天融信數(shù)據(jù)庫審計系統(tǒng)TA_DB-用戶手冊

1、天融信數(shù)據(jù)庫審計系統(tǒng)天融信數(shù)據(jù)庫審計系統(tǒng)TA-DBV3.1.002用戶手冊用戶手冊天融信TOPSEC北京市海淀區(qū)上地東路 1 號華控大廈 100085電話：+8610-82776666傳真：+8610-82776677服務熱線：+8610-8008105119http:/版權聲明版權聲明本手冊中的所有內容及格式的版權屬于北京天融信公司（以下簡稱天融信）所有，未經天融信許可，任何人不得仿制、拷貝、轉譯或任意引用。版權所有 不得翻印 2013 天融信公司商標聲明商標聲明本手冊中所談及的產品名稱僅做識別之用。手冊中涉及的其他公司的注冊商標或是版權屬各商標注冊人所有，恕不逐一列明。TOPSEC 天融信

2、公司信息反饋信息反饋http:/天融信數(shù)據(jù)庫審計系統(tǒng) TA-DB 用戶手冊服務熱線：8008105119 i目目 錄錄1前言前言.11.1文檔目的.11.2讀者對象.11.3約定.11.4技術服務體系.12產品簡介產品簡介.33界面基本操作界面基本操作.44系統(tǒng)管理系統(tǒng)管理.64.1系統(tǒng)狀態(tài).64.2系統(tǒng)配置.84.2.1系統(tǒng)web界面配置.84.2.2網(wǎng)絡主機名配置.94.2.3系統(tǒng)主機名配置.114.2.4系統(tǒng)配置管理.124.2.5接口配置.144.2.6路由配置.164.2.7系統(tǒng)時間配置.184.2.8磁盤管理.204.2.9系統(tǒng)訪問控制.244.2.10設置向導頁.254.2.11

3、網(wǎng)絡接口配置.264.2.12安裝包列表.264.3服務管理.264.4服務對象管理.284.5下級設備管理.314.6任務管理.354.7用戶管理.394.7.1角色管理.394.7.2用戶管理.424.7.3修改我的密碼.454.8主機信息.464.8.1主機管理.464.8.2掃描主機.485安全審計安全審計.505.1審計管理.505.1.1應用協(xié)議審計.505.1.2在線用戶管理.635.1.3數(shù)據(jù)庫審計管理.63天融信數(shù)據(jù)庫審計系統(tǒng) TA-DB 用戶手冊服務熱線：8008105119 ii5.1.4列集配置.665.1.5過慮器配置.675.1.6審計配置.685.1.7索引管理.

4、705.2系統(tǒng)日志管理.715.2.1系統(tǒng)日志事件處理中心.725.2.2系統(tǒng)日志審計.725.2.3自定義日志規(guī)則.725.3系統(tǒng)報警管理.735.3.1系統(tǒng)報警審計.735.3.2系統(tǒng)報警規(guī)則.745.3.3自定義報警規(guī)則.775.3.4報警事件處理中心.795.3.5潛在危害分析.845.3.6系統(tǒng)報警閥值設置.855.3.7IPS規(guī)則管理.865.3.8系統(tǒng)報警統(tǒng)計分析.865.4業(yè)務關聯(lián).895.4.1業(yè)務視圖配置.895.4.2Web規(guī)則配置.905.5事件辨別擴展管理.945.6統(tǒng)計分析管理.955.6.1統(tǒng)計分析配置.955.6.2自定義報表.1005.6.3統(tǒng)計報表管理.10

5、25.7審計策略.1035.7.1協(xié)議端口匹配規(guī)則.1035.7.2協(xié)議自動匹配規(guī)則.1045.7.3WebMail模板設置.1055.7.4數(shù)據(jù)采集規(guī)則.1065.7.5審計級別管理.1085.7.6系統(tǒng)抓包規(guī)則配置.1155.7.7事件處理中心.1175.7.8系統(tǒng)包過慮規(guī)則.1225.8IP 規(guī)則管理.1236流量分析流量分析.1236.1網(wǎng)絡流量分析.1236.2歷史流量查詢.1256.2.1流量統(tǒng)計.1256.2.2流量趨勢.1276.2.3流量查詢.1286.3流量分析配置.1296.4多點多級模式下的流量統(tǒng)計.1306.5多點多級模式下的歷史流量統(tǒng)計.132天融信數(shù)據(jù)庫審計系統(tǒng)

6、TA-DB 用戶手冊服務熱線：8008105119 iii6.6多點多級模式下的流量趨勢查詢.134附錄附錄 A過濾器語法過濾器語法.136天融信數(shù)據(jù)庫審計系統(tǒng) TA-DB 用戶手冊服務熱線：8008105119 11 前言前言本手冊主要介紹天融信數(shù)據(jù)庫審計系統(tǒng)（TA-DB）的配置使用和管理。通過閱讀本文檔，用戶可以了解天融信數(shù)據(jù)庫審計系統(tǒng)的主要功能，并根據(jù)實際應用環(huán)境安裝和配置天融信數(shù)據(jù)庫審計系統(tǒng)。1.1 文檔目的文檔目的本文檔主要介紹如何配置該系統(tǒng)。通過閱讀本文檔，用戶能夠正確地配置系統(tǒng)，并綜合運用該系統(tǒng)提供的多種安全管理方法，有效地管理網(wǎng)絡中的安全設備，實現(xiàn)高效可靠的統(tǒng)一管理。1.2 讀

7、者對象讀者對象本用戶手冊適用于具有基本網(wǎng)絡知識的系統(tǒng)管理員和網(wǎng)絡管理員閱讀。1.3 約定約定本文檔遵循以下約定。圖形界面操作的描述采用以下約定： “”表示按鈕。點擊（選擇）一個菜單項采用如下約定：點擊（選擇） 高級管理高級管理 特殊對象特殊對象 用戶用戶。文檔中出現(xiàn)的提示、警告、說明、示例等，是關于用戶在安裝和配置天融信數(shù)據(jù)庫審計系統(tǒng)過程中需要特別注意的部分，請用戶在明確可能的操作結果后，再進行相關配置。1.4 技術服務體系技術服務體系天融信公司對于自身所有安全產品提供遠程產品咨詢服務，廣大用戶和合作伙伴可以通過多種方式獲取在線文檔、疑難解答等全方位的技術支持。公司主頁天融信數(shù)據(jù)庫審計系統(tǒng) T

8、A-DB 用戶手冊服務熱線：8008105119 2http:/ TA-DB 用戶手冊服務熱線：8008105119 32 產品簡介產品簡介天融信網(wǎng)絡審計系統(tǒng)（TA-DB）是由北京天融信公司自主研發(fā)，面向企業(yè)級用戶，集行為監(jiān)控與內容審計為一體的產品。它以旁路的方式部署在網(wǎng)絡中，不影響網(wǎng)絡的性能，且該產品的萬兆平臺支持串聯(lián)方式接入網(wǎng)絡，實現(xiàn)串聯(lián)網(wǎng)絡環(huán)境下的數(shù)據(jù)監(jiān)聽和審計。具有實時的網(wǎng)絡數(shù)據(jù)采集能力、強大的審計分析功能以及智能的信息處理能力。通過使用該系統(tǒng)，可以實現(xiàn)如下目標：監(jiān)控用戶的數(shù)據(jù)庫操作行為、審計用戶的網(wǎng)絡傳輸內容。實現(xiàn)網(wǎng)絡行為報警以及后期取證。實現(xiàn)對網(wǎng)絡各應用流量的統(tǒng)計分析。該產品適用于

