1、慧眼數據庫安全審計系統v3.0.2用戶使用手冊國都興業信息審計系統技術（北京）有限公司2012年3月目 錄1引言11.1文檔目的11.2術語和縮寫12產品簡介32.1產品背景32.2產品特點42.3產品功能43硬件安裝53.1拆箱檢查53.2設備上架63.2.11u設備上架63.2.22u設備上架73.3設備連接93.3.1設備面板指示93.3.2設備接口說明103.3.3鏡像端口接入103.3.4tap接入114連接登錄144.1連接方式144.2修改通信口的ip設置144.3登錄系統165慧眼數據庫安全審計系統管理175.1首頁175.2門戶框架195.2.1個人設置195.2.2實時監控

2、215.2.3系統消息提示225.2.4時間設置235.2.5注銷235.3審計中心235.3.1數據庫審計245.3.2其它審計255.3.3實名審計295.3.4domino審計305.3.5本地審計315.4攻擊監測325.4.1如何開啟或關閉攻擊監測325.4.2攻擊事件查詢335.4.3監測引擎配置365.5性能分析385.5.1如何指定時間范圍進行延時分析385.5.2如何查看分析結果405.5.3如何設置詳細分析條件405.6統計分析415.6.1sql操作類型統計415.6.2事件類型統計435.6.3流量統計445.7策略中心465.7.1策略配置465.7.2資產配置495

3、.7.3來源規則525.7.4時間規則565.7.5內容規則585.8報表中心595.8.1如何手動生成報表595.8.2如何使用自動報表605.8.3如何使用歷史報表615.9系統配置625.9.1審計數據庫服務器625.9.2審計web中間件635.9.3知識庫645.9.4ip采集條件655.9.5工作參數665.9.6角色管理725.9.7補丁管理745.9.8授權管理765.9.9備份/還原785.9.10重啟/關機825.10用戶管理835.10.1如何添加用戶845.10.2如何編輯用戶855.10.3如何刪除用戶855.11系統日志管理855.11.1如何進行日志查詢865.1

4、1.2如何查看日志的詳細信息905.11.3如何進行日志刪除905.11.4如何導出系統日志915.11.5如何調整日志展示列911 引言1.1 文檔目的版權聲明本手冊包含了慧眼數據庫安全審計系統的硬件上架安裝、快速使用指南、系統功能配置以及faq等內容。手冊中涉及相關文檔、文字內容、標識等信息均受版權保護，手冊的任何部分未經許可均不得復制或者傳播，違者必究。適用范圍本手冊適用于慧眼數據庫安全審計系統的最終用戶。1.2 術語和縮寫數據庫審計數據庫審計是通過記錄數據庫的操作行為作為審計記錄，反映出數據庫被使用的狀況；數據庫審計支持通過網絡訪問方式把對數據庫的操作及內容進行實時的監控審計。審計類型

5、審計類型指慧眼數據庫安全審計系統支持的各種類型，包括數據庫類型（oracle、db2、mssql、mysql、sybase、infomix）、數據庫運維類型（ssh、ftp、telnet）以及web中間件類型。數據庫sql操作類型數據庫審計支持的sql操作類型，包括 插入操作（insert） o 數據插入操作（insert， select into） o 新建數據表、數據庫、視圖、索引等操作（create table， create database， create view， create index， ） 查詢操作（select） o 數據查詢操作（select） o 數據表結構查詢操作（

6、show/desc） 刪除操作（delete） o 刪除數據操作（delete， truncate table， truncate database， ） o 刪除數據表、數據庫、視圖、索引等操作（drop table， drop database， drop view， drop index， ） 更新操作（update） o 數據更新操作（update） o 數據表結構更新操作（alter， rename to ， merge into using ） 用戶訪問（access） o 用戶登錄 特權操作（privilege） o 用戶權限改變（grant， deny， revoke） o 用

7、戶建立與刪除 o 備份與恢復操作（backup， restore） o 事務操作（commit， rollback to） 數據庫特有操作 o microsoft sql server特有操作：dbcc，sp_*， opendatasource， o oralce特有操作 其他操作 o 特定字符串審計 數據庫運維審計數據庫運維是針對用戶數據庫的軟件安裝、配置、備份及實施，數據恢復、遷移，故障排除、預防性巡檢等一系列服務；數據庫運維審計是對通過遠程訪問方式，對數據庫進行運維操作的行為及內容審計，如telnet、ftp、ssh等。web中間件審計web中間件泛指客戶端訪問web應用服務器，web應

8、用服務器再訪問數據庫的應用環境中的web應用服務；web中間件審計支持對客戶端訪問web應用服務器的行為及內容的審計，同時支持客戶端訪問web應用服務器和web應用服務器訪問數據庫關聯行為及內容的審計。審計服務器審計服務器指數據庫服務器、數據庫運維服務器以及web中間件服務器。審計客戶端審計客戶端指訪問審計服務器的用戶終端。審計記錄用戶訪問審計服務器產生的每一個sql操作、運維操作或者web訪問記錄下來的行為及內容作為一條審計記錄。自身日志自身日志指慧眼數據庫安全審計系統的配置或狀態的變更時生成的記錄。amcamc是審計管理中心（audit management center）的簡寫，它實現了

