最佳答案
将数据库的流量镜像给数据库审计就可以了。
如果不在一个局域网之内 可以使用探针
对于云环境或者服务器内部报文交互等交换无法镜像流量的情况,采用旁路镜像方式就无法进行数据库服务器的审计,为了应对这种旁路镜像无法审计的情况,我们就可以采用在数据库服务器上安装流量探针的部署方式进行审计。
· Linux版64位安装包理论上支持Linux 2.6.32 及以上内核版本的Linux系统,例如Centos6 X64;Linux版32位安装包理论上支持Linux 2.6.24 及以上内核版本的Linux系统,例如Ubuntu 14.04X86。
· Windows版安装包兼容32位与64位系统,理论上Windows用户版支持Windows 7及以上操作系统,与Windows服务器版支持Windows Server 2008及以上操作系统。
· 服务器上安装流量探针会占用一定的内存和硬盘空间,请合理安排。
· 流量探针功能暂时只支持在IPv4环境下使用。
本举例是在H3C i-Ware Software, Version 3.10, ESS 6204P07版本上进行配置和验证的。
客户端(101.1.12.2):
用于访问数据库审计系统管理界面,进行数据库审计系统的相关配置。
数据库审计系统:
管理口IP(183.1.10.52):被访问的,实现数据库审计系统的管理。
业务口IP(22.1.1.61):用于与数据库服务器的通信IP进行通信,接收流量探针转发的流量。
数据库服务器:
服务器使用的网卡(183.1.0.18):数据库服务器的连接IP,所有连接数据库的流量要经过此网卡,流量探针转发此网卡的流量。
通信网卡(22.1.1.60):服务器上流量探针与数据库审计系统通信的网卡,被转发网卡的流量从此网卡发向数据库审计系统的业务口。
打开浏览器,访问数据库审计设备的登录页面,鼠标移至登录页面的右上角,在展开的下拉项中,选择“流量探针客户端”,即可下载流量探针安装包。
图43 下载流量探针客户端界面
解压后,分为Linux和Windows两个文件夹,其中Windows文件夹中的flowagent.exe为Windows流量探针安装包,Linux文件夹中的flowagent.tar.gz、flowagent_32.tar.gz为Linux流量探针安装包。
图44 流量探针客户端安装包
使用远程工具,如Xshell工具,设置连接参数,输入用户名、密码,连接用户数据库服务器。
图45 连接Linux服务器
连接上数据库服务器后,将下载好的流量探针flowagent.tar.gz (如果系统版本为32位,则使用flowagent_32.tar.gz)文件通过文件传输工具Xftp上传到用户许可的文件夹。例如,上传到根目录下的mnt/disk文件夹, 使用命令(cd /路径名,如“cd /mnt/disk”)进入该文件夹后,接着使用解压命令“tar -zxvf flowagent.tar.gz”,解压flowagent.tar.gz文件。
备注:可使用“getconf LONG_BIT ”命令查看Linux系统是64位还是32位。
图46 解压安装包
进入解压后的flowt文件夹,输入安装命令“sh setup.sh”,回车后完成安装。
图47 完成安装界面
输入测试命令“cd /mnt/flowt”,回车,继续输入命令“ ./flowagent -i eth0,eth1 -s eth2 -h 10.5.8.202”
注:
eth0、eth1、eth2、10.5.8.202根据实际环境填写。
eth0:数据库服务器上流量需被转发的网卡名。
eth1:数据库服务器上流量需被转发的网卡名。
eth2:数据库服务器上通信IP所在的网卡名。
10.5.8.202:数据库审计设备上接收转发流量的网卡IP。
运行测试命令后,确认流量探针是否正常运行,如果打印“LoginResult >>> OK”则运行成功,
使用组合键“Ctrl+C”退出,流量探针客户端会自动重新启动,并按照已通过的参数运行。
(1) 双击npcap-0.992.exe文件,根据提示安装npcap;
图48 Npcap安装界面
(2) 点击“I Agree”,进入下一步,勾选下图选项后,点击“Install”安装;
图49 Npcap安装选项界面
(3) 双击flowagent.exe文件,根据提示安装客户端。
图50 流量探针安装界面
(1) 填写数据库审计设备管理接收转发流量的网卡IP;
(2) 选择数据库服务器通信网卡/IP (数据库服务器上通信网卡IP,一般情况下为本机的IP);
(3) 勾选是否需开机启动;
(4) 勾选数据库服务器需要转发流量的网卡,使用鼠标双击备注区域,可对该网卡进行备注。网卡描述中带有“loopback”字样的网卡为本地回环网卡,部分操作系统安装好后会出现两个或者多个本地回环网卡,如需监听本地回环数据,必须将带有“loopback”字样的网卡都勾选转发。如下图中带有“loopback”字样的网卡1、2必须都勾选后,才可正常监听本地回环数据。如果只是监听本地网卡(不需要回环数据),只需勾选对应的网卡即可;
(5) 点击“保存”按钮,保存配置。
如下图所示:
图51 流量探针配置页面
使用“admin/admin”账户登录数据库审计系统,打开“系统管理à网络配置à面板模式”界面,鼠标选择业务口,在出现的悬浮窗上点击“设置/修改IP”按钮。
图52 面板模式下“设置/修改IP”按钮
填写业务口IP和掩码。
图53 填写业务口IP
注:业务口无法设置网关,配置的IP需与服务器的通信IP三层通信,需配置静态路由
面板模式和表格模式下任选一种方式修改业务口IP即可。
点击“配置生效”按钮,使得配置业务口IP生效。
图54 表格模式下的配置生效
使用“admin/admin”账户登录数据库审计系统,打开“系统管理à网络配置à表格模式”界面,选择业务口,右击鼠标后点击“设置/修改IP”按钮。
图55 表格模式下“设置/修改IP”按钮
填写业务口IP和掩码。
图56 填写业务口IP
注:业务口无法设置网关,配置的IP需与服务器的通信IP三层通信时,需配置静态路由。
面板模式和表格模式下任选一种方式修改业务口IP即可。
点击“配置生效”按钮,使得配置业务口IP生效。
图57 表格模式下的配置生效
图58 数据库审计系统上流量探针配置
具体配置方法与3.4.2节配置方法相同,请参考此小节,配置需要审计的数据库服务器IP。
客户端访问数据库服务器,使用“sec/sec”账户登录数据库审计系统,打开“审计中心à语句查询à实时查询”页面,能够查询到客户端访问数据库服务器的SQL语句记录。
图59 审计记录
(0)
感谢
感谢
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明