IDC巡检设备过程文档

28-卫盾数据库审计与防统方软件V3.0巡检报告使用手册上海卫盾信息科技有限公司目录一 软件准备 3二 巡检准备 3三 开始巡检 51 系统连接界面 52 巡检人员 53 设备灯和系统时间 64 数据库审计探针 7 ①后台进程是否正常 7 ②与审计中心通讯是否正常 8 ③共享内存剩余是否正常 9 ④数据库入库是否正常 95 数据库审计中心 11 ①软件故障 11 ②数据库运行 11 ③数据库索引 11 ④数据库备份清理 13 ⑤系统空间使用 13 ⑥表空间使用 14 ⑦查询效率 156 系统性能 157 系统主要数据指标 16 ①输入top命令 16 ②输入free命令 17 ③输入iostat13命令 18 ④输入df-h命令 19 ⑤网络流量 20底层数据与状态页面 20⑥被审计系统等 21⑦巡检结束 23四 附件下载 23五 抓包 23六 提交报告 27卫盾数据库审计与防统方软件巡检设备过程说明：本文档只为公司内部学习文档，使用者有义务对本公司产品进行保密。软件准备：安装好SecureCRT、sqldeveloper等软件。二、巡检准备：1.打开SecureCRT,显示如下界面：图1-1SecureCRT的界面选择合适的系统连接，点击按钮，进入系统连接操作界面。如果选项中没有合适的数据库，必须重新创建一个系统连接。重新创建系统连接步骤如下：①点击connect中的，弹出如下窗口：图1-2QuickConnect窗口②填写HostName（HostName为客户提供的内网IP），填写Username（一般为：root）。③点击按钮，QuickConnect窗口消失，同时弹出如下图所示的窗口：图1-3EnterSecureShellPassword在password中填写(star777!@#$)，（注意保密）同时选中Savepassword。具体界面如下图所示：图1-4EnterSecureShellPassword已经填写好的界面④点击按钮，完成系统连接。进入系统连接操作界面。三、开始巡检：系统连接界面如下图所示：（现在我们连接的内网IP为：10.10.10.42）图2-1数据库连接界面2.巡检报告第一部分巡检之前或巡检后填好，巡检时注意一下，这样可以节省时间。图2-2巡检报告硬件情况检查设备灯和系统时间。设备灯，一般为正常。图2-3-1检查设备灯系统时间报告页面在图2-1界面输入date命令查看系统时间。图2-3-2查看系统时间查看标准时间（一般笔记本联网自动调整，标准时间即为电脑时间）：图2-3-3查看标准时间如果系统时间和标准时间相差不到一分钟，即为正确,否则不正确。4.数据库审计探针。图2-4-1数据库审计探针巡检报告页面①后台进程是否正常:在图2-1界面输入pstree，出现如下页面：图2-4-1-1-1树状结构注：pstree指令用ASCII字符显示树状结构，清楚地表达程序间的相互关系。如果不指定程序识别码或用户名称，则会把系统启动时的第一个程序视为基层，并显示之后的所有程序。若指定用户名称，便会以隶属该用户的第一个程序当作基层，然后显示该用户的所有程序。如果树状结构中有图2-4-1-1-2结构，说明后台进程正常，否则异常。图2-4-1-1-2树状结构②与审计中心通讯是否正常：登陆系统>审计记录>(操作查询)数据库操作>点击按钮。查询结果显示如下图所示：图2-4-1-2数据查询如果最近10分钟有数据说明与审计中心通讯为正常，否则为异常。③共享内存剩余是否正常是否正常：在图2-1界面输入flowmeter，点击键盘中的Enter键。图2-4-1-3-1flowmeter输入图2-4-1-3-2flowmeter界面注：flowmeter.流量计，流量表如果图2-4-1-3-2中networkrate有数据，且overlapfree（100%），那么内存剩余为正常，否则异常。准确界面如下图所示：图2-4-1-3-3④数据入库是否正常：在图2-1界面输入mylog>/uer/local/myaudit/log#ll注：more每次显示满屏。出现如下界面：图2-4-1-3-1接着输入lesssendfile.log(或sendfile.log|less或moresendfile.log或Sendfile.log|more)。出现如下界面：图2-4-1-3-2如果最近一段时间内synchronizeOK说明数据入库正常，否则异常。5.数据库审计中心图2-5-1数据库审计中心巡检报告页面①软件故障：只要系统运行，说明软件故障为无，否则有。②数据库运行：只要有数据呈现出来，说明数据库运行正常，否则异常。③数据库索引：--查看无效索引并生成重建索引的语句select'ALTERINDEX'||table_owner||'.'