参考下这个手册;

H3C SecPath D2000-G2[E][AK66XX][CN][Cloud-G]系列数据库审计系统 插件安装指导-5W106 

插件模式无流量故障处理

6.1  正常现象

插件模式部署完成后，添加对应数据库资产并对数据库进行访问后，有审计日志出现。

图6-1 插件模式有审计日志

6.2  故障描述

插件模式部署完成后，添加对应数据库资产并对数据库进行访问后，无审计日志出现。

图6-2 插件模式无审计日志

6.3  故障处理

(1)     确认环境部署是否正确

具体操作：查看并确认组网环境部署。

(2)     访问数据库与审计系统之间是否可达

具体操作：数据库端ping审计系统地址，查看是否可以ping通，若ping不通，则需要检查数据库和审计之间网络设置。

图6-3 数据库ping审计系统

(3)     插件是否正常安装（手动安装插件）

具体操作：

①linux插件：

解压后，查看auditplugin_linux_x64下config.json文件是否按照readme.txt文件进行正确配置；插件配置如下图所示：

图6-4 插件配置

若配置错误，按照readme.txt重新配置即可，并对插件进行卸载后重装。然后检查sniffer服务是否正常。

插件安装完成后，利用systemctl status sniffer命令查看插件是否正常启动。插件正常安装启动情况如下图所示：

图6-5 插件正常安装

若服务未正常启动，则执行命令systemctl start sniffer，执行完成后查看sniffer服务是否正常。

②windows插件：

查看config.json文件是否按照readme.txt文件进行正确配置；插件配置如下图所示：

图6-6 Windows插件配置

若配置出错，按照readme.txt文件重新编辑config.json文件，并在管理员账户下对插件进行卸载后重装。

插件安装完成后，利用任务管理器查看Sniffer服务进程是否正常。插件正常安装启动情况如下图所示：

图6-7 插件正常启动

(4)     插件是否正常安装（插件推送）

具体操作：

①查看需要推送的服务器是否为linux服务器，目前推送仅支持向linux推送。

②查看插件推送所填写服务器地址、端口、验证方式、系统账号、系统密码、系统类型、通讯网卡是否正确。

插件推送参数说明：

服务器地址：数据库服务器IP地址；

端口：数据库服务器ssh开放端口，一般默认是22；

验证方式：口令，使用用户名密码登录数据库服务器后台安装插件；

                 证书，使用ssl证书登录数据库服务器后台安装插件；

系统账户：数据库服务器后台使用的账户，请确保该账户拥有root账户权限；

系统密码：数据库服务器后台使用的密码；

证书密码：生成证书时使用的密码；

系统类型：下拉选择Linux-X64；

通讯网卡：审计系统同插件通讯使用的网卡；

默认安装：勾选“默认安装”后，把插件安装包推送到插件服务器后会自动进行安装；如果不勾选默认安装，只是推送插件安装包不进行安装。

③确认是否选择了默认安装插件，如未选择，则需点击安装按钮进行安装。

④插件安装完成后，进入对应linux服务器上，利用systemctl status sniffer命令查看插件是否正常启动。插件正常安装启动情况如下图所示：

图6-8 Linux插件正常启动

若服务未正常启动，则执行命令systemctl start sniffer，执行完成后再次查看sniffer服务。

(5)     插件与资产是否进行绑定

具体操作：登录审计系统，进入【系统/插件设置/插件管理】页面，选择目标插件，点击插件设置查看插件是否绑定资产，若未绑定资产，则需在插件配置页面关联资产，选择对应监听网卡将插件和对应资产进行绑定，成功绑定资产如下图所示：

图6-9    插件与资产正确绑定

(6)     插件与资产进行绑定后，查看secaudit进程是否正常

具体操作：插件与资产进行绑定后，ssh登录审计后台，利用ps -ef|grep secaudit 命令查看进程是否正常。

（仅使用插件模式进程数：1个主进程+解析进程（核数/3+1）+1个插件服务端进程）如下图：4核机器，插件模式进程数为4个。

图6-10    插件模式进程数

(7)     检查资产受保护状态是否正常开启

具体操作：登录审计系统，进入【资产/资产列表】页面，查看已绑定插件数据库资产受保护状态是否开启，若未开启，则需开启受保护状态。

图6-11    资产开启受保护状态

(8)     检查流量是否正常发送

具体操作：

登录审计系统，进入【系统/平台运维/抓包下载】页面：

勾选协议，选择协议：如：TCP；

选择正确的管理口：如：管理口为GE0/0，则选择网口为：GE0/0；

勾选服务端端口，填写插件抓包端口：如：13579；

勾选IP地址，选择SRC-IP，输入源IP地址：如：172.16.37.79；

勾选抓包方式，选择按时长抓包：如：5秒。

填写完成后，点击执行按钮。等待5秒后，下载抓包文件，查看抓包文件中是否有ip为192.16.37.79，端口为13579的访问流量。

图6-12    抓包设置 

图6-13    插件流量

(9)     检查插件所在设备资源情况，是否超出阈值

具体操作：登录审计系统，进入【系统/插件设置/插件管理】页面，选择目标插件，点击设置阈值查看当前阈值情况。点击插件名称查看插件状态，进入【    系统/插件设置/插件详情】页面，查看主机信息中资源使用率是否超过阈值。超过阈值情况插件停止抓包，可调整阈值进行恢复。

图6-14 主机信息

若插件流量未正常发送，请检查数据库是否在访问。