Инфовотч руководство администратора

InfoWatch Traffic Monitor Enterprise 3.5 Руководство по установке и конфигурированию

INFOWATCH TRAFFIC MONITOR ENTERPRISE 3 .5

Руководство по установке и

конфигурированию

© ЗАО “ИнфоВотч” Тел. +7 (495) 229-00-22 • Факс +7 (495) 229-00-22

http://www.infowatch.com

Дата редакции: март 2011 года

СОДЕРЖАНИЕ

ВВЕДЕНИЕ………………………………………………………………………………………………………………………………………………………… 5

Аудитория ……………………………………………………………………………………………………………………………………………………… 5

Структура руководства ………………………………………………………………………………………………………………………………….. 5

Дополнительная документация …………………………………………………………………………………………………………………….. 6

Условные обозначения …………………………………………………………………………………………………………………………………. 6

Техническая поддержка пользователей ………………………………………………………………………………………………………… 7

ГЛАВА 1. ОБЗОР INFOWATCH TRAFFIC MONITOR ENTERPRISE 3.5 ……………………………………………………………… 8

1.1. Функции InfoWatch Traffic Monitor Enterprise 3.5 ………………………………………………………………………………………. 8

1.2. Состав InfoWatch Traffic Monitor Enterprise 3.5 …………………………………………………………………………………………. 9

ГЛАВА 2. ПОДГОТОВКА К УСТАНОВКЕ ………………………………………………………………………………………………………….. 10

2.1. Схемы развертывания Системы …………………………………………………………………………………………………………… 10

2.1.1. Перехват копии SMTP-трафика (работа с почтовым relay-сервером) ……………………………………………. 10

2.1.2. Перехват копии трафика при помощи Sniffer …………………………………………………………………………………. 12

2.1.3. Перехват HTTP-трафика, передаваемого по протоколу ICAP ……………………………………………………….. 16

2.1.4. Прием объектов, перехваченных InfoWatch Device Monitor ……………………………………………………………. 19

2.1.5. Прием объектов от DeviceLock ………………………………………………………………………………………………………. 21

2.2. Аппаратные и программные требования ………………………………………………………………………………………………. 23

2.2.1. Traffic Monitor Server……………………………………………………………………………………………………………………….. 23

2.2.2. Sniffer ……………………………………………………………………………………………………………………………………………… 24

2.2.3. Модуль IW ICAP …………………………………………………………………………………………………………………………….. 25

2.2.4. Модуль взаимодействия с удаленной базой данных ……………………………………………………………………… 25

2.2.5. Сервер СУБД Oracle ………………………………………………………………………………………………………………………. 26

2.2.6. Management Console ……………………………………………………………………………………………………………………… 26

2.3. Настройка Postfix …………………………………………………………………………………………………………………………………… 27

ГЛАВА 3. УСТАНОВКА СИСТЕМЫ ………………………………………………………………………………………………………………….. 28

3.1. Схема базы данных ………………………………………………………………………………………………………………………………. 28

3.1.1. Рекомендации по созданию схемы базы данных …………………………………………………………………………… 28

3.1.2. Создание схемы базы данных ……………………………………………………………………………………………………….. 30

3.2. Traffic Monitor Server ……………………………………………………………………………………………………………………………… 39

3.2.1. Установка и настройка …………………………………………………………………………………………………………………… 40

3.2.2. Установка и замена лицензии на перехватчики ……………………………………………………………………………… 45

3.2.2.1. Особенности использования лицензионного ключа ………………………………………………………………… 45

3.2.2.2. Установка и замена лицензионного ключа ……………………………………………………………………………… 47

3.2.3. Установка и замена лицензии на технологии контентного анализа ……………………………………………….. 47

3.2.3.1. Особенности использования лицензии …………………………………………………………………………………… 47

3.2.3.2. Установка и замена лицензии …………………………………………………………………………………………………. 48

3.2.4. Настройка DNS для поддержки Active Directory ……………………………………………………………………………… 48

3.2.5. Проверка интеграции Postfix и Traffic Monitor Server ………………………………………………………………………. 49

3.2.6. Настройка параметров взаимодействия со Sniffer …………………………………………………………………………. 50

3.2.6.1. Прием копии трафика от Sniffer ………………………………………………………………………………………………. 50

3.2.6.2. Создание кластера Traffic Monitor Server …………………………………………………………………………………. 51

3.2.7. Установка и настройка модуля взаимодействия с удаленной базой данных …………………………………. 52

3.2.7.1. Установка клиентской части модуля взаимодействия с удаленной БД (филиал) ……………………. 52

3.2.7.2. Установка серверной части модуля взаимодействия с удаленной БД (центральный офис) …… 54

4 InfoWatch Traffic Monitor Enterprise 3.5

3.2.8. Установка и настройка модуля IW ICAP …………………………………………………………………………………………. 55

3.2.9. Кластер Traffic Monitor Server c одним Сервером контентного анализа………………………………………….. 59

3.3. Sniffer …………………………………………………………………………………………………………………………………………………….. 59

3.4. Management Console …………………………………………………………………………………………………………………………….. 60

3.4.1. Установка Management Console …………………………………………………………………………………………………….. 60

3.4.2. Настройка соединения с сервером СУБД Oracle ……………………………………………………………………………. 61

3.4.3. Настройка параметров анализа и мониторинга объектов ……………………………………………………………… 62

ГЛАВА 4. ОБНОВЛЕНИЕ СИСТЕМЫ ………………………………………………………………………………………………………………. 63

4.1. Порядок обновления Системы ……………………………………………………………………………………………………………… 63

4.2. Загрузка очередей объектов …………………………………………………………………………………………………………………. 64

4.3. Схема базы данных ………………………………………………………………………………………………………………………………. 65

4.3.1. Подготовка к обновлению схемы базы данных ………………………………………………………………………………. 65

4.3.2. Обновление схемы базы данных …………………………………………………………………………………………………… 67

4.3.3. Подготовка схемы базы данных к работе ………………………………………………………………………………………. 69

ГЛАВА 5. УДАЛЕНИЕ СИСТЕМЫ …………………………………………………………………………………………………………………….. 70

5.1. Схема базы данных ………………………………………………………………………………………………………………………………. 70

5.1.1. Подготовка к удалению ………………………………………………………………………………………………………………….. 70

5.1.2. Удаление схемы базы данных ……………………………………………………………………………………………………….. 71

5.2. Модуль взаимодействия с удаленной базой данных …………………………………………………………………………….. 72

5.3. Модуль IW ICAP ……………………………………………………………………………………………………………………………………. 72

5.4. Traffic Monitor Server ……………………………………………………………………………………………………………………………… 73

5.5. Sniffer …………………………………………………………………………………………………………………………………………………….. 74

5.6. Management Console …………………………………………………………………………………………………………………………….. 74

ПРИЛОЖЕНИЕ A. РЕКОМЕНДАЦИИ ПО УСТАНОВКЕ СУБД ORACLE ………………………………………………………….. 75

A.1. Сервер СУБД Oracle …………………………………………………………………………………………………………………………….. 75

A.1.1. Рекомендации по установке ………………………………………………………………………………………………………….. 75

A.1.2. Подготовка к установке ………………………………………………………………………………………………………………….. 75

A.1.3. Установка сервера базы данных ……………………………………………………………………………………………………. 77

A.1.4. Настройка сервера базы данных …………………………………………………………………………………………………… 81

A.2. Клиент СУБД Oracle ……………………………………………………………………………………………………………………………… 82

A.2.1. Рекомендации по установке клиента СУБД Oracle на платформу Linux ………………………………………… 83

A.2.1.1. Подготовка к установке …………………………………………………………………………………………………………… 83

A.2.1.2. Установка клиента ………………………………………………………………………………………………………………….. 84

A.2.2. Настройка параметров соединения с сервером СУБД Oracle ……………………………………………………….. 85

A.2.3. Проверка взаимодействия между клиентом и сервером СУБД Oracle …………………………………………… 85

ПРИЛОЖЕНИЕ B. РЕКОМЕНДАЦИИ ПО СОСТАВЛЕНИЮ ИМЕН И ПАРОЛЕЙ …………………………………………….. 86

ПРИЛОЖЕНИЕ C. РАЗРЕШЕНИЕ ПРОБЛЕМ …………………………………………………………………………………………………. 88

C.1. Проблемы со схемой базы данных ………………………………………………………………………………………………………. 88

C.2. Проблемы с Traffic Monitor Server …………………………………………………………………………………………………………. 92

ПРИЛОЖЕНИЕ D. ЛИЦЕНЗИИ ТРЕТЬИХ СТОРОН ………………………………………………………………………………………… 93

ГЛОССАРИЙ ……………………………………………………………………………………………………………………………………………………. 94

УКАЗАТЕЛЬ …………………………………………………………………………………………………………………………………………………….. 96

ВВЕДЕНИЕ

В настоящем руководстве вы можете найти сведения по установке и настройке InfoWatch Traffic Monitor Enterprise 3.5.