||index_name||'rebuild;'fromdba_indexeswherestatus='UNUSABLE'unionSELECT'ALTERINDEX'||index_owner||'.'||index_name||'rebuildpartition'||partition_name||';'FROMdba_ind_partitionsWHEREstatus='UNUSABLE'ORSTATUS='N/A';具体操作步骤：双击桌面，出现如下界面：图2-5-3-1OracleSQLDeveloper连接10.10.10.42数据库。复制svn>MyAudit>src>database>useful>index_unusable_check.sql中的查看无效索引并生成重建索引的语句。粘贴到工作表区域，如下图所示：图2-5-3-2工作表区域执行该语句，结果界面如下：图2-5-3-3查询结果如果查询无结果，说明数据库索引有效，否则无效。④数据库备份清理登陆界面>系统管理>自动备份设置：必须是如下界面：图2-5-4-1登陆界面>系统管理>备份文件列表：图2-5-4-2如果有最近一天的数据说明数据库备份清理正常，否则异常。⑤系统空间使用登陆界面>状态统计>系统统计>图2-5-5-1如果系统空间利用率低于90%说明正常,否则异常⑥表空间使用登陆界面>状态统计>其他>其他参数查询>图2-5-6-1系统参数查询界面点击表空间使用，出现如下界面：图2-5-6-2表空间使用查询界面如果表空间中每张表的当前利用率不超过90%说明正常，否则异常。⑦查询效率>>或>>在相对短的时间内能够查询到数据说明查询效率正常，否则异常。6.系统性能图2-6-1系统性能巡检报告页面>进入如下界面，图2-6-2系统状态界面如果CPU、内存、硬盘等数据在不超过90%的利用率情况下，性能颈瓶无，否则有。7.系统主要数据指标图2-7-1系统主要数据指标巡检报告页面①：输入top命令：在图2-1界面输入top命令,出现如下界面：图2-7-1-1CPU利用率：20.8%CPU利用率是一个数据范围，我们填写表格时，注意数据的范围。②输入free命令：在图2-1界面输入free命令（或free-k）,出现如下界面：（单位KB）图2-7-2-1我们知道Mem为内存，buffers/cache为缓存，Swap为分区。输入free-m（单位MB）：图2-7-2-2输入free-g（单位GB）：图2-7-2-3交换分区使用：0MB交换分区总数：8MB内存总数：1GB内存利用率：36%used/total一般看如下界面：图2-7-2-4③输入iostat13命令：注：iostat报告中央处理器（CPU）统计信息和整个系统、适配器、tty设备、磁盘和CD-ROM的输入／输出统计信息。图2-7-3-1BKR(Blk_read/s):三个sdaBlk_read/s的平均值BKW(Blk_wrtn/w):三个Blk_wrtn/w的平均值④输入df-h命令：图2-7-4-1物理磁盘大小：5个size相加文件分区大小：/dev/sda1size本系统为56G文件空间使用：/dev/sda1/used%本系统为：47%这5个填写项目通过系统状态界面填写：>进入如下界面，图2-7-4-2物理磁盘大小：56G+24G=80G（系统空间容量+数据空间容量）文件分区大小：56G（系统空间容量）数据分区大小：24G（数据空间容量）文件空间使用：54%(系统空间利用率)数据空间使用：37.19%（数据空间利用率）⑤网络流量：2.36M（一般看数据的平均值）>进入如下界面，图2-7-5-1底层数据与系统状态页面：看④中两种查看方式数据是否一致。一致正常，否则异常。⑥：输入flowmeter命令：有几个不同的severIP就有几个被审计系统。图2-7-6-1很明显被审计系统个数为11.>>>出现如下界面：图2-7-6-2其中RAW_DB_T的记录数为审计记录总数的个数。SESSION_DATABASE_T的记录数为审计会话总数的个数。>>忽略规则总数:223>统方规则总数:5>审计规则总数:5>>查询10分钟记录：0.111秒>>图2-7-6-3查询一小时会话：0.036秒>>如下界面图2-7-6-4可以看出：数据时间跨度：45天从2012-05-12到2012-07-12平均每天数据量:106.4307M⑦：巡检结束，注意填写如下表格：图2-7-7-1巡检报告总结页面附件下载附件系统日志文件：>>分区情况(Tables.space)：>>截取图片抓包第一种方法：点击，显示如下界面：图5-1输入mycap命令,接着输入ll命令。界面如下：图5-2输入tcpdump-ieth0-s0-wXXXX.cap开始抓包。注意：eth0是指监听口，不可随意指定；XXXX是指具体抓的包命名（任意一名称都可以，不可重复）；具体页面如下：图5-3按Ctrl+