1、天融信數據庫審計系統天融信數據庫審計系統TA-DBV3.1.002用戶手冊用戶手冊天融信TOPSEC北京市海淀區上地東路 1 號華控大廈 100085電話：+8610-82776666傳真：+8610-82776677服務熱線：+8610-8008105119http:/版權聲明版權聲明本手冊中的所有內容及格式的版權屬于北京天融信公司（以下簡稱天融信）所有，未經天融信許可，任何人不得仿制、拷貝、轉譯或任意引用。版權所有 不得翻印 2013 天融信公司商標聲明商標聲明本手冊中所談及的產品名稱僅做識別之用。手冊中涉及的其他公司的注冊商標或是版權屬各商標注冊人所有，恕不逐一列明。TOPSEC 天融信

2、公司信息反饋信息反饋http:/天融信數據庫審計系統 TA-DB 用戶手冊服務熱線：8008105119 i目目 錄錄1前言前言.11.1文檔目的.11.2讀者對象.11.3約定.11.4技術服務體系.12產品簡介產品簡介.33界面基本操作界面基本操作.44系統管理系統管理.64.1系統狀態.64.2系統配置.84.2.1系統web界面配置.84.2.2網絡主機名配置.94.2.3系統主機名配置.114.2.4系統配置管理.124.2.5接口配置.144.2.6路由配置.164.2.7系統時間配置.184.2.8磁盤管理.204.2.9系統訪問控制.244.2.10設置向導頁.254.2.11

3、網絡接口配置.264.2.12安裝包列表.264.3服務管理.264.4服務對象管理.284.5下級設備管理.314.6任務管理.354.7用戶管理.394.7.1角色管理.394.7.2用戶管理.424.7.3修改我的密碼.454.8主機信息.464.8.1主機管理.464.8.2掃描主機.485安全審計安全審計.505.1審計管理.505.1.1應用協議審計.505.1.2在線用戶管理.635.1.3數據庫審計管理.63天融信數據庫審計系統 TA-DB 用戶手冊服務熱線：8008105119 ii5.1.4列集配置.665.1.5過慮器配置.675.1.6審計配置.685.1.7索引管理.

4、705.2系統日志管理.715.2.1系統日志事件處理中心.725.2.2系統日志審計.725.2.3自定義日志規則.725.3系統報警管理.735.3.1系統報警審計.735.3.2系統報警規則.745.3.3自定義報警規則.775.3.4報警事件處理中心.795.3.5潛在危害分析.845.3.6系統報警閥值設置.855.3.7IPS規則管理.865.3.8系統報警統計分析.865.4業務關聯.895.4.1業務視圖配置.895.4.2Web規則配置.905.5事件辨別擴展管理.945.6統計分析管理.955.6.1統計分析配置.955.6.2自定義報表.1005.6.3統計報表管理.10

5、25.7審計策略.1035.7.1協議端口匹配規則.1035.7.2協議自動匹配規則.1045.7.3WebMail模板設置.1055.7.4數據采集規則.1065.7.5審計級別管理.1085.7.6系統抓包規則配置.1155.7.7事件處理中心.1175.7.8系統包過慮規則.1225.8IP 規則管理.1236流量分析流量分析.1236.1網絡流量分析.1236.2歷史流量查詢.1256.2.1流量統計.1256.2.2流量趨勢.1276.2.3流量查詢.1286.3流量分析配置.1296.4多點多級模式下的流量統計.1306.5多點多級模式下的歷史流量統計.132天融信數據庫審計系統

6、TA-DB 用戶手冊服務熱線：8008105119 iii6.6多點多級模式下的流量趨勢查詢.134附錄附錄 A過濾器語法過濾器語法.136天融信數據庫審計系統 TA-DB 用戶手冊服務熱線：8008105119 11 前言前言本手冊主要介紹天融信數據庫審計系統（TA-DB）的配置使用和管理。通過閱讀本文檔，用戶可以了解天融信數據庫審計系統的主要功能，并根據實際應用環境安裝和配置天融信數據庫審計系統。1.1 文檔目的文檔目的本文檔主要介紹如何配置該系統。通過閱讀本文檔，用戶能夠正確地配置系統，并綜合運用該系統提供的多種安全管理方法，有效地管理網絡中的安全設備，實現高效可靠的統一管理。1.2 讀

7、者對象讀者對象本用戶手冊適用于具有基本網絡知識的系統管理員和網絡管理員閱讀。1.3 約定約定本文檔遵循以下約定。圖形界面操作的描述采用以下約定： “”表示按鈕。點擊（選擇）一個菜單項采用如下約定：點擊（選擇） 高級管理高級管理 特殊對象特殊對象 用戶用戶。文檔中出現的提示、警告、說明、示例等，是關于用戶在安裝和配置天融信數據庫審計系統過程中需要特別注意的部分，請用戶在明確可能的操作結果后，再進行相關配置。1.4 技術服務體系技術服務體系天融信公司對于自身所有安全產品提供遠程產品咨詢服務，廣大用戶和合作伙伴可以通過多種方式獲取在線文檔、疑難解答等全方位的技術支持。公司主頁天融信數據庫審計系統 T

8、A-DB 用戶手冊服務熱線：8008105119 2http:/ TA-DB 用戶手冊服務熱線：8008105119 32 產品簡介產品簡介天融信網絡審計系統（TA-DB）是由北京天融信公司自主研發，面向企業級用戶，集行為監控與內容審計為一體的產品。它以旁路的方式部署在網絡中，不影響網絡的性能，且該產品的萬兆平臺支持串聯方式接入網絡，實現串聯網絡環境下的數據監聽和審計。具有實時的網絡數據采集能力、強大的審計分析功能以及智能的信息處理能力。通過使用該系統，可以實現如下目標：監控用戶的數據庫操作行為、審計用戶的網絡傳輸內容。實現網絡行為報警以及后期取證。實現對網絡各應用流量的統計分析。該產品適用于