Аудитория

Информация, содержащаяся в руководстве, предназначена для пользователей, выполняющих установку и настройку InfoWatch Traffic Monitor.

Руководство рассчитано на пользователей, знакомых с основами работы в среде той операционной сис-темы, в которой выполняется установка компонентов InfoWatch Traffic Monitor (Linux, Microsoft Windows). InfoWatch Traffic Monitor взаимодействует с базой данных, находящейся под управлением СУБД Oracle. Поэтому при настройке Системы также необходимы навыки администрирования СУБД Oracle.

Структура руководства

В настоящем руководстве вы можете найти следующую информацию:

Глава 1. Обзор InfoWatch Traffic Monitor Enterprise 3.5 (стр. 8).

Содержит общие сведения о Системе.

Глава 2. Подготовка к установке (стр. 10).

Описывает требования к аппаратному и программному обеспечению, необходимому для работы Системы; порядок установки компонентов Системы.

Глава 3. Установка системы (стр. 28).

Содержит рекомендации по установке компонентов Системы и описание установки. Также здесь описываются правила получения и установки лицензионного ключа.

Глава 4. Обновление системы (стр. 63).

В разделе содержится информация по обновлению компонентов Системы.

Глава 5. Удаление системы (стр. 70).

Приводятся сведения по удалению компонентов Системы.

Приложение A. Рекомендации по установке СУБД Oracle (стр. 75).

Содержит рекомендации по установке серверной и клиентской части СУБД Oracle. Также здесь приводятся рекомендации по настройке взаимодействия между базой данных и другими компонен-тами Системы.

Приложение B. Рекомендации по составлению имен и паролей (стр. 86).

Приводится набор правил для составления имен и паролей пользователей, даются рекомендации по составлению надежных паролей.

Приложение C. Разрешение проблем (стр. 88).

В приложении описываются проблемы, которые могут возникнуть в процессе установки и настрой-ки Системы, а также способы их разрешения.

Приложение D. Лицензии третьих сторон (стр. 93).

Содержит информацию о лицензиях на стороннее программные компоненты, использованные в продукте.

6 InfoWatch Traffic Monitor Enterprise 3.5

Дополнительная документация

Сведения по некоторым дополнительным вопросам вы можете найти в следующих документах:

«InfoWatch Traffic Monitor Enterprise 3.5. Руководство пользователя».

В документе описывается работа с InfoWatch Traffic Monitor Enterprise (настройка конфигурации, экспорт/импорт данных, правила составления сценария обработки объектов).

«InfoWatch Traffic Monitor Enterprise 3.5. Руководство администратора».

Содержит информацию по администрированию Системы (база данных, серверная часть).

«InfoWatch Device Monitor. Руководство пользователя»

Содержит описание принципов работы системы InfoWatch Device Monitor.

«InfoWatch DeviceLock Adapter. Руководство по установке и конфигурированию».

В документе описывается установка и первоначальная настройка InfoWatch DeviceLock Adapter.

«InfoWatch DeviceLock Adapter. Руководство администратора».

В документе приводятся сведения по настройке и мониторингу работы InfoWatch DeviceLock Adapter.

В настоящем руководстве не рассматриваются вопросы установки и настройки СУБД Oracle. За получе-нием необходимых сведений вы можете обратиться к соответствующей документации.

Условные обозначения

Для наглядности в тексте документации используются различные стили оформления. Области примене-ния стилей указаны в таблице 1.

Таблица 1. Стили оформления

Стиль оформления Область применения Пример

Полужирный шрифт Названия элементов графического пользовательского интерфейса (кнопки, команды меню и пр.)

Нажмите кнопку Старт

Курсив При описании таблиц, в примерах, описаниях – названия и значения атрибутов объектов

После выполнения запроса Запрещено

Шрифт Courier New Имена файлов, примеры текста про-грамм.

При описании конфигурационных файлов – значения параметров, примеры настройки

Проверка запуска Traffic Monitor Server осуществляется командами:

service iw-trafmon status

service iw-caserv status

ШРИФТ COURIER NEW

(ВЕРХНИЙ РЕГИСТР)

При описании конфигурационных файлов – названия секций файла (в квадратных скобках), переменных, параметров.

При описании базы данных – ключе-вые слова SQL, инструкции PL/SQL, типы данных, привилегии

Параметры автозапуска задаются в фай-ле /usr/local/infowatch/tm3/etc/tm.

conf, секция [AUTO_RESTART]

В таблице 2 приводятся условные обозначения, используемые при описании командной строки.

Введение 7

Таблица 2. Условные обозначения для командной строки

Условное обозначение Расшифровка Пример

Шрифт Courier New Команды и параметры Остановите процессы Traffic Mon-itor Server:

service iw-trafmon stop

Шрифт Courier New (курсив) Значения, вводимые пользовате-лем

File путь_к_файлу

[Параметр] Необязательные параметры [Дата]

Значение 1 | Значение 2 Набор, из которого нужно указать одно значение

On | Off

Техническая поддержка пользователей

При возникновении проблем и вопросов, связанных с работой продукта вы можете обратиться в службу технической поддержки:

Если вы приобрели продукт у партнера компании InfoWatch, то обратитесь в службу технической поддержки партнера.

Если продукт приобретен у компании InfoWatch напрямую, то вы можете обратиться в службу тех-нической поддержки компании InfoWatch по адресу [email protected]

Часы работы Службы технической поддержки – с 10-00 до 18-00 с понедельника по пятницу по мо-сковскому времени, исключая официальные выходные и праздничные дни в РФ.

Вы также можете посетить раздел технической поддержки на нашем сайте: http://www.infowatch.ru/support.html.

Перед обращением в службе технической поддержки мы рекомендуем вам посетить раздел База знаний на нашем сайте: http://www.infowatch.ru/faq/infowatch-traffic-monitor-enterprise. Возможно там уже содер-жится ответ, на интересующий вас вопрос или описано решение возникшей у вас проблемы.

ГЛАВА 1. ОБЗОР INFOWATCH TRAFFIC

MONITOR ENTERPRISE 3.5

В этой главе:

Функции InfoWatch Traffic Monitor Enterprise 3.5 (п. 1.1 на стр. 8).

Состав InfoWatch Traffic Monitor Enterprise 3.5 (п. 1.2 на стр. 9).

1.1. Функции InfoWatch Traffic Monitor

Enterprise 3.5

InfoWatch Traffic Monitor Enterprise 3.5 позволяет контролировать информационные потоки в корпоратив-ной среде для выявления и предотвращения случаев несанкционированного использования конфиден-циальных данных.

Основные функции InfoWatch Traffic Monitor Enterprise 3.5:

Перехват SMTP-трафика. Возможен перехват трафика (или копии трафика), передаваемого через почтовый relay-сервер; перехват копии трафика, проходящего через оборудование с поддержкой технологии CISCO SPAN.

Перехват HTTP-трафика. Возможен перехват трафика, передаваемого через прокси-сервер, под-держивающий ICAP-протокол, перехват копии трафика, проходящего через оборудование с под-держкой технологии CISCO SPAN.

Примечание:

При интеграции с прокси-сервером Blue Coat возможен перехват HTTPS-трафика, если прокси-сервер обрабатывает HTTPS-трафик как HTTP-трафик.

Перехват копии ICQ-трафика (протокол OSCAR), проходящего через оборудование с поддержкой технологии CISCO SPAN. При подключении ICQ через HTTP Система перехватывает ICQ-трафик аналогично трафику HTTP

Важная информация!

Не поддерживается перехват и анализ зашифрованного ICQ-трафика, в том числе по протоко-лу SSL.

Анализ содержимого перехваченного трафика с целью выявления нарушений корпоративной по-литики безопасности.

Фильтрация перехваченного трафика путем выдачи разрешения/запрещения на доставку опреде-ленных данных.

Примечание:

Функция недоступна при работе с копией трафика.

Анализ теневых копий файлов и заданий на печать, перехваченных системой InfoWatch Device Monitor с целью выявления нарушений корпоративной политики безопасности.

Анализ теневых копий файлов, перехваченных системой DeviceLock ЗАО «Смарт Лайн Инк» (вер-сии 6.3 и выше), с целью выявления нарушений корпоративной политики безопасности.

Обзор InfoWatch Traffic Monitor Enterprise 3.5 9

1.2. Состав InfoWatch Traffic Monitor Enterprise

3.5

Компонент InfoWatch Traffic Monitor Назначение компонента

Серверная часть (Traffic Monitor Serv-er, Sniffer, модуль IW ICAP, модуль взаимодействия с удаленной базой данных)

Traffic Monitor Server: перехват, анализ и фильтрация трафика, анализ данных, получаемых от систем InfoWatch Device Monitor, DeviceLock.

Sniffer: перехват и передача на анализ копии трафика, проходя-щего через SPAN-порт коммутатора.

Модуль IW ICAP: перехват, анализ и фильтрация HTTP-трафика, передаваемого по протоколу ICAP.