9、對信息保密、非法信息傳播/控制比較關心的單位，或需要實施網(wǎng)絡行為監(jiān)控的單位和部門，如政府、軍隊機關的網(wǎng)絡管理部門，公安、保密、司法等國家授權的網(wǎng)絡安全監(jiān)察部門，金融、電信、電力、保險、海關、商檢、學校、軍工等各行業(yè)網(wǎng)絡管理中心，以及大中型企業(yè)網(wǎng)絡管理中心等。注意注意：TA-DB 所能監(jiān)控與審計的協(xié)議因客戶購買的授權許可不同，會存在一定的差別。天融信數(shù)據(jù)庫審計系統(tǒng) TA-DB 用戶手冊服務熱線：8008105119 43 界面基本操作界面基本操作簡單介紹一下界面的基本操作。1）管理員在管理主機的瀏覽器上輸入 TA-DB 的管理 URL。如，https：/54，彈出如下登陸頁

10、面。2）輸入用戶名密碼后（默認出廠用戶名/密碼為：superman/talent），點擊“登錄”，就可以進入管理頁面。管理界面默認顯示系統(tǒng)狀態(tài)，包括：硬盤利用率、CPU 利用率、內存利用率系統(tǒng)界面主要分為三個部分，如下圖頭部區(qū)域導航欄主顯示區(qū)域天融信數(shù)據(jù)庫審計系統(tǒng) TA-DB 用戶手冊服務熱線：8008105119 5界面頭部用于選擇操作的子模塊，顯示重要信息。如下圖通過頭部的菜單顯示模式選擇功能可以實現(xiàn)菜單顯示的切換，目前支持以下三種模式：精簡模式，適合用戶日常操作使用高級模式，適合對系統(tǒng)進行高級配置使用專家模式，適合對系統(tǒng)有高度了解的專業(yè)人員使用導航欄與主顯示區(qū)域因具體模塊不同而顯示不同，

11、在此不做具體說明。在 系統(tǒng)管理模塊系統(tǒng)管理模塊 系統(tǒng)狀態(tài)系統(tǒng)狀態(tài) 系統(tǒng)系統(tǒng) licenselicense 配置配置 界面中可以查看系統(tǒng)的授權信息、最終客戶名、系統(tǒng)型號、版本號、購買的各功能模塊開啟情況。天融信數(shù)據(jù)庫審計系統(tǒng) TA-DB 用戶手冊服務熱線：8008105119 64 系統(tǒng)管理系統(tǒng)管理4.1 系統(tǒng)狀態(tài)系統(tǒng)狀態(tài)系統(tǒng)狀態(tài)包括系統(tǒng)狀態(tài)和系統(tǒng) License 配置。系統(tǒng)狀態(tài)中顯示系統(tǒng)設備狀態(tài)，系統(tǒng)License 配置中顯示系統(tǒng)基本信息和證書信息。選擇系統(tǒng)管理系統(tǒng)管理 系統(tǒng)狀態(tài)系統(tǒng)狀態(tài) 系統(tǒng)狀態(tài)系統(tǒng)狀態(tài)，進入設備監(jiān)控頁面。分為兩部分，分別是當前設備和下級設備。在左邊菜單欄顯示如下：1）修改、

12、添加監(jiān)控模塊。右側主界面顯示如下：顯示當前所有監(jiān)控的主機信息。包括被監(jiān)控對象設備號、設備 IP 地址、所監(jiān)控模塊、連接狀態(tài)以及連接測試功能，當添加了監(jiān)控對象后，可以點擊連接測試，可以測試網(wǎng)絡是否通暢。天融信數(shù)據(jù)庫審計系統(tǒng) TA-DB 用戶手冊服務熱線：8008105119 7選擇“監(jiān)控模塊配置”。按照上圖提示步驟 1、2，選中設備并點擊監(jiān)控模塊配置，彈出配置信息對話框如下：點擊添加（同樣在此選中模塊并點擊刪除和修改，可以對設備監(jiān)控模塊進行修改）按照圖示，選擇好所要監(jiān)控模塊，以及顯示的圖例類型和顏色，并點擊保存，則配置完成。2）查看本機詳細信息：天融信數(shù)據(jù)庫審計系統(tǒng) TA-DB 用戶手冊服務熱線

13、：8008105119 8點擊左側菜單中的 當前設備當前設備 localhostlocalhost，在右將顯示其所監(jiān)控對象信息，如下圖：查看下級設備的步驟和查看本機一致，只要在左側菜單選中相應的設備，即在主窗口顯示出來。4.2 系統(tǒng)配置系統(tǒng)配置系統(tǒng)配置包括系統(tǒng) web 界面配置、網(wǎng)絡主機名配置、系統(tǒng)主機名配置、系統(tǒng)配置管理、接口配置、路由配置、系統(tǒng)時間配置、磁盤管理、系統(tǒng)訪問控制、設置向導頁、網(wǎng)絡接口配置、安裝包管理。4.2.1 系統(tǒng)系統(tǒng) web 界面配置界面配置管理員通過系統(tǒng) WEB 頁面配置，可以配置 WEB 頁面的登錄超時時間和登錄重試次數(shù)和鎖定時間，在 WEB 管理頁面上，進入系統(tǒng)管理

14、系統(tǒng)管理 系統(tǒng)配置系統(tǒng)配置 系統(tǒng)系統(tǒng) WEBWEB 頁面配置頁面配置，可以看到配置框。 天融信數(shù)據(jù)庫審計系統(tǒng) TA-DB 用戶手冊服務熱線：8008105119 9配置完成后點擊“保存”按鈕就能完成配置。注意注意：配置保存成功后必須重啟 HTTPD 服務才能是配置生效，用戶可以選擇立即重啟，也能稍后在服務管理模塊中手動重啟 HTTPD 服務，服務重啟后用戶必須重新登錄。4.2.2 網(wǎng)絡主機名配置網(wǎng)絡主機名配置管理員通過網(wǎng)絡主機名配置可以配置主機與名稱的對應關系，在 WEB 管理頁面上，點擊系統(tǒng)管理系統(tǒng)管理 系統(tǒng)配置系統(tǒng)配置 網(wǎng)絡主機名配置網(wǎng)絡主機名配置，進入網(wǎng)絡主機名管理頁面，可以對主機名進行

