marketplace-res-cbc-cn.obs.myhwclouds.com€¦ · web viewduring the settings activation, the...
TRANSCRIPT
华为云平台 IMPERVA-DBF部署及使用手册
前言:当您的 VPC 内已经部署自己的数据库资源后,想要使用数据库审计等保护时,您只需根据本手册操作步骤即可快速部署一套 IMPERVA-DBF 系统。(在华为云平台需使用 agent 安装在数据库系统作审计功能)
深圳市零日科技有限公司2018年12月12日
一. 登陆华为云账号,登陆控制台,选择购买弹性云服务器。
二. 配云服务器配置(1)根据以下推荐进行配置,需配置一台 VM150(管理服务器)V系列DBF.
(2)从市场镜像选取 IMPERVA-DBF镜像购买云主机。购买一台VM150,一台V系列DBF.(以V2500为例)
(3)等待创建完毕。
(4)通过账号控制台,远程登陆,初始化VM150管理服务器//安装完新系统默认用户名 admin 密码 adminlogin: adminPassword: admin//输入完后,需要修改默认密码。要输入一次旧密码:admin,才能改新密码,新密码有复杂性要求,需要大小写字母加数字//进入系统后,切换到配置模式使用命令 impcfg
// 这里选 1
//是否改变管理口,默认是 eth0 这里选 n
//按格式输入管理口的 IP 和子网掩码/前面输入 IP 后面输入掩埋的位数 IP Address [IP Address/CIDR]: XXX.XXX.XXX.XX/XX (另一台:XXX.XXX.XXX.XX/XX)//是否配置 IPv6 协议格式的 IP Do you want to set IPv6 Address as well? [y/n]: n
You can optionally set an Ethernet interface that will connect the appliance to a LAN (Local Area Network). You can use one of the on-board Ethernet interfaces.//是否配置一个局域网接口 Do you want to set a LAN interface? [y/n]: n
You can (optionally) set a default gateway.//是否配置一个默认网关,配置当段地址的网关。 Do you want to set an IPv4 default gateway? [y/n]: y//不指定接口
You can configure a DNS client. (optional)//是否配置 DNS Do you want to configure a DNS client? [y/n]: n
Set the password for the Linux "root" user.//配置 root 用户密码 Enter password [7-14 letters, Digits * ( ) - + = | # % ^ : / ~ . , [ _]: *******//重复输入 Re-enter password: *******
---------------------------------------------------------------------------------------------------------------//配置 ecureSphere 管理用户 secure 密码 The user "secure" (the SecureSphere administrative user) is used to register the SecureSphere Gateway with a SecureSphere Management Server.
If the password is changed, the SecureSphere Management Server will be restarted when the changes are applied.//配置 ecureSphere 管理用户 secure 的密码 Enter password [7-14 letters, Digits * ( ) - + = | # % ^ : / ~ . , [ _]: *******//重复输入 Re-enter password: ******* Change the bootloader password: Protecting the bootloader with a password is essential to denying unauthorized persons physical access to the console.
//配置 imperva 密码
Enter password [7-14 letters, Digits * ( ) - + = | # % ^ : / ~ . , [ _]: *******//重复输入 Re-enter password: *******
//设置主机名 Assign a name to the host
NOTE: The host name you will set will also be used as the Gateway name. If you enter a Fully Qualified Domain Name (FQDN) the leftmost part of the name will be used for hostname. For example, if you enter "mycomputer.mydomain.com" the host name will be "mycomputer".//设备主机名(设置为 CIname 就可以,一般一次定好,不要修改) Host name [Short or FQDN (separated by .) hostname, where each part starts with a letter and consists of at least 2 of the following: letters, digits, _ or -]: SZ-JK-2202-B07-X2500-DBF-1
You will now select a time zone//配置时区位置信息Please identify a location so that time zone rules can be set correctly.Please select a continent or ocean. 1) Africa 2) Americas 3) Antarctica 4) Arctic Ocean 5) Asia 6) Atlantic Ocean 7) Australia 8) Europe 9) Indian Ocean10) Pacific Ocean11) none - I want to specify the time zone using the Posix TZ format.5
#? Please select a country. 1) Afghanistan 18) Israel 35) Palestine 2) Armenia 19) Japan 36) Philippines 3) Azerbaijan 20) Jordan 37) Qatar 4) Bahrain 21) Kazakhstan 38) Russia 5) Bangladesh 22) Korea (North) 39) Saudi Arabia 6) Bhutan 23) Korea (South) 40) Singapore 7) Brunei 24) Kuwait 41) Sri Lanka 8) Cambodia 25) Kyrgyzstan 42) Syria 9) China 26) Laos 43) Taiwan10) Cyprus 27) Lebanon 44) Tajikistan11) East Timor 28) Macau 45) Thailand12) Georgia 29) Malaysia 46) Turkmenistan13) Hong Kong 30) Mongolia 47) United Arab Emirates14) India 31) Myanmar (Burma) 48) Uzbekistan15) Indonesia 32) Nepal 49) Vietnam16) Iran 33) Oman 50) Yemen17) Iraq 34) Pakistan9
选 1#? The following information has been given:
China east China - Beijing, Guangdong, Shanghai, etc.