9、對信息保密、非法信息傳播/控制比較關心的單位，或需要實施網絡行為監控的單位和部門，如政府、軍隊機關的網絡管理部門，公安、保密、司法等國家授權的網絡安全監察部門，金融、電信、電力、保險、海關、商檢、學校、軍工等各行業網絡管理中心，以及大中型企業網絡管理中心等。注意注意：TA-DB 所能監控與審計的協議因客戶購買的授權許可不同，會存在一定的差別。天融信數據庫審計系統 TA-DB 用戶手冊服務熱線：8008105119 43 界面基本操作界面基本操作簡單介紹一下界面的基本操作。1）管理員在管理主機的瀏覽器上輸入 TA-DB 的管理 URL。如，https：/54，彈出如下登陸頁

10、面。2）輸入用戶名密碼后（默認出廠用戶名/密碼為：superman/talent），點擊“登錄”，就可以進入管理頁面。管理界面默認顯示系統狀態，包括：硬盤利用率、CPU 利用率、內存利用率系統界面主要分為三個部分，如下圖頭部區域導航欄主顯示區域天融信數據庫審計系統 TA-DB 用戶手冊服務熱線：8008105119 5界面頭部用于選擇操作的子模塊，顯示重要信息。如下圖通過頭部的菜單顯示模式選擇功能可以實現菜單顯示的切換，目前支持以下三種模式：精簡模式，適合用戶日常操作使用高級模式，適合對系統進行高級配置使用專家模式，適合對系統有高度了解的專業人員使用導航欄與主顯示區域因具體模塊不同而顯示不同，

11、在此不做具體說明。在 系統管理模塊系統管理模塊 系統狀態系統狀態 系統系統 licenselicense 配置配置 界面中可以查看系統的授權信息、最終客戶名、系統型號、版本號、購買的各功能模塊開啟情況。天融信數據庫審計系統 TA-DB 用戶手冊服務熱線：8008105119 64 系統管理系統管理4.1 系統狀態系統狀態系統狀態包括系統狀態和系統 License 配置。系統狀態中顯示系統設備狀態，系統License 配置中顯示系統基本信息和證書信息。選擇系統管理系統管理 系統狀態系統狀態 系統狀態系統狀態，進入設備監控頁面。分為兩部分，分別是當前設備和下級設備。在左邊菜單欄顯示如下：1）修改、

12、添加監控模塊。右側主界面顯示如下：顯示當前所有監控的主機信息。包括被監控對象設備號、設備 IP 地址、所監控模塊、連接狀態以及連接測試功能，當添加了監控對象后，可以點擊連接測試，可以測試網絡是否通暢。天融信數據庫審計系統 TA-DB 用戶手冊服務熱線：8008105119 7選擇“監控模塊配置”。按照上圖提示步驟 1、2，選中設備并點擊監控模塊配置，彈出配置信息對話框如下：點擊添加（同樣在此選中模塊并點擊刪除和修改，可以對設備監控模塊進行修改）按照圖示，選擇好所要監控模塊，以及顯示的圖例類型和顏色，并點擊保存，則配置完成。2）查看本機詳細信息：天融信數據庫審計系統 TA-DB 用戶手冊服務熱線

13、：8008105119 8點擊左側菜單中的 當前設備當前設備 localhostlocalhost，在右將顯示其所監控對象信息，如下圖：查看下級設備的步驟和查看本機一致，只要在左側菜單選中相應的設備，即在主窗口顯示出來。4.2 系統配置系統配置系統配置包括系統 web 界面配置、網絡主機名配置、系統主機名配置、系統配置管理、接口配置、路由配置、系統時間配置、磁盤管理、系統訪問控制、設置向導頁、網絡接口配置、安裝包管理。4.2.1 系統系統 web 界面配置界面配置管理員通過系統 WEB 頁面配置，可以配置 WEB 頁面的登錄超時時間和登錄重試次數和鎖定時間，在 WEB 管理頁面上，進入系統管理

14、系統管理 系統配置系統配置 系統系統 WEBWEB 頁面配置頁面配置，可以看到配置框。 天融信數據庫審計系統 TA-DB 用戶手冊服務熱線：8008105119 9配置完成后點擊“保存”按鈕就能完成配置。注意注意：配置保存成功后必須重啟 HTTPD 服務才能是配置生效，用戶可以選擇立即重啟，也能稍后在服務管理模塊中手動重啟 HTTPD 服務，服務重啟后用戶必須重新登錄。4.2.2 網絡主機名配置網絡主機名配置管理員通過網絡主機名配置可以配置主機與名稱的對應關系，在 WEB 管理頁面上，點擊系統管理系統管理 系統配置系統配置 網絡主機名配置網絡主機名配置，進入網絡主機名管理頁面，可以對主機名進行

15、添加，修改和刪除操作。1）添加網絡主機名：點擊“添加網絡主機名”按鈕，在彈出的配置框中進行網絡主機名配置。（主機名不支持特殊字符）天融信數據庫審計系統 TA-DB 用戶手冊服務熱線：8008105119 10配置完成后點擊“保存”按鈕完成配置。2）修改網絡主機名：在列表中選擇需要修改的網絡主機。點擊“修改網絡主機”按鈕，在彈出的配置框里進行信息修改，點擊“保存”按鈕完成修改。3）刪除網絡主機：在列表中選擇需要刪除的網絡主機。點擊“刪除網絡主機”按鈕，在彈出的提示框里點擊“是”按鈕完成刪除。天融信數據庫審計系統 TA-DB 用戶手冊服務熱線：8008105119 114.2.3 系統主機名配置系

