系统管理是指超级管理员或系统管理员对系统运行参数的设置、对系统资源的维护等,使系统更好地适配实际业务场景。系统管理包括用户管理、Agent管理、系统配置、系统维护、辅助功能、系统告警和操作日志。
用户管理
用户管理主要是指对用户权限及用户认证等进行管理。包括用户管理、远程认证配置、角色管理、用户安全配置、动态令牌管理以及授权数据库。
角色管理
角色可以看作是具有相同权限的用户的集合。系统将权限分配给角色,然后为用户指定角色。配置用户时通过设定用户所属角色,限制用户的操作权限范围。
用户的操作权限包括菜单显示和功能权限。只有赋予操作权限,用户才能进行相应的操作。
创建角色的操作方法如下:
- 在菜单栏选择“系统管理用户管理”,选择角色管理页签,进入角色管理页面。
- 点击【添加】进入新增角色页面,编辑名称(必须为中文字符、字母、数字、下划线“_”、点“.”或短横“-”,长度不超过64字符),选择权限,点击【保存】。
用户管理
添加角色后即可增加该角色的用户。
系统内置了以下四个默认用户:
- admin:超级管理员,具备系统所有权限。系统只有一个超级管理员。
- security:具备安全管理员权限,可配置数据库与规则、查看各类告警报告、管理安全员。
- system:具备系统管理员权限,进行系统权限的配置和维护。
- audit:具备审计管理员权限,查看其他用户的操作日志、管理审计员。
添加用户的操作方法如下:
- 在菜单栏选择“系统管理用户管理”进入用户管理页面,点击【添加用户】。
- 进入添加用户页面,编辑相关信息,点击【保存】。
详细配置项和说明请参见下表。
配置项 | 说明 |
|---|---|
用户名 | 必须为中文字符、字母、数字、下划线“_”、点“.”或短横“-”,最大长度64字符。 |
启用 | 点击启用后的开关,设置添加用户后是否立即启用用户。 |
角色 | 指定用户角色,包括内置角色和用户自定义角色,必填。 |
密码/确认密码 | 创建并确认新建用户的登录密码。密码长度6~64位,当启用强密码功能后需符合密码强度要求。修改密码时新旧密码不能相同。 |
手机号 | 设置用户的手机号。 |
邮箱 | 设置用户的邮件地址。 |
认证方式 | 用户登录系统时的认证方式,可选择“密码”或者“密码+动态令牌登录”。 |
登录IP/MAC限制 | 对用户登录系统时使用的IP/MAC进行限制。包括不限制、黑名单和白名单三种模式。 |
登录时间限制 | 限制用户登录系统的时间。 |
授权数据库
授权数据库是为用户授权指定的数据库,即允许用户审计对指定数据库的操作。
添加授权的操作方法如下:
- 在菜单栏选择“系统管理用户管理”进入用户管理页面,选择授权数据库页签,点击【添加授权】。
- 进入新增授权规则页面,编辑名称,选择状态、用户、资产,点击【保存】。
远程认证
系统支持LDAP远程认证,通过对接LDAP服务器对LDAP用户进行认证,实现更安全可靠的用户管理。
LDAP是轻量目录访问协议(Lightweight Directory Access Protocol)的缩写,是互联网上目录服务的通用访问协议。LDAP服务可以有效解决众多网络服务的用户账户问题,LDAP服务器是用于查询和更新LDAP目录的服务器,包括用户账号目录。
配置LDAP认证的操作方法如下:
- 在菜单栏选择“系统管理用户管理”进入用户管理页面,选择远程认证页签进入LDAP认证配置页面。
- 点击【修改LDAP配置】,在弹出的修改LDAP认证配置对话框中编辑相关信息,点击【确定】。
详细配置项和说明请参见下表。
配置项 | 说明 |
|---|---|
状态 | 点击状态开关至“启用”,允许DBAudit连接第三方LDAP服务器进行用户认证。 |
服务器地址 | 设置LDAP服务器地址,可为IP或者域名。 |
端口 | 设置LDAP服务器的端口,默认389。 |
SSL | 是否启用SSL协议,启用SSL协议可增强认证的安全性。 |
Base DN | 指定LDAP服务器的base DN(Distinguished Name,区分名),即导入用户时,只能添加在Base DN下面的账号。 |
绑定DN | 绑定LDAP服务器的Base DN下的一个账户,与LDAP服务端设置保持一致。 |
密码 | 输入绑定DN的密码。 |
过滤串 | 从LDAP服务器导入用户时,只添加符合过滤串的账号,如:(&(objectClass=user))。 |
用户属性名 | 填写远程服务器上表示用户的属性名。 |
邮箱属性名 | 填写远程服务器上表示邮箱的属性名。 |