Модуль взаимодействия с удаленной базой данных: передача данных на хранение в удаленную базу данных по медленным каналам связи

База данных Хранение информации, связанной с работой Системы (перехва-ченные данные, результаты анализа перехваченных данных)

Management Console Настройка правил анализа и фильтрации трафика, анализ полу-ченных данных

ГЛАВА 2. ПОДГОТОВКА К УСТАНОВКЕ

В этой главе:

Схемы развертывания Системы (п. 2.1 на стр. 10).

Аппаратные и программные требования (п. 2.2 на стр. 23).

Настройка Postfix (п. 2.3 на стр. 27).

2.1. Схемы развертывания Системы

В этом разделе описаны наиболее общие схемы развертывания Системы:

Перехват копии SMTP-трафика (работа с почтовым relay-сервером) (п. 2.1.1 на стр. 10).

Перехват копии трафика при помощи Sniffer (п. 2.1.2 на стр. 12).

Перехват HTTP-трафика, передаваемого по протоколу ICAP (п. 2.1.3 на стр. 16).

Прием объектов, перехваченных InfoWatch Device Monitor (п. 2.1.4 на стр. 19).

Прием объектов от DeviceLock (п. 2.1.5 на стр. 21).

Для каждой схемы дается порядок развертывания.

2.1.1. Перехват копии SMTP-трафика (работа с

почтовым relay-сервером)

Доставка SMTP-трафика осуществляется корпоративной почтовой системой. Копия SMTP-трафика пере-дается на Traffic Monitor Server для анализа и загрузки в базу данных.

Вариант 1. Система устанавливается в одном офисе, филиалов нет (см. рис. 1).

Рисунок 1. Перехват копии SMTP-трафика

Вариант 2. SMTP-трафик, перехваченный в филиалах, передается в центральный офис по медленному каналу связи (см. рис. 2). В центральном офисе SMTP-трафик загружается в базу данных.

Подготовка к установке 11

Рисунок 2. Передача копии SMTP-трафика из филиала в центральный офис

Далее приводится общий порядок развертывания для всех рассмотренных вариантов. Различия имеются только при установке Traffic Monitor Server.

Шаг 1. Проверка аппаратных и программных требований к Системе

Убедитесь, что среда, в которой будет развернута Система, удовлетворяет аппаратным и программным требованиям:

Traffic Monitor Server (п. 2.2.1 на стр. 23).

Сервер СУБД Oracle (п. 2.2.5 на стр. 26).

Management Console (п. 2.2.6 на стр. 26).

Шаг 2. Настройка параметров Postfix

Почтовый сервер Postfix должен быть установлен и настроен до установки Traffic Monitor Server. О на-стройке Postfix см. в. п. 2.3 на стр. 27.

Шаг 3. Установка сервера базы данных

Перед развертыванием Системы установите сервер СУБД Oracle (см. Приложение A.1 на стр. 75).

Важная информация!

Traffic Monitor Server и Сервер СУБД Oracle должны быть установлены на разных компьютерах.

Шаг 4. Создание схемы базы данных

1. На компьютер, с которого будет запущен инсталлятор схемы базы данных, установите клиент СУБД Oracle, используя тип установки Администратор.

Рекомендации по установке и настройке:

Рекомендации по установке клиента СУБД Oracle на платформу Linux (прил. A.2.1 на стр. 83).

Настройка параметров соединения с сервером СУБД Oracle (прил. A.2.2 на стр. 85).

Проверка взаимодействия между клиентом и сервером СУБД Oracle (прил. A.2.3 на стр. 85).

2. Создайте схему базы данных (п. 3.1 на стр. 28).

12 InfoWatch Traffic Monitor Enterprise 3.5

Шаг 5. Установка и настройка Traffic Monitor Server

Вариант 1 (см. рис. 1). Система будет установлена в одном офисе. Загрузка в удаленную БД не требует-ся:

1. Установите и настройте Traffic Monitor Server (п. 3.2.1 на стр. 40).

2. На компьютере с Traffic Monitor Server задайте адреса DNS сервера (п. 3.2.4 на стр. 48).

Вариант 2 (см. рис. 2). Система будет установлена в центральном офисе и в удаленных филиалах. За-грузка данных из филиалов происходит по медленным каналам связи (не меньше 128 Кбит/с):

В каждом удаленном филиале, где нужно перехватывать SMTP-трафик:

1. Установите и настройте Traffic Monitor Server (п. 3.2.1 на стр. 40).

2. На компьютере с Traffic Monitor Server:

установите и настройте клиентскую часть модуля взаимодействия с удаленной БД (см. п. 3.2.7.1 на стр. 52).

задайте адреса DNS сервера (п. 3.2.4 на стр. 48).

В центральном офисе:

1. Установите и настройте Traffic Monitor Server (п. 3.2.1 на стр. 40).

2. На компьютере с Traffic Monitor Server:

установите серверную часть модуля взаимодействия с удаленной БД (см. п. 3.2.7.2 на стр. 54).

задайте адреса DNS сервера (п. 3.2.4 на стр. 48).

Шаг 6. Установка Management Console

1. Установите Management Console (п. 3.4 на стр. 60).

2. После установки Management Console выполните настройки, необходимые для анализа и обработ-ки объектов на Traffic Monitor Server (подготовка и загрузка на сервер конфигурации, создание ба-зы эталонных документов, дополнительные настройки).

В сценарии обработки объектов установите для перехватчика Smtp транспортный режим Copy.

Информация по выполнению этих настроек содержится в документе «InfoWatch Traffic Monitor. Ру-ководство пользователя».

2.1.2. Перехват копии трафика при помощи Sniffer

Трафик (SMTP, HTTP, ICQ) проходит через коммутатор CISCO, оборудованный SPAN-портом. Копия трафика направляется на Sniffer. Sniffer передает копию трафика на Traffic Monitor Server для анализа и загрузки в базу данных.

Для увеличения производительности можно создавать кластеры Traffic Monitor Server. Один кластер мо-жет содержать два экземпляра Traffic Monitor Server. Не рекомендуется использовать более 3 кластеров.

Важная информация!

При использовании кластера сетевое соединение между Sniffer и Traffic Monitor Server должно обеспе-чивать скорость передачи, в два раза превышающую скорость, с которой трафик поступает на Sniffer.

Возможно несколько вариантов развертывания.

Подготовка к установке 13

Вариант 1. Перехват и анализ копии трафика выполняется на одном компьютере (см. рис. 3). Кластер не создается. Система устанавливается в одном офисе, филиалов нет.

Коммутатор CISCO

Sniffer + Traffic Monitor Server

Копия SMTP-, HTTP-,

ICQ-трафика

SMTP-, HTTP-, ICQ-трафикSMTP-, HTTP-, ICQ-трафик

База данных

Рисунок 3. Перехват и анализ трафика на одном компьютере

Вариант 2. Перехват и анализ копии трафика выполняется на разных компьютерах, кластеризация не используется (см. рис. 4). Система устанавливается в одном офисе, филиалов нет.

Коммутатор CISCO

Traffic Monitor Server

Sniffer

SMTP-, HTTP, ICQ-трафик

Копия SMTP-, HTTP, ICQ-трафика

SMTP-, HTTP, ICQ-трафик

База данных

Рисунок 4. Перехват и анализ копии трафика на разных компьютерах

14 InfoWatch Traffic Monitor Enterprise 3.5

Вариант 3. Перехват и анализ копии трафика выполняется на разных компьютерах. Для увеличения про-изводительности создан кластер из двух экземпляров Traffic Monitor Server (см. рис. 5). Система устанав-ливается в одном офисе, филиалов нет.

Коммутатор CISCO

Traffic Monitor Server

Sniffer

Копия SMTP-, HTTP-, ICQ-трафика

SMTP-, HTTP-, ICQ-трафик SMTP-, HTTP-, ICQ-трафик

База данных

Traffic Monitor Server

Рисунок 5. Кластер из двух экземпляров Traffic Monitor Server

Вариант 4. Перехват и анализ копии трафика выполняется на разных компьютерах. Кластер не создает-ся. Копия трафика из филиала передается в центральный офис по медленному каналу связи. В цен-тральном офисе копия трафика загружается в базу данных (см. рис. 6).

Центральный офис

Филиал

Client

(Traffic Monitor Server)

SMTP-. HTTP-, ICQ-трафик

База данныхServer

(Traffic Monitor Server)

Медленный канал связи (от 128 кбит/с)

Sniffer

SMTP-. HTTP-, ICQ-трафик

SMTP-. HTTP-, ICQ-трафик

Коммутатор CISCO

Рисунок 6. Перехват копии трафика через Sniffer и загрузка в удаленную базу данных

Далее приводится общий порядок развертывания для всех рассмотренных вариантов. Различия имеются только при установке Traffic Monitor Server.

Шаг 1. Проверка аппаратных и программных требований к Системе

Убедитесь, что среда, в которой будет развернута Система, удовлетворяет аппаратным и программным требованиям:

Traffic Monitor Server (п. 2.2.1 на стр. 23).