Therefore TZ='Asia/Shanghai' will be used.Local time is now: Thu Dec 11 17:18:22 CST 2014.Universal Time is now: Thu Dec 11 09:18:22 UTC 2014.Is the above information OK?1) Yes2) No1#?
You can configure an NTP client. (recommended)//是否配置 NTP(时间同步服务器) Do you want to configure an NTP client? [y/n]: n
NOTE: The SecureSphere Management Server has been activated on this machine. The database is about to be created. This may take a while.
NOTE: The SecureSphere Gateway has been activated on this machine. The selected operation mode is Bridge IMPVHA.
The Gateway will be registered and started.
NOTE: A transaction that will activate these settings is about to start.
You can use another terminal session to monitor it with: impctl show log.
NOTE: During the settings activation, the hardening settings will be configured. Part of these settings include setting a timeout on inactive shell sessions as well as denying access to users 'root' and 'secure' over SSH.
If you have open shell sessions, please close them all after all the settings have been activated in order for the hardening settings to be properly applied.//按回车应用配置,系统常规初始化的启动时间约为 25-30 分钟左右,因为要新建数据库,至此初始化配置完成 Press <ENTER> to continue:
Applying changes ...
The changes are being saved ...
Active components ... [ OK ] 'system' (database) password ... [ OK ] Gateway mode ... [ OK ] Gateway name ... [ OK ] GRUB password ... [ OK ] Host name ... [ OK ] LAN Interface ... [ OK ] Management Interface ... [ OK ] New users ... [ OK ] Root password ... [ OK ] Server address ... [ OK ] 'secure' user password ... [ OK ] Time zone ... [ OK ]
The changes have been saved.
The changes are being applied ...
impctl portguard stop ... [ OK ] impctl teardown ... [ OK ] impctl gateway unregister ... [ OK ] impctl product config --role=onebox ... [ OK ] impctl db config --encoded-password='U2FsdGVkX19ITU8gpSmG0nLj3fEeUzvLVVi0cu0Rb Rg=' ... [ OK ] impctl gateway config --mode=bridge-impvha ... [ OK ] impctl gateway config --name=SZ-JK-2202-B07-X2500-DBF-1 ... [ OK ] impctl hardening config --grub-password='U2FsdGVkX19hq4buGIzEDQd+166Nd0OLhTBVGkLRwU9X BSfzwrdqAzrebVZ6vEVm mZkdchTRvYU=' ... [ OK ] impctl platform host config --name=SZ-JK-2202-B07-X2500-DBF-1 ... [ OK ] impctl platform network interface delete --name=lan ... [ OK ] impctl platform network interface config --name=management --device=eth0 --address-v4=192.168.100.55/24 ... [ OK ] impctl platform user create --name='imperva_user' --full-name='imperva_onebox_user' --encoded-password='U2FsdGVkX1/Mk72WJRBwsaxbjEgVB/1Vn6jCKCemN 74=' ... [ OK ] impctl platform user config --name=root --encoded-password='U2FsdGVkX19ku+PMmFgo1d3nV8cCqkqxVlsNL0mYk wo=' ... [ OK ] impctl gateway config --server-address=127.0.0.1 ... [ OK ] impctl server config --encoded-password='U2FsdGVkX1+pdL2pm5Hq6TggL+OmeX/93WgRhRkU8 FM=' ... [ OK ] impctl platform time config --time-zone=Asia/Shanghai ... [ OK ] impctl portguard start ... [ OK ]
impctl gateway config --listeners ... [ OK ] impctl boot ... [ OK ]
(5)通过账号控制台,远程登陆初始化DBF-V2500 //安装完新系统默认用户名 admin 密码 adminlogin: adminPassword: admin//输入完后,需要修改默认密码。要输入一次旧密码:admin,才能改新密码,新密码有复杂性要求,需要大小写字母加数字//进入系统后,切换到配置模式使用命令 impcfg
//这里选 3
//是否取代另一个网关,选 n//是否改变管理口,默认是 eth0 这里选 n
//按格式输入管理口的 IP 和子网掩码/前面输入 IP 后面输入掩埋的位数 IP Address [IP Address/CIDR]: XXX.XXX.XXX.XX/XX //是否配置 IPv6 协议格式的 IP Do you want to set IPv6 Address as well? [y/n]: n