手机号属性名 | 填写远程服务器上表示手机号的属性名。 |
- 修改LDAP配置完成后点击【测试连接】,确认系统与LDAP服务器连接成功。点击【添加LDAP用户】,点击【**点此重新获取】】**自动获取用户,选择LDAP用户,设置用户角色,点击【确定】。
说明
修改LDAP配置完成后,系统会提示“是否立即从LDAP服务器获取用户”,建议选择【是】。
- 切换到系统登录页面,使用LDAP方式登录系统。
用户安全配置
用户安全配置是为了保证用户账户的使用安全(防止用户账户被暴力破解,或者当用户离开配置PC时防止被他人修改系统配置等)。
在菜单栏选择“系统管理用户管理”进入用户管理页面,选择用户安全配置页签进入用户安全配置页面,编辑相关信息,点击【保存】。
详细配置项和说明请参见下表。
配置项 | 说明 |
|---|---|
用户安全设置 | |
登录超时 | 取值范围:1~43200,默认值为5。当用户超过设置时长未操作时,再次操作需要重新登录系统。 |
验证码 | 设置用户登录系统时是否需要输入验证码。 |
用户锁定 | |
密码尝试次数 | 取值范围:0~999,默认值为5,0表示不锁定账户。当用户输入密码错误次数达到设定值时,系统将锁定此账户。 |
锁定时长 | 取值范围:1~10080,默认值为30。 |
重置计数器 | 取值范围:1~10080,默认值为5。密码尝试失败(未达到密码尝试次数设置值时),若在设置时间长度内不再尝试输入密码,则系统将密码尝试次数重新设为0。 |
密码策略 | |
启用强密码 | 启用强密码后,设置用户密码时必须要满足较高的复杂度(8~64个字符长度,必须包含大写字母、小写字母、数字和特殊字符)。 |
密码使用期限 | 当用户密码使用时间达到设置值时,系统会强制用户修改密码。取值范围:0~999,0表示密码不会过期。 |
Agent管理
审计代理插件(Agent)是安装在数据库系统或者业务系统上的插件,其功能是捕获访问数据库系统的数据包,并将数据包发送至DBAudit。当数据库系统部署在公有云、私有云或者实际场景下无法进行端口镜像时,可以通过流量代理的方式抓取数据库流量。
Agent工作原理
- Agent在数据库服务器的接口上抓取属于资产下发的IP+Port 的数据库操作的流量。
- Agent 包含两个进程:dbagent.exe 和 dbMonitor.exe。DBAgent与DBAudit的13002端口建立连接负责流量转发,DBMonitor与DBAudit的13001端口建立连接负责控制部分,包含接收DBAudit下发的资产和其他配置。
Agent支持的宿主机的类型如下表所示。
操作系统 | 系统位数 | 支持版本 |
|---|---|---|
Ubuntu | X64 | 14.04、16.04、18.04 |
Debian | X64 | 7.6、8.7、9.5、10.11、11.2 |
CentOS | X64 | 5.11、6.0、7.4、7.6、8 |
RedHat | X64 | 6.5、7.0、7.5 |
SUSE | X64 | 11SP4、12SP4 |
Solaris X86 | X86 | 5.10、5.11 |
Solaris Sparc | X64 | 5.10 |
AIX | 5.3、6.1、7.1 | |
Windows | X64 | 7、10 |
Windows | X86 | 7 |
Windows Server | X64 | 2003、2008、2012、2016、2022 |
euleros(欧拉) | x64 | EulerOS2.0 SP9 |
银河麒麟 | aarch64 | V10服务版 |
兆芯cpu+银河麒麟系统 | X64 | V10服务器版 |
兆芯cpu+中标麒麟系统 | X64 | 7 |
兆芯cpu+统信UOS | X86 | V20 |
海光cpu+统信UOS | X64 | V20 |
鲲鹏cpu+统信UOS | aarch64 | V20 |
Agent管理用于对审计代理Agent的管理维护。用户可通过SSH远程安装、下载后手动安装,以及对安装好的Agent进行管理。
通过SSH远程安装Agent
用户可以通过SSH协议将Agent自动安装到需要审计的服务器上,目前仅支持Linux系统。
用户在界面上输入需要审计的服务器IP、SSH端口、root用户名、密码,DBAudit通过scp协议将agent安装包传输到宿主机上并自动安装。
- 在菜单栏选择“系统管理Agent管理”进入Agent管理页面,选择Agent安装页签。
