【2022争霸赛*干货满满】DAS数据库审计
  

李会斌 99422人觉得有帮助

{{ttag.title}}
1章 镜像部署方案
适用于数据库服务器是独立的,可通过在交换机上面配置镜像口,把访问数据库的流量通过交换机的镜像口传输到我们设备上面来,拓扑如下:

按照如上的拓扑搭建配置好之后,然后登录需要在DAS设备上面进行相关配置:

1.1 在【系统管理】-【部署模式】-【网口IP】里面给管理口配置管理IP地址,方便通过内网管理登录设备
PS:不要把默认地址给去掉了,以防以后忘记了管理地址,还可以通过默认地址登录设备,后期版本会合入不允许修改默认地址的

1.2. 在【系统管理】-【部署模式】-【业务系统】里面把相应的数据库IP地址添加到业务系统里面去
这里提供4种数据库对应的编码类型,后面三种研发那边还没提供
Oracle(UTF-8)                         SQL server(UTF-16)
Mysql(UTF-8)                          DB2(UTF-8)
类型选择web时,编码类型选择自动识别即可
1.3 上述配置无误后,在【日志查询】-【数据库审计日志】里面可以查询到数据库相关的日志记录
第二章 Agent插件部署方案
适用于数据库系统和别的业务系统放在一个服务器里面,或者数据库系统放在超融合里面的时候,需要在相应的服务器里面安装插件,通过此插件获取数据,然后上传到我们设备的业务口,然后我们设备镜像解析数据,生成相应的日志记录
*注意:此安插适用于WindowsLinux的操作系统,但系统类型必须是64位操作系统,32位的目前不支持安装
按照如上的拓扑搭建配置好之后,然后登录需要在DAS设备上面进行相关配置:
步骤(1)、(2)与镜像部署方案一样,这里就不做过多介绍

2.1 在服务器里面安装Agent插件,以Windows系统为例
2.11 在【系统配置】-【部署模式】-【网口配置】里面配置业务口
2.12 下载好windows插件放在服务器桌面上,双机即可安装完成,程序安装在C:\Program Files\Sangfor\AC\EPS\下面
C:\Program Files\Sangfor\AC\EPS\1.0.000000\config\下面找到das_agent.ini文件,编辑该文件,把DAS上面配置的业务口IP或者管理口IP地址填写上去(适用于2.0.2版本,非此版本先升级到该版本),可以先用命令netstat /anp tcp查看是否有数据库端口在监听如果没有,则表示没有终端连接,则是没有数据产生的
Netstat -ano |findstr 1521
从图中可以看出;数据库IP172.16.1.106,端口是1521,则dev字段和filter字段分别把这两个值填进去即可,其他数据库类似即可(filter是选填参数,可以不加这个字段);
然后保存,并在C:\Program Files\Sangfor\AC\EPS\下面点击restart.bat文件,使其重启生效
最后在C:\Program Files\Sangfor\AC\EPS\1.0.000000\var\log\das_agent看最新的日志,看是否连接成功,如果显示succeesd则表示连接成功,可以传送日志了
注意:
*这里还需要看下moniter日志,monitor日志主要是记录agent插件是否正常工作,如果服务器内存占用率超过70%Agent插件自动切换到bypass不工作状态,如下图所示
很多服务器内存占用率正常情况下,都很高,需要agent在正常工作,则需要在下图相应目录创建res_limit.ini文件,如下图所示:
Start_mem=%  按照实际值填写,要大于正常服务器内存占用率即可;

然后查看C:\Program Files\Sangfor\AC\EPS\1.0.000000\var\log\das_agent,查看最新的日志文件,看agent插件和DAS是否连接成功,如下图所示:
如果不成功,则需要检查网络端口连通性问题去了。

2.13、上述都操作完成之后,在【日志查询】-【数据库审计日志】里面可以查询到数据库相关的日志记录
2.2、在服务器里面安装Agent插件,以Linux系统为例
2.21 安装在Linux服务器,在 root 权限下解压安装包(解包tar -zxf [路径/文件名),并运行agent_install.bin脚本进行安装。
卸载:切换到安装路径bin目录下,执行eps_uninstall.sh脚本进行卸载。
2.22完成Agent安装后,切换到安装目录下/home/EPS2.0/20160925/eps_agent/config/,
找到das_agent.ini文件:
host=IP 此处的IP地址即为DAS设备的业务口IP或者管理口IP ,填写正确,保存配置。
保存配置后,重启bin目录下的eps_agent服务,完成配置。
*注意:使用DAS数据库审计Agent功能时,Agent使用TCP 4567端口与DAS设备的业务口或者管理口进行通讯,网络中需要放通TCP 4567端口。
Linux das_agent.ini的配置方法
PSfilter这个参数可以选填,即可以不加这个字段

linux系统里面,当服务器内存使用率超过70%时,agent插件会自动bypass,如果客户需要调高bypass阈值,则在程序安装的相对路径*/config/下面,touch res_limit.ini,然后vim编辑此文件,里面添加如下内容即可
检查Linux服务器是否有数据库流量
1、在命令行通过ps -aux |grep “数据库进程” 命令确认数据库服务是否存在
② 可在命令行通过netstat -antp命令确认数据库服务是否处于监听状态
如下图:①表示服务处于监听状态,②则表示状态为超时连接,所以可通过抓包来确认是否存在流量

打赏鼓励作者,期待更多好文!

打赏
20人已打赏

339015 发表于 2022-10-12 16:09
  
感谢楼主分享,文章无相关配图,期待楼主带来更多案例分享
奔走的公牛 发表于 2022-10-14 09:08
  
感谢分享有助于学习!!!
她丶ta 发表于 2022-10-15 21:27
  
感谢分享,有助于学习!!!
暗夜星空 发表于 2022-10-16 08:50
  
坚持每日学习打卡
白鹭先生 发表于 2022-10-16 10:37
  
学习了,感谢分享。。。。。。。。。。
新手780102 发表于 2022-10-16 14:55
  
感谢分享有助于学习!!!
新手031815 发表于 2022-10-16 15:07
  

感谢分享,有助于学习!!!
新手612152 发表于 2022-10-16 15:22
  
感谢分享有助于学习!!!
新手517842 发表于 2022-10-16 15:55
  
感谢分享有助于学习!!!
发表新帖
热门标签
全部标签>
安全效果
西北区每日一问
技术盲盒
技术笔记
干货满满
【 社区to talk】
每日一问
信服课堂视频
GIF动图学习
新版本体验
技术咨询
2023技术争霸赛专题
功能体验
产品连连看
自助服务平台操作指引
标准化排查
秒懂零信任
技术晨报
安装部署配置
原创分享
排障笔记本
玩转零信任
排障那些事
SDP百科
技术争霸赛
深信服技术支持平台
通用技术
以战代练
升级&主动服务
社区新周刊
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
高频问题集锦
POC测试案例
全能先锋系列
云化安全能力

本版达人