You can optionally set an Ethernet interface that will connect the appliance to a LAN (Local Area Network). You can use one of the on-board Ethernet interfaces.//是否配置一个局域网接口 Do you want to set a LAN interface? [y/n]: n
You can (optionally) set a default gateway.//是否配置一个默认网关,配置当前地址段的网关 Do you want to set an IPv4 default gateway? [y/n]: y//不指定接口
You can configure a DNS client. (optional)//是否配置 DNS Do you want to configure a DNS client? [y/n]: n
Set the password for the Linux "root" user.//配置 root 用户密码 Enter password [7-14 letters, Digits * ( ) - + = | # % ^ : / ~ . , [ _]: *******//重复输入 Re-enter password: *******---------------------------------------------------------------------------------------------------------------//配置 ecureSphere 管理用户 secure 密码 The user "secure" (the SecureSphere administrative user) is used to register the SecureSphere Gateway with a SecureSphere Management Server.
If the password is changed, the SecureSphere Management Server will be restarted when the changes are applied.//配置 ecureSphere 管理用户 secure 的密码 Enter password [7-14 letters, Digits * ( ) - + = | # % ^ : / ~ . , [ _]: *******//重复输入 Re-enter password: ******* Change the bootloader password: Protecting the bootloader with a password is essential to denying unauthorized persons physical access to the console.
//配置 imperva 密码
Enter password [7-14 letters, Digits * ( ) - + = | # % ^ : / ~ . , [ _]: *******//重复输入 Re-enter password: *******
//设置主机名 Assign a name to the host
NOTE: The host name you will set will also be used as the Gateway name. If you enter a Fully Qualified Domain Name (FQDN) the leftmost part of the name will be used for hostname. For example, if you enter "mycomputer.mydomain.com" the host name will be "mycomputer".//设备主机名(设置为 CIname 就可以,一般一次定好,不要修改) Host name [Short or FQDN (separated by .) hostname, where each part starts with a letter and consists of at least 2 of the following: letters, digits, _ or -]: SZ-JK-2202-B07-X2500-DBF-1
Gateway configuration
Choose a gateway operation mode
//配置 WAF 管理服务器 IP 配置为:xxx.xxx.xxx.xxx
The SecureSphere gateway operation modes are://选择 SecureSphere 网关的运行模式 1.嗅探 2.生成树目录 3、一般的桥接 4、核心代理 反向代理 1) Sniffing 2) Bridge STP. 3) Bridge IMPVHA. 4) Reverse Proxy Kerne .
Operation mode: 1
You will now select a time zone//配置时区位置信息Please identify a location so that time zone rules can be set correctly.Please select a continent or ocean. 1) Africa 2) Americas 3) Antarctica 4) Arctic Ocean 5) Asia 6) Atlantic Ocean 7) Australia 8) Europe 9) Indian Ocean10) Pacific Ocean11) none - I want to specify the time zone using the Posix TZ format.5#? Please select a country. 1) Afghanistan 18) Israel 35) Palestine 2) Armenia 19) Japan 36) Philippines 3) Azerbaijan 20) Jordan 37) Qatar 4) Bahrain 21) Kazakhstan 38) Russia 5) Bangladesh 22) Korea (North) 39) Saudi Arabia 6) Bhutan 23) Korea (South) 40) Singapore 7) Brunei 24) Kuwait 41) Sri Lanka 8) Cambodia 25) Kyrgyzstan 42) Syria 9) China 26) Laos 43) Taiwan10) Cyprus 27) Lebanon 44) Tajikistan11) East Timor 28) Macau 45) Thailand12) Georgia 29) Malaysia 46) Turkmenistan13) Hong Kong 30) Mongolia 47) United Arab Emirates14) India 31) Myanmar (Burma) 48) Uzbekistan15) Indonesia 32) Nepal 49) Vietnam16) Iran 33) Oman 50) Yemen17) Iraq 34) Pakistan9
选 1#? The following information has been given:
China east China - Beijing, Guangdong, Shanghai, etc.