- 点击【开始安装】进入通过SSH远程安装Agent页面,编辑审计服务器IP,并添加安装Agent的服务器,点击【安装】。
详细配置项和说明请参见下表。
配置项 | 说明 |
|---|---|
审计服务器IP | 一般默认为当前的审计服务器IP,用户可以根据需要修改。 |
安装Agent的服务器 | 支持表单格式和文本格式输入。输入需要安装Agent的服务器IP及该服务器root账户的密码,默认端口为22,用户可以根据实际情况修改。支持IPv4和IPv6,最多填写20个。 |
点击【安装状态】进入安装状态查看页面,可执行以下操作:
- 点击【卸载】可远程卸载已经成功安装了的Agent。
- 点击【重新安装】可对未成功安装Agent的服务器重新安装。
- 将光标悬停至“安装失败”后的,可点击后侧图标,查看安装失败原因。
手动安装Agent
下载Agent安装包
用户可手动下载Agent安装包,并将其手动安装到需要审计的服务器上。目前支持Windows系统和部分Linux系统。
下载Agent安装包的操作方法如下:
在菜单栏选择“系统管理Agent管理”进入Agent管理页面,选择Agent安装页签,点击下载对应版本的Agent安装包。
说明
下载的Agent默认会将流量转发给当前的DBAudit。如需转发到其他DBAudit,请在解压后的Agent路径下agent.ini配置文件中找到serviceIp选项进行地址修改。
无论是Linux版本安装包、AIX版本安装包还是Windows版本安装包,文件夹中均有“ReadMe”文档,文档内包含使用说明、文件说明、注意事项、运行环境说明、配置文件说明。在安装前请仔细阅读该文档并严格按照要求进行操作。
Linux操作系统安装Agent程序
离线安装
- 安装包下载完之后,将Agent安装包上传到Linux服务器指定目录。
说明
禁止直接运行二进制文件。
解压目录不能出现空格。
每次更换运行或解压目录需重新运行安装脚本。
Linux环境需以root用户运行脚本,指定解释器bash,或不指定解释器直接运行。
- 使用“tar –xf dbAgent_V2.28.tar.gz”命令解压Agent安装包,进入Agent安装目录。
- 在安装目录执行“./install.sh”命令即可安装Agent程序。
在线安装
以root用户登录Linux服务器操作系统CLI界面,执行在线安装命令。
wget https://xx.xx.xx.xx/linux64/dbagent.sh --no-check-certificate -O dbagent.sh && chmod 755 dbagent.sh && ./dbagent.sh xx.xx.xx.xx
Agent程序安装完成并运行之后,登录系统Web管理平台,在菜单栏选择“系统管理Agent管理”,选择Agent管理页签进入Agent管理列表页面,查看Agent连接状态信息。
Windows操作系统安装Agent程序
离线安装
- 安装包下载完成之后,将Agent安装包上传到Windows服务器上。
- 解压压缩包到指定运行目录。在Agent的安装目录以管理员身份运行“dbAgent-setup.exe”进入安装向导,点击【下一步】,如下图所示。
- 点击【下一步】之后显示“Install winpcap”和“Install npcap”两个选项。如果没有本地审计的需求请选择“Install winpcap”;如果需要部署本地审计,则选择“Install npcap”。默认推荐使用“Install winpcap”安装方式,对于Windows操作系统的兼容性较好。“Data encrypted transmission”仅需要配置agent 数据传输加密情况下才需要勾选。并点击【下一步】。
- 点击【安装】。
- 点击【I Agree】同意安装协议后,之后按照提示进行操作。
由于上述步骤3中选择的项不同,具体操作有所区别,“Winpcap”插件默认安装即可。
“Npcap”插件需要按照下图中的示例勾选第一项和默认勾选的最后一项,随后按照提示默认安装即可,安装完成后即可退出。
MICROSOFT VISUAL STUDIO 2015仅配置agent数据传输加密才需要安装。
- 安装完成后点击【完成】退出安装向导。
在线安装
- 登录Windows服务器,用浏览器访问在线安装链接下载安装包。
- 使用安装包安装Agent,具体操作请参见离线安装。
Agent程序安装完成并运行之后,登录系统Web管理平台,在菜单栏选择“系统管理Agent管理”,选择Agent管理页签进入Agent管理列表页面,查看Agent的连接状态。