16、統主機名配置管理員通過系統主機名配置可以配置系統主機名稱和 DNS 服務器，在 WEB 管理頁面上，進入系統管理系統管理 系統配置系統配置 系統主機名配置系統主機名配置，進入配置界面，配置完成后點擊“保存”按鈕完成配置。天融信數據庫審計系統 TA-DB 用戶手冊服務熱線：8008105119 124.2.4 系統配置管理系統配置管理管理員通過系統配置管理可以對系統配置進行管理配置，在 WEB 管理頁面上，進入系系統管理統管理 系統配置系統配置 系統配置管理系統配置管理，進入配置界面，可以對系統配置進行保存、導入、導出和恢復出廠設置。1）配置保存：點擊“配置保存”按鈕，頁面彈出保存進度條，進度條

17、結束后配置保存操作結束，下次系統重啟后將加載保存的配置。2）配置導出：點擊“配置導出”按鈕，頁面彈出配置文件下載框，用戶可以將配置文件下載到本機上。天融信數據庫審計系統 TA-DB 用戶手冊服務熱線：8008105119 13注意：在 IE 瀏覽器上必須把下載選項全都選上，以免文件下載框無法彈出。3）配置導入：點擊“配置導入”按鈕，頁面彈出文件上傳提示框，用戶可以選擇本機上的配置文件，點擊“上傳”按鈕，完成配置導入。注意注意：配置導入成功后系統配置將馬上生效。4）恢復出廠配置：點擊“恢復出廠配置”按鈕，系統將導出出廠的配置文件，系統配置將即時恢復到出廠時。天融信數據庫審計系統 TA-DB 用戶

18、手冊服務熱線：8008105119 144.2.5 接口配置接口配置管理員通過接口配置可以對系統接口進行管理配置，在 WEB 管理頁面上，進入系統管系統管理理 系統配置系統配置 接口配置接口配置，進入系統接口列表界面，可以對系統網絡接口配置進行添加IP，修改 IP，刪除 IP，啟用接口，停用接口操作。1)添加接口 IP：點擊“添加接口 IP”按鈕，在彈出的接口配置頁面中可以配置接口的IP 地址和掩碼，配置結束后點擊“保存”按鈕完成操作。天融信數據庫審計系統 TA-DB 用戶手冊服務熱線：8008105119 152)修改接口 IP：在接口列表中選擇需要修改的接口，點擊“修改接口 IP”按鈕，在

19、彈出的接口配置頁面中可以修改 IP 地址和掩碼(可以添加 ipv6 地址)，配置結束后點擊“保存”按鈕完成操作。3)刪除接口 IP：在接口列表中選擇需要刪除的接口，點擊“刪除接口 IP”按鈕，完成操作。天融信數據庫審計系統 TA-DB 用戶手冊服務熱線：8008105119 164)啟用接口：在接口列表中選擇需要啟用的接口，點擊“啟用接口”按鈕，完成操作。5)停用接口：在接口列表中選擇需要停用的接口，點擊“停用接口”按鈕，完成操作。4.2.6 路由配置路由配置管理員通過路由配置可以對系統路由進行管理配置，在 WEB 管理頁面上，進入系統管系統管理理 系統配置系統配置 路由配置路由配置，進入系統

20、路由列表界面，可以對系統路由進行添加，刪除操作。天融信數據庫審計系統 TA-DB 用戶手冊服務熱線：8008105119 171）添加路由：點擊“添加路由”按鈕，在路由配置頁面中可以配置路由的目的地址和網關、網口，配置完成后點擊“保存”按鈕完成操作。2）刪除路由：在列表中選擇要刪除的路由，點擊“刪除路由”按鈕，完成操作。天融信數據庫審計系統 TA-DB 用戶手冊服務熱線：8008105119 184.2.7 系統時間配置系統時間配置系統時間配置模塊可以設置系統的時間、日期、時區信息，以及配置用于系統同步時間的 NTP（Network Time Protocol 網絡時間協議，計算機時間同步化的

21、一種協議）服務器。選擇系統管理系統管理 系統配置系統配置 系統時間配置系統時間配置,進入系統時間配置頁面。系統時間配置模塊右側是時間設定面板，可以設定系統時間、時區等信息。界面右下方有兩個按鈕。“保存”按鈕可以保存當前在右側設定面板內設定的各項設置?！爸刂谩卑粹o可以重置未保存的修改。當您需要修改系統日期時，請單擊日期框的右側“日歷”按鈕。天融信數據庫審計系統 TA-DB 用戶手冊服務熱線：8008105119 19此時，將彈出一個微型日歷。您可以點擊選擇年、月、日或點擊“今天”按鈕選擇當前操作系統的時間。當您需要修改系統時間時，您可以點擊時間下拉框右方的下拉按鈕選擇整數時間，或直接輸入需要設置

22、的時間，時間格式為：“時：分：秒”。當您需要修改系統時區時，請單擊“修改系統時區”按鈕，系統將會列出所有時區選項。單擊您所要修改的時區，然后點擊“保存”按鈕保存設置。需要注意的是，系統時間、日期和失去修改后，均需要點擊面板右下角的“保存”按鈕，保存配置才能生效。若您的工作網絡內架設有 NTP 服務器，并且您想通過其校準設備時間。您可以點擊NTP 服務器設置框的“添加”按鈕。天融信數據庫審計系統 TA-DB 用戶手冊服務熱線：8008105119 20在彈出的“添加 NTP 服務器”對話框中輸入服務器的 IP 地址或域名，隨后點擊“添加”后保存設置。若添加正常，右側 NTP 服務器列表將出現剛才

23、添加的 NTP 服務器地址。添加成功后，建議您使用系統測試功能測試添加的 NTP 服務器是否可以正常使用。用鼠標選中剛剛添加的 NTP 服務器地址，并點擊“測試”按鈕。若出現“測試成功”字樣的提示框，則表明設備可以與 NTP 服務器正常聯通并校準時間。反之表明設備無法取得 NTP服務器的信息，請檢查添加的 NTP 服務器 IP 地址或域名是否正確。當您成功設置了一臺以上的 NTP 服務器后，您可以點擊“同步”按鈕進行時間同步。要注意的是，若您已經添加了多臺 NTP 服務器，系統將按 ID 的先后順序同步系統時間，并天融信數據庫審計系統 TA-DB 用戶手冊服務熱線：8008105119 21以

