这篇文章是我对IBM Guardium产品的经验的摘要。其中一些很简单。我正在录制那些我自己的参考。

  • 找到Guardium STAP安装文件夹和EXEC STAP DIAG
  • 关闭系统
  • 检查引擎状态失败
  • 更改报告参数
  • 将报告添加到仪表板中以检查已记录的数据
  • 更改GIM客户端配置的Guardium IP
  • 删除非活动的GIM客户端连接
  • VA报告查看问题 - 禁用数据级安全过滤
  • 单位利用率报告失败
  • Central Manager显示所有S-Tap离线(红色)

拓扑

找到Guardium STAP安装文件夹和EXEC DIAG

有时,如果stap已经存在问题,请从Web GUI运行命令不会工作。您必须转到DB Server的命令行以将其运行如下所示:

[[email protected] tmp]# ps -ef | grep -i tap
root      1911   933  0 11:58 ?        00:00:00 /var/gim/modules/STAP/11.2.0.0_r108838_1-1598487907/guard_stap /var/gim/modules/STAP/11.2.0.0_r108838_1-1598487907/guard_tap.ini
root      5685  5104  0 13:07 pts/0    00:00:00 grep --color=auto -i tap
[[email protected] tmp]# cd /var/gim/modules/STAP/11.2.0.0_r108838_1-1598487907/
[[email protected] 11.2.0.0_r108838_1-1598487907]# ls
atap_must_gather.sh  config                        guard-config-update                guardium_evaluator.jar          guard-stap-setup            hooks                  libsasl2.so         platform_checks.sh
buffers              db2_exit_health_check.sh      guard_diag                         guardkerbplugin.conf            guard_tap.ini               libgssapiv2.so         libsasl2.so.3       ranger_dynpolicy_config.py
ca.cert.pem          depends                       guard_discovery                    guard_log4j_listener_config.py  guard_tap.ini.bak           libgssapiv2.so.3       libsasl2.so.3.0.0   rc
cit_config.xml       files                         guard_discovery.stderr.log         guard_sof                       guard_tap.ini.default_orig  libgssapiv2.so.3.0.0   LICENSE.TXT         STAP.log
common.sh            find_db2_shmem_parameters.sh  guard-gim-STAP-build.conf          guard_stap                      guard_tap.ini.prev          libguardkerbplugin.so  load_balance        trace_files
conf                 GIM.pm                        guardium_cassandra_audit-3.11.jar  guard_stap_analyze_tool.sh      guard_tap.ini.save_default  librdkafka.so          merge_ini_file.sh   uninstall
conf.bkp             guard-atap-ctl                guardium_cassandra_audit-3.4.jar   guard_stap.pid                  guard_validate_ip           librdkafka.so.1        monit-stap-control
[[email protected] 11.2.0.0_r108838_1-1598487907]# mkdir /tmp/guard_diag_out
[[email protected] 11.2.0.0_r108838_1-1598487907]# ./guard_diag /tmp/guard_diag_out/
Args /tmp/guard_diag_out/
LOG LEVEL 4
LOG TIME 60
This diagnostics script runs for approximately two minutes.  During the course
of its execution, it will gather data about various aspects of your system to
aid in analysing performance issues and other problems.  To do so, a couple of
processes will be started and terminated after a predetermined time-out.  On
some systems, this may cause some messages about processes being killed to be
printed below - this is normal and should not be cause for concern.

find: ‘/var/gim/modules/STAP/11.2.0.0_r108838_1-1598487907/./../../..//modules/CAS/current’: No such file or directory
./guard_diag: line 372:  6069 Killed                  tail -f /var/log/messages >> $KTAP_TEMP 2>&1
./guard_diag: line 372:  6071 Killed                  tail -f $tap_log_dir/guard_stap.stderr.txt >> $STAP_TEMP 2>&1
/dev/guard_ktap: No such file or directory
/var/gim/modules/STAP/11.2.0.0_r108838_1-1598487907/./../../..//modules/STAP/current/db2_exit_health_check.sh: line 145: /var/gim/modules/STAP/11.2.0.0_r108838_1-1598487907/./../../..//modules/STAP/current/guard-sign: No such file or directory
/var/gim/modules/STAP/11.2.0.0_r108838_1-1598487907/./../../..//modules/STAP/current/db2_exit_health_check.sh: line 146: /var/gim/modules/STAP/11.2.0.0_r108838_1-1598487907/./../../..//modules/STAP/current/guard-sign: No such file or directory
./guard_diag: line 1308: /var/gim/modules/STAP/11.2.0.0_r108838_1-1598487907/./../../..//modules/STAP/current/dump_shmem_stats: No such file or directory
cat: /tmp/guard_diag_out//diag.91vDi5/../stap_drop.log: No such file or directory
Diagnostics completed!  The results are in /tmp/guard_diag_out//diag.ustap.localhost.localdomain.20-08-31_130855.tar.gz
[[email protected] 11.2.0.0_r108838_1-1598487907]#

在guardium中查找并删除大文件

搜索任何大小大于500MB的大文件,无论创建何时。 
guardium11.yourcompany.com> support show large_file 500 0

