客户端注意事项: 1.当前Agent审计方案只支持数据库审计功能,不支持3层信息关联。 2.Agent不支持升级,新版本维护可以手动保留配置文件方式卸载重装。 3.Agent 启动过程中,如果系统内存占用>70%,则设置为 bypass 状态;随后 5 秒检测一次,直到内存降到 70%以下,才关闭 bypass;在 bypass 状态下 Agent 不在工作。 4.Agent 工作过程中,如果系统内存占用超过 90%,则设置为 bypass 状态,Agent 自动重启。 5.在 Agent 功能开启前,已经建立的数据库连接,无法实现审计功能,新的连接可以。 6.DAS 数据库审计插件不支持 web 服务与 mysql 之间使用 socket 通信的场景。只支持 web服务器与数据库之间是有 TCP 连接的场景。 7.DAS 数据审计 Agent 审计方案在 web 服务器与数据库一体机环境中不支持审计 web 数据 和三层关联功能。 8.只支持 eth1 口作为业务口。
镜像审计与客户端审计两种方式若已使用其中一种,则无需再用另一种方式
一、客户端下载方式 (1) 在【系统管理】-【部署模式】-【运行模式】页面找到“数据库 agent 客户端” (2) 根据服务器的平台下载相应的客户端
(3)在【系统】-【部署模式】-【业务系统】中,选择【添加】,填写需要审计的数据库服务器信息
二、Windows客户端安装方式 1. 将审计客户的安装包上传至数据库服务器(上传方式有多种:远程桌面,U盘分享可任一选择) 2. 解压 EPS2.0_Build20161019.zip,双击 eps_agent.exe 安装,安装目录默认放在 C:\Program Files\Sangfor\AC\EPS 下 3. 在 C:\Program Files\Sangfor\AC\EPS\1.0.000000\config\ 目录下找到das_agent.ini 文件。使用记事本方式打开。 4. 需要配置【server】和【capture】字段指定抓包接口和过滤参数。 【host】填写数据库审计IP地址 【dev】在Windows系统中需要填写数据库通信数据的IP地址 (注意:查找这个IP地址可以打开服务器的命令行,输入netstat -ano |findstr 1433查看通信IP,1443为数据库服务端口,测试时按实际服务器端口填写) 【filter】填写该服务器使用的实际服务端口 编辑完成后保存并推出 注:windows 系统下 dev 字段填写抓包网卡的 IP 地址。
5. 保存配置后,双机 bin 目录下 restart.bat 脚本,完成重启,提交配置。
三、Linux客户端安装方式在安装Linux客户端时建议使用
,使用这个远程工具时,上传客户端文件会较为方便
打开MobaXtrem,选择Session
填写linux服务器的IP地址,选择用户名【root】,选择【ok】连接服务器 输入密码服务器密码
在左上角白色对话框中输入:/home,切换至home文件夹下,创建一个文件夹(名称自定义,例如:sangfor)
双击点击sangfor文件夹打开,将桌面数据库审计客户端安装包拖入文件夹(使用MobaXtrem上传文件只需要使用鼠标将对应文件拖动至目录下即可完成上传)
然后使用命令:【cd /home/sangfor】 切换至该目录下, 使用【ls】查看目录下文件, 【tar -xvf EPS2.0_Build20161102.tgz】解压EPS2.0_Build20161102.tgz文件夹 【chmod 777 agent_installer.bin】将agent_installer.bin赋予权限可以安装 【./agent_installer.bin /home/sangfor/】启用审计客户端安装程序,安装过程需要等待 当显示【success】是则提示安装完成 【cd config/】切换至config文件夹下 【ls】查看文件夹下所有文件 【vi das_agent.ini】编辑das_agent.ini文件内信息
进入文件信息编辑界面后: 点击【i】进入编辑权限 【host = x.x.x.x】填写实际数据库审计设备地址 【dev = 】填写实际linux物理地址名称,客户输入ifconfig命令查看网口名称 【filter = tcp and port 端口】按实际情况填写数据库服务端口 最后确定信息无误后,点击【“ESC” + “:”】输入wq后回车,保存并退出编辑
【cd ..】返回上次浏览的目录 【ifconfig】查看网口信息,通信网口的名称是【eth0】 【cat config/das_agent.ini】查看das_agent.ini文件配置信息,对比查看到的实际网口信息 【dev = 】接口写错了,可返回重新编辑das_agent.in文件信息
【cd bin/】切换到bin目录下 【./eps_services restart】重启./eps_services服务 【cd ..】再次返回sangfor目录下 【cat var/log/das_agent/20230217-1】查看当前是否有数据审计记录。(建议稍等一段时间再查看) 若有记录,客户登录数据库审计平台,选择数据库审计查看审计的信息
总统注意事项:1.数据库审计的eth0口只能做管理,不能接受客户端审计的数据,所以在部署数据库审计时网口建议除eth0口以外的其他网口使用。 2.dev这行是windows下写网卡ip,具体写127.0.0.1还是实际的网口的ip,可以netstat -ano |findstr 1433 为数据库端口,查看连接的哪个ip,接写哪个 linux下的dev这个写流量所过网卡的网卡名称,可以netstat -ano |grep 1433 为数据库端口,查看连接的哪个ip 在ifconfig查看该ip为所在网口的名称,填写该名称就好 注意:回环口127.0.0.1表示走的是系统的回环口,没有过本机的实际物理网口" ------ 如果没审计到可以看下实时的连接有没有 有的话对比下配置是不是正确 |