昂楷DAS，部署在cssp中，下发的接口只有eth2口管理口地址，eth0接口地址一直是默认的   1、在CSSP平台接口检查，平台侧下发的接口地址是其他网段 2、在昂楷控制台侧查看一直是默认地址10.0.0.254 3、在das后台查看接口地址是没有eth0口地址下发 4、跟CSSP研发侧沟通网络拓扑里面拖出来的DAS，没有eth0地址下发，需要在租户侧下发才会有eth0地址，在租户侧分配组件可以正常下发   网络拓扑里面拖出来的DAS，没有eth0地址下发，需要在租户侧下发才会有eth0地址 网络拓扑里面拖出来的DAS，没有eth0地址下发，需要在租户侧下发才会有eth0地址，在租户侧重新分配组件即可          

DAS2.0.20版本，界面一直查不到日志   1、界面查看DAS配置，都正常配置 2、后台查看流量有正常到DAS，且查看后台原始日志目录/das/data/log_data/dc/devid_****/是有日志 3、但是查看索引目录/das/data/log_data/dc/devid_00000000/没有生成对应当天的索引文件 4、查看设备的堆栈信息，发现一直在打ldbr堆栈日志 5、检查设备界面配置，发现是开启了sip对接，关闭和sip对接功能正常 信创DAS2.0.20版本不支持对接sip，如果强行开启会导致ldbr频繁堆栈，导致索引进程不工作 界面关闭和sip对接功能          

【SCD-DAS】syslog格式规范说明       syslog格式说明 名称 类型 说明 reqtime string 日志时间 engine_name string 引擎名称 hostname string 主机名称 osuser string 操作系统用户名 appname string 应用程序名 client_mac string 客户端mac client_ip string 客户端IP client_port short 客户端端口 db_mac string 数据库mac db_ip string 数据库IP db_port short 数据库端口 dbType int 数据库类型 dbname string 数据库名称 dbuser string 数据库用户名 sql_catalog int SQL操作类型 table string 表名称，多个表用分号分隔 sql string SQL语句 reply string 结果集 rowcount int 影响行数 status int SQL执行状态 pattern string SQL模板 policy string 策略名称 rule string 命中规则，json数组格式： [{         "name": "ddd->ddd",         "action": 1,         "threat": 1 name：策略名称，【策略名称->规则名称】 action：规则响应状态 threat：风险等级 threat int 风险等级 log_level int 日志等级 terminal_ip string 应用IP url string 应用URL app_user string 应用客户端用户名称   样例数据： 2020/3/2,17:15:50,Local0,Error,172.16.5.58,"Mar 02 17:15:49 AuditServer zhangyang: reqtime: 2020-03-02 17:15:49 engine_name: mysql8.0 hostname:  osuser:  appname:  client_mac: 00-50-56-84-5B-8F client_ip: 172.16.5.56 client_port: 36046 db_mac: 00-50-56-8E-96-D2 db_ip: 172.16.5.123 db_port: 3306 dbType: 3 dbname: zhangyang dbuser: root sql_catalog: 1 table: test10 field: test10.4int;test10.id0 sql: select 4int from test10 where id0=10 reply:  rowCount: 0 status: 1 pattern: select 4int from test10 where id0=0 policy: zhangyang rule: [{""name"":""zhangyang->高风险_mysql8.0"",""action"":1,""threat"":3}] threat: 3 log_level: 4 terminal_ip:  url:  app_user: " 黄色底纹内容为格式化后字符串，不同字段用空格分开。   action规则相应状态 值 说明 1 通过 2 告警 3 阻断（不使用）   threat风险等级 值 说明 1 低风险 2 中风险 3 高风险   log_level日志等级 值 说明 1 不记录 2 只记录一次（不再使用） 3 采样（不再使用） 4 记录   sql_catalog SQL操作类型 值 类型 1 select 2 insert 3 update 4 delete 5 login 6 logout 7 alter 8 drop 9 backup 10 kill 11 shutdown 12 truncate 13 create 14 revoke 15 deny 16 restore 17 grant 18 use 19 show 20 begin 21 commit 22 declare 23 execute 24 call 25 set 26 add 27 analyze 28 associate 29 audit 30 bulkinsert 31 change 32 close 33 comment 34 checkpoint 35 dbcc 36 deallocate 37 disable 38 disassociate 39 enable 40 explain 41 fetch 42 flashback 43 lock 44 manage 45 merge 46 noaudit 47 open 48 others 49 purge 50 reconfigure 51 rename 52 rollback 53 rpc 54 setuser 55 load 56 describe   status SQL执行状态 状态值 说明 0 默认值 1 未知状态 2 登录成功 3 登录失败 4 会话超时断开 5 SQL执行成功 6 SQL执行失败 7   8 注销   dbtype数据库类型 类型值 说明 0 Oracle 1 MSSql 2 Db2 3 MySql 4 Cache 5 Sybase 6 DM达梦 7 Informix 8 ST神通 9 King人大金仓 10 TeraData 11 PostgreSQL 12 GBase 13 DM6达梦6 14 Hive 15 Oracle2016 16 MongoDB 17 Redis 18 Kafka 19 ElasticSearchHttp 20 ElasticSearchJavaAPI 21 HANA                  