说明
禁止直接运行二进制文件。
解压目录不能出现以下特殊字符:【space】()[]{}^=;!'+,`~(&(),若必需要在含特殊字符的目录中运行脚本,请选择以管理员权限进入DOS命令行运行脚本。此外,解压目录不能为中文字符。
如要自行更改配置文件,请确保不要更改文件编码格式。
若要强制结束Agent进程运行,请先结束dbMonitor进程,然后结束dbAgent进程。
AIX操作系统安装Agent程序
- 安装包下载完之后,将Agent安装包上传到AIX服务器指定目录。
说明
禁止直接运行二进制文件。
解压目录不能出现空格。
每次更换运行或解压目录需重新运行安装脚本。
AIX环境需以root用户运行脚本,指定解释器bash,或不指定解释器直接运行。
- 先使用“gunzip dbagent_aix5.3_V2.257.tar.gz”命令解压Agent安装包,生成tar包,再使用“tar -xvf dbagent_aix5.3_V2.257.tar”命令解压tar包。
- 在安装目录执行“./install.sh”命令即可安装Agent程序。
Agent程序安装完成并运行之后,登录系统Web管理平台,在菜单栏选择“系统管理Agent管理”,选择Agent管理页签进入Agent管理列表页面,查看Agent连接状态信息。
- Agent管理
在菜单栏选择“系统管理Agent管理”,选择Agent管理页签进入Agent管理页面。Agent管理页面可展示全部成功连接过的Agent列表。列表中展示Agent的详细信息,并能监控Agent的运行状态。此外可配置Agent关键运行参数,实现远程挂起、停止、升级和回退Agent服务,下载当前Agent的近期日志和Agent运行状态诊断,提供标签和卸载删除Agent的功能。
监控Agent状态
在Agent管理页面,在已安装Agent列表的操作列下点击【监控】进入Agent监控信息页面,用户可以根据需要设置监控的时段,或者选择不同的监控指标(CPU占用、内存占用、转发速率、丢包数量、磁盘读写)。
修改Agent配置
- 在Agent管理页面,在Agent列表中点击操作列中的【配置】。
- 弹出修改Agent配置对话框,可根据需要修改相关参数,修改完成后点击【确定】。
- 资源使用限制
详细配置项和说明请参见下表。
配置项 | 说明 |
|---|---|
CPU亲和性 | 启用后,Agent将仅在单颗CPU核心上工作。 |
CPU使用上限 | 默认值为100%,取值范围:0%~100%,填0表示不限制。 |
内存使用上限 | Agent缓存数据包所用的内存,默认值200MB,不能超过设备的最大内存。 |
- 熔断保护(超过设置的任一阈值时,Agent暂停工作)
详细配置请参见下表。
配置项 | 说明 |
|---|---|
系统CPU使用阈值 | 默认值100%,取值范围:0%~100%,填0表示不限制。 |
系统内存使用阈值 | 默认值100%,取值范围:0%~100%,填0表示不限制。 |
系统磁盘读IO阈值 | 默认值0,表示不限制。不能超过系统磁盘的最大读速率。 |
系统磁盘写IO阈值 | 默认值0,表示不限制。不能超过系统磁盘的最大写速率。 |
- 抓包与过滤设置
详细配置请参见下表。
配置项 | 说明 |
|---|---|
抓包网口 | 配置后将只抓取指定网口上的流量,为空时抓取全部网口上的流量,多个网口请用空格分隔。 |
抓包过滤串 | 配置后,抓包网口将只抓取匹配该过滤串(通常设置为指定主机的指定端口流量,例如:host 192.1xx.xx.xx and port 3306)的流量。一旦配置,将不再根据配置的资产自动抓包。 |
按工具过滤 | 填写后将不再转发指定客户端工具的流量,可填写多个,多个值请用逗号分隔。 |
按账号过滤 | 填写后将不再转发指定数据库账号的流量,可填写多个,多个值请用逗号分隔。 |
- 本地回环审计配置
系统支持本地回环审计功能,此功能可以实现不通过TCP/IP连接的本地数据库访问审计。
本地回环审计是指Agent为客户端工具注入.so程序,客户端工具与服务端的通信流量客户端工具会复制一份发送给Agent,Agent转发给DBAudit。
Agent安装成功后,需要在Web界面开启“本地审计”功能。
详细配置项和说明请参见下表。
配置项 | 说明 |
|---|---|
回环网口 | 回环网口的名称,为空时会自动识别,不建议配置此项。 |
回环抓包过滤串 | 配置后回环网口将只抓取匹配该过滤串的流量。一旦配置,将不再根据配置的资产自动抓包。 |