Sniffer (п. 2.2.2 на стр. 24).

Сервер СУБД Oracle (п. 2.2.5 на стр. 26).

Management Console (п. 2.2.6 на стр. 26).

Подготовка к установке 15

Шаг 2. Установка сервера базы данных

Перед развертыванием Системы установите сервер СУБД Oracle (см. Приложение A.1 на стр. 75).

Важная информация!

Traffic Monitor Server и Сервер СУБД Oracle должны быть установлены на разных компьютерах.

Шаг 3. Создание схемы базы данных

1. На компьютер, с которого будет запущен инсталлятор схемы базы данных, установите клиент СУБД Oracle, используя тип установки Администратор.

Рекомендации по установке и настройке:

Рекомендации по установке клиента СУБД Oracle на платформу Linux (прил. A.2.1 на стр. 83).

Настройка параметров соединения с сервером СУБД Oracle (п. A.2.2 на стр. 85).

Проверка взаимодействия между клиентом и сервером СУБД Oracle (п. A.2.3 на стр. 85).

2. Создайте схему базы данных (п. 3.1 на стр. 28).

Шаг 4. Установка и настройка Sniffer и Traffic Monitor Server

Вариант 1 (см. рис. 3). Перехват и анализ трафика выполняется на одном компьютере. Увеличение про-изводительности не требуется (кластеризация не нужна). Система будет установлена в одном офисе, удаленных филиалов нет:

1. Установите и настройте Sniffer и Traffic Monitor Server на одном компьютере (п. 3.3 на стр. 59).

2. На компьютере с Traffic Monitor Server задайте адреса DNS сервера (п. 3.2.4 на стр. 48).

Вариант 2 (см. рис. 4). Перехват и анализ трафика выполняется на разных компьютерах. Увеличение производительности не требуется (кластеризация не нужна). Система будет установлена в одном офисе, удаленных филиалов нет:

1. На одном компьютере установите и настройте Sniffer (п. 3.3 на стр. 59).

2. На другом компьютере:

установите и настройте Traffic Monitor Server (п. 3.2.1 на стр. 40);

настройте параметры приема копии трафика от Sniffer (п. 3.2.6.1 на стр. 50).

задайте адреса DNS сервера (п. 3.2.4 на стр. 48).

Вариант 3 (см. рис. 5). Перехват и анализ трафика выполняется на разных компьютерах. Необходимо увеличить производительность Системы (требуется кластеризация). Система будет установлена в одном офисе, удаленных филиалов нет:

1. На одном компьютере установите и настройте Sniffer (п. 3.3 на стр. 59).

2. На другом компьютере установите экземпляр кластера Traffic Monitor Server:

установите и настройте Traffic Monitor Server (п. 3.2.1 на стр. 40).

настройте параметры приема копии трафика от Sniffer (п. 3.2.6.1 на стр. 50).

укажите параметры кластеризации (п. 3.2.6.2 на стр. 51).

задайте адреса DNS сервера (п. 3.2.4 на стр. 48).

Повторите п.2, чтобы добавить в кластер еще один экземпляр Traffic Monitor Server.

Важная информация!

Если используется технология Цифровые отпечатки, то в Системе должен функционировать только один Сервер контентного анализа. При наличии в Системе нескольких экземпляров Traf-fic Monitor Server настройте Сервер контентного анализа только на одном экземпляре Traffic Monitor Server (см. п. 3.2.9 на стр. 59).

16 InfoWatch Traffic Monitor Enterprise 3.5

Вариант 4 (см. рис. 6). Перехват и анализ трафика выполняется на разных компьютерах. Увеличение производительности не требуется (кластеризация не нужна). Система будет установлена в центральном офисе и в удаленных филиалах.

В каждом удаленном филиале, где требуется перехватывать копию трафика:

1. На одном компьютере установите и настройте Sniffer (п. 3.3 на стр. 59).

2. На другом компьютере:

установите и настройте Traffic Monitor Server (п. 3.2.1 на стр. 40);

установите и настройте клиентскую часть модуля взаимодействия с удаленной БД (см. п. 3.2.7.1 на стр. 52).

настройте параметры приема копии трафика от Sniffer (п. 3.2.6.1 на стр. 50).

задайте адреса DNS сервера (п. 3.2.4 на стр. 48).

В центральном офисе:

1. Установите и настройте Traffic Monitor Server (п. 3.2.1 на стр. 40).

2. На компьютере с Traffic Monitor Server:

установите и настройте серверную часть модуля взаимодействия с удаленной БД (см. п. 3.2.7.2 на стр. 54).

задайте адреса DNS сервера (п. 3.2.4 на стр. 48).

Шаг 5. Установка Management Console

1. Установите Management Console (п. 3.4 на стр. 60).

2. После установки Management Console выполните настройки, необходимые для анализа и обработ-ки объектов на Traffic Monitor Server (подготовка и загрузка на сервер конфигурации, создание ба-зы эталонных документов, дополнительные настройки).

В сценарии обработки объектов установите для перехватчиков, принимающих копию трафика от Sniffer (Smtp, Http, Icq) транспортный режим Copy.

Информация по выполнению этих настроек содержится в документе «InfoWatch Traffic Monitor. Ру-ководство пользователя».

2.1.3. Перехват HTTP-трафика, передаваемого по

протоколу ICAP

Прокси-сервер с поддержкой протокола ICAP перехватывает HTTP-трафик и передает его на Traffic Moni-tor Server для анализа и загрузки в базу данных. Возможна также фильтрация трафика путем выдачи разрешения/запрещения на доставку данных.

Примечание:

Если в качестве прокси-сервера используется Blue Coat, то возможен также перехват HTTPS-трафика. Для этого прокси-сервер Blue Coat должен быть настроен так, чтобы полученный HTTPS-трафик обрабатывался и передавался на Traffic Monitor Server как HTTP-трафик.

В данной схеме перехвата поддерживается обработка данных пользователя при следующих методах ау-тентификации: NTLM, LDAP, Basic, Digest.

Важная информация!

Traffic Monitor Server и прокси-сервер с ICAP-клиентом должны находиться в одной подсети.

На каждой рабочей станции браузер должен быть настроен так, чтобы HTTP(S)-трафик проходил че-рез используемый прокси-сервер (SQUID, Blue Coat). Информацию по настройке вы можете получить из документации к браузеру.

Подготовка к установке 17

Вариант 1. Система устанавливается в одном офисе, филиалов нет (см. рис. 7).

Рисунок 7. Перехват HTTP-трафика, передаваемого по протоколу ICAP

Вариант 2 . Перехват, анализ и фильтрация HTTP-трафика осуществляется в филиале. Перехваченный HTTP-трафик передается в центральный офис по медленному каналу связи. В центральном офисе копия трафика загружается в базу данных (см. рис. 8).

Рисунок 8. Перехват HTTP-трафика, в филиале и загрузка в удаленную базу данных

Далее приводится общий порядок развертывания для всех рассмотренных вариантов. Различия имеются только при установке Traffic Monitor Server.

Шаг 1. Проверка аппаратных и программных требований к Системе

Убедитесь, что среда, в которой будет развернута Система, удовлетворяет аппаратным и программным требованиям:

Traffic Monitor Server (п. 2.2.1 на стр. 23).

Модуль IW ICAP (п. 2.2.3 на стр. 25).

Сервер СУБД Oracle (п. 2.2.5 на стр. 26).

Management Console (п. 2.2.6 на стр. 26).

18 InfoWatch Traffic Monitor Enterprise 3.5

Шаг 2. Установка сервера базы данных

Перед развертыванием Системы установите сервер СУБД Oracle (см. Приложение A.1 на стр. 75).

Важная информация!

Traffic Monitor Server и Сервер СУБД Oracle должны быть установлены на разных компьютерах.

Шаг 3. Создание схемы базы данных

На компьютер, с которого будет запущен инсталлятор схемы базы данных, установите клиент СУБД Oracle, используя тип установки Администратор.

Рекомендации по установке и настройке:

Рекомендации по установке клиента СУБД Oracle на платформу Linux (прил. A.2.1 на стр. 83).

Настройка параметров соединения с сервером СУБД Oracle (п. A.2.2 на стр. 85).

Проверка взаимодействия между клиентом и сервером СУБД Oracle (п. A.2.3 на стр. 85).

Создайте схему базы данных (п. 3.1 на стр. 28).

Шаг 4. Установка и настройка Traffic Monitor Server

Вариант 1 (см. рис. 7). Система будет установлена в одном офисе. Загрузка в удаленную БД не требует-ся:

1. Установите и настройте Traffic Monitor Server (п. 3.2.1 на стр. 40).

2. На компьютере с Traffic Monitor Server:

установите и настройте модуль IW ICAP (см. п. 3.2.8 на стр. 55).

задайте адреса DNS сервера (п. 3.2.4 на стр. 48).