9、產品功能服務層面的功能，其目標是對安全產品的管理。探針探針是慧眼數據庫安全審計系統用于采集各種審計數據的分布式模塊。探針支持獨立安裝，或和amc一體安裝。策略對監控數據進行處理，生成審計記錄以及執行某種操作的集合。多級管理中，上級amc支持策略調度下發。數據轉儲數據轉儲指將慧眼數據庫安全審計系統的審計記錄，導出轉存到系統之外的空間，并能通過手段查詢轉存到系統外的歷史記錄的功能。tap設備tap是分路器設備，提供網絡流量的副本，以便進行實時監控和分析；接口分為電口和光接口。2 產品簡介2.1 產品背景薩班斯法案（sox）誕生之日起，為數不少的安全公司就已經預測到數據安全審計將成為企業無法回避的問

10、題。只要是正規的企業，都無法回避自身的數據安全問題。當然，上市公司就更加需要重視。事實上，這里所說的數據庫安全審計，不僅包括了數據源的安全，而且也涵蓋了審計方法與企業it流程的結合。數據庫是每個企業數據管理的基礎，盡管這些系統的數據完整性和安全性是相當重要的，但對數據庫采取的安全檢查措施的級別還比不上操作系統和網絡的安全檢查措施的級別。許多因素都可能破壞數據的完整性并導致非法訪問，這些因素包括密碼安全性較差、誤配置、未被察覺的系統后門以及自適應數據庫安全方法的強制性常規使用等。針對以上破壞數據完整性的威脅都來自于數據庫本身的安全策略的漏洞和使用方面的問題，然而對于數據庫合法用戶的違規操作，以及

11、內部用戶對數據資源的故意泄露或破壞等問題，對企業帶來的危害會更加嚴重，損失也會相當巨大。當然，數據庫系統本身會提供一些日志審計功能，但是想要審計較為細致的操作日志就必然要影響到數據庫服務器的性能，一般應用數據庫的企業用戶 ，都不愿意開設多一些的日志審計功能，這樣必然會對數據庫的安全埋下了安全隱患。當產生數據安全問題時，為了尋找案件線索，執法機構需要從網絡上尋找犯罪嫌疑人的活動和留下的痕跡并獲取可靠的犯罪證據，對于偵破犯罪案件，保障社會穩定，維護公民利益具有十分重要的意義。因此，安全管理要從網絡系統安全和應用安全兩個方面推進，才能有效地全面解決安全問題。數據庫網絡安全審計是網絡安全管理工作中的一

12、個重要組成部分，它可以通過對網絡數據庫的“信息活動”實時地進行監控審計，使管理者對網絡數據庫的“信息活動”一目了然，能夠及時掌握數據庫服務器的應用情況，及時發現客戶端的使用問題，存在著哪些安全問題和隱患并予以糾正，預防應用安全事件的發生，即便發生了也能夠可以快速查證并追根尋源。2.2 產品特點慧眼數據庫安全審計系統是集數據庫審計、數據庫安全檢測、數據庫優化分析三大功能為一體的綜合監控審計系統。該系統采用網絡旁路實時偵聽方式，全線速采集網絡上所有會話流，對網絡中的各種應用行為和應用內容進行監控、報警、記錄。慧眼數據庫安全審計系統不參與被監控網絡的數據傳輸活動，因此不對網絡結構和性能產生任何影響，

13、具有很好的透明性和安全性。2.3 產品功能數據庫操作和數據庫運維監控、審計、報警能夠對網絡數據庫的各種操作進行記錄審計并報警，提供詳細的審計信息（4w：何時 when 、何地 where 、何人 who以及何種行為 what）查詢功能和郵件、syslog報警方式。同時提供多種審計條件，實現分類審計或組合審計。數據庫事件審計分析能夠對網絡數據庫接收發送的流量包數進行統計，并提供詳細的統計條件（如：時間、ip地址、協議類型等），并根據歷史的數據庫操作數量做出基于：天、周、月的趨勢分析。日志信息查詢 能夠對網絡中其他設備發來的syslog和snmp日志信息進行接收和查詢，并提供多種查詢條件，實現分類

14、或組合查詢。報表系統可以實現手動報表和自動定制報表郵件發送功能。同時提供靈活的可定制報表策略和rtf、html和pdf多種報表格式。系統狀態配置、查看可以通過界面查看系統狀態、進行系統管理，并提供智能診斷功能。數據保護擁有數據存儲區磁盤空間預警和數據保護功能。在數據存儲區磁盤空間使用率達到預設的預警閥值時通過界面顯示和郵件方式實現預警，達到預設的保護閥值時根據設定的數據保護機制采取相應的處理對審計數據進行保護。自身日志支持完善的自身日志記錄和查詢功能。補丁升級可以通過界面上傳補丁包進行補丁的升級和卸載。用戶/角色權限管理實現用戶權限三權分立，支持基于用戶、產品功能模塊和內容訪問三級的權限管理。

15、3 硬件安裝3.1 拆箱檢查在打開包裝之后，請您先檢查隨機附帶的電源線、網線、隨機光盤等附件是否齊全，所有部件請對照裝箱單進行檢查，如有缺損請及時和銷售人員聯系。注意：取出設備后，不要將外包裝丟棄，在需要搬運時，請務必使用原包裝，它是為您的審計設備專門設計的包裝，具備良好的防震功能。物 品 名 稱數量數據庫審計設備1電源線1網線2隨機光盤1小托架1裝箱單1每臺設備有固定的序列號，且是唯一的。設備序列號的位置隨設備類型不同而不同，一般分3種情況：設備左側靠前位置設備左側后部位置設備后部中間位置3.2 設備上架數據庫審計設備機箱符合工業機柜的標準，它的高度為1u或者2u，可以順利的安裝到19”標準