Therefore TZ='Asia/Shanghai' will be used.Local time is now: Thu Dec 11 17:18:22 CST 2014.Universal Time is now: Thu Dec 11 09:18:22 UTC 2014.Is the above information OK?1) Yes2) No1#?
You can configure an NTP client. (recommended)//是否配置 NTP(时间同步服务器) Do you want to configure an NTP client? [y/n]: n
NOTE: The SecureSphere Management Server has been activated on this machine. The database is about to be created. This may take a while.
NOTE: The SecureSphere Gateway has been activated on this machine. The selected operation mode is Bridge IMPVHA.
The Gateway will be registered and started.
NOTE: A transaction that will activate these settings is about to start.
You can use another terminal session to monitor it with: impctl show log.
NOTE: During the settings activation, the hardening settings will be configured. Part of these settings include setting a timeout on inactive shell sessions as well as denying access to users 'root' and 'secure' over SSH. If you have open shell sessions, please close them all after all the settings have been activated in order for the hardening settings to be properly applied.//按回车应用配置,系统常规初始化的启动时间约为 25-30 分钟左右,因为要新建数据库,至此初始化配置完成 Press <ENTER> to continue:
Applying changes ...
The changes are being saved ...
Active components ... [ OK ] 'system' (database) password ... [ OK ] Gateway mode ... [ OK ] Gateway name ... [ OK ] GRUB password ... [ OK ] Host name ... [ OK ] LAN Interface ... [ OK ] Management Interface ... [ OK ] New users ... [ OK ] Root password ... [ OK ] Server address ... [ OK ] 'secure' user password ... [ OK ]
Time zone ... [ OK ]
The changes have been saved.
The changes are being applied ...
impctl portguard stop ... [ OK ] impctl teardown ... [ OK ] impctl gateway unregister ... [ OK ] impctl product config --role=onebox ... [ OK ] impctl db config --encoded-password='U2FsdGVkX19ITU8gpSmG0nLj3fEeUzvLVVi0cu0Rb Rg=' ... [ OK ] impctl gateway config --mode=bridge-impvha ... [ OK ] impctl gateway config --name=SZ-JK-2202-B07-X2500-DBF-1 ... [ OK ] impctl hardening config --grub-password='U2FsdGVkX19hq4buGIzEDQd+166Nd0OLhTBVGkLRwU9X BSfzwrdqAzrebVZ6vEVm mZkdchTRvYU=' ... [ OK ] impctl platform host config --name=SZ-JK-2202-B07-X2500-DBF-1 ... [ OK ] impctl platform network interface delete --name=lan ... [ OK ] impctl platform network interface config --name=management --device=eth0 --address-v4=192.168.100.55/24 ... [ OK ] impctl platform user create --name='imperva_user' --full-name='imperva_onebox_user' --encoded-password='U2FsdGVkX1/Mk72WJRBwsaxbjEgVB/1Vn6jCKCemN 74=' ... [ OK ] impctl platform user config --name=root --encoded-password='U2FsdGVkX19ku+PMmFgo1d3nV8cCqkqxVlsNL0mYk wo=' ... [ OK ] impctl gateway config --server-address=127.0.0.1 ... [ OK ] impctl server config --encoded-password='U2FsdGVkX1+pdL2pm5Hq6TggL+OmeX/93WgRhRkU8 FM=' ... [ OK ] impctl platform time config --time-zone=Asia/Shanghai ... [ OK ] impctl portguard start ... [ OK ] impctl gateway config --listeners ... [ OK ] impctl boot ... [ OK ]
(6)初始化完成后,通过配置的 IP地址,登陆MX管理服务器,导入 license,
三.Imperva Agent 安装
,Agent 是 Imperva 在华为云部署的解决方案,是在做数据库安全和文件安全时对网络部署的有效补充,在某些特殊的环境中,Agent 甚至可以独挡一面,完全依靠 Agent 截获流量和阻断恶意攻击。
从官方描述可以看出,Agent 安装在数据库、文件共享、SharePoint 和 AD
服务器上,作用是监控数据库,共享文件、SharePoint 和 AD 的活动并通过 TCP
或者 UDP 转发流量到配置了 listener 的 Gateway 上。
备注:只有 Windows 的 Agent 才能监控文件共享、SharePoint 和 AD 的活动。
安装和配置 Agent 可以按照以下 7 个步骤:
备注:本手册不适用于 DB2 运行于 Z /OS 的 A GENT 的安装,请参看请他手册。
(1)从 FTP 获得最新的 Agent 安装程序。
a、Windows Server 平台
所有Windows Server 平台对应一个 Agent 程序,直接从 FTP 下载即可。
b、非 Windows 平台(重点讲述)强烈建议在下载 Agent 前,先从 FTP 下载一个脚本,来确定您即将安装的 OS 和 DB 所需要的 Agent 安装包。
从 FTP(/Downloads/SecureSphere_Agents/Misc/)下载最新的检测
“脚本 which_ragent_package_xxxx.sh(xxxx ”为版本 号)。
“这个脚本只有一个参数 -v”,后面加 Agent 版本号,如 8.5、10.0 等。
示例:./which_ragent_package_0003.sh -v 8.5
运行结果如图:
在确定检测信息无误的情况下,请在 FTP 下载上图红色标识的 Agent 安装包。
(2)检查数据库或者文件共享服务器的配置。a、Windows Server 平台
1、 “确认 Windows Installer”的版本不低于 3.1V1(3.1.4000.1823)
“找到文件 MSI.DLL”, “通常位于 C:\WINDOWS\SYSTEM32”,右
键查看属性查看版本选项卡。2、 Winpcap4.1.2 或更高(仅适用于数据库 Agent)
如果使用 Agent 在外部网口监控数据库,则必须安装 winpcap4.1.2
或更高版本。如果未安装 winpcap,无论运行 Agent 与否,服务器
有可能因为 winpcap 的问题崩溃。注:Winpcap 安装包可从 FTP 下载。
3、 用户权限安装 Agent 需要服务器的管理员权限。
b、非 Windows 平台
Agent “安装包会运行 pre-install”脚本来验证系统配置是否适合安装,
检查项如下:
安装 Agent 必须使用 root 账号,并且确保/tmp 目录的剩余空间至少是安装包文件的两倍。
c、数据库的检查。许多数据库支持多种通信模式。通常可以分为三种:TCP/IP、TCP-local
和本地进程间通信(IPC)。安装在数据库上的 Agent 通过三种渠道监控数据库。
如果被监控的数据库使用了不支持的内部通信模式,则需要手动配置数据库使用本地回环口。比如,本地监控 Informix 数据库时,必须将服务绑定到本地回环接口。监控运行于 Linux 系统的 MySQL 数据库时,也许遇到此问题。备注:如果 GW 同时在监控数据库,相关联的 A GENT 需要配置以免审计到重复 的数据。
(3)配置 SecureSphere Gateway。
GW 的配置主要分两部分,配置 Listeners 和 routing。
a、配置 Listeners
备注:1、 一个 GW 可配置不同类型(TCP 和 UDP)的多个 listeners,也可指定不同的 Agent到不同的 listener。
2、 桥接网口和镜像端口不能配置为 TCP listener 接口。
配置步骤:a、 “运行 impcfg”
b、 “选择 Manage the SecureSphere gateway”
