配置審計系統(CAS)跟蹤并報告服務器環境的變化;例如，修改的配置文件、環境或注冊表變量，或其他數據庫或操作系統組件，包括數據庫管理系統或操作系統使用的可執行文件或腳本。數據在Guardium 系統上可用，可用于報告和警報。

CAS代理

CAS 是安裝在數據庫服務器上的代理，只要受監視實體發生更改(無論是內容還是所有權或權限)，它都會向Guardium系統報告。您在數據庫服務器系統上安裝 CAS 客戶端，使用與安裝 S-TAP® 相同的實用程序。CAS 與 S-TAP 共享配置信息，但每個組件獨立運行。在主機上安裝 CAS 客戶端后，您可以從 Guardium® 門戶配置實際的變更審計功能。

CAS 服務器

CAS 服務器是 Guardium 的一個組件，在Guardium系統上運行。它作為一個獨立的進程運行，獨立于 Tomcat 應用程序服務器。它通過innittab文件進行控制。

CAS 服務器配置為僅使用Guardium系統上的少數可用處理器。CAS 使用的處理器數量是通過使用參數divide_num_of_processors_by確定的。此參數存儲在cas.server.config.properties 文件中，其默認值為 2。Guardium 系統上可用處理器的數量除以此值。這確保了即使 CAS 在分配的處理器上使用了 100% 的 CPU，其余處理器也可供其他應用程序使用。

CAS 服務器認證

除了 SSL 提供的基本安全性之外，Guardium 還在數據庫服務器上運行的 CAS 客戶端上提供 CAS 服務器認證支持。這將保證 CAS 客戶端僅與 Guardium 的 CAS 服務器通信。未經身份驗證的連接和通用名稱 (CN) 不匹配將在 CAS 日志文件中報告。

配置后，當 CAS 服務器啟動時，它將加載簽名證書和私鑰，并將它們分配給它接受連接的服務器套接字。在數據庫服務器端，CAS 客戶端將支持以下連接模式：

1.非安全連接(use_tls='0')

2.無需身份驗證的安全連接(use_tls ='1'，guardium_ca_path=NULL)。此模式強制使用 SSL 作為與 CAS 服務器的通信方式(即使用 SSL 而不使用服務器身份驗證)。

3.與服務器身份驗證的安全連接(use_tls ='1'，guardium_ca_path=<公鑰位置>)。CAS 客戶端使用公鑰來驗證 CAS 服務器。公鑰 (ca.cert.pem) 將位于 /etc/pki/certs/trusted 下。

ca.cert.pem - 是一個包含根證書頒發機構證書(自簽名)的文件。在等效的瀏覽器中，那些將是受信任的 CA 證書，例如 VeriSign 等。

所有 gmachine 證書均由根授權機構頒發/簽署——這就是它們的驗證方式以及信任鏈的建立方式。

可以使用包含實際公鑰文件名的完整路徑或僅使用目錄名 (/etc/pki/certs/trusted) 設置guardium_ca_path，其中將使用此目錄中的所有公鑰為了驗證服務器。如果使用不包含公鑰的文件或目錄設置了guardium_ca_path，則連接嘗試將失敗。

4.通過服務器身份驗證和公用名驗證實現安全連接。此模式有一個額外的檢查，其中來自服務器的證書 CN 與參數 sqlguard_cert_cn 中設置的證書進行比較。如果 sqlguard_cert_cn 為 NULL 或為空，此檢查將被禁用。否則，它需要使用與 CN Guardium 的自簽名證書 ('gmachine') 相同的設置。

將 SSL 與 CAS 結合使用

您可以將 CAS 代理配置為使用安全套接字層 (SSL) 連接將數據發送到 CAS 服務器。隨版本10.5安裝的 CAS 服務器符合美國聯邦信息處理標準 140-2 (FIPS 140-2) 的要求。只有符合 FIPS 的 CAS 代理才能使用 SSL 與此 CAS 服務器通信。如果您想使用這種方法，您必須將您的 CAS 代理升級到此補丁提供的版本。您還必須在運行 CAS 代理的服務器上安裝 IBM Java，并且必須將 CAS 代理配置為使用它。為了使用 FIPS 通信，必須使用基于證書的身份驗證。