Вариант 2 (см. рис. 8). Система будет установлена в центральном офисе и в удаленных филиалах. За-грузка данных из филиалов происходит по медленным каналам связи (не меньше 128 Кбит/с):

В каждом удаленном филиале, где нужно перехватывать HTTP—трафик, передаваемый по прото-колу ICAP:

1. Установите и настройте Traffic Monitor Server (п. 3.2.1 на стр. 40).

2. На компьютере с Traffic Monitor Server:

установите и настройте модуль IW ICAP (см. п. 3.2.8 на стр. 55).

задайте адреса DNS сервера (п. 3.2.4 на стр. 48).

На компьютере с Traffic Monitor Server установите и настройте клиентскую часть модуля взаимодействия с удаленной БД (см. п. 3.2.7.1 на стр. 52).

В центральном офисе:

1. Установите и настройте Traffic Monitor Server (п. 3.2.1 на стр. 40).

2. На компьютере с Traffic Monitor Server:

установите и настройте серверную часть модуля взаимодействия с удаленной БД (см. п. 3.2.7.2 на стр. 54).

задайте адреса DNS сервера (п. 3.2.4 на стр. 48).

Шаг 5. Установка Management Console

1. Установите Management Console (п. 3.4 на стр. 60).

2. После установки Management Console выполните настройки, необходимые для анализа и обработ-ки объектов на Traffic Monitor Server (подготовка и загрузка на сервер конфигурации, создание ба-зы эталонных документов, дополнительные настройки).

Подготовка к установке 19

В сценарии обработки объектов установите для перехватчика Http транспортный режим Normal или Transparent.

Информация по выполнению этих настроек содержится в документе «InfoWatch Traffic Monitor. Ру-ководство пользователя».

2.1.4. Прием объектов, перехваченных InfoWatch Device

Monitor

Объекты (теневые копии файлов, задания на печать), перехваченные системой InfoWatch Device Monitor, передаются на Traffic Monitor Server для анализа и загрузки в базу данных.

Вариант 1. Система устанавливается в одном офисе, филиалов нет (см. рис. 9).

Рисунок 9. Прием объектов от InfoWatch Device Monitor

Вариант 2. В филиале установлена система InfoWatch Device Monitor. Объекты, перехваченные Info-Watch Device Monitor, передаются для анализа на Traffic Monitor Server. Затем объекты передаются в центральный офис. В центральном офисе объекты загружаются в базу данных (см. рис. 10).

Рисунок 10. Прием объектов от InfoWatch Device Monitor и загрузка в удаленную базу данных

Далее приводится общий порядок развертывания для всех рассмотренных вариантов. Различия имеются только при установке Traffic Monitor Server.

Шаг 1. Проверка аппаратных и программных требований к Системе

Убедитесь, что среда, в которой будет развернута Система, удовлетворяет аппаратным и программным требованиям:

Traffic Monitor Server (п. 2.2.1 на стр. 23).

Сервер СУБД Oracle (п. 2.2.5 на стр. 26).

Management Console (п. 2.2.6 на стр. 26).

20 InfoWatch Traffic Monitor Enterprise 3.5

Шаг 2. Установка сервера базы данных

Перед развертыванием Системы установите сервер СУБД Oracle (см. Приложение A.1 на стр. 75).

Важная информация!

Traffic Monitor Server и Сервер СУБД Oracle должны быть установлены на разных компьютерах.

Шаг 3. Создание схемы базы данных

1. На компьютер, с которого будет запущен инсталлятор схемы базы данных, установите клиент СУБД Oracle, используя тип установки Администратор.

Рекомендации по установке и настройке:

Рекомендации по установке клиента СУБД Oracle на платформу Linux (прил. A.2.1 на стр. 83).

Настройка параметров соединения с сервером СУБД Oracle (п. A.2.2 на стр. 85).

Проверка взаимодействия между клиентом и сервером СУБД Oracle (п. A.2.3 на стр. 85).

2. Создайте схему базы данных (п. 3.1 на стр. 28).

Шаг 4. Установка и настройка Traffic Monitor Server

Вариант 1 (см. рис. 9). Система будет установлена в одном офисе. Загрузка в удаленную БД не требует-ся:

1. Установите и настройте Traffic Monitor Server (п. 3.2.1 на стр. 40).

2. На компьютере с Traffic Monitor Server задайте адреса DNS сервера (п. 3.2.4 на стр. 48).

Вариант 2 (см. рис. 10). Система будет установлена в центральном офисе и в удаленных филиалах. За-грузка данных из филиалов происходит по медленным каналам связи (не меньше 128 Кбит/с):

В каждом удаленном филиале, где нужно принимать объекты от InfoWatch Device Monitor:

1. Установите и настройте Traffic Monitor Server (п. 3.2.1 на стр. 40).

2. На компьютере с Traffic Monitor Server:

установите и настройте клиентскую часть модуля взаимодействия с удаленной БД (см. п. 3.2.7.1 на стр. 52).

задайте адреса DNS сервера (п. 3.2.4 на стр. 48).

В центральном офисе:

1. Установите и настройте Traffic Monitor Server (п. 3.2.1 на стр. 40).

2. На компьютере с Traffic Monitor Server:

установите и настройте серверную часть модуля взаимодействия с удаленной БД (см. п. 3.2.7.2 на стр. 54).

задайте адреса DNS сервера (п. 3.2.4 на стр. 48).

Шаг 5. Установка Management Console

1. Установите Management Console (п. 3.4 на стр. 60).

2. После установки Management Console выполните настройки, необходимые для анализа и обработ-ки объектов на Traffic Monitor Server (подготовка и загрузка на сервер конфигурации, создание ба-зы эталонных документов, дополнительные настройки).

В сценарии обработки объектов установите для перехватчика Device транспортный режим Copy.

Информация по выполнению этих настроек содержится в документе «InfoWatch Traffic Monitor. Ру-ководство пользователя».

Подготовка к установке 21

2.1.5. Прием объектов от DeviceLock

Объекты, перехваченные системой DeviceLock, передаются на Traffic Monitor Server для анализа и за-грузки в базу данных.

Вариант 1. Система устанавливается в одном офисе, филиалов нет (см. рис. 11).

Рисунок 11. Прием объектов от DeviceLock

Вариант 2. В филиале установлена система DeviceLock. Объекты, перехваченные DeviceLock, переда-ются для анализа на Traffic Monitor Server. Затем объекты передаются в центральный офис. В централь-ном офисе объекты загружаются в базу данных (см. рис. 12).

Рисунок 12. Прием объектов DeviceLock в филиале и загрузка в удаленную базу данных

Далее приводится общий порядок развертывания для всех рассмотренных вариантов. Различия имеются только при установке Traffic Monitor Server.

Шаг 1. Проверка аппаратных и программных требований к Системе

Убедитесь, что среда, в которой будет развернута Система, удовлетворяет аппаратным и программным требованиям:

Traffic Monitor Server (п. 2.2.1 на стр. 23).

Сервер СУБД Oracle (п. 2.2.5 на стр. 26).

Management Console (п. 2.2.6 на стр. 26).

InfoWatch DeviceLock Adapter (см. документ «InfoWatch DeviceLock Adapter. Руководство по уста-новке и конфигурированию»).

22 InfoWatch Traffic Monitor Enterprise 3.5

Шаг 2. Установка сервера базы данных

Перед развертыванием Системы установите сервер СУБД Oracle (см. Приложение A.1 на стр. 75).

Важная информация!

Traffic Monitor Server и Сервер СУБД Oracle должны быть установлены на разных компьютерах.

Шаг 3. Создание схемы базы данных

На компьютер, с которого будет запущен инсталлятор схемы базы данных, установите клиент СУБД Oracle, используя тип установки Администратор.

Рекомендации по установке и настройке:

Рекомендации по установке клиента СУБД Oracle на платформу Linux (прил. A.2.1 на стр. 83).

Настройка параметров соединения с сервером СУБД Oracle (п. A.2.2 на стр. 85).

Проверка взаимодействия между клиентом и сервером СУБД Oracle (п. A.2.3 на стр. 85).

Создайте схему базы данных (п. 3.1 на стр. 28).

Шаг 4. Установка и настройка Traffic Monitor Server

Вариант 1 (см. рис. 11). Система будет установлена в одном офисе. Загрузка в удаленную БД не требу-ется:

1. Установите и настройте InfoWatch DeviceLock Adapter. Рекомендации приводятся в документах:

«InfoWatch DeviceLock Adapter. Руководство по установке и конфигурированию».

«InfoWatch DeviceLock Adapter. Руководство администратора».

2. Установите и настройте Traffic Monitor Server (п. 3.2.1 на стр. 40).

3. На компьютере с Traffic Monitor Server задайте адреса DNS сервера (п. 3.2.4 на стр. 48).