自研DAS版本2.0-2.0.3,2.0.8及以上版本对应的新插件       一、 安装npcap-0.99-r7.exe 或 WinPcap_4_1_3.exe         Windows Vista / 2008,7 / 2008R2,8 / 2012,8.1 / 2012R2,10 / 2016（x86和x64）                 推荐安装： npcap-0.99-r7.exe 可以支持loopback口抓包                 npcap安装参照文档 《npcap安装.doc》         windows 2003 （x86和64）                 安装WinPcap_4_1_3.exe，不支持抓loopback口                 winpcap是windows下一个的抓包系统                 直接点击exe一路默认选项安装即可 二、 安装agent         以管理员权限执行install.bat                 安装成功：会有"Successful installation"回显，                         检测系统的服务（services.msc）中有das_agent服务正在运行                 安装失败：会回显错误信息                         a. 是否以管理员权限运行                         b. ERROR: task [%SERVER_NAME%] already exists. First uninstall it!!!                                 任务管理器中有das_agent运行，先确认这个das_agent来源，然后卸载掉之后再安装                         c. ERROR: service [%SERVER_NAME%] already exists. First uninstall it !!!                                 系统服务中（services.msc）已有das_agent，确认是否还需要重装                         d. ERROR: regedit [%SERVER_NAME%] already exists. First unreg it !!!                                 系统注册表中（HKEY_LOCAL_MACHINE\system\currentcontrolset\services\）已有das_agent项了，确认是否删除                         e. reg service [%SERVER_NAME%] failed !!!                                 安装时注册服务das_agent服务失败，请确保install.bat 和 instsrv.exe srvany.exe 放在同一目录下 三、配置das_agent.ini         打开 config/das_agent.ini         [server]-->host                        配置需要对接的das设备地址         [capture]-->dev                        配置需要抓取本机的目标网口ip         [capture]-->filter                配置需要抓包条件（一定要配置避免网口循环抓包）                                                         e.g. 1: tcp port 3306  //抓取tcp3306端口的包                                                         e.g. 2: tcp port 3306 or tcp port 80 // 同时抓取tcp 3306 和 tcp 80端口数据包 四、重启服务         打开命令行         net stop das_agent_2         net start das_agent_2 五、卸载npcap/winpcap方法         打开控制面板 --> 卸载程序 --> 找到npcap/winpcap安装项 卸载，根据情况选择是否重启pc 六、卸载agent方法         以管理权限执行uninstall.bat    Das_agent_windows_for-2003-2016.zip           

DAS设备 2.0.11版本硬件设备，更新了授权之后维保服务时间显示不出来，提示：连接服务器失败，请确保网络畅通   1、用DAS的网关id到社区去验证设备的远程服务时间和硬件维保时间是否有效，社区查询地址：https://bbs.sangfor.com.cn/plugin.php?id=service:query_not#/safecert，以下查询结果说明系统没有记录这台设备的远程服务时间和硬件维保时间，如下：    1、若遇到此类问题，建议先查订单核实清楚，如果订单上这两个时间没问题，查看社区是否有更新维保时间，社区更新了维保时间要保障DAS设备自身可以访问公网才能获取，如果订单上记录的时间也有问题，需要先解决订单的问题并将相关维保硬件时间同步社区，设备联网才会获取到正确的远程服务时间和硬件维保时间！              

DAS很多场景下都需要抓包，可能在不同的环境下抓包方式需要变动才能抓到包 以下汇总不同场景下的抓包方法       接口正确选择：镜像口抓包抓取镜像口抓包； 插件方式，业务口抓取agent客户端发过来的4567端口的封装数据包，最高口抓解封装后数据库端口的数据包 正常场景： tcpdump_dp命令抓包，后面参数和linux下通用抓包方法一样 tcpdump_dp -i eth2 host 192.168.1.1 and port 3306 -nnve -c 1000 如，eth2为抓包接口，根据实际场景选择 ；host 192.168.1.1为抓取的主机IP； port 3306 为需要抓取的端口，-s0为抓取完整的包，-w为把包抓取保存下来 tcpdump_dp -i eth2 host 192.168.1.1 and port 3306 -c 50000 -s0 -w /das/data/1mysql.pcap 以上为把包抓取保存到/das/data/1mysql.pcap文件 虚拟化环境： das2.0.11 虚拟化环境有流量但是 tcpdump_dp抓不到包,需要打包 KB for 2.0.11:KB-DAS-2.0.11_Q2022071902639.tgz KB-DAS-2.0.11_Q2022071902639.tgz ( 0.00M  ) 逻辑接口抓包方法: 适用于镜像方式或者插件，有流量过来但是无法抓到包，需要把接管的网口绑定到逻辑接口抓包 按如图绑定逻辑接口之后抓包 tcpdump -i pcapif1 host 192.168.1.1 and port 3306 -c 100 -nne pcapif1为自己绑定的逻辑接口，根据实际操作修改 绑定逻辑接口抓包方法：https://support.sangfor.com.cn/cases/list?product_id=79&type=1&category_id=21829&isOpen=true              