15、添加，修改和刪除操作。1）添加網(wǎng)絡主機名：點擊“添加網(wǎng)絡主機名”按鈕，在彈出的配置框中進行網(wǎng)絡主機名配置。（主機名不支持特殊字符）天融信數(shù)據(jù)庫審計系統(tǒng) TA-DB 用戶手冊服務熱線：8008105119 10配置完成后點擊“保存”按鈕完成配置。2）修改網(wǎng)絡主機名：在列表中選擇需要修改的網(wǎng)絡主機。點擊“修改網(wǎng)絡主機”按鈕，在彈出的配置框里進行信息修改，點擊“保存”按鈕完成修改。3）刪除網(wǎng)絡主機：在列表中選擇需要刪除的網(wǎng)絡主機。點擊“刪除網(wǎng)絡主機”按鈕，在彈出的提示框里點擊“是”按鈕完成刪除。天融信數(shù)據(jù)庫審計系統(tǒng) TA-DB 用戶手冊服務熱線：8008105119 114.2.3 系統(tǒng)主機名配置系

16、統(tǒng)主機名配置管理員通過系統(tǒng)主機名配置可以配置系統(tǒng)主機名稱和 DNS 服務器，在 WEB 管理頁面上，進入系統(tǒng)管理系統(tǒng)管理 系統(tǒng)配置系統(tǒng)配置 系統(tǒng)主機名配置系統(tǒng)主機名配置，進入配置界面，配置完成后點擊“保存”按鈕完成配置。天融信數(shù)據(jù)庫審計系統(tǒng) TA-DB 用戶手冊服務熱線：8008105119 124.2.4 系統(tǒng)配置管理系統(tǒng)配置管理管理員通過系統(tǒng)配置管理可以對系統(tǒng)配置進行管理配置，在 WEB 管理頁面上，進入系系統(tǒng)管理統(tǒng)管理 系統(tǒng)配置系統(tǒng)配置 系統(tǒng)配置管理系統(tǒng)配置管理，進入配置界面，可以對系統(tǒng)配置進行保存、導入、導出和恢復出廠設置。1）配置保存：點擊“配置保存”按鈕，頁面彈出保存進度條，進度條

17、結束后配置保存操作結束，下次系統(tǒng)重啟后將加載保存的配置。2）配置導出：點擊“配置導出”按鈕，頁面彈出配置文件下載框，用戶可以將配置文件下載到本機上。天融信數(shù)據(jù)庫審計系統(tǒng) TA-DB 用戶手冊服務熱線：8008105119 13注意：在 IE 瀏覽器上必須把下載選項全都選上，以免文件下載框無法彈出。3）配置導入：點擊“配置導入”按鈕，頁面彈出文件上傳提示框，用戶可以選擇本機上的配置文件，點擊“上傳”按鈕，完成配置導入。注意注意：配置導入成功后系統(tǒng)配置將馬上生效。4）恢復出廠配置：點擊“恢復出廠配置”按鈕，系統(tǒng)將導出出廠的配置文件，系統(tǒng)配置將即時恢復到出廠時。天融信數(shù)據(jù)庫審計系統(tǒng) TA-DB 用戶

18、手冊服務熱線：8008105119 144.2.5 接口配置接口配置管理員通過接口配置可以對系統(tǒng)接口進行管理配置，在 WEB 管理頁面上，進入系統(tǒng)管系統(tǒng)管理理 系統(tǒng)配置系統(tǒng)配置 接口配置接口配置，進入系統(tǒng)接口列表界面，可以對系統(tǒng)網(wǎng)絡接口配置進行添加IP，修改 IP，刪除 IP，啟用接口，停用接口操作。1)添加接口 IP：點擊“添加接口 IP”按鈕，在彈出的接口配置頁面中可以配置接口的IP 地址和掩碼，配置結束后點擊“保存”按鈕完成操作。天融信數(shù)據(jù)庫審計系統(tǒng) TA-DB 用戶手冊服務熱線：8008105119 152)修改接口 IP：在接口列表中選擇需要修改的接口，點擊“修改接口 IP”按鈕，在

19、彈出的接口配置頁面中可以修改 IP 地址和掩碼(可以添加 ipv6 地址)，配置結束后點擊“保存”按鈕完成操作。3)刪除接口 IP：在接口列表中選擇需要刪除的接口，點擊“刪除接口 IP”按鈕，完成操作。天融信數(shù)據(jù)庫審計系統(tǒng) TA-DB 用戶手冊服務熱線：8008105119 164)啟用接口：在接口列表中選擇需要啟用的接口，點擊“啟用接口”按鈕，完成操作。5)停用接口：在接口列表中選擇需要停用的接口，點擊“停用接口”按鈕，完成操作。4.2.6 路由配置路由配置管理員通過路由配置可以對系統(tǒng)路由進行管理配置，在 WEB 管理頁面上，進入系統(tǒng)管系統(tǒng)管理理 系統(tǒng)配置系統(tǒng)配置 路由配置路由配置，進入系統(tǒng)

20、路由列表界面，可以對系統(tǒng)路由進行添加，刪除操作。天融信數(shù)據(jù)庫審計系統(tǒng) TA-DB 用戶手冊服務熱線：8008105119 171）添加路由：點擊“添加路由”按鈕，在路由配置頁面中可以配置路由的目的地址和網(wǎng)關、網(wǎng)口，配置完成后點擊“保存”按鈕完成操作。2）刪除路由：在列表中選擇要刪除的路由，點擊“刪除路由”按鈕，完成操作。天融信數(shù)據(jù)庫審計系統(tǒng) TA-DB 用戶手冊服務熱線：8008105119 184.2.7 系統(tǒng)時間配置系統(tǒng)時間配置系統(tǒng)時間配置模塊可以設置系統(tǒng)的時間、日期、時區(qū)信息，以及配置用于系統(tǒng)同步時間的 NTP（Network Time Protocol 網(wǎng)絡時間協(xié)議，計算機時間同步化的

21、一種協(xié)議）服務器。選擇系統(tǒng)管理系統(tǒng)管理 系統(tǒng)配置系統(tǒng)配置 系統(tǒng)時間配置系統(tǒng)時間配置,進入系統(tǒng)時間配置頁面。系統(tǒng)時間配置模塊右側是時間設定面板，可以設定系統(tǒng)時間、時區(qū)等信息。界面右下方有兩個按鈕?！氨４妗卑粹o可以保存當前在右側設定面板內設定的各項設置。“重置”按鈕可以重置未保存的修改。當您需要修改系統(tǒng)日期時，請單擊日期框的右側“日歷”按鈕。天融信數(shù)據(jù)庫審計系統(tǒng) TA-DB 用戶手冊服務熱線：8008105119 19此時，將彈出一個微型日歷。您可以點擊選擇年、月、日或點擊“今天”按鈕選擇當前操作系統(tǒng)的時間。當您需要修改系統(tǒng)時間時，您可以點擊時間下拉框右方的下拉按鈕選擇整數(shù)時間，或直接輸入需要設置

22、的時間，時間格式為：“時：分：秒”。當您需要修改系統(tǒng)時區(qū)時，請單擊“修改系統(tǒng)時區(qū)”按鈕，系統(tǒng)將會列出所有時區(qū)選項。單擊您所要修改的時區(qū)，然后點擊“保存”按鈕保存設置。需要注意的是，系統(tǒng)時間、日期和失去修改后，均需要點擊面板右下角的“保存”按鈕，保存配置才能生效。若您的工作網(wǎng)絡內架設有 NTP 服務器，并且您想通過其校準設備時間。您可以點擊NTP 服務器設置框的“添加”按鈕。天融信數(shù)據(jù)庫審計系統(tǒng) TA-DB 用戶手冊服務熱線：8008105119 20在彈出的“添加 NTP 服務器”對話框中輸入服務器的 IP 地址或域名，隨后點擊“添加”后保存設置。若添加正常，右側 NTP 服務器列表將出現(xiàn)剛才