24、最先成功同步的 NTP 服務器返回的時間為準。同步的時候注意 NTP 服務器的 NTP 服務必須打開，本機的 NTP 服務停止，在系統服務中可以配置。4.2.8 磁盤管理磁盤管理點擊 系統管理系統管理 系統配置系統配置 磁盤管理磁盤管理，能夠顯示當前系統的磁盤使用情況，并能對磁盤數據進行備份、清理操作。 磁盤狀態磁盤狀態磁盤狀態顯示數據對象占用磁盤空間大小，以餅狀或柱狀圖形顯示磁盤狀態,點擊“”實現圖形的切換。 數據數據備份備份手動備份數據就是根據用戶手動添加的規則，進行數據備份工作。選擇要備份的數據對象：下拉列表中會顯示系統中可備份的數據源類型。天融信數據庫審計系

25、統 TA-DB 用戶手冊服務熱線：8008105119 22時間對象選項中填寫一個數字，這個數字代表備份多少天之前的數據，例如填 1，代表刪除一天以前的數據，我們這里規定一天以前的數據就是昨天的數據。圖中 30 代表備份30 天以前的數據。備份服務器是預先配置好的 ftp 服務器，數據將備份到這臺指定的服務器上。（關于ftp 服務器配置請參見 4.4 服務對象管理）是否保留備份數據：有兩個選項，一個是保留，一個刪除。保留就是在備份完成以后，還保留原來系統中的數據不刪除。刪除則是在備份完成以后，將已經備份完成的部分的數據刪除。點擊數據備份按鈕，系統就會按照前面填好的配置進行備份工作。數據備份規則

26、是用戶添加備份的規則，配置好以后不需要人工操作，而由后臺程序檢查符合條件定期執行。點擊添加，如下圖所示：天融信數據庫審計系統 TA-DB 用戶手冊服務熱線：8008105119 23磁盤利用率上升至百分之多少的時候執行備份工作，這是激活備份功能的條件。注意，這里的磁盤利用率只能填 0-100 的 10 的倍數，如 30,50,70，以 70 為例，它代表磁盤利用率為 70%79%這之間的任何一個利用率狀態，而添加 55 這類的數字，則不會被系統識別，因為磁盤利用率剛好達到 55%這個離散的點的概率太低，不便于滿足實際的操作效果。其他四項和手動備份中的選項意義相同。點擊保存，規則就添加完成了。當

27、系統磁盤的利用率到達 70%的時候，系統會自動備份 30 天以前的還原數據到 ftp_test 服務器上，并且保留原來的數據。 數據數據清理清理數據清理模塊幫助用戶清理過期無效數據。可以手動清理或自定義數據清理規則。1）手動清理數據。磁盤清理需要配置要清理的數據對象，如下圖，在數據對象的下列表中選擇想要清理的數據源，在時間對象中填入一個整數，這個整數代表刪除多少天以前的數據。例如，下圖中的配置代表清理 30 天以前的還原數據。點擊右側的數據清理按鈕，系統立即執行清理工作。2）數據清理規則是用戶添加備份的規則，配置好以后不需要人工操作，而由后臺程序檢查符合條件定期執行。點擊“添加”

28、，在規則選項頁面配置好參數“保存”。規則添加完成。天融信數據庫審計系統 TA-DB 用戶手冊服務熱線：8008105119 24磁盤利用率上升至百分之多少的時候執行備份工作，這是激活備份功能的條件。注意，這里的磁盤利用率只能填 0-100 的 10 的倍數，如 30,50,70，以 80 為例，它代表磁盤利用率為 80%89%這之間的任何一個利用率狀態，而添加 55 這類的數字，則不會被系統識別,因為磁盤利用率剛好達到 55%這個離散的點的概率太低，不便于滿足實際的操作效果。數據對象是要清理的數據源類型，時間對象這里填入一個整數，代表清理多少天以前的數據。當系統磁盤的利用率到達 80%的時候，

29、系統會自動清理 30 天以前的統計分析數據。4.2.9 系統訪問控制系統訪問控制系統訪問控制可以禁止某些 IP 或 IP 域訪問 TAW 設備。你若需要禁止某些 IP 或 IP 域訪問 TAW 設備，請點擊“添加”按鈕，并在彈出的輸入框中輸入要禁止的 IP 地址（域）。允許的格式有標準的 IP 地址格式（如 ）或 CIDR 格式（如 /24）。IP 地址格式支持 IPV6。天融信數據庫審計系統 TA-DB 用戶手冊服務熱線：8008105119 25若添加成功，列表中將會顯示您剛才添加的 IP 地址（域）。當所有需要禁止的 IP 地址或地址域均已

30、添加后，請單擊“啟用訪問控制”按鈕，使您的當前設置生效。若您需要查看當前訪問控制的運行狀態，請點擊“訪問控制狀態”按鈕，系統會返回訪問控制進程當前的狀態。Firewall is Stop 表明訪問控制處于禁用狀態，Firewall is Running 表明訪問控制處于啟用狀態，并在中括號內顯示訪問控制的進程 ID。4.2.10設置向導頁設置向導頁設置向導頁模塊，指導用戶方便快捷的完成審計策略的配置。包括：數據采集規則，協議端口匹配規則，協議自動匹配規則，以及審計級別配置。點擊系統管理 系統配置 設置向導頁，設置向導頁，進入設置向導頁。選擇“點擊進入”進入數據采集規則頁面，設置數據采集規則。天