16、機柜中去。3.2.1 1u設備上架安裝支架1.在每個1u設備附件中，都包括一個支架。2.將支架安裝在機柜上，將a點安裝在機架內側。如圖所示:設備上架1.將設備放到剛裝好的支架上，調整好位置。2.將位于設備前面耳朵的孔與機架前側的孔對應，加螺絲固定。3.2.2 2u設備上架安裝內側導軌（固定在機箱上）1. 在每個導軌裝置中，都包括一副內側可抽拉導軌和外側導軌。2. 按住內側抽拉導軌裝置上的卡鎖，將內導軌抽出并安裝在機箱側面。(內側導軌安裝在機箱兩側，外側導軌安裝在機柜兩側上)3. 將位于內側抽拉導軌的五個孔和機箱上側身的五個孔相對應，加螺絲固定。4. 固定好一側導軌在機箱上，重復以上步驟再安裝另

17、一側導軌在機箱上即可。外側導軌安裝（固定在機柜上）在機箱料包盒里，有前面（短）和后面（長）各一副導軌片。請按照導軌片上箭頭標注的方向排好。1. 排好后固定前面的導軌片（短）在外側導軌上；2. 再附上后面的導軌片（長）固定在外側導軌上；3. 量出外側導軌安裝到機柜的具體深度和長度，調節好短、長副導軌片和外側導軌合適機柜的距離；4. 重復相同的步驟安裝另一側的導軌到機柜上；5. 將機箱插入機柜上的外側導軌并推進時，聽見“咔”的聲響后，機箱便順利裝入機柜中（第一次安裝時，機箱上導軌插入機柜外部導軌的過程和推入過程不是很容易，在推入時不要用力過猛）；6. 當拉出機箱時，只要扳動機箱兩側導軌上的卡鎖扣即

18、可拉出。3.3 設備連接3.3.1 設備面板指示設備面板指示：（以1u服務器為例）如圖：（自右至左）分別為：電源開關、重新復位按鈕、電源指示燈、硬盤工作指示燈、通信口指示燈、備用通信口指示燈、cpu溫度過高指示燈；電源開關：軟件式開關，按一下為開，再按一下為關；重新復位按鈕：暗埋式設計，使用時用細物按下，設備在任何情況下重新啟動；電源指示燈：此燈亮時指示電源為開（只有此燈亮時代表電源打開）；硬盤工作指示燈：此燈亮時指示硬盤工作；通信口指示燈：lan0號網口接通指示燈（此燈亮時只代表網口接通，不代表電源打開）；備用通信口指示燈：lan1號網口接通指示燈（此燈亮時只代表網口接通，不代表電源打開）；

19、cpu溫度過高指示燈：此燈亮時說明cpu溫度超過bios中設定溫度。（該設備為4網口，lan2、lan3指示燈在機箱背面網口處。）3.3.2 設備接口說明1u設備：2u設備：a：鼠標鍵盤b：usb接口c：com/video接口d：通信口: 用于用戶訪問系統的通信接口e：備用通信口: 用于通過網絡進行設備內部維護時使用f、g：采集口: 用于采集網絡數據包的接口，可以使用兩個接口中的任何一個或兩個同時使用h、i：擴展卡插口（可以為光接口卡或者電接口卡）3.3.3 鏡像端口接入數據庫審計設備一般采用鏡像端口的接入方式，將一個采集口連接到交換機的鏡像端口，交換機鏡像端口的具體配置視不同廠家和型號的交換

20、機會有所不同，具體配置方法參見相應廠家和型號的交換機配置手冊。3.3.4 tap接入當現場情況由于鏡像端口已經被其他設備占用，或者因為某種原因無法接鏡像端口，建議采用tap的接入方式。電口tap接入示意圖：光接口tap接入示意圖：冗余電源：（以2u服務器為例）如圖所示：為2u設備的冗余電源；要求上下兩個電源都要接入220v交流電源；任何一個未接入，即會報警；若不想使用兩個電源供電，可任意拔出一個電源，就不會產生報警（如下兩圖）；拔電源時，按住電源上面的按鈕，向右側按，同時拉電源后面的把手，即可將單個電源拉出；復原時，直接推電源到底，同時聽到“卡“一聲時，表示電源推到位并鎖住。4 連接登錄4.1

21、 連接方式產品為b/s架構，使用ie瀏覽器軟件即可以對產品進行配置和管理。將管理計算機通過交換機和通信口相連即可對設備進行管理。通信口為eth0，備用通信口為eth1。4.2 修改通信口的ip設置將慧眼數據庫安全審計系統的默認ip修改修改為用戶管理環境要求的ip，通過備用通信口（eth1）進入到慧眼數據庫安全審計系統中，修改通信口eth0（審計中心ip）地址，eth1出廠默認的ip地址54，子網掩碼，只能通過網線直連，不支持將備用通信口連到交換機。在使用命令行修改通信口的ip時，首先要保證筆記本的ip地址和eth1的ip在同一個網段，如果不在同一個網段

22、，要先修改筆記本的ip，如下圖以windows xp為例：然后，用戶可以使用隨機光盤中的putty.exe程序或者支持ssh連接的遠程訪問工具，通過備用口的ip連接到后臺系統，賬號是system，密碼是system。用戶登錄后臺系統后可以看到如下界面：用戶可以依次輸入help，network，如下圖所示：依次按照提示修改ip、子網掩碼以及網關。具體操作方法參見“命令手冊2.1 修改網絡配置network”。4.3 登錄系統使用ie瀏覽器(要求用ie7或以上版本，ie6不能完全支持)，在地址欄中輸入：http:/審計中心ip （此處的審計中心ip指審計中心通信口的ip） 如：http:/192.

