务：systemctl restart sniffer（安装时不用执行）

查看服务：systemctl status sniffer

3. 由于现场环境，是涉及映射端口需要在审计系统里面，使用secadmin账号登录进去（默认密码Admin@123），配置host白名单。

4. 查看确认插件状态

5. 协调客户放通天翼防火墙到数据库审计的8441、13579、3316端口，不放通的话会导致资产添加失败并且没有数据

6. 添加资产，资产绑定对应插件

7. 确认是否有审计到应用服务器流量

8.数据库审计系统已内置相关风险行为检测规则，启用后即刻生效，系统会将此类行为识别为高风险操作，并记录相应的告警信息。后续一旦触发该告警规则，用户可查看具体是哪个客户端执行了何种操作，以便于进行溯源分析。

三、总结：项目整体配置比较规范，项目场景独具特色，特此分享，以供大家参考借鉴，不足之处请各位大佬多多支持，多多指导。