31、融信數據庫審計系統 TA-DB 用戶手冊服務熱線：8008105119 26設置完畢后依次點擊“下一步”，可以進入“協議端口匹配規則”、“協議自動匹配規則”、“審計級別設置”頁面。分別在各設置頁面進行設置，快速完成系統審計策略的配置。各頁面的規則配置請參見 5.7 審計策略。4.2.11網絡接口配置網絡接口配置網絡接口配置模塊，在系統串聯時應用。在此不做詳述。4.2.12安裝包安裝包列表列表安裝包管理中列出了產品出廠時灌裝的數據包，每個數據包都有自己的功能。列表中詳細的介紹了數據包的信息，例如版本、編譯次數、支持平臺、狀態等等?？梢赃x擇某個已安裝的數據包“更新”、“卸載”，未安裝的可以選擇“安

32、裝”，也可以選擇安裝包“上傳”。具體的操作步驟在此不一 一闡述。天融信數據庫審計系統 TA-DB 用戶手冊服務熱線：8008105119 274.3 服務管理服務管理服務管理模塊列出了當前系統安裝的所有服務模塊，您可以在此統一管理系統的各項服務的開啟、關閉和一些必要設置。如圖所示，每行都對應一項服務。第一列顯示的是服務的名稱，該列是唯一的；第二列顯示的是服務的服務狀態。狀態若為“Stop”則表明此服務處于停止狀態，若為 Running進程 ID 值，則表明此服務處于啟動狀態，其中括號中的數值代表服務的進程ID 號（可以有一個或多個）。第三至五列為服務的操作按鈕，“啟動服務”，“重新啟動”，“停

33、止服務”，“服務配置”幾個按鈕，分別對應著服務的“啟動”，“重新啟動”，“停止”及“配置”四天融信數據庫審計系統 TA-DB 用戶手冊服務熱線：8008105119 28種操作。需要注意的是，服務有可能沒有擴展配置，所以有些服務無法點擊“服務配置”是正常的。第六列顯示的是服務的描述信息，簡單描述該服務的用途。您若要啟動某項服務，請點擊該服務列中的“啟動服務”列中的圖標，并在彈出的確認提示框中點擊“是”，即可啟動該服務。停止與重新啟動服務的操作與啟動服務的操作類似，點擊相應列中的圖標即可。當您需要設置某項服務的擴展設置時（如 SNMP 服務），請點擊“服務配置”列中的圖標，頁面將會跳轉至該服務的

34、配置頁面。需要注意的是，在您配置結束時，您需要點擊右下角的“保存”按鈕保存您的設置?！胺祷亓斜怼卑粹o可以幫助您在配置結束時返回服務管理模塊頁面。4.4 服務對象管理服務對象管理服務對象管理包括 SMTP 服務器配置、防火墻聯動配置、FTP 服務器配置。在此模塊主要完成服務對象的添加、刪除和修改功能。1）SMTP 服務器配置天融信數據庫審計系統 TA-DB 用戶手冊服務熱線：8008105119 29主菜單中依次點擊：系統管理系統管理 服務對象管理服務對象管理 SMTP 服務器配置服務器配置。進入 SMTP 服務器配置頁面。添加配置：點擊“添加”。 按照要求，填入相應配置信息，點擊“添加”保存并

35、退出。修改配置：選中需要配置的服務,點擊修改，彈出如下配置窗口。按照提示，修改相應參數，修改完成后點擊“修改”進行保存退出。天融信數據庫審計系統 TA-DB 用戶手冊服務熱線：8008105119 30刪除配置：選中需要刪除的服務,點擊“刪除”。測試服務：添加完后，選中目標服務器，點擊“測試”彈出如下對話框，填入接收人郵箱地址，點擊“測試”，發送成功后會提示用戶登錄接收人郵箱，并查看測試郵件是否正常接受，否則提示測試失敗。2）防火墻聯動配置主菜單中依次點擊：系統管理系統管理 服務對象管理服務對象管理 防火墻聯動配置防火墻聯動配置。進入防火墻聯動配置頁面。添加配置：點擊“添加”。 按照要求，填入

36、相應配置信息，點擊“添加”保存并退出。天融信數據庫審計系統 TA-DB 用戶手冊服務熱線：8008105119 31刪除配置：選中需要刪除的服務,點擊“刪除”。測試服務：添加完后，選中目標服務器，點擊“測試”，進行防火墻通信測試。（注意：防火墻聯動目前只支持天融信防火墻，防火墻密鑰需要在防火墻上去獲取。）3）FTP 服務器配置主菜單中依次點擊：系統管理系統管理 服務對象管理服務對象管理 FTP 服務器配置服務器配置，進入 FTP 服務器配置頁面。添加配置：點擊“添加”，彈出添加服務配置對話框。按照要求，填入相應配置信息，點擊“添加”保存并退出。刪除配置：選中需要刪除的服務，點擊“刪除”。天融信

37、數據庫審計系統 TA-DB 用戶手冊服務熱線：8008105119 32測試服務：添加完服務器后，選中目標服務器，點擊“測試”，進行 FTP 通信測試，成功返回。4.5 下級設備管理下級設備管理系統下級設備管理模塊可以指導您方便的添加、刪除和管理下級設備。若要使用該模塊，請先將系統設置為“高級模式”或“專家模式”，而后您便能在“系統管理”菜單中看到“下級設備管理”選項卡。在添加下級設備之前，請首先在要添加的下級設備中確認以下事項：1）下級設備已正常啟動并完成初始化工作。2）下級設備已經添加一個適用于遠程管理的用戶。該用戶所屬的角色需要有設備的服務管理權限和查看設備狀態的權限。3）下級設備已經正