23、168.1.254 按照以下步驟進行即可登錄系統。通信口 ip地址：54掩碼： 網關： 備用通信口 ip地址：54掩碼： 系統內置用戶和初始密碼：內置默認用戶用戶名密碼權限系統管理員sysadminsysadmin1234首頁、審計中心、攻擊監測、性能分析、策略中心、報表中心、系統配置用戶管理員useradminuseradmin1234普通用戶的創建和刪除等管理系統審計員auditadminauditadmin1234查看系統自身操作日志的審計信息& 說明：慧眼數據庫安全審計系統目

24、前只支持使用ie 7及以上版本瀏覽器，使用其他瀏覽器有可能出現部分功能顯示異常現象。flash支持8以上版本。1) 輸入用戶名和密碼，即可登錄系統。2) 部署首次安裝的慧眼數據庫安全審計系統應以系統管理員身份登錄系統，系統管理員默認用戶名和密碼為sysadmin，sysadmin1234。3) 用戶首次登錄系統的時候需要更改當前的密碼，且密碼必須符合以下規范：1. 字母、數字、特殊字符的組合2. 長度大于8位3. 不能與原密碼相同 注意：當用戶連續5次輸入錯誤的密碼進行登錄，系統將彈出提示，如下圖所示：此時需要等待5分鐘后再刷新界面進行登錄。5 慧眼數據庫安全審計系統管理5.

25、1 首頁“首頁”主要反映該審計系統的全局信息，包括審計服務器及策略相關配置情況、事件類型及sql操作延時及安全攻擊事件趨勢、磁盤信息、cpu、內存以及網口通信狀態信息等。如下圖所示。其中，上面部分列出了所有數據庫審計服務器，可點擊后面的單個圖標查看針對各個服務器的統計信息。系統初裝無審計服務器時顯示如下：點擊“添加”即可跳轉到“審計數據庫服務器”界面。第二部分顯示過去的12個小時數據庫操作事件的統計情況，如下圖所示：第三部分是針對數據庫服務器的各事件類型、sql操作的延時、服務器遭受安全攻擊的數量進行展示。鼠標移到折線整點處，可看到當時時間段的數據統計數：事件類型排名：單點顯示過去的12小時內

26、數據庫服務器發生的相應事件類型的審計記錄總數，總體顯示總數前5名的事件類型，如上圖所示單點為過去的12小時發生名為“sqlserver”事件的記錄數為1411條；延時趨勢：單點顯示當時的1小時內數據庫服務器操作的平均延時時間（以毫秒為單位），總體顯示過 去的12個小時的延時趨勢；攻擊事件趨勢：單點顯示當時的1小時內數據庫服務器遭受攻擊的總數，總體顯示過去12小時的攻擊事件趨勢，如下圖所示單點為11：00至12：00的數據庫服務器遭受攻擊的總數為12。首頁下方顯示的是當前系統磁盤的使用情況（以百分比表示），以及各以太網口的使用狀態（當網口未連接網線時，顯示紅色，否則顯示綠色），鼠標移到相應的圖標

27、處，可顯示具體信息。如下圖所示：5.2 門戶框架以系統管理員sysadmin登錄系統后，在界面的右上角可以看到如下圖所示的門戶菜單欄：從左依次為：個人設置、實時監控、系統消息提示、時間設置、注銷。5.2.1 個人設置以系統管理員sysadmin登錄系統后，點擊按鈕，彈出個人設置界面，如下圖所示：個人設置包括用戶名全名、電子郵箱、密碼三項。全名：輸入系統用戶的名稱，默認的全名是sysadmin。注：與登錄時的用戶名不同。當輸入“全名”后，“保存”和“重置”兩個按鈕變為可用狀態。若點擊“重置”按鈕，狀態變為用戶上一次保存時的“全名”；若點擊“保存”按鈕，將輸入信息進行保存，然后“保存”和“重置”兩

28、個按鈕再次變為不可用狀態，并且，再次登錄系統后，保存了的名稱將顯示在門戶菜單中，例如：輸入用戶全名為：abcdef，如下圖所示：電子郵箱：輸入電子郵箱地址。同上，當輸入“電子郵箱”后，“保存”和“重置”兩個按鈕變為可用狀態。若點擊“重置”按鈕，狀態變為用戶上一次保存時的“電子郵箱”；若點擊“保存”按鈕，將輸入信息進行保存，然后“保存”和“重置”兩個按鈕再次變為不可用狀態。密碼：是否修改密碼。若要修改密碼，密碼長度不能少于8位，并且密碼必須包含字母、數字和特殊字符。例如：abc1234。若顯示密碼被勾選，顯示輸入的密碼，否則以“*”代替。輸入新密碼后，“保存”和“重置”兩個按鈕變為可用，點擊“保

29、存”按鈕，保存新密碼，再次登錄系統時，要使用新設定的“密碼”進行登錄；點擊“重置”按鈕，不保存。然后，返回到初始登錄個人設置界面的狀態。5.2.2 實時監控如上圖所示，報警信息以紅、黃、綠三個顏色圓圈代表審計數據庫服務器監控到的數據風險級別為高、中、低。數字表示審計數據庫服務器按相應風險級別所實時監控到的數據。注：提示數據個數范圍為0-9999條。當超過9999條數據時，以“9999+”形式表示。1） 點擊三個風險級別的顏色圓圈，分別會彈出當前風險級別的審計記錄頁面。2） 若點擊，將顯示當前實時審計的數據，最多顯示1000條數據。同時，數據列表按照風險級別（包括高、中、低、無）的不同顯示顏色也