配置了风险检查，但SCD-DAS接收日志后显示的全是无风险日志 无 1、首先检查是否有默认的策略   2、在引擎列表，检查该数据库是否关联了内置或者自定义的风险监控策略，发现客户对该数据库没有勾选，勾选上有中高危语句日志 在安全管理员--引擎--数据源中的资源没有勾选风险监控策略。 选择引擎后，下拉到屏幕下方，选择之前部署的策略，保存并生效。 无 否        

某客户两台oracle数据库做RAC，现在需要安装DAS的agent插件。 审计不到日志 1、ifconfig查看网卡信息，发现网卡上除了物理IP，还有两个虚拟IP，和客户咨询后确认是做了oracle RAC，两个IP分别是scanIP和VIP。 2、使用netstat -ano | grep 1521查看发现三个IP都在监听，但是几乎所有的连接都是从42这个虚拟IP访问的。 3、接下来是配置agent参数，host填写DAS的地址，根据上面的连接数可以确认dev应该填写42这个网卡的虚拟网卡名称，配置完成后./xxx/bin/eps_service restart重启服务。 4、最后一步也是最重要的一步，在DAS上配置业务系统的时候，需要将两台oracle RAC主机的物理网卡真实IP、scanIP和VIP都加入到业务系统中。     1、需要将RAC上的IP都加入到业务系统的IP列表中  

DAS2.0.6已经卸载agent插件，但Linux数据库自动部署agent时一直提示服务已存在！自动部署失败 1、查看das_agent安装文件已经被删除；2、ps查看没有agent进程了；3、查看Linux开机自启动路径下存在das_agent，删除该进程之后自动部署成功；     Linux数据库开机自启动项还存在das_agent进程，在Linux开机自启动路径下rm -rf /etc/init.d/das_agent删除该进程即可  

Linux服务器运行安装插件后，发现有部分文件丢失（das.agent.ini等） 1、查看服务器内存使用情况发现内存使用率已经达到95%2、推断是内存占用高导致插件安装时出现异常3、手动在插件安装目录config下新建das.agent.ini配置并配置好res_limit.ini后重启插件后恢复正常附1：如何配置res_limit.ini，如下[config]start_mem=97 附2：重启进程方式：在安装目录bin下，执行重启进程命令处理，如下./bin/eps_services restart       内存使用率过高导致的问题  

Windows 2003 32位安装agent遇到的问题：问题一、Error in pcap_findalldevs_ec:No interfaces found! Make sure libpcap/Winpcap is properly installed on the local machine. Das_agent_xk agent运行失败，提示日志报错如下：原因： 需要启动npf服务。file:///C:\Users\ADMINI~1\AppData\Local\Temp\ksohtml3716\wps1.jpg管理员执行 net start npf。 如果npf服务无法启动，执行以下操作： 重启das_agent服务器，查看日志是否正常。file:///C:\Users\ADMINI~1\AppData\Local\Temp\ksohtml3716\wps5.jpgfile:///C:\Users\ADMINI~1\AppData\Local\Temp\ksohtml3716\wps4.jpg参考：http://www.doc88.com/p-9093100163770.html 问题二：报错：pcap>[MTU]:1500 Drop!file:///C:\Users\ADMINI~1\AppData\Local\Temp\ksohtml3716\wps3.jpg处理方法：打开网卡属性 选择对应的网卡file:///C:\Users\ADMINI~1\AppData\Local\Temp\ksohtml3716\wps6.jpg 修改网卡属性-->配置-->高级：file:///C:\Users\ADMINI~1\AppData\Local\Temp\ksohtml3716\wps7.jpg设置 large Send offload V2 值位disabled.然后确定（注意：修改后服务器网络会出现断开10秒左右）file:///C:\Users\ADMINI~1\AppData\Local\Temp\ksohtml3716\wps8.jpg 然后重启das_agent服务，观察问题是否解决。       如上  