38、確設置 webservices 服務并以成功開啟該服務。您可在下級設備菜單中，選擇 系統管理系統管理 服務管理服務管理，在菜單中查找 webservices 項目，若服務狀態顯示為Running，則表明服務已成功開啟。下級設備管理：天融信數據庫審計系統 TA-DB 用戶手冊服務熱線：8008105119 33您可以點擊“添加”按鈕，并在彈出的“下級設備選項”對話框的“下級設備webservices 通訊設置”中填入要添加的下級設備的必要信息。其中 IP 地址為下級設備的 IP 地址；通訊端口為下級設備 webservices 的服務端口（默認為 8888）；認證用戶名及密碼為 webservi

39、ces 通訊時使用的用戶認證信息；部署方式為“多點設備”或“多級設備”兩種。填寫完這些信息后，請點擊“獲取下級信息”按鈕。這時設備會自動獲取下級的設備相關信息。天融信數據庫審計系統 TA-DB 用戶手冊服務熱線：8008105119 34獲取的信息會顯示在“下級設備配置”框中，包括“設備 ID”，“設備名稱”，“設備服務地址”（注：為空則使用下級的默認的 IP 地址），“設備服務端口”這四項。請首先核對設備 ID 是否與要添加的下級設備 ID 匹配。您可以更改“設備名稱”項，使用您便于記憶的設備名稱。默認獲取的是設備注冊時的名稱信息。確認無誤后，點擊“添加”按鈕。若添加成功，您可在設備列表中看

40、到剛添加的設備信息。若您要刪除某個下級設備，您可以在列表中選擇要刪除的行，并點擊“刪除”按鈕。若您要修改某個下級設備設置，您可以在列表中選擇要修改的設備，并點擊“修改”按鈕。需要注意的是，修改設備對話框不支持您修改設備的 IP 地址及部署方式，您若已經改變設備的 IP 地址及部署方式，應將舊設置刪除而后添加新的設置。常見錯誤信息：添加、修改下級設備屬性時，系統會檢測當前的下級設備樹（由設備上下級部署模式構成的一棵樹形結構），檢測通過后會執行預制命令設置下級節點。倘若不符合部署規范，或運行命令時出錯，系統會彈出提示。常用的提示有：天融信數據庫審計系統 TA-DB 用戶手冊服務熱線：8008105

41、119 35Add node is localhost.表明添加的下級設備 ID 號與本機（上級設備）相同，請檢查您的設置信息是否正確。Add node has localhost subdevice in current topology.表明本機節點已經存在于要添加的下級設備的下級樹中，部署模式禁止這種添加方式。Add node is a subdevice in current topology.表明加的下級設備已經在設備下級樹中，您不能重復添加下級設備。Order subdevice failed.Error cli ： 錯誤信息 表明在下級設備上執行預制操作命令時失敗，并顯示失敗的命

42、令。執行失敗可能是 IP地址設置有誤，認證用戶名及密碼設置有誤或權限不夠等原因所導致。設備連接選項：若您對本設備操作及部署比較熟悉，您也可以修改下級設備添加執行時的選項。點擊“設置”按鈕，您會看到以下三項選項。其中，第一項為選擇是否開啟添加前的檢查，關閉添加前的檢查雖然可以加快添加執行的速度，但是具有一定風險，強烈建議您開啟此選項（默認開啟）。連接超時時間及連接嘗試次數為設置添加設備時，上下級設備交互的最大等待時間和失敗重試次數，若您的網絡狀況不好時，可以適當延長超時時間和增加嘗試次數。一般情況下建議保持默認。4.6 任務管理任務管理管理員通過任務管理頁面可以管理對下級設備下發的策略和從上級收

43、到的策略，點擊系統管理系統管理 任務管理任務管理 任務管理任務管理，進入任務列表頁面。天融信數據庫審計系統 TA-DB 用戶手冊服務熱線：8008105119 36任務管理包含兩個子模塊：“我發起的任務”和“我接收的任務”，如圖：下發策略：系統對配置的策略提供下發策略的功能，以自定義審計條件為例，勾選上需要下發的策略，點擊“添加到待下發策略”按鈕，將策略添加到待下發策略列表中。在待下發策略頁面中，左側是下發策略的列表，用戶對下發策略進行上移，下移的順序調整，刪除策略。清空策略等操作；右側是下發策略的具體內容，即策略的 CLI 命令，用戶也可以手動編輯下發策略內容。天融信數據庫審計系統 TA-D

44、B 用戶手冊服務熱線：8008105119 37注意：除非是專業的技術人員，否則最好不要在頁面右側手動編輯策略的 CLI 命令，容易出現錯誤。策略編輯完成后，點擊“策略下發”按鈕進行策略下發，在彈出的下發信息配置框中，用戶可以選擇策略下發的下級設備，策略接收的用戶，備注等信息。下級設備列表是用戶添加的下級設備，詳情參看系統下級設備添加模塊；策略接收用戶分為自動執行和選擇接收用戶：自動執行指策略下發到下級設備馬上就執行；如果選擇用戶，則策略下發到下級設備后不會馬上執行，必須有指定的用戶才能執行。天融信數據庫審計系統 TA-DB 用戶手冊服務熱線：8008105119 38配置完成后點擊“策略下發

45、”按鈕進行策略下發，管理頁面會跳轉到任務管理任務管理 我我下發的任務下發的任務 的任務列表。點擊“詳情”按鈕能看見具體的下發策略內容。同時，在下級設備上的 任務管理任務管理 我接收的任務我接收的任務中，會有接收到的任務信息。同樣，點擊“詳情”按鈕看到接收到的策略的具體信息，該信息和上級設備中“我發起的任務”中的任務詳情是一致的，此時，下級用戶 superman 能夠看到對發給自己的任務進行確認，執行和拒絕等操作。天融信數據庫審計系統 TA-DB 用戶手冊服務熱線：8008105119 39當任務狀態是“新建任務，待確認”時，必須先點擊“確認”按鈕確認任務，此時任務狀態變為“已確認”，點擊“執行