30、不同，與門戶菜單的風險級別圓圈相對應，即“高”對應紅色，“中”對應黃色，“低”對應綠色，“無”對應無色。如下圖所示：數據列表顯示數據范圍為0-1000條。每5秒鐘刷新一次進行數據更新，最新監控到的數據將顯示在列表的最下方。并且，監控數據具有排重功能。數據列表區域的顏色與門戶菜單代表風險級別的圓圈顏色相同，如上圖，風險級別為“中”，門戶菜單中以黃色圓圈表示，那么數據列表的區域顯示為黃色。并且，可以對列表的數據進行排序，如上圖所示，按事件id進行排序，那么點擊“”后面的三角即可，上三角表示時間id從小到大排序，下三角與其相反。同理，也可按風險級別、審計數據庫服務器、事件類型、操作來源、操作時間中的

31、任意一項進行排序。選中某一條事件，將在界面的下方顯示出詳細信息（紅色框內區域）。點擊，可配置來源、操作類型及風險級別的過濾條件，過濾條件創建后，對界面上已展示數據進行過濾。5.2.3 系統消息提示，此圖片代表系統消息提示，氣泡里面的數字，代表消息條數。系統默認有6條消息提示。即：配置ip過濾條件、配置郵件服務器、配置時間服務器、配置審計服務器、配置授權告警、配置磁盤預警閥值。若增加配置或完成某個配置，那么系統會實時監測，數字會相應增加或減小，配置過的消息提示將不再進行提示。 點擊氣泡， 可查看具體提示信息。當有授權告警時，會在此增加提示，如下圖所示：當有磁盤預警時，會在此增加提示，如下圖所示：

32、另外，還有“同步”提示，當系統修改某一信息或者配置后，需要點擊氣泡，進行同步。例如：在策略配置中，添加了一條事件類型，并且為它新建了一條策略，此時，點擊氣泡，將有如下提示：提示內容：策略發生了變化，點擊“同步”按鈕，進行系統同步配置。若有些配置已經完成了，那么會對其他配置進行提示，消息提示數目是實時更新顯示的。并且，當鼠標移開氣泡時，提示會關閉。注：每增加一個消息提示，都會顯示在消息提示的首頁。5.2.4 時間設置點擊門戶菜單的系統時間設置，那么直接跳轉到“系統配置-工作參數”界面，進行時間設置。5.2.5 注銷在任意時刻，點擊門戶菜單的按鈕，彈出如下對話框：若點擊“確定”按鈕，跳轉到初始登錄

33、界面；若點擊“取消”，關閉此對話框。5.3 審計中心審計中心包括： 數據庫審計， 其它審計，實名審、domino審計和本地審計。通過審計中心，可以對系統已審計到的數據進行查看，通過設置時間等查詢條件對審計到的數據進行更精確的查詢。5.3.1 數據庫審計以系統管理員sysadmin登錄系統， 鼠標點擊左側導航欄“審計中心-數據庫審計”，即可進入數據庫審計界面。數據庫審計是對系統記錄的對數據庫的操作行為進行的審計。進入數據庫審計頁面以后，默認的查詢條件是今天，點擊查詢，可以查看今天已審計到的對數據庫的操作行為的記錄。選擇查看日期： 通過點擊下方的日期選擇需要查看的日期的審計記錄，點擊和分別向左和向

34、滑動日期， 點擊滑到日期列表的最左邊，點擊滑到日期列表的最右邊。詳細信息： 點擊一條數據，在右邊列表頁面可以查看到選中數據的詳細信息。導出：在查詢結果區域的“導出”按鈕可批量導出前1萬條記錄。點擊每條記錄右側詳細信息處可以導出當前對應的一條數據。sql回放：點擊一條數據，在右邊列表頁面的詳細信息中點擊“sql回放”,可對同一會話中的sql語句進行回放。點擊播放，界面展示sql語句已經sql語句的返回狀態。播放時可進行暫停、查看第一條和查看最后的操作。用戶關聯： 對操作來源ip可以通過點擊“用戶關聯”，在新的頁面上設置時間關聯到登錄smp認證系統的用戶名。下圖是點擊操作來源ip“192.168.

35、10.208”右側的“用戶關聯”頁面以后，查到的關聯結果示例：排序： 可以通過點擊查詢結果中的列名進行升、倒序排列。點擊“查詢”按鈕的下拉箭頭，進入到查詢設置頁面，當鼠標移動到查詢條件上時，下方的說明框里是對查詢條件的詳細說明。通過設置查詢條件，可以更精確的查詢到審計記錄。5.3.2 其它審計以系統管理員sysadmin登錄系統， 鼠標點擊左側導航欄“審計中心-其它審計”，即可進入其它審計界面。其它審計中包含了：運維，web中間件，web中間件關聯，syslog日志，snmp日志。點擊“其它審計”右側的單選框，可以切換到具體的審計頁面。比如，點擊運維單選框，運維審計頁面被打開。

36、運維運維是對訪問數據庫服務器行為的審計。進入運維審計頁面以后，默認的查詢條件是今天，點擊查詢，可以查看今天已審計到的對數據庫服務器訪問的記錄。選擇查看日期： 通過點擊下方的日期選擇需要查看的日期的審計記錄，點擊和分別向左和向滑動日期， 點擊滑到日期列表的最左邊，點擊滑到日期列表的最右邊。詳細信息： 點擊一條數據，在右邊列表頁面可以查看到選中數據的詳細信息。導出：在查詢結果區域的“導出”按鈕可批量導出前1萬條記錄。點擊每條記錄右側詳細信息處可以導出當前對應的一條數據。用戶關聯： 對操作來源ip可以通過點擊“用戶關聯”，在新的頁面上設置時間關聯到來源ip的用戶名，同數據庫審計中的該功能。排序： 可