回环网口替换IP (v4/v6) | 将流量中本地回环的IPv4或IPv6地址改为设置的值,为空则不替换。 |
远程登录审计 | 默认关闭。启用后,本地流量中的IP端口会被远程连接的IP端口所替换。需要在资产界面添加被远程连接的服务器IP地址,若没有远程连接,则不做替换。一旦开启,性能会明显下降。 |
本地审计 | 支持审计非网络形式(进程间通信等)的数据库通信数据,目前仅支持Oracle,PostgreSQL,MySQL,SQL Server 的特定版本。 |
- 其他
详细配置项和说明请参见下表。
配置项 | 说明 |
|---|---|
调试模式 | 默认关闭。开启后会记录下更详细的调试日志。 |
数据传输加密 | 默认关闭。开启后会对Agent转发的数据进行加密。 |
CPU异常保护阈值 | 当Agent的CPU使用超过该值时,Agent将自动修复异常。正常情况下,Agent的CPU使用不会超出所配的上限,该配置可作为兜底保护,防止特殊情况发生。默认值100%,填0表示关闭CPU异常保护功能。 |
内存异常保护阈值 | 当Agent的内存使用超过该值时,Agent将自动修复异常。该配置可作为兜底保护,防止特殊情况发生。默认值300M,填0表示关闭内存异常保护功能。 |
Agent标签
在Agent比较多的场景下,Agent标签方便区分该Agent的业务属性或者物理位置等。
- 快捷添加移除标签
- 在Agent管理页面,点击标签显示列对应区域。
- 选择标签或者输入新的标签点击阅读即可完成标签添加。
- 对应已经有标签的Agent,可以点击“X”移除该标签。
- 标签管理
- 选中Agent列表前方的复选框,鼠标移到设置标签,点击展开列表的【**添加标签】**或者【**移除标签】**可以批量添加或者移除Agent标签。
- 输入关键字可以根据名称搜索标签。
- 输入标签名称,点击【添加】可以在标签列表中添加新标签。
- 点击标签列表的【**编辑】**可以对该标签名称进行编辑。
- 点击标签列表的【**删除】**可以对该标签名称进行删除。
- 选中标签列表前面的复选框,再点击【确定】即可完成批量添加或者移除标签。
其他操作
Agent管理页面中的其他操作请参见下表。
操作 | 说明 |
|---|---|
挂起 | 勾选处于“连接正常”状态的Agent,点击【**挂起】**可以让正在正常运行中的Agent不再传送数据,但保持连接状态。 |
唤醒 | 勾选处于“挂起”状态的Agent,点击【**唤醒】**可将该Agent转为正常运行状态。 |
启动 | 勾选处于“停止”状态的Agent,点击【启动】可将该Agent转为正常运行状态。 |
停止 | 勾选处于“连接正常”或者“挂起”状态的Agent,点击【**停止】**可停止Agent。 |
升级 | 勾选处于“连接正常”状态的Agent,点击【升级】可将当前Agent版本升级至内置Agent中的最新版本。 |
回退 | 勾选处于“连接正常”状态的Agent,点击【回退】可将当前Agent版本退回至升级前的Agent版本。 |
日志 | 点击操作列中的“更多日志”可下载当前Agent的最近1天日志。 |
诊断 | 点击操作列中的“更多诊断”,查看当前Agent运行状态。 |
卸载 | 勾选处于“连接正常”、“停止”和“挂起”状态的Agent,点击【卸载】可远程卸载该Agent。 |
删除 | 勾选处于“异常”状态的Agent,点击【删除】可将当前Agent从Agent列表中删除。 |
系统维护
资源使用
在系统维护页面选择资源使用页签,可查看系统资源使用情况,包括CPU使用率、内存使用率、SWAP使用率、网络流量、磁盘读写、磁盘空间使用率,支持查询设备资源使用的历史信息。
点击全局按钮可查看各资源的详细使用情况。
修改日期的查询条件,可查看资源的历史使用情况。
软件升级
在系统维护页面选择软件升级页签,在升级系统软件的同时会同时升级Agent安装包文件。软件升级的操作方法如下:
点击【上传升级包】,选择升级包文件,升级包上传成功后系统进行自动升级,升级成功后系统会重启,需要刷新页面并重新登录系统。
点击【变更明细】,可查看系统升级后的功能变化情况。
说明
升级包不能大于1024MB。
一次升级过程大概需要5~10分钟。如有多个升级包,切勿一次全部上传,需要等上一个升级完成后,再上传下一个。
调试工具
系统支持日志打包下载、连通性检测和Tcpdump抓包管理功能,方便进行溯源追踪,当需要系统协同排查问题时,系统支持在指定接口上进行抓包。抓包产生的文件可以下载到本地。