46、”按鈕執行命令，如果成功，任務狀態變為“執行完畢”，如果失敗，任務狀態變為“操作失敗”；用戶也可以點擊“拒絕”按鈕拒絕執行任務，并發送拒絕原因給上級設備。4.7 用戶管理用戶管理用戶管理模塊，主要實現用戶的增、刪、改、查和角色權限分配的編輯功能。4.7.1 角色管理角色管理TA-DB 支持用戶通過 WEB 頁面進行系統角色管理，在 WEB 管理頁面上，進入 系統管理系統管理 用戶管理用戶管理 角色管理角色管理，可以看到角色列表，能對角色進行添加，刪除和角色授權。天融信數據庫審計系統 TA-DB 用戶手冊服務熱線：8008105119 401）新建角色：點擊“新建角色”，彈出角色配置框，可以添加

47、角色名稱，并且支持從原有的角色中繼承角色權限。天融信數據庫審計系統 TA-DB 用戶手冊服務熱線：8008105119 412）刪除角色：在角色列表中選擇要刪除的角色，點擊“刪除角色”按鈕就能完成刪除操作。注意：系統默認的角色是無法刪除的。3）角色授權：在角色列表中選擇要配置權限的角色，點擊“角色授權”按鈕，進行角色的權限配置。天融信數據庫審計系統 TA-DB 用戶手冊服務熱線：8008105119 42系統的每個模塊分為“讀”，“寫”，“編輯”，“刪除”，“操作”五種權限，可以對每個模塊的每個權限進行配置，配置完權限后點擊“保存”按鈕就能完成對角色權限的配置。4.7.2 用戶管理用戶管理TA

48、-DB 支持用戶通過 WEB 頁面進行系統用戶管理，在 WEB 管理頁面上，進入 系統管理系統管理 用戶管理用戶管理 用戶管理用戶管理，可以看到系統用戶列表，可以對系統用戶進行添加和刪除操作。天融信數據庫審計系統 TA-DB 用戶手冊服務熱線：8008105119 431）添加用戶，點擊“添加用戶”按鈕，可以進入用戶信息的配置框，添加用戶名，密碼和用戶角色等用戶信息，配置完成后點擊“添加”按鈕完成用戶的添加。注意：用戶添加完畢后必須重啟 HTTPD 服務，添加用戶才生效。天融信數據庫審計系統 TA-DB 用戶手冊服務熱線：8008105119 442）刪除用戶，在列表中選擇要刪除的用戶，點擊“

49、刪除用戶”按鈕，完成對用戶的刪除操作。注意：系統默認的用戶是無法刪除的。3）導出用戶證書。點擊“導出用戶證書”，彈出獲取用戶證書的信息頁面，在該頁面鍵入相應信息，點擊“獲取證書”即可。天融信數據庫審計系統 TA-DB 用戶手冊服務熱線：8008105119 454）導出 CA 證書。點擊“導出 CA 證書”，選擇“打開”或“保存”證書即可。4.7.3 修改我的密碼修改我的密碼TA-DB 支持用戶通過 WEB 頁面修改當前登錄用戶的密碼，在 WEB 管理頁面上，進入系系統管理統管理 用戶管理用戶管理 修改我的密碼修改我的密碼，可以對當前登錄用戶的密碼進行修改操作。注意：用戶管理模塊的各種操作完成

50、后，都必須重新啟動系統的 HTTPD 服務，才能使配置生效，用戶可以選擇配置完成后馬上重啟服務，也可以稍后在“服務管理”模塊中手動重啟服務，重啟 HTTPD 服務后用戶必須重新登錄 WEB 管理頁面才能進行操作。天融信數據庫審計系統 TA-DB 用戶手冊服務熱線：8008105119 464.8 主機信息主機信息主機信息模塊主要功能是用于用戶實名制審計，TAW 將主機信息與審計出來的網絡事件做關聯，從而可以將某一網絡事件定位到內網中具體的某一人，達到網絡實名制審計的效果。包括主機管理、掃描主機。4.8.1 主機主機管理管理主機管理主要用于添加、刪除、修改、導入、導出用戶主機信息。

51、 添加主機添加主機添加主機模塊完成主機的添加設置。主機較多情況下，為了方便管理，可以選擇添加組然后在組下添加主機。選擇 系統管理系統管理 主機信息主機信息 主機管理主機管理，進入主機管理頁面。點擊“添加主機”，在彈出的添加主機頁面，鍵入主機名和主機 IP 確定即可。組下添加主機，點擊“添加組”，彈出的添加組頁面鍵入組名，左側導航欄選擇組，然后在組下添加主機即可。 信息導入信息導入主機管理中的導入功能包括導入本地掃描數據和外部數據，外部數據可以是 ldif 或csv 格式數據。(csv 數據是可以被 excel 直接打開的逗號分割數據，字段格式要和主機掃描導出的數據一致，ldif

52、是 ldap 數據格式)天融信數據庫審計系統 TA-DB 用戶手冊服務熱線：8008105119 47選擇 系統管理系統管理 主機信息主機信息 主機管理主機管理，選擇左面要導入的用戶節點后，點擊“導入”按鈕，在彈出的導入數據頁面選擇導入數據類型“確定”，即可導入數據。（提示：葉子節點不能導入數據） 信息導出信息導出 選擇 系統管理系統管理 主機信息主機信息 主機管理主機管理，選擇左面要導出的用戶節點后，點擊“導出”按鈕即可導出數據，導出數據為 ldif 格式。導出 ldif 文件格式天融信數據庫審計系統 TA-DB 用戶手冊服務熱線：8008105119 484.8.2 掃描掃描