37、以通過點擊查詢結果中的列名進行升、倒序排列。點擊“查詢”按鈕的下拉箭頭，進入到查詢設置頁面， 當鼠標移動到查詢條件上時，下方的說明框里是對查詢條件的詳細說明。通過設置查詢條件，可以更精確的查詢到審計記錄。 web中間件web中間件審計是對中間件訪問記錄的審計。進入web中間件審計頁面以后，默認的查詢條件是今天，點擊查詢，可以查看今天已審計到的對web中間件訪問情況的記錄。選擇查看日期： 通過點擊下方的日期選擇需要查看的日期的審計記錄，點擊和分別向左和向滑動日期， 點擊滑到日期列表的最左邊，點擊滑到日期列表的最右邊。詳細信息： 點擊一條數據，在右邊列表頁面可以查看到選中數據的詳細信

38、息。導出：在查詢結果區域的“導出”按鈕可批量導出前1萬條記錄。點擊每條記錄右側詳細信息處可以導出當前對應的一條數據。排序： 可以通過點擊查詢結果中的列名進行升、倒序排列。點擊“查詢”按鈕的下拉箭頭，進入到查詢設置頁面，如下圖：當鼠標移動到查詢條件上時，下方的說明框里是對查詢條件的詳細說明。通過設置查詢條件，可以更精確的查詢到審計記錄。 web中間件關聯web中間件關聯是對通過訪問web中間件來訪問數據庫服務器的行為進行關聯的結果的審計。進入web中間件關聯審計頁面以后，默認的查詢條件是今天，點擊查詢，可以查看今天已審計到的數據庫操作與web中間件訪問的兩者之間已關聯到的信息的記錄

39、。選擇查看日期： 通過點擊下方的日期選擇需要查看的日期的審計記錄，點擊和分別向左和向滑動日期， 點擊滑到日期列表的最左邊，點擊滑到日期列表的最右邊。詳細信息： 點擊一條數據，在右邊列表頁面可以查看到選中數據的詳細信息。導出：在查詢結果區域的“導出”按鈕可批量導出前1萬條記錄。點擊每條記錄右側詳細信息處可以導出當前對應的一條數據。排序： 可以通過點擊查詢結果中的列名進行升、倒序排列。點擊“查詢”按鈕的下拉箭頭，進入到查詢設置頁面，如下圖：當鼠標移動到查詢條件上時，下方的說明框里是對查詢條件的詳細說明。通過設置查詢條件，可以更精確的查詢到審計記錄。 syslog日志syslog日志是

40、對審計數據庫所在主機的syslog日志的審計。進入syslog日志審計頁面以后，默認的查詢條件是今天，點擊查詢，可以查看今天已審計到的數據庫所在主機的syslog日志審計記錄。選擇查看日期： 通過點擊下方的日期選擇需要查看的日期的審計記錄，點擊和分別向左和向滑動日期， 點擊滑到日期列表的最左邊，點擊滑到日期列表的最右邊。詳細信息： 點擊一條數據，在右邊列表頁面可以查看到選中數據的詳細信息。導出：在查詢結果區域的“導出”按鈕可批量導出前1萬條記錄。點擊每條記錄右側詳細信息處可以導出當前對應的一條數據。排序： 可以通過點擊查詢結果中的列名進行升、倒序排列。點擊“查詢”按鈕的下拉箭頭，進入到查詢設置

41、頁面當鼠標移動到查詢條件上時，下方的說明框里是對查詢條件的詳細說明。通過設置查詢條件，可以更精確的查詢到審計記錄。 snmp日志snmp日志是對審計數據庫所在主機的snmp日志的審計。進入snmp日志審計頁面以后，默認的查詢條件是今天，點擊查詢，可以查看今天已審計到的數據庫所在主機的snmp日志審計記錄。選擇查看日期： 通過點擊下方的日期選擇需要查看的日期的審計記錄，點擊和分別向左和向滑動日期， 點擊滑到日期列表的最左邊，點擊滑到日期列表的最右邊。詳細信息： 點擊一條數據，在右邊列表頁面可以查看到選中數據的詳細信息。導出：在查詢結果區域的“導出”按鈕可批量導出前1萬條記錄。點擊每

42、條記錄右側詳細信息處可以導出當前對應的一條數據。排序： 可以通過點擊查詢結果中的列名進行升、倒序排列。點擊“查詢”按鈕的下拉箭頭，進入到查詢設置頁面。當鼠標移動到查詢條件上時，下方的說明框里是對查詢條件的詳細說明。通過設置查詢條件，可以更精確的查詢到審計記錄。5.3.3 實名審計以系統管理員sysadmin登錄系統， 鼠標點擊左側導航欄“審計中心-實名審計”，即可進入實名審計界面。實名審計是此處展示的是訪問smp系統的用戶登入（用戶活動開始時間）登出（用戶活動結束時間）時間和用戶的ip。該功能默認為關閉狀態，默認用戶需要首先進行smp配置：在“查詢”按鈕下方點擊“smp配置”，彈出對話框，如下