23、添加的 NTP 服務器地址。添加成功后，建議您使用系統(tǒng)測試功能測試添加的 NTP 服務器是否可以正常使用。用鼠標選中剛剛添加的 NTP 服務器地址，并點擊“測試”按鈕。若出現(xiàn)“測試成功”字樣的提示框，則表明設備可以與 NTP 服務器正常聯(lián)通并校準時間。反之表明設備無法取得 NTP服務器的信息，請檢查添加的 NTP 服務器 IP 地址或域名是否正確。當您成功設置了一臺以上的 NTP 服務器后，您可以點擊“同步”按鈕進行時間同步。要注意的是，若您已經添加了多臺 NTP 服務器，系統(tǒng)將按 ID 的先后順序同步系統(tǒng)時間，并天融信數(shù)據(jù)庫審計系統(tǒng) TA-DB 用戶手冊服務熱線：8008105119 21以

24、最先成功同步的 NTP 服務器返回的時間為準。同步的時候注意 NTP 服務器的 NTP 服務必須打開，本機的 NTP 服務停止，在系統(tǒng)服務中可以配置。4.2.8 磁盤管理磁盤管理點擊 系統(tǒng)管理系統(tǒng)管理 系統(tǒng)配置系統(tǒng)配置 磁盤管理磁盤管理，能夠顯示當前系統(tǒng)的磁盤使用情況，并能對磁盤數(shù)據(jù)進行備份、清理操作。 磁盤狀態(tài)磁盤狀態(tài)磁盤狀態(tài)顯示數(shù)據(jù)對象占用磁盤空間大小，以餅狀或柱狀圖形顯示磁盤狀態(tài),點擊“”實現(xiàn)圖形的切換。 數(shù)據(jù)數(shù)據(jù)備份備份手動備份數(shù)據(jù)就是根據(jù)用戶手動添加的規(guī)則，進行數(shù)據(jù)備份工作。選擇要備份的數(shù)據(jù)對象：下拉列表中會顯示系統(tǒng)中可備份的數(shù)據(jù)源類型。天融信數(shù)據(jù)庫審計系

25、統(tǒng) TA-DB 用戶手冊服務熱線：8008105119 22時間對象選項中填寫一個數(shù)字，這個數(shù)字代表備份多少天之前的數(shù)據(jù)，例如填 1，代表刪除一天以前的數(shù)據(jù)，我們這里規(guī)定一天以前的數(shù)據(jù)就是昨天的數(shù)據(jù)。圖中 30 代表備份30 天以前的數(shù)據(jù)。備份服務器是預先配置好的 ftp 服務器，數(shù)據(jù)將備份到這臺指定的服務器上。（關于ftp 服務器配置請參見 4.4 服務對象管理）是否保留備份數(shù)據(jù)：有兩個選項，一個是保留，一個刪除。保留就是在備份完成以后，還保留原來系統(tǒng)中的數(shù)據(jù)不刪除。刪除則是在備份完成以后，將已經備份完成的部分的數(shù)據(jù)刪除。點擊數(shù)據(jù)備份按鈕，系統(tǒng)就會按照前面填好的配置進行備份工作。數(shù)據(jù)備份規(guī)則

26、是用戶添加備份的規(guī)則，配置好以后不需要人工操作，而由后臺程序檢查符合條件定期執(zhí)行。點擊添加，如下圖所示：天融信數(shù)據(jù)庫審計系統(tǒng) TA-DB 用戶手冊服務熱線：8008105119 23磁盤利用率上升至百分之多少的時候執(zhí)行備份工作，這是激活備份功能的條件。注意，這里的磁盤利用率只能填 0-100 的 10 的倍數(shù)，如 30,50,70，以 70 為例，它代表磁盤利用率為 70%79%這之間的任何一個利用率狀態(tài)，而添加 55 這類的數(shù)字，則不會被系統(tǒng)識別，因為磁盤利用率剛好達到 55%這個離散的點的概率太低，不便于滿足實際的操作效果。其他四項和手動備份中的選項意義相同。點擊保存，規(guī)則就添加完成了。當

27、系統(tǒng)磁盤的利用率到達 70%的時候，系統(tǒng)會自動備份 30 天以前的還原數(shù)據(jù)到 ftp_test 服務器上，并且保留原來的數(shù)據(jù)。 數(shù)據(jù)數(shù)據(jù)清理清理數(shù)據(jù)清理模塊幫助用戶清理過期無效數(shù)據(jù)?？梢允謩忧謇砘蜃远x數(shù)據(jù)清理規(guī)則。1）手動清理數(shù)據(jù)。磁盤清理需要配置要清理的數(shù)據(jù)對象，如下圖，在數(shù)據(jù)對象的下列表中選擇想要清理的數(shù)據(jù)源，在時間對象中填入一個整數(shù)，這個整數(shù)代表刪除多少天以前的數(shù)據(jù)。例如，下圖中的配置代表清理 30 天以前的還原數(shù)據(jù)。點擊右側的數(shù)據(jù)清理按鈕，系統(tǒng)立即執(zhí)行清理工作。2）數(shù)據(jù)清理規(guī)則是用戶添加備份的規(guī)則，配置好以后不需要人工操作，而由后臺程序檢查符合條件定期執(zhí)行。點擊“添加”

28、，在規(guī)則選項頁面配置好參數(shù)“保存”。規(guī)則添加完成。天融信數(shù)據(jù)庫審計系統(tǒng) TA-DB 用戶手冊服務熱線：8008105119 24磁盤利用率上升至百分之多少的時候執(zhí)行備份工作，這是激活備份功能的條件。注意，這里的磁盤利用率只能填 0-100 的 10 的倍數(shù)，如 30,50,70，以 80 為例，它代表磁盤利用率為 80%89%這之間的任何一個利用率狀態(tài)，而添加 55 這類的數(shù)字，則不會被系統(tǒng)識別,因為磁盤利用率剛好達到 55%這個離散的點的概率太低，不便于滿足實際的操作效果。數(shù)據(jù)對象是要清理的數(shù)據(jù)源類型，時間對象這里填入一個整數(shù)，代表清理多少天以前的數(shù)據(jù)。當系統(tǒng)磁盤的利用率到達 80%的時候，

29、系統(tǒng)會自動清理 30 天以前的統(tǒng)計分析數(shù)據(jù)。4.2.9 系統(tǒng)訪問控制系統(tǒng)訪問控制系統(tǒng)訪問控制可以禁止某些 IP 或 IP 域訪問 TAW 設備。你若需要禁止某些 IP 或 IP 域訪問 TAW 設備，請點擊“添加”按鈕，并在彈出的輸入框中輸入要禁止的 IP 地址（域）。允許的格式有標準的 IP 地址格式（如 ）或 CIDR 格式（如 /24）。IP 地址格式支持 IPV6。天融信數(shù)據(jù)庫審計系統(tǒng) TA-DB 用戶手冊服務熱線：8008105119 25若添加成功，列表中將會顯示您剛才添加的 IP 地址（域）。當所有需要禁止的 IP 地址或地址域均已