日志打包下载
在系统维护页面选择调试工具页签,进入调试工具页面,点击【下载】将日志文件下载至本地。
连通性测试
系统提供Ping、NC和Traceroute测试功能,以验证系统与目的主机是否网络连通。
- Ping测试
Ping功能用来测试系统与目标主机是否网络可达。操作方法如下:
在调试工具页面,在连通性检测区域选择操作类型为ping,输入IP(支持IPv4和IPv6地址),点击【查看输出结果】。
可在弹出的对话框中显示测试结果。
- NC测试
NC功能用来扫描目标主机的端口是否开放,操作方法如下:
在调试工具页面,在连通性检测区域选择操作类型为nc,选择协议,输入IP(支持IPv4和IPv6地址)和端口,点击【查看输出结果】。
在弹出的对话框中可查看测试结果。
- Traceroute
Traceroute功能用来查看系统与目标主机之间经过的网关。操作方法如下:
在调试工具页面,在连通性检测区域选择操作类型为traceroute,输入IP(支持IPv4和IPv6地址),点击【查看输出结果】。
在弹出的对话框中显示测试结果。
Tcpdump抓包管理
Tcpdump抓包可以抓取到交换机转发给DBAudit的流量。
- Agent代理模式:Agent通过13002端口向DBAudit转发流量,抓包内容为Agent和DBAudit IP之间的通信流量,需要进一步转换才可获取用户环境中客户端与服务端之间的通信流量。
- 镜像流量模式:交换机通过镜像口向DBAudit转发流量,抓包内容为用户环境中客户端与服务端之间的通信流量。
- 用户还可根据端口过滤的方式抓取DBAudit与其他接口的交互流量,例如与用户Kafka服务器间的数据流量。
Tcpdump抓包操作步骤如下所示。
- 在调试工具页面,在Tcpdump抓包管理区域点击【新增抓包任务】。
- 进入新增Tcpdump抓包页面,编辑相关信息,点击【保存】。
详细配置请参见下表。
配置项 | 说明 |
|---|---|
网口 | 抓包的网口。 |
过滤串 | 包的过滤串,系统根据过滤串抓取相应报文,过滤串指IP和端口。 |
最大抓包时长 | 抓包的最大时长,超过此限制,会停止抓包。取值范围:1~86,400,单位为秒。 |
最大文件大小 | 抓包文件的最大大小,超过此限制,会停止抓包。取值范围:1~10,480,单位为MB。 |
- 抓包完成后,点击【**下载】**即可将抓包文件下载至本地,抓包文件可使用WireShark等工具打开。
数据清理
设备的磁盘空间有限,可对历史审计日志等信息进行定期清理以节约磁盘空间。
系统磁盘中存储的业务数据分为在线数据和备份数据。
- 在线数据是指可以直接通过页面进行检索查看的数据。在线数据进行压缩打包后占有的磁盘空间将缩小为原先的五分之一左右。
- 备份数据是压缩打包后的历史数据,需要通过数据恢复的方式进行检索查看。
系统支持按照不同数据占据磁盘的百分比进行数据自动清理,还可以设置在线数据保存的最小天数。当在线数据的磁盘使用率达到设定值后,即使没有超过保存天数,系统仍会清理部分在线数据。
修改自动清理数据配置的操作方法如下:
- 在系统维护页面选择数据清理页签进入数据清理页面,点击【修改】。
- 弹出修改自动清理对话框,编辑相关参数,点击【确定】。
详细配置请参见下表。
配置项 | 说明 |
|---|---|
在线数据最大占用空间百分比 | 设置在线数据最大占用空间百分比,取值范围:10~85,默认为70。 |
日志留存天数 | 设置日志留存天数,取值范围:1~3650,默认为180。 |
备份数据最大占用空间百分比 | 设置备份数据最大占用空间百分比,取值范围:10~85,默认为25。 |
所有数据最大占用空间百分比 | 所有数据最大占用空间百分比,不可修改,默认95。 |
此外系统也支持手动清除数据,点击【清空业务数据】,在弹出的对话框中点击【确定】可手动清除业务数据(包括审计日志、告警日志、会话日志、报表数据等保存在系统中的数据)。
注意
清空业务数据后数据不可恢复,请谨慎操作。
数据备份恢复
可以对业务数据进行备份和恢复等操作。
数据备份配置
- 在系统维护页面选择数据备份恢复页签,可查看数据备份的相关信息。
- 点击备份几天前数据后的【修改】,可以修改需要备份的数据,包括备份几天前数据、执行时间、压缩等级。
详细配置请参见下表。
配置项 | 说明 |
|---|---|
备份几天前数据 | 根据实际情况填写需要几天前的备份数据,取值范围:1~365。 |
执行时间 | 数据自动备份的执行时间。 |