das2.0.11，使用管理口接收agent插件的流量，无法审计到日志 1.检查业务系统配置以及插件配置都无异常，插件日志连接成功2.管理口抓包能收到4567发过来的数据包，最高口抓包没有抓到解封装后的数据包3.更换成业务口去接收流量，审计正常     新发货的硬件设备不支持管理口eth0接收业务流量 更换其他口作为业务口，来接收agent的流量做审计 管理口和业务口复用支持情况：1.das2.0-2.0.3 2.0.8 管理口和业务口支持复用一个口2.2.0.9 2.0.11及以上版本，eth0只能作为管理口，业务口需要使用其他口，不支持复用，如果要复用需要使用非eth0口3.老设备das2.0-2.0.3 2.0.8升级到2.0.11版本，升级前支持复用的升级后依旧支持，新发货的2.0.9 2.0.11及以上都不支持复用  

升级2.0.10会检测网络，客户升级环境无法上互联网。 1、使用离线客户端升级解决，将离线升级工具（见附件）发送给客户，使用此工具连接DAS。2、连接之后，按F10打开界面，点击【时间】-【同步公网时间】获得随机字符串。3、然后打开工具SangforSyncTimeTool（见附件），填入字符串，获取时间加密串提供给客户。4、将时间加密串填写进去之后，点击确定，就可以获取到公网时间，然后继续升级即可。     使用离线客户端升级 注意：校验时间的工具不能发给客户！SangforSyncTimeTool.rar(175.26 KB)SANGFOR_Updater6.0.rar(2.47 MB)

DAS2.0.3升级2.0.10后可以ping通业务口地址，但控制台无法登录 1、进后台查看未发现网卡乱序现象，且路由正常 1-10-1.png (478.77 KB) 2、直连管理口，进入控制台发现，【运行模式】内网关为10.252.252.1，非业务口网关 1-10-3.png (237.51 KB) 3、修改网关为业务口网关并保存后使用业务口ip登录正常 1-10-4.png (234.78 KB)       修改【运行模式】内网关为业务口网关  

DAS控制台首页的CPU利用率首页基本不波动，显示为0 1.后台经常设备的CPU占用率显示不为0 2.跟研发确认，das的界面显示的CPU机制为：一般最大的两个核是满的（最大的核为进程dataplane占用，一直会占用100%），前端显示的CPU会把最大的两个核的CPU去掉，再取平均值 3.使用此方法计算，客户这边流量很小，所以审计以及其他进程占用很少，基本显示为0 ，是正常的       CPU计算机制：前端显示的CPU=后台去掉最大1-2核占用的CPU，再取平均值 无  

用户那边linux安装插件之后审计不到 1、在config配置文件检查插件配置，并无问题 2、查看var/log/das_agent日志查看有报错，提示socket create raw socket error 3、查看数据库登录账号是hik，用root账号登录，再重启das服务，日志审计正常     1、数据库账号权限不足 1、建议使用root账号登录数据库  

用户执行了一个风险语句的操作，但是日志检索出来却显示无风险级别 1、检查风险策略是启用状态 2、数据库ip也没有白名单3、发现引擎名称-基本设置没有勾选风险监控策略     1、数据库引擎没有勾选风险监控策略 1、每个数据库引擎勾选风险监控策略  

设置了邮件告警，无法收到邮件 1、测试邮件有效性正常，并且能正常接收到测试邮件2、风险告警策略也配置正确 3、风险日志查询确实也有这条风险日志，但是无法接收到邮件4、检查发现邮件配置设置日志条数需要达到10条才能收到邮件 5、把日志汇总条数改成1，再次测试能正常收到邮件     1、邮件设置日志汇总条数是10条 把日志汇总条数改成1，接收邮件正常  

DAS2.0.6配置邮件告警测试有效性失败 1、检查设备是否能上网，进入后台测试dns解析失败，修改网络配置之后设备上网正常2、检查告警邮箱密码是否正确，例如我们是用QQ邮箱去发送邮件，在设备填写的密码是QQ邮箱配置smtp服务生成的授权码，而不是QQ邮箱登录密码，授权码需要用手机发送短信才能收到     1、设备无法上网2、告警邮箱密码填写错误，需要填写授权码 1、调整网络配置使DAS设备能上网，并且告警邮箱密码需要填写授权码  

SCD-DAS登录提示401-当前登录的用户执行了未被授权的操作 通过分析定位是由于同一浏览器同时登录了两个账号导致。   由于同一浏览器同时登录了两个账号，再去操作时就会出现上述报错（SsyAdmin、SecAdmin、Auditor其中两个）。 由于做了三权分立，系统、策略、日志均由不同的账号进行管理，在配置上会需要频繁切换账号，建议使用不同的浏览器分别登录相关账号进行配置。