如果您嘗試使用較舊的 CAS 代理通過 SSL 與更新的 CAS 服務器進行通信，您將在 CAS 代理系統的日志文件中看到以下消息：

javax.net.ssl.SSLHandshakeException: Received fatal alert: handshake_failure

您可能還會在Guardium系統 上的 CAS 日志文件中看到此消息

javax.net.ssl.SSLHandshakeException: Client requested protocol SSLv3 not
enabled or not supported

如果要在 CAS 代理和 CAS 服務器之間使用非 SSL 連接，可以繼續使用現有的 CAS 代理。

模板集

CAS 模板集包含捆綁在一起的項目模板列表，具有共同的目的，例如監視特定類型的數據庫(例如，Unix 上的 Oracle)，并且是以下兩種類型之一：

僅限操作系統(Unix 或 Windows)

數據庫(Unix-Oracle、Windows-Oracle、Unix-DB2、Windows-DB2 等)

數據庫模板集始終特定于數據庫類型和操作系統類型。

CAS 模板項

單個受監控實體上的監控任務的定義或屬性集。用戶可以通過創建新的 CAS 模板來定義新的 CAS 測試，或者用戶可以使用可以修改的預定義 CAS 模板。

模板項是特定文件或文件模式、環境或注冊表變量、操作系統或 SQL 腳本的輸出或登錄用戶列表。任何這些項目的狀態都由原始數據反映，即文件的內容或注冊表變量的值。CAS 通過檢查原始數據的大小或計算原始數據的校驗和來檢測更改。對于文件，CAS 還可以檢查系統級別的更改，例如文件的所有權、訪問權限和路徑。

在所有單元(收集器和聚合器)由一個管理器管理的聯合環境中，收集器和聚合器共享所有模板，并且 CAS 數據可用于報告或漏洞評估。當收集器和聚合器(或恢復存檔數據的主機)不是同一管理集群的一部分時，模板不會共享，因此即使存在數據，CAS 數據也不能被漏洞評估使用，以糾正這種使用 export/導入定義以將模板從收集器復制到聚合器(或恢復目標)。

受監控實體

被監控的實際實體可以是文件(其內容和屬性)、環境變量或 Windows 注冊表的值、操作系統命令或腳本或 SQL 語句的輸出

CAS 實例

在特定主機上應用 CAS 模板集(創建該模板集的實例并將其應用于特定主機)

CAS 配置

CAS 配置定義一個或多個 CAS 實例，每個實例標識一個模板集，用于監控該主機上的一組項目。

默認模板集

對于支持的每種操作系統和數據庫類型，Guardium 提供了一個預配置的默認模板集，用于監視 Unix 或 Windows 平臺上的各種數據庫。默認模板集將用作為該模板集類型定義的任何新模板集的起點。模板集類型可以是單獨的操作系統(Unix 或 Windows)，也可以是數據庫管理系統(DB2®、Informix®、Oracle 等)，它始終由操作系統類型限定 - 例如，UNIX- Oracle 或 Windows-Oracle。Guardium 的漏洞評估中使用了許多預配置的默認模板集，例如，可以檢查已知參數、文件位置和文件權限。

您無法修改 Guardium 缺省模板集，但可以克隆它并修改克隆的版本。每個 Guardium 缺省模板集都定義了一組要監視的項目。確保您了解由該默認模板集監控的每個項目的功能和用途，并使用與您的環境相關的項目。定義您自己的模板集后，您可以將該模板集指定為該模板集類型的默認模板集。之后，為該操作系統和數據庫類型定義的任何新模板集都將使用您的新默認模板集作為起點進行定義。不會刪除為該類型設置的 Guardium 默認模板;它將保持定義，但不會被標記為默認值。