Вариант 2 (см. рис. 12). Система будет установлена в центральном офисе и в удаленных филиалах. За-грузка данных из филиалов происходит по медленным каналам связи (не меньше 128 Кбит/с):

В каждом удаленном филиале, где нужно принимать объекты от DeviceLock:

1. Установите и настройте InfoWatch DeviceLock Adapter. Рекомендации приводятся в документах:

«InfoWatch DeviceLock Adapter. Руководство по установке и конфигурированию».

«InfoWatch DeviceLock Adapter. Руководство администратора».

2. Установите и настройте Traffic Monitor Server (п. 3.2.1 на стр. 40).

3. На компьютере с Traffic Monitor Server:

установите и настройте клиентскую часть модуля взаимодействия с удаленной БД (см. п. 3.2.7.1 на стр. 52).

задайте адреса DNS сервера (п. 3.2.4 на стр. 48).

В центральном офисе:

1. Установите и настройте Traffic Monitor Server (п. 3.2.1 на стр. 40).

2. На компьютере с Traffic Monitor Server:

установите и настройте серверную часть модуля взаимодействия с удаленной БД (см. п. 3.2.7.2 на стр. 54).

задайте адреса DNS сервера (п. 3.2.4 на стр. 48).

Подготовка к установке 23

Шаг 5. Установка Management Console

1. Установите Management Console (п. 3.4 на стр. 60).

2. После установки Management Console выполните настройки, необходимые для анализа и обработ-ки объектов на Traffic Monitor Server (подготовка и загрузка на сервер конфигурации, создание ба-зы эталонных документов, дополнительные настройки).

В сценарии обработки объектов установите для перехватчика Dla транспортный режим Copy.

Информация по выполнению этих настроек содержится в документе «InfoWatch Traffic Monitor. Ру-ководство пользователя».

2.2. Аппаратные и программные требования

Требования приводятся в разделах:

Traffic Monitor Server (п. 2.2.1 на стр. 23).

Sniffer (п. 2.2.2 на стр. 24).

Модуль IW ICAP (п. 2.2.3 на стр. 25).

Модуль взаимодействия с удаленной базой данных (п. 2.2.4 на стр. 25).

Сервер СУБД Oracle (п. 2.2.5 на стр. 26).

Management Console (п. 2.2.6 на стр. 26).

2.2.1. Traffic Monitor Server

Требования к аппаратному обеспечению

Типовая конфигурация Traffic Monitor Server при суммарной скорости входящего и исходящего трафика 50 Мбит/с:

Сервер: поддерживаются конфигурации, допустимые для Red Hat Enterprise Linux Server 5.5 x86-32: см. https://hardware.redhat.com/.

Рекомендуется HP ProLiant DL 360 G7 Server.

Процессор: Intel® Xeon® E5540 2.53 ГГц. Требуются 2 процессора с 4 ядрами каждый.

Оперативная память: DDR3 из расчета 2 Гб + по 4 Гб на каждый перехватчик.

Жесткий диск: SAS, 3 x 300 Гб (10000 rpm) с RAID 5.

Требования к программному обеспечению

Программное обеспе-чение

Требования

Операционная система Red Hat Enterprise Linux Server 5.5 x86-32 со всеми обновлениями.

Для установки всех пакетов, необходимых для корректной работы Системы, необходим доступ к репозиторию Linux.

Перечень пакетов Linux, требующихся для установки rpm-пакетов, входящих в дистрибутив, можно получить с помощью следующей команды:

rpm –qpR /путь_к_пакету_iwtm/xxxx.rpm

где xxxx.rpm – имя устанавливаемого пакета.

Важная информация! При установке операционной системы выберите анг-лийскую локализацию.

СУБД Клиент СУБД Oracle версии 11g R2 (11.2.0.1.0).

Примечание: рекомендации по установке см. в прил. A.2.1 на стр. 83.

24 InfoWatch Traffic Monitor Enterprise 3.5

2.2.2. Sniffer

Требования к сетевому оборудованию

Сетевое оборудование Требования

Коммутатор Cisco Catalyst 2960 Series

Допускаются и другие модели коммутаторов с поддержкой функции SPAN

Sniffer получает копию трафика от коммутатора CISCO. После установки коммутатора настройте SPAN-порт в режиме RX/TX. Инструкции по настройке SPAN-порта для Cisco Catalyst 2960 Series можно найти по адресу:

http://www.cisco.com/en/US/docs/switches/lan/catalyst2960/software/release/12.2_37_se/configuration/guide/swspan.html#wp1036816

Рекомендации по установке и настройке других моделей приводятся в сопроводительной документации коммутаторов.

Требования к аппаратному обеспечению

Требования к процессору и оперативной памяти:

Оборудование Минимальные требования при скорости трафика 100 Мбит/с

Процессор Intel Core2 Duo E6750 (частота 2,66 ГГц)

Оперативная память 2 Гб

Типовая конфигурация Sniffer при суммарной скорости входящего и исходящего трафика 50 Мбит/с:

Сервер: поддерживаются конфигурации, допустимые для Red Hat Enterprise Linux Server 5.5 x86-32: см. https://hardware.redhat.com/.

Рекомендуемая конфигурация — HP ProLiant DL 360 G7 Server.

Процессор: двухъядерный Intel® Xeon® E5502 1.87ГГц.

Оперативная память: 4 Гб DDR3.

Жесткий диск: SAS 300 Гб (10000 rpm).

Требования к сетевым картам:

Общие требования Рекомендуемые модели сетевых карт

Поддержка NAPI и режима Promiscuous mode. Intel Corporation 82540EM Gigabit Ethernet Controller

Broadcom Corporation NetXtreme II BCM5708 1Gb

Допускается использование сетевых карт серии Intel PRO/1000 GT

Поддержка Gigabit Ethernet

На Sniffer должны быть установлены как минимум две сетевые карты:

сетевая карта для приема копии трафика от одного SPAN-порта коммутатора CISCO. Если прием трафика будет осуществляться с нескольких SPAN-портов (которые могут быть настроены как на одном, так и на разных коммутаторах), то для каждого SPAN-порта потребуется отдельная сетевая карта.

сетевая карта для взаимодействия с прочими объектами сети. В частности, для передачи трафика на Traffic Monitor Server или для взаимодействия с базой данных (если Sniffer и Traffic Monitor Serv-er установлены на одном компьютере).

Требования к программному обеспечению

Если Sniffer будет установлен на одном компьютере c Traffic Monitor Server, то программное обеспечение должно соответствовать требованиям, предъявляемым к Traffic Monitor Server в п. 2.2.1 на стр. 23.

Подготовка к установке 25

Если Sniffer будет установлен на отдельном компьютере, то программное обеспечение должно удовле-творять требованиям:

Программное обеспе-чение

Требования

Операционная система Red Hat Enterprise Linux Server 5.5 x86-32 со всеми обновлениями.

Для установки всех пакетов, необходимых для корректной работы Системы, необходим доступ к репозиторию Linux.

Перечень пакетов Linux, требующихся для установки rpm-пакетов, входящих в дистрибутив, можно получить с помощью следующей команды:

rpm –qpR /путь_к_пакету_iwtm/xxxx.rpm

где xxxx.rpm – имя устанавливаемого пакета.

Важная информация! При установке операционной системы выберите анг-лийскую локализацию.

2.2.3. Модуль IW ICAP

При интеграции с модулем IW ICAP передача HTTP-запросов осуществляется через прокси-сервер. Для передачи HTTP-запросов на Traffic Monitor Server по протоколу ICAP необходим ICAP-клиент. Система поддерживает работу с ICAP-клиентами встроенными в прокси-сервер.

Важная информация

Traffic Monitor Server и прокси-сервер с ICAP-клиентом должны находиться в одной подсети.

Поддерживаются следующие прокси-серверы:

SQUID версии не ниже 3.1.7, с включенной поддержкой ICAP.

Cisco IronPort S10.

Blue Coat SG Series с лицензией на ICAP. Поддерживается совместимость с рядом моделей, вы-пускаемых компанией Blue Coat Systems в настоящее время. Производитель постоянно обновляет модельный ряд, поэтому перед тем, как использовать конкретную модель устройства Blue Coat Proxy SG необходимо уточнить совместимость с модулем IW ICAP в службе технической поддерж-ки компании InfoWatch.

Примечание:

Если требуется перехват HTTPS-трафика, настройте прокси-сервер таким образом, чтобы HTTPS трафик обрабатывался и передавался на InfoWatch Traffic Monitor Server как HTTP-трафик.

Описание установки и настройки вы можете найти в сопроводительной документации к выбранному про-кси-серверу. Рекомендации по настройке прокси-серверов см. в п. 3.2.8 на стр. 55.

ICAP-сервер входит в состав модуля интеграции с ICAP. Модуль устанавливается на одном компьютере с Traffic Monitor Server (см. требования в п. 2.2.1 на стр. 23). Дополнительных требований к аппаратному и программному обеспечению модуля не предъявляется.

2.2.4. Модуль взаимодействия с удаленной базой

данных

Модуль устанавливается на одном компьютере с Traffic Monitor Server (см. требования в п. 2.2.1 на стр. 23). Дополнительных требований к аппаратному и программному обеспечению модуля не предъяв-ляется.

