登录之后,进入Audit Vault Server的运行界面:
- 登陆DBFW Web控制台: https://DBFW_IP
- 在System页面中,选择日期和时间,点击右下角的更改:
- 输入相应的日期和时间,点击保存:
- 登陆DBFW Web控制台: https://DBFW_IP
- 在System页面中,选择服务,点击右下角的更改:
- 将Web访问、SSH访问、SNMP访问设置为all,点击保存:
- 登陆DBFW Web控制台: https://DBFW_IP
2)点击键盘,选择键盘布局us,点击应用。
- 登陆DBFW Web控制台: https://DBFW_IP
- 在System页面中,点击网络:
- 点击右下角的更改,在代理端口中输入11521,选中已启用,点击添加:
点击右下角的保存,完成代理端口的添加:
- 登陆DBFW Web控制台: https://DBFW_IP
- 点击Audit Valut服务器:
- 输入Audit Vault服务器IP地址,从Audit Vault Server的设置/证书处复制服务器证书,点击应用:
- 使用管理员账户avadmin,登陆Audit Vault Server Web控制台: https://AVServer_IP
- 在设置Tab页面中,点击系统/管理:
- 设置相应的时间、日期,选择键盘布局,点击保存。
1) 使用管理员账户avadmin,登陆Audit Vault Server Web控制台: https://AVServer_IP
2)在设置Tab页面中,点击服务:
3)将SSH访问、SNMP访问都设置为“全部”,点击保存:
1)使用管理员账户avadmin,登陆Audit Vault Server Web控制台: https://AVServer_IP
2)在防火墙Tab页面中,点击注册:
- 输入名称及防火墙的IP地址,点击保存:
确保在注册之前已向防火墙提供此系统的证书。
- 使用管理员账户avadmin,登陆Audit Vault Server Web控制台: https://AVServer_IP
- 在受保护目标Tab页面中,点击目标/注册
- 添加相应的信息,注册受保护目标:
参数说明:
新受保护目标名称:输入受保护目标的名称
受保护目标位置:JDBC连接串,例如jdbc:oracle:thin:@//192.168.0.12:1521/orcl
受保护目标类型:选择Oracle Database
用户名:输入用于URA,SPA审计的用户名
添加受保护目标地址:输入IP地址、端口号、服务名之后,点击添加
最后点击保存
1)使用管理员账户avadmin,登陆Audit Vault Server Web控制台: https://AVServer_IP
2) 在受保护目标Tab页面中,选择监视/强制点,点击创建:
3)输入强制点名称、选择监视模式、要监控的受保护目标、选择防火墙及通信端口,点击保存:
4)启动强制点:选择ORCLEP,点击启动
- 使用审计账户avauditor,登陆Audit Vault Server Web控制台: https://AVServer_IP
- 在受保护目标Tab页面中,点击orcl:
3)点击防火墙策略,点击更改:
4)选择相应的防火墙策略,例如Log all,点击保存。
- 使用审计账户avadmin,登陆Audit Vault Server Web控制台: https://AVServer_IP
2)在主机Tab页面中,点击注册:
3)输入主机名及主机IP,点击保存:
- 使用oracle用户登录192.168.0.12(ORCLDB)
- 创建一个avagent目录:
cd /u01/app/oracle/product
mkdir avagent
- 在avagent目录下从Audit Vault Server上下载avagent:
cd /u01/app/oracle/product/avagent
scp [email protected]:/var/lib/oracle/dbfw/av/jlib/agent.jar .