創建模板集以滿足特定數據庫配置的基本原理

盡管 Guardium 為每種數據庫類型提供了預定義的 CAS 模板集，但可能的數據庫配置種類繁多，這意味著您可能必須調整預定義的模板集或創建新的模板集以滿足生產環境中的所有需求——尤其是在數據庫軟件和數據文件位置。如果您希望 CAS 監控數據庫文件的所有權、權限和更改，您應該計劃創建其他模板。

例如，Oracle 的預定義 CAS 模板集包含以下模板：

$ORACLE_HOME/oradata/../.*dbf
$ORACLE_HOME/oradata/../.*ctl
$ORACLE_HOME/oradata/../.*log
$ORACLE_HOME/../init.*.ora

如您所見，這些文件模式模板都以相同的根目錄 $ORACLE_HOME 開頭(注意：這不一定是在您的數據庫服務器上定義的 $ORACLE_HOME 環境變量;CAS 優先使用數據源字段“Database Instance Directory”作為 $ORACLE_HOME 的值)。

在生產環境中，您的 Oracle 數據文件可能與您的日志文件不在同一目錄樹中，甚至不在同一設備上，并且您的 Oracle 配置文件可能位于另一個位置。

您可以使用絕對路徑創建其他 CAS 模板，以允許 CAS 查找和監控所有 Oracle 文件，例如：

/u01/oradata/mydb/*.dbf
/u02/oradata/mydb/*.dbf
/u03/oradata/mydb/*.dbf
/u01/oradata/mydb/*.ctl
/u02/oradata/mydb/*.ctl
/u03/oradata/mydb/*.ctl
/home/oracle11/admin/mydb/bdump/*.log
/home/oracle11/product/11.1/db_1/dbs/init*.ora

您甚至可以使用在您的 Oracle 實例帳戶中定義的其他環境變量。例如，如果您將變量定義為 $ORA_DATA1、$ORA_DATA2 和 $ORA_SOFT，您可以使用：

$ORA_DATA1/mydb/*.dbf
$ORA_DATA2/mydb/*.dbf
$ORA_DATA1/mydb/*.ctl
$ORA_DATA2/mydb/*.ctl
$ORA_SOFT/admin/mydb/bdump/*.log
$ORA_SOFT/product/11.1/db_1/dbs/init*.ora

從不同位置獲取文件

CAS 模板假定某些文件(例如用戶配置文件)位于特定位置。您可以將 CAS 配置為在您使用正則表達式指定的其他位置查找這些文件。要使用此功能，請將user_profile_files參數添加到config目錄中的cas.client.config.properties文件中。每個條目的格式是

identifying_string=comma-separated list of files

例如，假設您想在任何 DB2 用戶的主目錄中查找 .profile 文件。對于此示例，我們假設所有這些主目錄的名稱都包含字符串“db2”。將此行添加到屬性文件：

user_profile_files=.*db2.*=.profile

如果您需要指定多個模式，請使用條形符號 (|) 分隔模式。如果要將 mysql 用戶的配置文件添加到上一個條目，請將前面的示例替換為：

user_profile_files=.*db2.*=.profile|.*mysql.*=.profile

先決條件、在 Windows 服務器上安裝和運行 CAS

了解 CAS 先決條件以及如何在數據庫服務器上安裝 CAS 代理

先決條件，在 Linux、UNIX 服務器上安裝和運行 CAS

了解 CAS 先決條件以及如何在數據庫服務器上安裝 CAS 代理

定位 Java 主目錄并檢查

版本 在安裝 CAS 之前定位主目錄并檢查 Java 版本。

CAS 啟動和故障轉移

各種故障轉移和連接參數可以通過 S-TAP 控制變更審計進行修改。

CAS 模板

Guardium 提供了一組 CAS 模板，每種類型的數據存儲庫都有一個。

使用 CAS 模板

本節介紹如何維護 CAS 模板

CAS 主機

配置審計系統 (CAS) 主機配置定義了一個或多個 CAS 實例。

CAS 報告

本節介紹配置審計系統 (CAS) 報告。

CAS 狀態通過單擊管理>更改監控> CAS

狀態 打開配置審計系統狀態