26 InfoWatch Traffic Monitor Enterprise 3.5

2.2.5. Сервер СУБД Oracle

Для корректной работы InfoWatch Traffic Monitor необходимо установить сервер СУБД Oracle Database 11g Release 2 (11.2.0.1.0) на платформе Linux x64.

Требования к аппаратному обеспечению

Оборудование Минимальные требования

Процессор Intel Xeon с частотой 2.4 ГГц и выше. Количество ядер – не менее двух (рекомендуется – 8).

Оперативная память 8 Гб DDR3

Жесткий диск Аппаратный RAID-контроллер SAS (уровень 1 и выше). Емкость RAID-массива должна составлять не менее 200 GB (в зависимости от объема пере-хваченных объектов, которые будут храниться в базе данных)

Требования к программному обеспечению

Программное обеспе-чение

Требования

Операционная система Red Hat Enterprise Linux Server release 5.5 x64 со всеми обновлениями.

Для установки всех пакетов, необходимых для корректной работы Системы, необходим доступ к репозиторию Linux.

Перечень пакетов Linux, требующихся для установки rpm-пакетов, входящих в дистрибутив, можно получить с помощью следующей команды:

rpm –qpR /путь_к_пакету_iwtm/xxxx.rpm

где xxxx.rpm – имя устанавливаемого пакета.

2.2.6. Management Console

Требования к аппаратному обеспечению

Оборудование Минимальные требования Рекомендуемые требования

Процессор Celeron с частотой 1.7 ГГц и выше Pentium IV с частотой 3 ГГц и выше

Оперативная память 512 Мб 1 Гб

Жесткий диск 1 Гб свободного пространства 1 Гб свободного пространства

Требования к программному обеспечению

Программное обеспе-чение

Требования

Операционная система Microsoft Windows XP Service Pack 3

Платформа .Net Framework

Microsoft .Net Framework 2.0 SP1

Подготовка к установке 27

2.3. Настройка Postfix

Примечания:

1. Интеграция с Postfix не требуется, если перехват копии SMTP-трафика будет осуществляться че-рез Sniffer (см. п. 2.1.2 на стр. 12).

2. Другие почтовые сервера (Microsoft Exchange и пр.), функционирующие в корпоративной почтовой системе, должны быть настроены на использование Postfix в качестве relay-сервера.

Если перехват SMTP-трафика будет выполняться путем интеграции с Postfix (см. п. 2.1.1 на стр. 10), то перед установкой Traffic Monitor Server выполните следующие действия:

1. Убедитесь, что пакет Postfix (входит в дистрибутив операционной системы) установлен.

2. Запустите утилиту system-switch-mail:

system-switch-mail

В окне утилиты выберите Postfix в качестве почтового агента (MTA).

Примечание:

Утилита входит в дистрибутив операционной системы, но по умолчанию не устанавливается. Проверить, установлена ли эта утилита, можно командой:

rpm –q system-switch-mail

3. Остановите Postfix:

service postfix stop

4. В файле /etc/postfix/main.cf укажите параметры:

inet_interfaces = all

append_dot_mydomain = no

если InfoWatch Traffic Monitor будет участвовать в доставке SMTP-трафика, задайте параметр

relayhost. В качестве значения введите ip-адрес корпоративного почтового сервера, которому

SMTP-письма будет передаваться после анализа в Traffic Monitor Server.

Если на Traffic Monitor Server нужно передавать копию SMTP-трафика, то не задавайте пара-

метр relayhost,.

5. Удалите sendmail (рекомендуется):

rpm –e sendmail

6. Запустите Postfix

service postfix start

ГЛАВА 3. УСТАНОВКА СИСТЕМЫ

В этой главе:

Схема базы данных (п. 3.1 на стр. 28).

Traffic Monitor Server (п. 3.2 на стр. 39).

Sniffer (п. 3.3 на стр. 59).

Management Console (п. 3.4 на стр. 60).

3.1. Схема базы данных

Перед установкой Traffic Monitor Server необходимо создать схему базы данных. Информация по созда-нию схемы базы данных содержится в разделах:

Рекомендации по созданию схемы базы данных (п. 3.1.1 на стр. 28).

Создание схемы базы данных (п. 3.1.2 на стр. 30).

Важная информация!

Если у вас имеется установленная схема базы данных, то вы можете выполнить обновление до новой версии (см. главу 5 на стр. 70).

3.1.1. Рекомендации по созданию схемы базы данных

Процесс создания схемы базы данных включает в себя создание табличных пространств (основного и ежедневных), необходимых для работы Системы. Ежедневные табличные пространства предназначе-ны для хранения объектов (SMTP-писем, HTTP-запросов и пр.), поступающих в Систему. В основном табличном пространстве хранятся данные, необходимые для анализа и обработки поступающих дан-ных. При создании схемы базы данных вам будет предложено указать ряд параметров, связанных с соз-данием табличных пространств.

Рекомендации по настройке основного табличного пространства

При настройке параметров основного табличного пространства необходимо указать начальное количест-во файлов данных. Таким образом, можно зарезервировать свободное место для файлов данных. Необ-ходимое количество вычисляется по формуле:

N = S/10/32

Здесь:

N – количество файлов данных основного табличного пространства, которое нужно задать при создании схемы базы данных. Полученное значение округляется до большего целого числа.

S – общий запланированный объѐм хранимых в базе данных объектов (в гигабайтах). Вычисляется как произведение объѐма загружаемых объектов в среднем за сутки на число дней хранения.

Результаты расчета для данных объемом от 0 до 1280 Гб приведены в таблице

Общий запланированный объем объектов в базе данных (Гб)

Количество файлов данных

0 – 320 1

321 – 640 2

641 – 960 3

Установка системы 29

Общий запланированный объем объектов в базе данных (Гб)

Количество файлов данных

961 – 1280 4

Примечание:

В процессе создания схемы базы данных создается задание на автоматическое добавление файлов данных к основному табличному пространству. Файлы данных будут добавлены, в случае если занято более 80% от общего возможного места в основном табличном пространстве. (Общее возможное ме-сто вычисляется по формуле: количество файлов данных * 32 ГБ.)

Задание запускается ежедневно в 00 ч 00 мин.

Рекомендации по настройке ежедневных табличных пространств

Количество файлов данных

Оцените суммарный объем суточного трафика объектов, проходящего через Систему. Для оптимальной настройки параметра рекомендуется оценить максимальный и минимальный объем суточного трафика в пределах определенного интервала (например, недели). Выбор интервала для оценки зависит от того, насколько постоянен этот объем. Пусть, к примеру, трафик имеет различный объем в пределах недели. Тогда рекомендуется оценить минимальный и максимальный объем суточного трафика на протяжении одной недели.

Важная информация!

Оценка выполняется только для тех типов трафика, которые отслеживаются Системой. Например, если у вас не установлен HTTP-монитор, то оценку НTTP-трафика проводить не нужно.

Максимальный размер одного файла данных составляет 32 Гб. Поэтому расчет необходимого количест-ва файлов данных выполняется формуле:

N = TMAX/32

Здесь:

N – количество файлов данных ежедневного табличного пространства, которое нужно задать при создании схемы базы данных. Полученное значение округляется до большего целого числа.

TMAX – максимальный объем суточного трафика (в гигабайтах).

Например, при максимальном объеме суточного трафика 65 Гб необходимо задать значение данного па-раметра равным 3.

Начальный размер файла данных

Рассчитайте среднесуточный объем трафика за исследуемый период. При этом нужно учитывать сле-дующее. Если колебания в объеме трафика в разные периоды времени велики, то часть пространства, выделяемого для файлов данных, может оказаться неиспользованной. В то же время, если начальный объем файла данных будет значительно меньше суточного объема трафика, то потребуется приращение файла данных, что приведет к снижению производительности Системы. Количество приращений будет зависеть от заданного размера приращения.

Циклические файловые системы

Ежедневные табличные пространства могут храниться либо в одном каталоге, либо распределенно (в разных каталогах или на разных физических дисках).

Примечание:

Для того чтобы увеличить надежность хранения данных, рекомендуется размещать ежедневные таб-личные пространства на разных физических дисках.

Распределенное хранение данных возможно при условии, что используется не менее двух циклических файловых систем. Каждый каталог или физический диск, на который могут быть сохранены ежедневные табличные пространства, является отдельной циклической файловой системой. При создании схемы ба-зы данных задается количество циклических файловых систем и местоположение файлов данных в каж-

30 InfoWatch Traffic Monitor Enterprise 3.5

дой такой системе. Циклические файловые системы используются поочередно. Например, если задано 3 циклических файловых системы, то данные будут размещаться следующим образом:

Первый день – ежедневное табличное пространство создается в файловой системе 1.

Второй день – ежедневное табличное пространство создается в файловой системе 2.

Третий день – ежедневное табличное пространство создается в файловой системе 3.