43、圖所示：狀態：用戶可點擊選擇是否開啟smp審計功能，默認為“關”即不審計；ip、端口：指定smp關聯系統服務器的ip和端口；保存后即可生效。查詢條件包括用戶活動開始時間、用戶活動結束時間、用戶名和ip。查詢條件可以以單一條件進行查詢也可以以組合條件進行查詢（默認的查詢條件是今天）。用戶活動開始時間即用戶登入數據庫的時間，用戶活動結束時間即用戶登出數據庫的時間，只要用戶的登入和登出時間在開始時間和結束時間范圍內就會將該用戶的信息查詢出來。例如：設置的開始時間和結束時間分別是：2011-03-17 00:00:00和2011-03-18 23:59:59。則查詢結果為所有登入時間大于等于開始時間和

44、登出時間小于等于結束時間的記錄。排序： 點擊查詢結果中的列名，可對選擇列進行升、倒序排列。5.3.4 domino審計以系統管理員sysadmin登錄系統， 鼠標點擊左側導航欄“審計中心-domino審計”，即可進入實名審計界面。domino審計是針對domino文檔型數據庫產品而進行的數據庫審計。通過domino審計查詢可以根據查詢條件，把審計到的數據包括用戶名、服務器名、端口、流量、事務數、讀寫文檔數、會話時長以及數據庫等相關信息查詢出來。domino審計支持的查詢條件包括：時間范圍、domino服務器名、用戶名以及數據庫名。對于domino服務器名信息，系統可以自動從審計數據中獲取，查詢

45、時用戶手動選取服務器即可。而對于用戶名和數據庫名信息，需要用戶手動輸入關鍵字，其中支持關鍵字的模糊查詢。例如：在用戶名輸入框中輸入admin為關鍵字，就可以查詢出用戶名含有admin字段的所有用戶。domino審計查詢界面包括兩部分，查詢結果和詳細信息。查詢結果以表格形式展現domino審計信息，點擊列名可以按照該列數據進行排序。查詢結果每次返回100條記錄，可以拖動鼠標至底部進行再次查詢，直至返回所有符合條件的記錄。點擊查詢結果標題右上側的導出標志，可以對符合查詢條件的記錄進行導出，其中導出文件將以csv格式保存。詳細信息包括數據庫和其他相關信息，用戶也可以點擊導出標志，對單條審計記錄進行導

46、出，導出文件以txt格式保存。注：用戶需要以domino服務器名，在審計數據庫服務器頁面內添加domino類型的服務器。首頁就可以展現基于該domino服務器的統計信息，其中包括：會話趨勢、流量趨勢以及事務趨勢。5.3.5 本地審計以系統管理員sysadmin登錄系統， 鼠標點擊左側導航欄“審計中心-本地審計”，即可進入本地審計界面。本地審計是通過數據庫賬號、密碼（實例名）連接到數據庫服務器，查詢數據庫本身提供的審計功能審計到的數據。本地審計界面中，從數據庫服務器列表中選擇數據庫服務器，點擊“審計”，進行配置后查詢。第一次進入審計界面后，系統默認從數據庫服務器列表中選擇一個數據庫服務器，并提示

47、需要配置訪問連接所需要的數據庫賬號、密碼等（最好使用系統管理員賬號，本地審計系統不會記錄此賬號相關信息），如下圖：輸入數據庫賬號、密碼、實例名（oracle數據庫需要提供實例名）后，點擊“保存并審計”后，系統可連接到選中的數據庫服務器，并查詢出該數據庫服務器自身審計的結果。5.4 攻擊監測攻擊監測主要是監測網絡上攻擊數據庫的行為，包括對數據庫服務器的網絡攻擊檢測、運維服務攻擊檢測和操作系統的攻擊檢測。用戶可以開啟或關閉該監測，并且可以進行監測引擎配置，也可以設置條件對各種監測結果進行查詢。5.4.1 如何開啟或關閉攻擊監測以系統管理員sysadmin登錄系統，鼠標點擊左側導航欄“攻擊監測-監測

48、引擎配置”，鼠標點擊左上角顯示開關按鈕，即可實現攻擊檢測的開啟或關閉。如圖所示：在系統安裝初始狀態下，該監測事件處于開啟狀態。當攻擊檢測引擎處于停止狀態時，該按鈕顯示如下圖所示：切換開/關狀態時，會彈出如下對話框：點擊“確定”按鈕，返回到監測引擎配置界面。5.4.2 攻擊事件查詢以系統管理員sysadmin登錄系統，鼠標左鍵點擊左側導航欄中的“攻擊監測-攻擊事件查詢”，進入“攻擊事件查詢”界面。 如何設置時間范圍查詢系統默認的時間范圍查詢條件為：本日，點擊下拉按鈕可打開并選擇其余時間查詢條件。如下圖所示：時間范圍的查詢條件有：最近5分鐘、最近10分鐘、最近30分鐘、最近1小時、最

49、近3小時、最近12小時、最近24小時、最近7天、本日、本周、本月和自定義。用戶可以通過單擊按鈕更改日期和時間，如下圖所示：用戶可以單擊時間按鈕，在下拉菜單中選取時間，如上圖所示：也可以進行手動輸入，如下圖所示： 如何查看查詢結果在攻擊事件查詢界面，點擊“查詢”按鈕，左側是查詢結果列表，右側是詳細信息列表。1）查詢結果列表在查詢結果中，默認的展示列為：時間日期：數據庫攻擊事件發生的日期和時間；源ip：發生數據庫攻擊事件的源ip地址；目的ip：發生數據庫攻擊事件的目的ip地址；源端口：發生數據庫攻擊事件的源ip端口目的端口：發生數據庫攻擊事件的目的端口；協議：數據庫攻擊事件的網絡應用