30、添加后，請單擊“啟用訪問控制”按鈕，使您的當前設置生效。若您需要查看當前訪問控制的運行狀態(tài)，請點擊“訪問控制狀態(tài)”按鈕，系統(tǒng)會返回訪問控制進程當前的狀態(tài)。Firewall is Stop 表明訪問控制處于禁用狀態(tài)，F(xiàn)irewall is Running 表明訪問控制處于啟用狀態(tài)，并在中括號內顯示訪問控制的進程 ID。4.2.10設置向導頁設置向導頁設置向導頁模塊，指導用戶方便快捷的完成審計策略的配置。包括：數(shù)據(jù)采集規(guī)則，協(xié)議端口匹配規(guī)則，協(xié)議自動匹配規(guī)則，以及審計級別配置。點擊系統(tǒng)管理 系統(tǒng)配置 設置向導頁，設置向導頁，進入設置向導頁。選擇“點擊進入”進入數(shù)據(jù)采集規(guī)則頁面，設置數(shù)據(jù)采集規(guī)則。天

31、融信數(shù)據(jù)庫審計系統(tǒng) TA-DB 用戶手冊服務熱線：8008105119 26設置完畢后依次點擊“下一步”，可以進入“協(xié)議端口匹配規(guī)則”、“協(xié)議自動匹配規(guī)則”、“審計級別設置”頁面。分別在各設置頁面進行設置，快速完成系統(tǒng)審計策略的配置。各頁面的規(guī)則配置請參見 5.7 審計策略。4.2.11網(wǎng)絡接口配置網(wǎng)絡接口配置網(wǎng)絡接口配置模塊，在系統(tǒng)串聯(lián)時應用。在此不做詳述。4.2.12安裝包安裝包列表列表安裝包管理中列出了產品出廠時灌裝的數(shù)據(jù)包，每個數(shù)據(jù)包都有自己的功能。列表中詳細的介紹了數(shù)據(jù)包的信息，例如版本、編譯次數(shù)、支持平臺、狀態(tài)等等?？梢赃x擇某個已安裝的數(shù)據(jù)包“更新”、“卸載”，未安裝的可以選擇“安

32、裝”，也可以選擇安裝包“上傳”。具體的操作步驟在此不一 一闡述。天融信數(shù)據(jù)庫審計系統(tǒng) TA-DB 用戶手冊服務熱線：8008105119 274.3 服務管理服務管理服務管理模塊列出了當前系統(tǒng)安裝的所有服務模塊，您可以在此統(tǒng)一管理系統(tǒng)的各項服務的開啟、關閉和一些必要設置。如圖所示，每行都對應一項服務。第一列顯示的是服務的名稱，該列是唯一的；第二列顯示的是服務的服務狀態(tài)。狀態(tài)若為“Stop”則表明此服務處于停止狀態(tài)，若為 Running進程 ID 值，則表明此服務處于啟動狀態(tài)，其中括號中的數(shù)值代表服務的進程ID 號（可以有一個或多個）。第三至五列為服務的操作按鈕，“啟動服務”，“重新啟動”，“停

33、止服務”，“服務配置”幾個按鈕，分別對應著服務的“啟動”，“重新啟動”，“停止”及“配置”四天融信數(shù)據(jù)庫審計系統(tǒng) TA-DB 用戶手冊服務熱線：8008105119 28種操作。需要注意的是，服務有可能沒有擴展配置，所以有些服務無法點擊“服務配置”是正常的。第六列顯示的是服務的描述信息，簡單描述該服務的用途。您若要啟動某項服務，請點擊該服務列中的“啟動服務”列中的圖標，并在彈出的確認提示框中點擊“是”，即可啟動該服務。停止與重新啟動服務的操作與啟動服務的操作類似，點擊相應列中的圖標即可。當您需要設置某項服務的擴展設置時（如 SNMP 服務），請點擊“服務配置”列中的圖標，頁面將會跳轉至該服務的

34、配置頁面。需要注意的是，在您配置結束時，您需要點擊右下角的“保存”按鈕保存您的設置?！胺祷亓斜怼卑粹o可以幫助您在配置結束時返回服務管理模塊頁面。4.4 服務對象管理服務對象管理服務對象管理包括 SMTP 服務器配置、防火墻聯(lián)動配置、FTP 服務器配置。在此模塊主要完成服務對象的添加、刪除和修改功能。1）SMTP 服務器配置天融信數(shù)據(jù)庫審計系統(tǒng) TA-DB 用戶手冊服務熱線：8008105119 29主菜單中依次點擊：系統(tǒng)管理系統(tǒng)管理 服務對象管理服務對象管理 SMTP 服務器配置服務器配置。進入 SMTP 服務器配置頁面。添加配置：點擊“添加”。 按照要求，填入相應配置信息，點擊“添加”保存并

35、退出。修改配置：選中需要配置的服務,點擊修改，彈出如下配置窗口。按照提示，修改相應參數(shù)，修改完成后點擊“修改”進行保存退出。天融信數(shù)據(jù)庫審計系統(tǒng) TA-DB 用戶手冊服務熱線：8008105119 30刪除配置：選中需要刪除的服務,點擊“刪除”。測試服務：添加完后，選中目標服務器，點擊“測試”彈出如下對話框，填入接收人郵箱地址，點擊“測試”，發(fā)送成功后會提示用戶登錄接收人郵箱，并查看測試郵件是否正常接受，否則提示測試失敗。2）防火墻聯(lián)動配置主菜單中依次點擊：系統(tǒng)管理系統(tǒng)管理 服務對象管理服務對象管理 防火墻聯(lián)動配置防火墻聯(lián)動配置。進入防火墻聯(lián)動配置頁面。添加配置：點擊“添加”。 按照要求，填入

36、相應配置信息，點擊“添加”保存并退出。天融信數(shù)據(jù)庫審計系統(tǒng) TA-DB 用戶手冊服務熱線：8008105119 31刪除配置：選中需要刪除的服務,點擊“刪除”。測試服務：添加完后，選中目標服務器，點擊“測試”，進行防火墻通信測試。（注意：防火墻聯(lián)動目前只支持天融信防火墻，防火墻密鑰需要在防火墻上去獲取。）3）FTP 服務器配置主菜單中依次點擊：系統(tǒng)管理系統(tǒng)管理 服務對象管理服務對象管理 FTP 服務器配置服務器配置，進入 FTP 服務器配置頁面。添加配置：點擊“添加”，彈出添加服務配置對話框。按照要求，填入相應配置信息，點擊“添加”保存并退出。刪除配置：選中需要刪除的服務，點擊“刪除”。天融信