c、 “选择 Manage remote agents”
d、 “选择 Add a listener”
e、 配置相关参数
选择 TCP 或者 UDP
配置是否启用 SSL,建议不开启。
填写 Listener 的地址,一般是管理口的 IP 地址
“配置监听端口,默认 5555” “,配置监听网口,默认是 eth0”
是否配置 listener 的虚地址,建议选择否
b、配置 Agent 相关路由
GW 和 Agent 通过安全的 TCP 信道通信。然而,在某些环境中,需要配置额外的路由以确保 GW 能和 DB 或者文件共享服务器通信。SecureSphere6.06.6274 “及其以上版本支持通过 impcfg”配置。
1、 “运行 impcfg”
2、 “选择 Manage the SecureSphere gateway”
3、 “选择 Manage remote agents”
4、 “选择 Manage remote-agent related routes”
5、 添加或者删除一个路由
详细参数如下:
(4)安装 Agent。
Agent 的安装过程大同小异,建议认真阅读安装过程中的提示,以便顺利完成安装。
Tips:安 装 Agent 之前,建议在 sites “中配置好对应的 Server groups” “和 Services”等 。
a、Windows Server 平台
1、 以管理员身份登录系统。2、 获取最新的 Agent 版本。3、 双机 MSI 文件运行。
4、 配置相关参数。“推荐使用 Quick Configuration”
选择 Agent 工作范围
最新的 V10.0Agent 能够监控 AD 的活动
配置 Agent 在 WEB 界面显示的名称和 Listener 的 IP 地址
选择只监控本地流量还是全局流量
提示注册成功后,按任意键继续
Agent 支持冗余架构,可将其注册到备选 GW。
启动服务,按任意键继续即可完成安装
b、非 Windows 平台1、 将安装包上传到数据库服务器2、 以 root 账号登录系统,赋予安装包执行权限并执行安装
3、 配置参数
默认安装目录是/opt/imperva, “如需更改,请选择 n”
选择推荐的快速配置模式,填写 Agent 名称和 Listener 的 IP 地址
配置监控模式和输入 Agent 和 GW 注册的密码(改密码是在 GW 初
“始化时配置的,默认是 secure”),注册成功后按任意键继续。
Agent 支持冗余架构,可将其注册到备选 GW。
启动服务,完成安装。
(5)注册 Agent 到 Gateway。
请参考上一步的描述。
(6)通过 WEB 界面配置 Agent。
a、检查 Agent 运行状态
“点击 Setup”------“Agents” “,选择 Workbench”视图,查看每个
Agent “的 Status” “和已发现的 Service Types”
b、关联 Agent 到对应 Server Group
“打开 Settings”选项卡,管理 Agent 到 Server Group 和 Service
c、配置数据接口
目前 Agent “并不能完全发现所有的 OS/DB/Interface”组合,有时需要手动配置数据接口。能够自动发现的有:
需要手动配置的有:
自动发现示例截图:
手动配置示例截图:
d、查看加密支持(仅针对 WinServer 上的 MSSQL)
如 果 有 “ Encryption Support ”选项卡则表示 Agent 成功拿到了
Windows 的 Certificate 或者 Kerberos Key。可以籍此解决审计 MSSQL
“的 Hashed User”的问题。
(7)排错和 Agent 日常操作。
a、Agent 管理控制台
Agent 管理控制台可以用于停止,启动 Agent 服务;重新注册到 GW 等。
1、 Windows Server 平台
在 Windows 环 境 下 , 可 在 cmd 窗 口 运 行 “ <base
dir>\RemoteAgent\StartCli.bat ”, 默 认 目 录 是 “ C:\Program
Files\Imperva”
管理界面如图:
“选择 2”,可在下面的界面操控 Agent
2、 非 Windows 平台
“在安装目录运行 ./racli”
控制台界面如下:
b、卸载 Agent
1、 Windows 平台
首先停止 Agent 服务,方法参见上一步。然后在控制面板卸载或者在
CMD 下执行
“ msiexec /x <remote agent package full path>
NOSCRIPT=true /quiet”
2、 非 Windows 平台
强 烈 建 议 写 在 前 , 停 止 Agent 服 务 , 然 后 执 行“/opt/imperva/ragent/bin/uninstall”即可
通常卸载 Agent 之后无需做其它操作,下列除外:a、 AIX 平台卸载 9.0 及其以上版本之后,如果再次安装相同的版本无需重启数据库服务器;如果安装之前的版本则需要重启。
卸载 9.0 版本之前的 Agent 之后,卸载进程会要求重启服务器,但如果计划安装 9.0 或者更高版本,请忽略此消息。
b、 Linux、Solaris 和 HP-UX
如果计划安装之前的版本,则必须重启数据库服务器。
c、常见问题1、 常见错误及可能原因
2、 查看日志
文档名称:华为云平台 IMPERVA-DBF 部署及使用手册
通过以上操作及可完成部署 DBF,并安装相应的 agent,做数据库审计安全。