压缩等级 | 取值范围:1~9。1级代表压缩速度最快,但压缩率最大;9级代表压缩速度最慢,但压缩率最小。 |
备份服务器配置
此外,系统也支持将数据备份至外部FTP服务器。
- 在备份服务器配置区域点击【修改】。
- 在弹出的对话框中编辑相关信息,点击【确定】。
详细配置请参见下表。
配置项 | 说明 |
|---|---|
状态 | 启用或禁用将备份数据外送至FTP服务器。 |
协议 | 设置备份数据外送的协议,可选择FTP或SFTP。 |
IP/端口 | 配置FTP/SFTP服务器的IP地址和端口号。 |
用户名/密码 | 配置FTP/SFTP服务器的登录用户名和密码。 |
上传目录 | 备份文件上传至FTP/SFTP服务器的目录。 |
在线数据
数据备份恢复分为在线数据、本地备份数据、服务器备份数据。
点击操作列中的【备份】可以对在线数据进行备份,备份成功后可在本地备份数据中进行查看。
本地备份数据
点击操作列中的【恢复】,在弹出的对话框中点击【确定】,对本地备份的数据进行恢复。
在数据备份恢复管理列表中勾选数据,点击【FTP外送】即可将数据外送至FTP服务器。
服务器备份数据
可查看FTP服务器备份数据的信息,包括日期、服务器上传的状态、处理结果等信息。以及对服务器的数据进行恢复操作。
配置备份恢复
配置备份恢复功能可在系统配置出错或者系统配置数据丢失时,对系统配置进行还原,减少系统配置工作量。在系统维护页面选择配置备份恢复页签,可查看系统配置备份情况。
- 点击【备份】可备份系统当前配置。
- 点击【上传恢复】并上传配置文件,可将系统恢复至配置文件中的配置。
- 在操作列中点击【恢复】,在弹出的对话框中点击【确定】,可将系统恢复至备份文件中的配置。
- 点击【修改】,弹出修改数据自动备份定时任务对话框,编辑相关信息,点击【确定】。
详细配置请参见下表。
配置项 | 说明 |
|---|---|
备份周期 | 可选择不自动备份、每天、每周和每月自动备份。自动备份在凌晨两点进行。 |
备份文件上限 | 有效值1~50,默认值10。超出上限时,会自动删除自动备份的文件。 |
辅助功能
IP别名
为方便对网络进行识别,可对网段或IP地址设置别名。
- 在菜单栏选择“系统管理辅助功能”进入辅助功能页面,选择IP别名页签,点击【新增】。
- 弹出新增IP别名对话框,编辑相关信息,点击【保存】。
详细配置请参见下表。
配置项 | 说明 |
|---|---|
名称 | 必须为中文字符、字母、数字、下划线“_”、点“.”或短横“-”,长度不超过64字符。 |
IP/网络 |
|
账号别名
为方便对数据库账号进行识别,可对数据库账号设置别名。
- 在菜单栏选择“系统管理辅助功能”进入辅助功能页面,选择账号别名页签,点击【新增】。
- 弹出新增账号别名对话框,编辑相关信息,点击【保存】。
详细配置请参见下表。
配置项 | 说明 |
|---|---|
名称 | 必须为中文字符、字母、数字、下划线“_”、点“.”或短横“-”,长度不超过64字符。 |
资产 | 超级管理员admin账号可不进行选择,默认选择全部资产,其他账号登录为必填项。 |
数据库账号 |
|
数据脱敏
数据脱敏可以将银行卡号、手机号码、身份证号码等敏感数据进行脱敏处理。
- 在菜单栏选择“系统管理辅助功能”进入辅助功能页面,选择数据脱敏页签,点击【新增】。
- 弹出新增数据脱敏对话框,编辑相关信息,点击【保存】。
详细配置请参见下表。
配置项 | 说明 |
|---|---|
名称 | 必须为中文字符、字母、数字、下划线“_”、点“.”或短横“-”,长度不超过64字符。 |
状态 | 启用或禁用该规则。 |
正则表达式 | 正则表达式用于检索、替换符合特定模式(规则)的文本,例如:([^d] |
开始位置 | 开始替换的字符位置。 |
截取长度 | 数据串中被替换的字符长度。 |
应用身份识别
通俗来讲,应用身份识别功能就是三层关联功能。所谓三层关联审计,是将应用层区域的审计数据与数据库层区域的审计数据综合起来进行“关联分析”,从而将应用层操作准确对应到数据库层的操作。当发生安全事件时,根据关联审计记录的日志信息,可快速定位到网络中的责任人。所以通过三层关联审计即可实现应用与数据库的有效关联,追踪到最终用户端。
应用身份识别分为B/S应用身份识别和C/S应用身份识别。
B/S应用身份识别
B/S应用身份识别是指管理员添加应用身份识别后,系统会自动生成jar包,之后下载该jar包并安装到应用服务器。当有用户对应用的数据库进行操作时,系统会审计到用户、访问应用的URL以及使用的IP。
说明