37、數(shù)據(jù)庫審計系統(tǒng) TA-DB 用戶手冊服務熱線：8008105119 32測試服務：添加完服務器后，選中目標服務器，點擊“測試”，進行 FTP 通信測試，成功返回。4.5 下級設備管理下級設備管理系統(tǒng)下級設備管理模塊可以指導您方便的添加、刪除和管理下級設備。若要使用該模塊，請先將系統(tǒng)設置為“高級模式”或“專家模式”，而后您便能在“系統(tǒng)管理”菜單中看到“下級設備管理”選項卡。在添加下級設備之前，請首先在要添加的下級設備中確認以下事項：1）下級設備已正常啟動并完成初始化工作。2）下級設備已經添加一個適用于遠程管理的用戶。該用戶所屬的角色需要有設備的服務管理權限和查看設備狀態(tài)的權限。3）下級設備已經正

38、確設置 webservices 服務并以成功開啟該服務。您可在下級設備菜單中，選擇 系統(tǒng)管理系統(tǒng)管理 服務管理服務管理，在菜單中查找 webservices 項目，若服務狀態(tài)顯示為Running，則表明服務已成功開啟。下級設備管理：天融信數(shù)據(jù)庫審計系統(tǒng) TA-DB 用戶手冊服務熱線：8008105119 33您可以點擊“添加”按鈕，并在彈出的“下級設備選項”對話框的“下級設備webservices 通訊設置”中填入要添加的下級設備的必要信息。其中 IP 地址為下級設備的 IP 地址；通訊端口為下級設備 webservices 的服務端口（默認為 8888）；認證用戶名及密碼為 webservi

39、ces 通訊時使用的用戶認證信息；部署方式為“多點設備”或“多級設備”兩種。填寫完這些信息后，請點擊“獲取下級信息”按鈕。這時設備會自動獲取下級的設備相關信息。天融信數(shù)據(jù)庫審計系統(tǒng) TA-DB 用戶手冊服務熱線：8008105119 34獲取的信息會顯示在“下級設備配置”框中，包括“設備 ID”，“設備名稱”，“設備服務地址”（注：為空則使用下級的默認的 IP 地址），“設備服務端口”這四項。請首先核對設備 ID 是否與要添加的下級設備 ID 匹配。您可以更改“設備名稱”項，使用您便于記憶的設備名稱。默認獲取的是設備注冊時的名稱信息。確認無誤后，點擊“添加”按鈕。若添加成功，您可在設備列表中看

40、到剛添加的設備信息。若您要刪除某個下級設備，您可以在列表中選擇要刪除的行，并點擊“刪除”按鈕。若您要修改某個下級設備設置，您可以在列表中選擇要修改的設備，并點擊“修改”按鈕。需要注意的是，修改設備對話框不支持您修改設備的 IP 地址及部署方式，您若已經改變設備的 IP 地址及部署方式，應將舊設置刪除而后添加新的設置。常見錯誤信息：添加、修改下級設備屬性時，系統(tǒng)會檢測當前的下級設備樹（由設備上下級部署模式構成的一棵樹形結構），檢測通過后會執(zhí)行預制命令設置下級節(jié)點。倘若不符合部署規(guī)范，或運行命令時出錯，系統(tǒng)會彈出提示。常用的提示有：天融信數(shù)據(jù)庫審計系統(tǒng) TA-DB 用戶手冊服務熱線：8008105

41、119 35Add node is localhost.表明添加的下級設備 ID 號與本機（上級設備）相同，請檢查您的設置信息是否正確。Add node has localhost subdevice in current topology.表明本機節(jié)點已經存在于要添加的下級設備的下級樹中，部署模式禁止這種添加方式。Add node is a subdevice in current topology.表明加的下級設備已經在設備下級樹中，您不能重復添加下級設備。Order subdevice failed.Error cli ： 錯誤信息 表明在下級設備上執(zhí)行預制操作命令時失敗，并顯示失敗的命

42、令。執(zhí)行失敗可能是 IP地址設置有誤，認證用戶名及密碼設置有誤或權限不夠等原因所導致。設備連接選項：若您對本設備操作及部署比較熟悉，您也可以修改下級設備添加執(zhí)行時的選項。點擊“設置”按鈕，您會看到以下三項選項。其中，第一項為選擇是否開啟添加前的檢查，關閉添加前的檢查雖然可以加快添加執(zhí)行的速度，但是具有一定風險，強烈建議您開啟此選項（默認開啟）。連接超時時間及連接嘗試次數(shù)為設置添加設備時，上下級設備交互的最大等待時間和失敗重試次數(shù)，若您的網(wǎng)絡狀況不好時，可以適當延長超時時間和增加嘗試次數(shù)。一般情況下建議保持默認。4.6 任務管理任務管理管理員通過任務管理頁面可以管理對下級設備下發(fā)的策略和從上級收

43、到的策略，點擊系統(tǒng)管理系統(tǒng)管理 任務管理任務管理 任務管理任務管理，進入任務列表頁面。天融信數(shù)據(jù)庫審計系統(tǒng) TA-DB 用戶手冊服務熱線：8008105119 36任務管理包含兩個子模塊：“我發(fā)起的任務”和“我接收的任務”，如圖：下發(fā)策略：系統(tǒng)對配置的策略提供下發(fā)策略的功能，以自定義審計條件為例，勾選上需要下發(fā)的策略，點擊“添加到待下發(fā)策略”按鈕，將策略添加到待下發(fā)策略列表中。在待下發(fā)策略頁面中，左側是下發(fā)策略的列表，用戶對下發(fā)策略進行上移，下移的順序調整，刪除策略。清空策略等操作；右側是下發(fā)策略的具體內容，即策略的 CLI 命令，用戶也可以手動編輯下發(fā)策略內容。天融信數(shù)據(jù)庫審計系統(tǒng) TA-D

44、B 用戶手冊服務熱線：8008105119 37注意：除非是專業(yè)的技術人員，否則最好不要在頁面右側手動編輯策略的 CLI 命令，容易出現(xiàn)錯誤。策略編輯完成后，點擊“策略下發(fā)”按鈕進行策略下發(fā)，在彈出的下發(fā)信息配置框中，用戶可以選擇策略下發(fā)的下級設備，策略接收的用戶，備注等信息。下級設備列表是用戶添加的下級設備，詳情參看系統(tǒng)下級設備添加模塊；策略接收用戶分為自動執(zhí)行和選擇接收用戶：自動執(zhí)行指策略下發(fā)到下級設備馬上就執(zhí)行；如果選擇用戶，則策略下發(fā)到下級設備后不會馬上執(zhí)行，必須有指定的用戶才能執(zhí)行。天融信數(shù)據(jù)庫審計系統(tǒng) TA-DB 用戶手冊服務熱線：8008105119 38配置完成后點擊“策略下發(fā)

45、”按鈕進行策略下發(fā)，管理頁面會跳轉到任務管理任務管理 我我下發(fā)的任務下發(fā)的任務 的任務列表。點擊“詳情”按鈕能看見具體的下發(fā)策略內容。同時，在下級設備上的 任務管理任務管理 我接收的任務我接收的任務中，會有接收到的任務信息。同樣，點擊“詳情”按鈕看到接收到的策略的具體信息，該信息和上級設備中“我發(fā)起的任務”中的任務詳情是一致的，此時，下級用戶 superman 能夠看到對發(fā)給自己的任務進行確認，執(zhí)行和拒絕等操作。天融信數(shù)據(jù)庫審計系統(tǒng) TA-DB 用戶手冊服務熱線：8008105119 39當任務狀態(tài)是“新建任務，待確認”時，必須先點擊“確認”按鈕確認任務，此時任務狀態(tài)變?yōu)椤耙汛_認”，點擊“執(zhí)行