517     /var/IBM/Guardium/collector/bin/snif-debug
532     /var/IBM/Guardium/collector/bin/packet-run
722     /var/IBM/Guardium/collector/bin/snif
4097    /var/IBM/Guardium/data/mysql/ib_logfile0
4097    /var/IBM/Guardium/data/mysql/ib_logfile1
4097    /var/IBM/Guardium/data/mysql/ib_logfile2
4097    /var/IBM/Guardium/data/mysql/ib_logfile3
ok
guardium11.yourcompany.com>

要查找超过一定尺寸和年龄的文件,请运行以下CLI命令:
支持show show sull_files.<size> <age>

然后,您可以通过运行以下命令删除特定文件:
支持Clean Log_file.<要删除的完整路径>

关闭系统

停止命令从命令行关闭瓜盖。 停止系统

Web GUI - 设置 - 工具和视图 - 系统 - 停止

检查引擎状态失败

检查引擎验证是Guardium V9.1及更高版本的特点。其目的是确定S-TAP上配置的检查引擎是否正在收集数据。


 有两种方法可以验证检查引擎:

    1. “标准验证“ - 将登录请求与用户”ResultFD“中的检查引擎定义的数据库发送到。此登录请求应失败。如果正确配置并正常工作,则S-Tap将向收集器发送异常,登录失败。验证过程寻找此失败的登录,如果找到它,那么我们知道S-Tap可以捕获来自此检查引擎的数据。

    2. “高级验证“ - 用户配置的数据源用于登录数据库。高级验证在不存在的表上运行一个选择。如果配置了检测引擎并正常工作,则S-TAP将与包含数据库错误的收集器发送异常.Verification进程查找此错误,如果发现它,那么我们知道S-Tap可以从本检查引擎中捕获数据。

YouTube视频:

故障排除Guardium S-Tap验证过程:

参考: //www.ibm.com/support/pages/what-do-if-guardium-inspection-engine-status-fail

更改报告参数

    运行时间参数

      对于这些查询,可以更改query_from_date和query_to_date以限制为显示最近的3分钟数据

        在V10中单击V9或扳手中的铅笔右侧。

           

        修改参数

    报告参数
      任何字段都可用于将条件设置为正常状态,并且报告可以重新保存并重新运行 - 例如限制特定的serverip ...

        单击v10中左上角的编辑报告图标。

           

        添加条件 - 例如

将报告添加到仪表板中以检查已记录的数据




脚步: 

登录到您的 集电极 WebUI,将以下报告添加到您的仪表板中:
1.完整的SQL计数
2.完整的SQL.
3.访问服务器
4.开放会议
5.会议计数

更改GIM客户端配置的Guardium IP

有时,您可能希望将Gim客户端指向不同的收集器或聚合器。以下步骤将向您展示如何更改该步骤。
1.从GIM客户端服务器停止GIM服务
2.转到路径C:\ Program Files(x86)\ guardium \ guardium安装管理器\ gim \ current \
3.编辑文件“conf”
4.将GIM_URL搜索和将IP更改为172.23.1.29(收集器)到172.23.1.28(中央管理器)
5.保存更改
6.启动GIM服务
7.验证Guardium Central Manager

基于 如何将gim客户端移动到另一个设备(gim server)?,还有另外两种方法可以做到:
1.来自Guardium Web GUI,管理 - 模块安装 - 设置客户端
选择GIM客户端和GIM包然后将参数Gim_URL更改为新的GIM设备IP,立即安装以获得更新。
2.来自Guardium客户端命令行。

删除非活动的GIM客户端连接

如果您的GIM客户端指向不同的Guardium aggregator / Collector / Central Manager,则可能会在关于“Gim进程未在遵循数据库服务器上运行的GIM进程”的通知后收到。在这种情况下,您可能希望通过客户页面设置中的“重置连接”删除此Gim连接。

VA报告查看问题 - 禁用数据级安全过滤

VA任务已计划运行和日志显示它已成功完成,但收到的报告显示为空显示为“数据级别安全性或事件过滤”。因此,所有结果都已过滤“

还有一个“包含间接记录”复选框。

它非常清楚,有因素被启用数据级别安全性,例如分离职责。它可以在设置时关闭> Tools and Views > Global Profile.

单位利用率报告失败

遵循以下KB的两步配置,单元使用报告将正确生成。 

笔记: //www.ibm.com/support/knowledgecenter/en/SSMPHH_11.0.0/com.ibm.guardium.doc.admin/adm/unit_utilization_configure.html

Central Manager显示所有S-Tap离线(红色)

如果在DB服务器上验证STAP服务后仍处于脱机状态,它可能会涉及检测引擎服务,并验证防火墙允许端口9500和9501。 

您可以尝试从DB Server到Telnet Collector的端口9500/9501。 
guardium-v11.yourcompany.com> restart inspection-core
Are you sure you want to restart inspection-core (y/n)?
Restarting inspection-core
ok
guardium-v11.yourcompany.com>


    参考

    来自Blogger. http://blog.fabiandinkins.com/2020/01/ibm-guardium-troubleshooting-tips-and.html

    经过 Jon.

    发表评论