53、主機主機主機掃描主要功能是掃描主機 IP 對應的主機名。當用戶沒有手動導入主機信息時，可以通過主機掃描功能來掃描主機 netbios 名(對應主機要開 netbios 服務,windows 默認開啟此服務)，然后導入主機管理里面，從而用主機名來實現用戶實名制映射。內網掃描：選擇 系統管理系統管理 主機信息主機信息 掃描主機掃描主機 點擊“內網掃描”，填入用戶內網網段，即可對內網主機名進行掃描。內網網段支持以下格式：1）網絡號/掩碼，如：/242）起始地址-結束地址，如：4-443）多個 ip 地址用逗號隔開，如：192.1

54、68.71.244,55，.4）或者以上三種格式的組合，之間用逗號隔開，如：/24,55-,導出數據：掃描結果也可以通過頁面導出來，供管理員編輯后再導入到主機管理里面。導出結果為 csv 格式。天融信數據庫審計系統 TA-DB 用戶手冊服務熱線：8008105119 49掃描結果也可以通過 主機管理主機管理 導入數據導入數據，直接導入相應的組內。通過掃描的主機信息，映射實名制審計結果。天融信數據庫審計系統 TA-DB 用戶手冊服務熱線：8008105119 505 安全審計安全審計TA-DB 能夠對

55、多種網絡行為進行審計，支持對HTTP、FTP、SMTP、Pop3、WebMail、P2P、telnet、MSN、QQ 等協議的審計記錄，支持對SQL Server、Mysql、Oracle、DB2、Sybase、Informix 等數據庫操作行為的審計；同時也支持用戶根據個人需求進行自定義審計。在“安全審計”里可以對已經收集到的數據根據協議分類進行查詢分析。5.1 審計管理審計管理審計管理，包括應用協議審計、在線用戶管理、數據庫審計管理、列集配置、過慮器配置、審計配置、索引管理七個模塊。5.1.1 應用協議審計應用協議審計登錄系統，進入“應用協議審計”，可以看到所有協議的審計查詢界面，同時提供

56、了實時刷新查看的功能，點擊“自動刷新數據”，可以自動顯示最近十分鐘內收到的最新數據；如果想看到更為詳細的情況，請點擊每條數據后面的“詳情”按鈕。 應用協議審計列表應用協議審計列表對不同類型數據庫的相關協議進行審計，例如：Oracle、Mysql、DB2 等?？梢酝ㄟ^設置時間段、起始時間、源地址、目的地址、協議內容等條件進行審計，并在審計結果提供審計結果詳情，提供給管理員更完整的用戶行為信息。注意：TA-DB 所能監控與審計的協議因客戶購買的授權許可不同，會存在一定的差別。點擊 安全審計安全審計 審計管理審計管理 應用協議審計應用協議審計，系統左側會列出多種應用協議的選項。天融信數

57、據庫審計系統 TA-DB 用戶手冊服務熱線：8008105119 51列表分成三部分：應用協議審計、應用協議分組審計和查詢任務管理器。應用協議審計包括主流的應用層協議。應用協議分組主要是與目前大部分網絡軟件的應用相結合進行審計。HTTP 審計HTTP 審計包括網絡發布審計和網頁瀏覽審計。點擊列表中的 HTTPHTTP 審計審計 網頁瀏覽網頁瀏覽審計審計 選項。天融信數據庫審計系統 TA-DB 用戶手冊服務熱線：8008105119 52網頁瀏覽審計的審計條件分為基本條件設置、IP 條件設置、時間條件設置、用戶條件設置、網頁瀏覽條件設置，上圖列出的是基本條件設置，上面主要是設置審計的時間段，下圖

58、為 IP 條件設置，可以設置被審計內容的源 IP 和目的 IP，可以是地址段。網頁瀏覽條件設置是設置和網頁瀏覽應用相關的選項。將審計選項設置好以后，點擊頁面右側的查看結果集，就可以審計到符合所設置的條件的網頁內容。顯示審計結果的列表是可以用戶修改的，用戶可以根據自己對內容的關心程度，進行添加和隱藏。點擊每一列上面的列名稱右邊的小三角，可以顯示出一個下拉菜單，將鼠標滑動到“列”那一選項，系統又會顯示一個菜單，這個菜單會列出許多復選框，這些復選框就是審計結果表格的列字段，點擊復選框添加選中列，取消復選框刪除選中列。例如選中源端口，顯示結果如下：天融信數據庫審計系統 TA-DB 用戶手冊服務熱線：8

59、008105119 53審計結果的列表會增加顯示源端口一列。每條審計結果都有一列詳情，詳情能夠還原出該審計結果的全部內容，點擊詳情會彈出新的窗口，顯示還原內容。詳情會顯示與網頁瀏覽相關的重要信息，包括訪問地址、使用的瀏覽器以及服務器結果等。用戶可以點擊原始頁面鏈接，跟蹤到實際訪問的頁面。注意：不是所有的 http 審計事件的詳情中都可以看見原始頁面還原連接。一般只有訪問類型為 get 類型的詳情中才會看見原始頁面還原連接。數據庫操作審計數據庫審計是針對使用不同類型的數據庫進行網絡操作的審計。審計結果詳情中可以看見每條數據庫操作語句。數據庫操作審計包括：ORACLE 審計、Mysql 審計、Sq

60、lserver審計、DB2 審計、Informix 審計、Sysbase 審計、PostgreSQL 審計。下面以 ORACLE 審計為例，進行頁面說明。其他類型的數據庫審計頁面功能點類似，在此不一一闡述。ORACLE 審計包括：基本條件設置、IP 條件設置、時間條件設置、用戶條件設置、Oracle 條件配置?；緱l件設置，設置審計內容的時間跨度，也可是設置自動刷新的時間間隔。天融信數據庫審計系統 TA-DB 用戶手冊服務熱線：8008105119 54IP 條件設置，設置審計內容的源 IP 地址和目的 IP 地址，支持地址段添加。Oracle 條件配置，設置數據庫名、用戶名、數據庫表名等配置