46、”按鈕執(zhí)行命令，如果成功，任務狀態(tài)變?yōu)椤皥?zhí)行完畢”，如果失敗，任務狀態(tài)變?yōu)椤安僮魇　?；用戶也可以點擊“拒絕”按鈕拒絕執(zhí)行任務，并發(fā)送拒絕原因給上級設備。4.7 用戶管理用戶管理用戶管理模塊，主要實現(xiàn)用戶的增、刪、改、查和角色權限分配的編輯功能。4.7.1 角色管理角色管理TA-DB 支持用戶通過 WEB 頁面進行系統(tǒng)角色管理，在 WEB 管理頁面上，進入 系統(tǒng)管理系統(tǒng)管理 用戶管理用戶管理 角色管理角色管理，可以看到角色列表，能對角色進行添加，刪除和角色授權。天融信數(shù)據(jù)庫審計系統(tǒng) TA-DB 用戶手冊服務熱線：8008105119 401）新建角色：點擊“新建角色”，彈出角色配置框，可以添加

47、角色名稱，并且支持從原有的角色中繼承角色權限。天融信數(shù)據(jù)庫審計系統(tǒng) TA-DB 用戶手冊服務熱線：8008105119 412）刪除角色：在角色列表中選擇要刪除的角色，點擊“刪除角色”按鈕就能完成刪除操作。注意：系統(tǒng)默認的角色是無法刪除的。3）角色授權：在角色列表中選擇要配置權限的角色，點擊“角色授權”按鈕，進行角色的權限配置。天融信數(shù)據(jù)庫審計系統(tǒng) TA-DB 用戶手冊服務熱線：8008105119 42系統(tǒng)的每個模塊分為“讀”，“寫”，“編輯”，“刪除”，“操作”五種權限，可以對每個模塊的每個權限進行配置，配置完權限后點擊“保存”按鈕就能完成對角色權限的配置。4.7.2 用戶管理用戶管理TA

48、-DB 支持用戶通過 WEB 頁面進行系統(tǒng)用戶管理，在 WEB 管理頁面上，進入 系統(tǒng)管理系統(tǒng)管理 用戶管理用戶管理 用戶管理用戶管理，可以看到系統(tǒng)用戶列表，可以對系統(tǒng)用戶進行添加和刪除操作。天融信數(shù)據(jù)庫審計系統(tǒng) TA-DB 用戶手冊服務熱線：8008105119 431）添加用戶，點擊“添加用戶”按鈕，可以進入用戶信息的配置框，添加用戶名，密碼和用戶角色等用戶信息，配置完成后點擊“添加”按鈕完成用戶的添加。注意：用戶添加完畢后必須重啟 HTTPD 服務，添加用戶才生效。天融信數(shù)據(jù)庫審計系統(tǒng) TA-DB 用戶手冊服務熱線：8008105119 442）刪除用戶，在列表中選擇要刪除的用戶，點擊“

49、刪除用戶”按鈕，完成對用戶的刪除操作。注意：系統(tǒng)默認的用戶是無法刪除的。3）導出用戶證書。點擊“導出用戶證書”，彈出獲取用戶證書的信息頁面，在該頁面鍵入相應信息，點擊“獲取證書”即可。天融信數(shù)據(jù)庫審計系統(tǒng) TA-DB 用戶手冊服務熱線：8008105119 454）導出 CA 證書。點擊“導出 CA 證書”，選擇“打開”或“保存”證書即可。4.7.3 修改我的密碼修改我的密碼TA-DB 支持用戶通過 WEB 頁面修改當前登錄用戶的密碼，在 WEB 管理頁面上，進入系系統(tǒng)管理統(tǒng)管理 用戶管理用戶管理 修改我的密碼修改我的密碼，可以對當前登錄用戶的密碼進行修改操作。注意：用戶管理模塊的各種操作完成

50、后，都必須重新啟動系統(tǒng)的 HTTPD 服務，才能使配置生效，用戶可以選擇配置完成后馬上重啟服務，也可以稍后在“服務管理”模塊中手動重啟服務，重啟 HTTPD 服務后用戶必須重新登錄 WEB 管理頁面才能進行操作。天融信數(shù)據(jù)庫審計系統(tǒng) TA-DB 用戶手冊服務熱線：8008105119 464.8 主機信息主機信息主機信息模塊主要功能是用于用戶實名制審計，TAW 將主機信息與審計出來的網(wǎng)絡事件做關聯(lián)，從而可以將某一網(wǎng)絡事件定位到內網(wǎng)中具體的某一人，達到網(wǎng)絡實名制審計的效果。包括主機管理、掃描主機。4.8.1 主機主機管理管理主機管理主要用于添加、刪除、修改、導入、導出用戶主機信息。

51、 添加主機添加主機添加主機模塊完成主機的添加設置。主機較多情況下，為了方便管理，可以選擇添加組然后在組下添加主機。選擇 系統(tǒng)管理系統(tǒng)管理 主機信息主機信息 主機管理主機管理，進入主機管理頁面。點擊“添加主機”，在彈出的添加主機頁面，鍵入主機名和主機 IP 確定即可。組下添加主機，點擊“添加組”，彈出的添加組頁面鍵入組名，左側導航欄選擇組，然后在組下添加主機即可。 信息導入信息導入主機管理中的導入功能包括導入本地掃描數(shù)據(jù)和外部數(shù)據(jù)，外部數(shù)據(jù)可以是 ldif 或csv 格式數(shù)據(jù)。(csv 數(shù)據(jù)是可以被 excel 直接打開的逗號分割數(shù)據(jù)，字段格式要和主機掃描導出的數(shù)據(jù)一致，ldif

52、是 ldap 數(shù)據(jù)格式)天融信數(shù)據(jù)庫審計系統(tǒng) TA-DB 用戶手冊服務熱線：8008105119 47選擇 系統(tǒng)管理系統(tǒng)管理 主機信息主機信息 主機管理主機管理，選擇左面要導入的用戶節(jié)點后，點擊“導入”按鈕，在彈出的導入數(shù)據(jù)頁面選擇導入數(shù)據(jù)類型“確定”，即可導入數(shù)據(jù)。（提示：葉子節(jié)點不能導入數(shù)據(jù)） 信息導出信息導出 選擇 系統(tǒng)管理系統(tǒng)管理 主機信息主機信息 主機管理主機管理，選擇左面要導出的用戶節(jié)點后，點擊“導出”按鈕即可導出數(shù)據(jù)，導出數(shù)據(jù)為 ldif 格式。導出 ldif 文件格式天融信數(shù)據(jù)庫審計系統(tǒng) TA-DB 用戶手冊服務熱線：8008105119 484.8.2 掃描掃描

