深信服SSL远程接入与深信服行为审计同步登陆用户信息（深信服数据库审计系统）

深信服SSL远程接入与深信服行为审计同步登陆用户信息（深信服数据库审计系统）

本文主要针对同时使用深信服SSL设备和深信服行为审计设备的情况下，如何在AC行为审计上同步SSL的用户登录信息。

整体思路：

1、SSL部署外置数据中心，通过获取外置数据中心MYSQL数据库内的用户行为日志，得到User_Nme和IP_Address字段的对应关系。2、深信服行为审计设备使用数据库认证的单点登录方式，从数据库拉取User_Nme和IP_Address字段的对应关系

实现方式和部署方式

一、设备基础环境部署

ip route-static 10.0.11.0 24 10.0.20.250 ip route-static 10.0.12.0 24 10.0.20.250 ip route-static 10.0.13.0 24 10.0.20.251 ip route-static 10.0.14.0 24 10.0.20.251 ip route-static SSL用户地址 掩码 SSL设备内网地址

二、SSL外置数据中心部署

三、连接并处理SSL外置数据中心数据库

1、连接数据库

目前深信服最新的Windows Server版本外置数据中心的数据库连接信息如下：

MYSQL路径： C:\Program Files (x86)\Sangfor\SSL\LogKeeper\mysql 用户名：root 密码：root 端口：1126

2、外置数据中心管理的每一个节点，都会在MySQL内建立一个数据库。

3、获取用户名和IP地址对应关系

整体思路是获取最近120分钟之内，每个IP地址最近的一条日志中的User_name

(select user_name,INET_NTOA(address),log_time from (select * from node3.usrbasiclog where user_action=3 and TIMESTAMPDIFF(MINUTE,LOG_TIME,now())<120 ORDER BY user_name,address,log_time DESC) a GROUP BY a.address )

4、创建查询视图

到此为止，已经可以获取IP地址和用户名的对应关系了，但是上面这段SQL是不能直接用于创建视图的。MySQL的视图不支持嵌套子查询。修改SQL语句使用左连接，并提前创建子视图。

CREATE VIEW `sinforglobaldb`.`max_record_node3` AS SELECT MAX( record_id ) AS record_id FROM node3.usrbasiclog WHERE user_action = 3 AND TIMESTAMPDIFF( MINUTE, LOG_TIME, now())< 120 GROUP BY address ORDER BY record_id; #获取每个IP地址的最新的记录的recore_id

CREATE VIEW `sinforglobaldb`.`user_ip_node3` AS SELECT tba.record_id, tbb.user_name, INET_NTOA( tbb.address ) as address, tbb.log_time FROM max_record_node3 tba LEFT JOIN node3.usrbasiclog tbb ON tba.record_id = tbb.record_id; #左连接刚刚创建的max_record_node3和usrbasiclog。获取最新record_id对应的用户信息


5、创建多个节点的UNION连接视图

如果，你的外置数据中心有多个节点，最终通过UNION把多个node的查询结果连接起来

CREATE VIEW `sinforglobaldb`.`user_cpn_ip` AS SELECT user_name,address FROM user_ip_node3 UNION ALL SELECT user_name,address FROM user_ip_node4;

最终，我们得到了user_cpn_ip这个视图，就是我们需要的最终查询视图。

四、AC行为审计设备获取用户连接信息

五、配置外置数据中心数据库更新时间

搞定！

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。