B/S应用身份识别功能需要对用户业务中的应用服务器配置文件进行一些改动,此功能必须得到用户同意,并在测试环境成功使用才可正式应用在实际业务中。
- 在菜单栏选择“系统管理辅助功能”进入辅助功能页面,选择应用身份识别页签,再选择B/S应用身份识别页签。点击【添加】。
- 弹出新增B/S应用身份识别配置对话框,编辑相关信息,点击【保存】。
详细配置请参见下表。
配置项 | 说明 |
|---|---|
应用名称 | 必须为中文字符、字母、数字、下划线“_”、点“.”或短横“-”,不超过64字符。 |
中间件类型 | 选择中间件类型,包括Weblogic、Tomcat和Jboss。 |
中间件版本 | 选择中间件的版本。 |
JDK版本 | 选择JDK(Java语言软件开发工具包)版本。 |
数据库类型 | 选择数据库类型,请根据应用的实际情况进行选择。 |
登录URL关键字 | 用户登录应用服务器的URL关键字。 |
登录用户关键字 | 用户登录应用服务器的用户名关键字。 |
客户端IP提取方式 | 分为x-forwarded-for和proxy两种。x-forwarded适用于普通Web应用;proxy适用于使用多层代理的Web应用。 |
- 之后系统会自动生成jar包,点击操作列的【**下载】**下载jar包,将jar包安装至应用服务器(点击【下载说明文档】,可查看相应中间件类型的安装方法)。
- 当有用户对应用的数据库进行操作时,系统可审计到用户的用户名、访问的URL和使用的IP。
C/S应用身份识别
C/S应用身份识别是指管理员通过审计到的审计日志配置C/S应用用户名提取(请参见查看审计日志详),指定配置后的SQL模板来判断用户名。当系统审计到相同的SQL模板,就会直接关联出用户名。
- 在菜单栏中选择“查询分析审计日志”进入审计日志页面,查询C/S架构客户端访问数据库时产生的登录行为SQL语句的审计日志,在日志详情页面提取C/S应用用户名(详情请参见查看审计日志详)。
- 之后该记录将会自动添加至C/S应用身份识别列表中。
在菜单栏选择“系统管理辅助功能”进入辅助功能页面,选择应用身份识别页签,再选择C/S应用身份识别页签,可查看已添加的C/S应用身份识别条目。
系统告警
告警查询
DBAudit支持系统自检功能,当出现系统资源使用率过高、长时间没有审计日志等情况时,会自动产生一条告警信息,方便用户快速定位问题。
修改系统告警配置
- 在菜单栏选择“系统管理系统告警”进入系统告警页面,选择告警查询页签,点击【修改】。
- 弹出修改系统告警配置对话框,编辑相关信息,点击【确定】。
详细配置请参见下表。
配置项 | 说明 |
|---|---|
日志保留天数 | 设置日志保留天数,取值范围:7~365。 |
CPU阈值 | 设置CPU告警阈值,取值范围:1~100。 |
内存阈值 | 设置内存告警阈值,取值范围:1~100。 |
磁盘阈值 | 设置磁盘告警阈值,取值范围:1~100。 |
网口流量阈值 | 设置网口流量阈值,取值范围:1~100。 |
无日志告警 | 默认关闭。开启后可配置无日志告警阈值。 |
无日志阈值 | 设置无日志告警阈值,取值范围:6~360。 |
查询告警日志
设置时间范围、告警类型、告警级别,点击【搜索】可查询相关告警日志信息。
告警通知
告警通知是指将系统日志发送至指定的接收者,支持邮件、短信、企业微信、钉钉、Syslog和SNMP六种方式。
新增系统日志外送任务的操作方法如下:
- 在菜单栏选择“系统管理系统告警”进入系统告警页面,选择告警通知页签,点击【新增】。
- 弹出新增系统日志外送任务对话框,编辑相关信息,点击【保存】。各类通知方式的配置请参见通知外送。
操作日志
日志查询
系统可记录所有用户的操作。审计员或超级管理员可以通过查看操作日志来审计其他用户的操作。
修改日志保存时间
可修改操作日志的保留天数,操作方法如下:
- 点击【修改】。
- 弹出修改操作日志自动清理配置对话框,设置日志保留天数(取值范围:180~1,000),点击【确定】。
查询审计日志
在菜单栏选择“系统管理操作日志”进入操作日志页面,可根据时间范围、用户、来源IP、操作名称、操作类型、操作内容和操作结果来搜索相应操作日志,可导出操作日志。
日志外送
操作日志外送通知是指将操作日志发送至指定的接收者,支持SYSLOG和KAFKA两种方式。
添加操作日志外送任务的操作方法如下:
- 在菜单栏选择“系统管理操作日志”进入操作日志页面,选择日志查询页签,点击【添加】。
- 弹出添加操作日志外送任务对话框,编辑相关信息,点击【保存】。各类通知方式的配置请参见日志外送。