数据库获得流量的两种方式:
方式一:直接将流量镜像给数据口的口,此时不需要在网卡上配置IP,但是需要勾选监听;
方式二:通过探针的方式,探针镜像数据库上网卡的流量然后通过三层发给数据库审计系统;
不管哪一种方式,都需要配置【监听配置】来审计流量,简单来理解四种方式:
(1)业务系统:正常的审计流量,需要配置服务器的IP和端口
(2)中间件服务器:一般用在HTTP类型的流量
(3)应用审计:针对telnet、FTP之类的
(3)指定IP审计:对收到的流量过滤;虽然接受的是全集流量,但是审计之选其中指定的IP统计
无
无日志的时候怎么排查:
此问题一般是因为配置问题导致不能正常审计到数据。请按照如下操作检查处理:
(1) 确认镜像流量是否正确(是否包含目标审计对象的双向流量);
(2) “策略中心”-“网络配置”页面中的监听网卡是否正常设置并接入镜像数据;
方式一:镜像的口要连接,勾选监听,开启网卡
方式二:要配置地址,到流量探针的3层路由可达;
(3) “策略中心”- “监听配置”页面中的各项配置是否按照实际情况正确配置;
一定要填写争取的IP和端口
(4) “策略中心”- “监听配置”-“指定IP审计”页面中的配置是否正确;
//这里尽量勾选上vlan,万一来的流量带有vlan
(5) “运行状态”或者“系统服务”页面中的监听服务是否启动;
(6) “策略中心”-“事件定义”页面中的规则中的规则动作是否设置为丢弃;
(7) “审计中心”-“SQL模板”页面中的SQL模板是否大量或者全部设置为“丢弃此类语句”。
(8) 将流量发到电脑上,然后抓包看,真实的流量的IP和端口,看配置的和目标是否一致;
排查过程如上
排查过程如上
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作