53、主機主機主機掃描主要功能是掃描主機 IP 對應的主機名。當用戶沒有手動導入主機信息時，可以通過主機掃描功能來掃描主機 netbios 名(對應主機要開 netbios 服務,windows 默認開啟此服務)，然后導入主機管理里面，從而用主機名來實現(xiàn)用戶實名制映射。內網(wǎng)掃描：選擇 系統(tǒng)管理系統(tǒng)管理 主機信息主機信息 掃描主機掃描主機 點擊“內網(wǎng)掃描”，填入用戶內網(wǎng)網(wǎng)段，即可對內網(wǎng)主機名進行掃描。內網(wǎng)網(wǎng)段支持以下格式：1）網(wǎng)絡號/掩碼，如：/242）起始地址-結束地址，如：4-443）多個 ip 地址用逗號隔開，如：192.1

54、68.71.244,55，.4）或者以上三種格式的組合，之間用逗號隔開，如：/24,55-,導出數(shù)據(jù)：掃描結果也可以通過頁面導出來，供管理員編輯后再導入到主機管理里面。導出結果為 csv 格式。天融信數(shù)據(jù)庫審計系統(tǒng) TA-DB 用戶手冊服務熱線：8008105119 49掃描結果也可以通過 主機管理主機管理 導入數(shù)據(jù)導入數(shù)據(jù)，直接導入相應的組內。通過掃描的主機信息，映射實名制審計結果。天融信數(shù)據(jù)庫審計系統(tǒng) TA-DB 用戶手冊服務熱線：8008105119 505 安全審計安全審計TA-DB 能夠對

55、多種網(wǎng)絡行為進行審計，支持對HTTP、FTP、SMTP、Pop3、WebMail、P2P、telnet、MSN、QQ 等協(xié)議的審計記錄，支持對SQL Server、Mysql、Oracle、DB2、Sybase、Informix 等數(shù)據(jù)庫操作行為的審計；同時也支持用戶根據(jù)個人需求進行自定義審計。在“安全審計”里可以對已經收集到的數(shù)據(jù)根據(jù)協(xié)議分類進行查詢分析。5.1 審計管理審計管理審計管理，包括應用協(xié)議審計、在線用戶管理、數(shù)據(jù)庫審計管理、列集配置、過慮器配置、審計配置、索引管理七個模塊。5.1.1 應用協(xié)議審計應用協(xié)議審計登錄系統(tǒng)，進入“應用協(xié)議審計”，可以看到所有協(xié)議的審計查詢界面，同時提供

56、了實時刷新查看的功能，點擊“自動刷新數(shù)據(jù)”，可以自動顯示最近十分鐘內收到的最新數(shù)據(jù)；如果想看到更為詳細的情況，請點擊每條數(shù)據(jù)后面的“詳情”按鈕。 應用協(xié)議審計列表應用協(xié)議審計列表對不同類型數(shù)據(jù)庫的相關協(xié)議進行審計，例如：Oracle、Mysql、DB2 等?？梢酝ㄟ^設置時間段、起始時間、源地址、目的地址、協(xié)議內容等條件進行審計，并在審計結果提供審計結果詳情，提供給管理員更完整的用戶行為信息。注意：TA-DB 所能監(jiān)控與審計的協(xié)議因客戶購買的授權許可不同，會存在一定的差別。點擊 安全審計安全審計 審計管理審計管理 應用協(xié)議審計應用協(xié)議審計，系統(tǒng)左側會列出多種應用協(xié)議的選項。天融信數(shù)

57、據(jù)庫審計系統(tǒng) TA-DB 用戶手冊服務熱線：8008105119 51列表分成三部分：應用協(xié)議審計、應用協(xié)議分組審計和查詢任務管理器。應用協(xié)議審計包括主流的應用層協(xié)議。應用協(xié)議分組主要是與目前大部分網(wǎng)絡軟件的應用相結合進行審計。HTTP 審計HTTP 審計包括網(wǎng)絡發(fā)布審計和網(wǎng)頁瀏覽審計。點擊列表中的 HTTPHTTP 審計審計 網(wǎng)頁瀏覽網(wǎng)頁瀏覽審計審計 選項。天融信數(shù)據(jù)庫審計系統(tǒng) TA-DB 用戶手冊服務熱線：8008105119 52網(wǎng)頁瀏覽審計的審計條件分為基本條件設置、IP 條件設置、時間條件設置、用戶條件設置、網(wǎng)頁瀏覽條件設置，上圖列出的是基本條件設置，上面主要是設置審計的時間段，下圖

58、為 IP 條件設置，可以設置被審計內容的源 IP 和目的 IP，可以是地址段。網(wǎng)頁瀏覽條件設置是設置和網(wǎng)頁瀏覽應用相關的選項。將審計選項設置好以后，點擊頁面右側的查看結果集，就可以審計到符合所設置的條件的網(wǎng)頁內容。顯示審計結果的列表是可以用戶修改的，用戶可以根據(jù)自己對內容的關心程度，進行添加和隱藏。點擊每一列上面的列名稱右邊的小三角，可以顯示出一個下拉菜單，將鼠標滑動到“列”那一選項，系統(tǒng)又會顯示一個菜單，這個菜單會列出許多復選框，這些復選框就是審計結果表格的列字段，點擊復選框添加選中列，取消復選框刪除選中列。例如選中源端口，顯示結果如下：天融信數(shù)據(jù)庫審計系統(tǒng) TA-DB 用戶手冊服務熱線：8

59、008105119 53審計結果的列表會增加顯示源端口一列。每條審計結果都有一列詳情，詳情能夠還原出該審計結果的全部內容，點擊詳情會彈出新的窗口，顯示還原內容。詳情會顯示與網(wǎng)頁瀏覽相關的重要信息，包括訪問地址、使用的瀏覽器以及服務器結果等。用戶可以點擊原始頁面鏈接，跟蹤到實際訪問的頁面。注意：不是所有的 http 審計事件的詳情中都可以看見原始頁面還原連接。一般只有訪問類型為 get 類型的詳情中才會看見原始頁面還原連接。數(shù)據(jù)庫操作審計數(shù)據(jù)庫審計是針對使用不同類型的數(shù)據(jù)庫進行網(wǎng)絡操作的審計。審計結果詳情中可以看見每條數(shù)據(jù)庫操作語句。數(shù)據(jù)庫操作審計包括：ORACLE 審計、Mysql 審計、Sq

60、lserver審計、DB2 審計、Informix 審計、Sysbase 審計、PostgreSQL 審計。下面以 ORACLE 審計為例，進行頁面說明。其他類型的數(shù)據(jù)庫審計頁面功能點類似，在此不一一闡述。ORACLE 審計包括：基本條件設置、IP 條件設置、時間條件設置、用戶條件設置、Oracle 條件配置?；緱l件設置，設置審計內容的時間跨度，也可是設置自動刷新的時間間隔。天融信數(shù)據(jù)庫審計系統(tǒng) TA-DB 用戶手冊服務熱線：8008105119 54IP 條件設置，設置審計內容的源 IP 地址和目的 IP 地址，支持地址段添加。Oracle 條件配置，設置數(shù)據(jù)庫名、用戶名、數(shù)據(jù)庫表名等配置