- 使用oracle用户登录192.168.0.12(ORCLDB)
- 进入avagent目录,安装代理:
cd /u01/app/oracle/product/avagent
java -jar agent.jar
- 激活avagent:
cd /u01/app/oracle/product/avagent/bin
./agentctl activate
1)使用管理员账户avadmin,登录Audit Vault Server https://AVServer_IP
- 在主机Tab页面中,选择主机,勾选相应的主机名,再点击激活:
激活后,代理激活状态变为Approved:
- 在ORCLDB(192.168.0.12)主机上,使用oracle账号启动代理:
cd /u01/app/oracle/product/avagent
./agentctl start -k 5FZG-QU3K-YYJK-ZGI0-NNF1 (agentctl start –k key,这里的key是上图中的代理激活密钥)
- 刷新Audit Vault Server页面,查看代理状态:
在主机Tab页面中,选择主机,查看代理状态是否为Running:
AVDF需要在受保护主机上创建数据库账户,并赋予相应权限,才能做到:收集审计数据,管理审计策略,SPA,URA,及DDI(数据加密for Oracle)。
- 使用oracle账户,进入受保护主机的avagent/av/plugins/com.oracle.av.plugin.oracle/config/目录
cd /u01/app/oracle/product/avagent/av/plugins/com.oracle.av.plugin.oracle/config/
- 创建数据库账户avaudituser
sqlplus / as sysdba
SQL> create user avaudituser identified by oracle account unlock;
- 运行下面的脚本:
SQL> @oracle_user_setup.sql avaudituser setup; (为avaudituser赋予管理审计策略、从非Redo日志中收集数据的权限)
sqlplus / as sysdba @oracle_user_setup.sql avaudituser REDO_COLL (为avaudituser赋予从Redo日志中收集数据的权限)
sqlplus / as sysdba @oracle_user_setup.sql avaudituser SPA (SPA权限)
sqlplus / as sysdba @oracle_user_setup.sql avaudituser ENTITLEMENT (URA权限)
4)在受保护目标Tab页面中,添加数据库用户名avaudituser及密码等信息,点击保存:(这步非常有必要,否则会导致后面的审计线索启动不了)
1)使用oracle用户登录192.168.0.12(ORCLDB)
2)查看数据库的audit参数:
sqlplus / as sysdba
show parameter audit
- 如果audit_sys_operations为Fasle or audit_trail 不为DB, EXTENDED,则:
SQL> alter system set audit_sys_operations=true scope=spfile;
SQL> alter system set audit_trail=DB, EXTENDED scope=spfile;
SQL> shutdown immediate;
SQL>startup;
- 使用管理员账户avadmin登录Audit Vault Server https://AVServer_IP
- 在受保护目标Tab页面中,选择审计线索,点击添加:
- 选择收集主机,受保护目标名称,审计线索类型为TABLE,线索位置为SYS.AUD$,点击保存。
4)启动新添加的审计线索:
- 添加另一个审计线索:
点击保存,并启动这个审计线索。
- 查看审计线索状态:
- 使用审计账户avauditor登录Audit Vault Server https://AVServer_IP
- 在策略Tab页面中,选择审计设置,选中受保护目标orcl,点击检索审计设置:
- 在设置Tab页面中,选择系统/作业,可以看到检索审计设置是否完成:
4)在策略Tab页面中,选择审计设置,可以看到当前的审计设置状态:
- 点击orcl,查看具体的审计设置:
- 点击Object,可以看到正在使用的Object审计设置:
点击右上角的创建:
选择对象类型为TABLE,
对象SH.COSTS(TABLE),
对象执行条件:两者(成功或失败),
DML审计粒度:访问,
语句审计类型:ALTER,DELETE,INSERT,SELECT,UPDATE,
点击保存。
- 在策略Tab页面,策略/审计设置中查看现在的审计设置:
- 点击Object,查看具体的对象审计设置:
- 选中新添加的5个Object规则,点击右上角的“设置为需要”,然后选择Object,点击导出/预配:
输入用户名avaudituser及密码,点击预配:
9)完成之后,查看现在审计设置:
使用审计者账户avauditor登录Audit Vault Server https://AVServer_IP
在策略Tab页面中,选择策略/防火墙策略,点击创建策略:
3)点击修改SQL,针对SQL语句定义策略: