【2022争霸赛*干货满满】DAS数据库审计

第1章 镜像部署方案

适用于数据库服务器是独立的，可通过在交换机上面配置镜像口，把访问数据库的流量通过交换机的镜像口传输到我们设备上面来，拓扑如下：

按照如上的拓扑搭建配置好之后，然后登录需要在DAS设备上面进行相关配置：

1.1 在【系统管理】-【部署模式】-【网口IP】里面给管理口配置管理IP地址，方便通过内网管理登录设备

PS：不要把默认地址给去掉了，以防以后忘记了管理地址，还可以通过默认地址登录设备，后期版本会合入不允许修改默认地址的

1.2. 在【系统管理】-【部署模式】-【业务系统】里面把相应的数据库IP地址添加到业务系统里面去

这里提供4种数据库对应的编码类型，后面三种研发那边还没提供

Oracle(UTF-8)                         SQL server(UTF-16)

Mysql(UTF-8)                          DB2(UTF-8)

类型选择web时，编码类型选择自动识别即可

1.3 上述配置无误后，在【日志查询】-【数据库审计日志】里面可以查询到数据库相关的日志记录

第二章 Agent插件部署方案

适用于数据库系统和别的业务系统放在一个服务器里面，或者数据库系统放在超融合里面的时候，需要在相应的服务器里面安装插件，通过此插件获取数据，然后上传到我们设备的业务口，然后我们设备镜像解析数据，生成相应的日志记录

*注意：此安插适用于Windows和Linux的操作系统，但系统类型必须是64位操作系统，32位的目前不支持安装

按照如上的拓扑搭建配置好之后，然后登录需要在DAS设备上面进行相关配置：

步骤（1）、（2）与镜像部署方案一样，这里就不做过多介绍

2.1 在服务器里面安装Agent插件，以Windows系统为例

2.11 在【系统配置】-【部署模式】-【网口配置】里面配置业务口

2.12 下载好windows插件放在服务器桌面上，双机即可安装完成，程序安装在C:\Program Files\Sangfor\AC\EPS\下面

在C:\Program Files\Sangfor\AC\EPS\1.0.000000\config\下面找到das_agent.ini文件，编辑该文件，把DAS上面配置的业务口IP或者管理口IP地址填写上去（适用于2.0.2版本，非此版本先升级到该版本），可以先用命令netstat /anp tcp查看是否有数据库端口在监听如果没有，则表示没有终端连接，则是没有数据产生的

Netstat -ano |findstr “1521”

从图中可以看出；数据库IP是172.16.1.106，端口是1521，则dev字段和filter字段分别把这两个值填进去即可，其他数据库类似即可（filter是选填参数，可以不加这个字段）；

然后保存，并在C:\Program Files\Sangfor\AC\EPS\下面点击restart.bat文件，使其重启生效

最后在C:\Program Files\Sangfor\AC\EPS\1.0.000000\var\log\das_agent看最新的日志，看是否连接成功，如果显示succeesd则表示连接成功，可以传送日志了

注意：

*这里还需要看下moniter日志，monitor日志主要是记录agent插件是否正常工作，如果服务器内存占用率超过70%，Agent插件自动切换到bypass不工作状态，如下图所示

很多服务器内存占用率正常情况下，都很高，需要agent在正常工作，则需要在下图相应目录创建res_limit.ini文件，如下图所示：

Start_mem=%  按照实际值填写，要大于正常服务器内存占用率即可；

然后查看C:\Program Files\Sangfor\AC\EPS\1.0.000000\var\log\das_agent，查看最新的日志文件，看agent插件和DAS是否连接成功，如下图所示：

如果不成功，则需要检查网络端口连通性问题去了。

2.13、上述都操作完成之后，在【日志查询】-【数据库审计日志】里面可以查询到数据库相关的日志记录

2.2、在服务器里面安装Agent插件，以Linux系统为例

2.21 安装在Linux服务器，在 root 权限下解压安装包（解包tar -zxf [路径/文件名），并运行agent_install.bin脚本进行安装。

卸载：切换到安装路径bin目录下，执行eps_uninstall.sh脚本进行卸载。

2.22完成Agent安装后，切换到安装目录下/home/EPS2.0/20160925/eps_agent/config/,

找到das_agent.ini文件：

host=IP 此处的IP地址即为DAS设备的业务口IP或者管理口IP ，填写正确，保存配置。

保存配置后，重启bin目录下的eps_agent服务，完成配置。

*注意：使用DAS数据库审计Agent功能时，Agent使用TCP 4567端口与DAS设备的业务口或者管理口进行通讯，网络中需要放通TCP 4567端口。

Linux das_agent.ini的配置方法

PS：filter这个参数可以选填，即可以不加这个字段

在linux系统里面，当服务器内存使用率超过70%时，agent插件会自动bypass，如果客户需要调高bypass阈值，则在程序安装的相对路径*/config/下面，touch res_limit.ini，然后vim编辑此文件，里面添加如下内容即可

检查Linux服务器是否有数据库流量

1、在命令行通过ps -aux |grep “数据库进程” 命令确认数据库服务是否存在

②　可在命令行通过netstat -antp命令确认数据库服务是否处于监听状态

如下图：①表示服务处于监听状态，②则表示状态为超时连接，所以可通过抓包来确认是否存在流量

感谢楼主分享，文章详细介绍了DAS的使用与配置指导，期待更多优秀的分享

楼主分享的经验很实用，具有典型性，希望有更多这样的干货供我们学习参考，非常感谢！

逐句地看完这个帖子以后，我的心久久不能平静，震撼啊!为什么会有如此好的帖子!我纵横社区多年，自以为再也不会有任何帖子能打动我，没想到今天看到了如此精妙绝伦的这样一篇帖子。

感谢分享，学习学习。

感谢分享有助于学习！！！

感谢楼主分享，努力学习中！！！

感谢分享，有助于工作，学习了！！！

每日一学，坚持打卡。

每天学习，每天坚持，每天进步！