50、協議；級別：數據庫攻擊事件的報警級別；特征規則：數據庫攻擊事件匹配的安全特征規則；攻擊事件描述：數據庫攻擊事件的簡單文字描述。查詢結果會以天為單位分頁顯示，點擊其中一天就可以查看當天的記錄（如上圖所示）。當前被查看的日期以灰色顯示。如果查詢條件所設置的時間范圍的跨度比較大，例如：2011.06.01到2011.06.28，則可通過 和進行上翻和下翻，通過和 進行翻到最前和最后。如果沒有符合查詢條件的數據，會在查詢結果中間顯示：“沒有找到符合條件的結果”。2）詳細信息列表選擇某一條記錄，在右側的“詳細信息”區域即顯示出該條記錄的詳細信息。 如何將監測事件導出在查詢結果區域的“導出”

51、按鈕可批量導出前1萬條記錄。點擊每條記錄右側詳細信息處可以導出當前對應的一條數據。導出文件可用excel工具打開，內容如下圖所示： 如何設置詳細查詢條件在“攻擊事件查詢”界面，點擊按鈕右側的下拉三角按鈕，即可在下方彈出詳細查詢條件。當前系統主要提供以下幾個條件的查詢：攻擊事件源ip、攻擊事件源端口、攻擊事件目的ip、攻擊事件目的端口、攻擊事件協議、攻擊事件級別、說明。其中攻擊事件源ip和攻擊事件目的ip條件需要按照ip地址的標準格式輸入，攻擊事件源端口和攻擊事件目的端口條件的端口范圍在065535之間，其中0表示無相應的端口。設置條件后，點擊“查詢”按鈕后詳細條件將隱藏，相應的查

52、詢結果將會顯示在界面上。點擊左下角的“重置所有條件”按鈕，將清空所有的查詢條件，包括將“時間范圍”條件重新置為默認條件“本日”。注：當鼠標移動到相應查詢條件時，在“說明”對話框對相應查詢條件進行詳細說明。5.4.3 監測引擎配置監測引擎配置是系統內置的安全攻擊事件匹配的配置，用戶可以自定義修改報警級別、啟用或者停用該配置。以系統管理員sysadmin登錄系統，鼠標點擊左側導航欄“攻擊監測-監測引擎配置”，即可進入監測引擎配置界面，如下圖所示：監測引擎配置界面的展示列如下：名稱：系統內置的數據庫網絡攻擊特征規則的名稱，按照攻擊對象類型主要分為三種：數據庫、操作系統、網絡應用。其中數據庫類型主要是

53、對數據庫服務器的攻擊特征規則，操作系統類型主要是對操作系統級別的攻擊特征規則，網絡應用主要是對運維服務的攻擊特征規則；如下圖所示：類型：攻擊事件的安全類型，如緩沖區溢出、權限提升、漏洞利用、口令猜測等；級別：攻擊事件的檢測報警級別，分為高、中高、中、中低、低五種；描述：攻擊特征規則的簡單文字描述。默認狀態下所有的規則都是出于啟用狀態。用戶可以自定義修改特征規則的報警級別，或者通過勾選某條規則設置啟用或著停用該規則。修改后，用戶可點擊右下方的“保存”按鈕保存相應的設置。5.5 性能分析“性能分析”主要是基于現有的數據記錄的分析，通過查看各數據庫服務器的響應延時協助用戶分析定位服務器的性能。以系統

54、管理員sysadmin登錄系統，鼠標點擊左側導航欄中的“性能分析-延時分析”菜單，進入延時分析界面，如下圖所示：5.5.1 如何指定時間范圍進行延時分析系統默認的時間范圍查詢條件為：本日，點擊下拉按鈕可打開并選擇其余時間查詢條件。如下圖所示：時間范圍的查詢條件有：最近5分鐘、最近10分鐘、最近30分鐘、最近1小時、最近3小時、最近12小時、最近24小時、最近7天、本日、本周、本月。用戶可以通過單擊按鈕更改日期和時間，如下圖所示：用戶可以單擊時間按鈕，在下拉菜單中選取時間，如上圖所示：也可以采用手動輸入，如下圖所示：5.5.2 如何查看分析結果設置查詢條件后點擊“分析”按鈕，查詢結果即顯示在下方

55、列表在查詢結果的上方會顯示查詢結果（成功/失敗）、查詢結果的總記錄數和查詢用時；查詢結果會以天為單位分頁顯示點擊其中一天就可以查看當天的記錄。當前被查看的日期以灰色顯示。如果查詢條件所設置的日期范圍的跨度比較大，例如：2011.06.01到2011.06.28，則可通過 和進行上翻和下翻，通過和 進行翻到最前和最后。如果沒有符合查詢條件的數據，會在查詢結果中間顯示：“沒有找到符合條件的結果”。5.5.3 如何設置詳細分析條件在“延時分析”界面，點擊按鈕右側的下拉三角按鈕，即可在下方彈出詳細查詢條件設置菜單，如下圖所示：通過勾選和手動填寫可以增加查詢條件注：當鼠標移動到相應查詢條件時，在“說明”對話框對相應查詢條件進行詳細說明。如果要重新選擇全部條件，可以點擊“重置條件”按鈕進行全部條件的重新設置。5.6 統計分析 統計分析分為sql操作類型統計、事件類型統計和流量統計三種統計方式。5.6.1 sql操作類型統計sql操作