Четвертый день – ежедневное табличное пространство создается в файловой системе 1.

и т. д.

Если распределенное хранение данных не требуется, то установите количество циклических файловых систем равным 1. В этом случае все табличные пространства будут располагаться в одной директории.

3.1.2. Создание схемы базы данных

Важная информация!

В базе данных не должны выполняться никакие работы во время создания схемы базы данных (т.е. от момента нажатия кнопки Старт и до появления сообщения Операция завершена успешно).

Шаг 1. Подготовка к созданию схемы базы данных

Убедитесь, что настроены параметры взаимодействия с базой данных:

запущен сервер СУБД Oracle;

на сервере СУБД Oracle параметр recyclebin имеет значение off либо не имеет значения. Что-

бы проверить значение параметра:

1. При работе в консоли выполните команду:

sqlplus [email protected]<SID> as sysdba

(где <SID> — имя базы данных), затем введите пароль.

2. От имени системного пользователя выполните запрос:

select name, value

from v$parameter p

where lower(p.NAME) = ‘recyclebin’

Если параметр recyclebin включен (имеет значение on), то отключите его перед установкой

схемы БД. Для этого выполните следующие действия:

1. От имени пользователя SYS выполните оператор:

alter system set RECYCLEBIN=’off’ scope=spfile

2. Повторно убедитесь, что параметр recyclebin имеет значение off.

на компьютере, с которого будет запущен инсталлятор схемы базы данных, установлен и настроен клиент СУБД Oracle версии 11g R2 (11.2.0.1.0), используя тип установки клиента – Администра-тор. Для этого проверьте, что в директории клиента существует файл:

[X]:app[Текущий пользователь]product11.2.0client_1BINsqlldr.exe

где:

­ [X] – диск, на котором установлен клиент Oracle;

­ [Текущий пользователь] – пользователь, от имени которого осуществлен вход на клиент-

ский компьютер.

Рекомендации по установке и настройке клиента СУБД Oracle см. в приложении A.2.1 на стр. 83.

Уточните данные, которые вам потребуются при создании схемы БД:

имя и пароль учетной записи, обладающей правами SYSDBA (как правило, это пользователь SYS);

Установка системы 31

Важная информация!

Убедитесь, что пароль соответствует следующим требованиям:

Пароль может состоять из латинских букв, цифр и символов:

( ) , ; . : ! ~ ` # $ % ^ * — _ + ‘ [ ] { } | ? < >

Может начинаться с буквы, цифры или символа. Максимальная длина пароля составляет 30 символов.

Если пароль не соответствует этим требованиям, то измените его перед созданием схемы БД. При необходимости вы можете вернуть старый пароль после того, как схема БД будет создана.

параметры табличных пространств (см. рекомендации в п. 3.1.1 на стр. 28).

Шаг 2. Запуск инсталлятора схемы базы данных

На диске с дистрибутивом Системы найдите и запустите файл CreateSchemaWizard.exe.

Вы также можете скопировать инсталлятор в папку, расположенную на жестком диске, и запускать ин-сталлятор из этой папки.

Важная информация!

Инсталлятор схемы базы данных не может быть запущен из сетевой папки.

После этого на экран будет выведено окно Мастер работы с БД.

Шаг 3. Выбор типа установки

В окне Мастер работы с БД выберите вариант Установка новой схемы БД и нажмите кнопку OK.

После этого на экран будет выведено окно мастера установки схемы БД.

Шаг 4. Настройка параметров соединения с сервером базы данных

В окне мастера установки схемы БД (см. рис. 13) укажите параметры соединения с сервером базы дан-ных:

База данных. Псевдоним сервера, на котором установлена база данных (псевдоним выбирают из

перечисленных в файле tnsnames.ora).

Имя пользователя с ролью SYSDBA. Имя учетной записи, обладающей правами SYSDBA (на-пример, SYS).

Пароль пользователя с ролью SYSDBA. Пароль учетной записи, обладающей правами SYSDBA.

32 InfoWatch Traffic Monitor Enterprise 3.5

Рисунок 13. Параметры соединения с сервером базы данных

Нажмите кнопку Вперед.

Шаг 5. Настройка параметров учетной записи владельца схемы БД

Примечание:

Подробные рекомендации по составлению имен и паролей пользователей приводятся в приложении B на стр. 86.

Укажите параметры для создания учетной записи владельца схемы базы данных (см. рис. 14):

Владелец схемы БД. Имя учетной записи владельца схемы базы данных.

Может состоять из букв латинского алфавита, цифр и символа подчеркивания «_». Должно начи-

наться с буквы. Максимальная длина имени составляет 10 символов.

Важная информация!

Имя учетной записи владельца базы данных должно быть уникальным в пределах базы дан-ных. Это означает, что в базе данных не должно быть схемы базы данных и табличного про-странства с таким же именем.

Пароль владельца схемы БД, Подтверждение пароля. Пароль учетной записи.

Может состоять из букв латинского алфавита, цифр и символов:

( ) , ; . : ! ~ ` # $ % ^ * — _ + ‘ [ ] { } | ? < >

Может начинаться с буквы, цифры или символа. При настройках Oracle по умолчанию, чувствите-лен к регистру символов. Максимальная длина пароля составляет 30 символов.

Установка системы 33

Рисунок 14. Настройка учетной записи владельца схемы базы данных

Нажмите кнопку Вперед.

Шаг 6. Настройка параметров учетной записи администратора пользователей

Для первой настройки Management Console используется учетная запись администратора пользовате-лей, имеющая ограниченный набор прав. Администратор пользователей создает учетные записи для других пользователей и наделяет их необходимыми полномочиями.

Укажите параметры для создания учетной записи администратора пользователей (см. рис. 15):

Администратор пользователей. Имя учетной записи администратора пользователей.

Может состоять из букв латинского алфавита, цифр и символа подчеркивания «_». Должно начи-

наться с буквы. Максимальная длина имени составляет 10 символов. К имени рекомендуется до-бавить суффикс _ADM.

Важная информация!

Имя учетной записи администратора пользователей должно быть уникальным в пределах базы данных. Это означает, что в базе данных не должно быть пользователей с таким же именем.

Пароль администратора пользователей, Подтверждение пароля. Пароль учетной записи.

Может состоять из букв латинского алфавита, цифр и символов:

( ) , ; . : ! ~ ` # $ % ^ * — _ + ‘ [ ] { } | ? < >

Может начинаться с буквы, цифры или символа. При настройках Oracle по умолчанию, чувствите-лен к регистру символов. Максимальная длина пароля составляет 30 символов.

34 InfoWatch Traffic Monitor Enterprise 3.5

Рисунок 15. Настройка учетной записи администратора пользователей

Нажмите кнопку Вперед.

Шаг 7. Настройка параметров учетной записи офицера безопасности

Укажите параметры для создания учетной записи офицера безопасности. Эта учѐтная запись Manage-ment Console будет иметь все права, кроме управления пользователями и ролями.

Офицер безопасности. Имя учетной записи офицера безопасности.

Может состоять из букв латинского алфавита, цифр и символа подчеркивания «_». Должно начи-

наться с буквы. Максимальная длина имени составляет 10 символов.

Важная информация!

Имя учетной записи офицера безопасности должно быть уникальным в пределах базы данных. Это означает, что в базе данных не должно быть пользователей с таким же именем.

Пароль офицера безопасности, Подтверждение пароля. Пароль учетной записи.

Может состоять из букв латинского алфавита, цифр и символов:

( ) , ; . : ! ~ ` # $ % ^ * — _ + ‘ [ ] { } | ? < >

Может начинаться с буквы, цифры или символа. При настройках Oracle по умолчанию, чувствите-лен к регистру символов. Максимальная длина пароля составляет 30 символов.

Установка системы 35

Рисунок 16. Настройка учетной записи офицера безопасности

Нажмите кнопку Вперед.

Шаг 8. Настройка параметров учетной записи для загрузки объектов в базу данных

Укажите параметры для создания учетной записи пользователя, от имени которого перехваченные объ-екты будут загружаться в базу данных (см. рис. 17):

Пользователь для линукс части. Имя учетной записи пользователя Linux части.

Может состоять из букв латинского алфавита, цифр и символа подчеркивания «_». Должно начи-

наться с буквы. Максимальная длина имени составляет 10 символов.

Важная информация!

Имя учетной записи пользователя Linux части должно быть уникальным в пределах базы дан-ных. Это означает, что в базе данных не должно быть пользователей с таким же именем.

Пароль пользователя линукс части, Подтверждение пароля. Пароль учетной записи.

Может состоять из букв латинского алфавита, цифр и символов:

( ) , ; . : ! ~ ` # $ % ^ * — _ + ‘ [ ] { } | ? < >

Может начинаться с буквы, цифры или символа. При настройках Oracle по умолчанию, чувствите-лен к регистру символов. Максимальная длина пароля составляет 30 символов.

36 InfoWatch Traffic Monitor Enterprise 3.5

Рисунок 17. Настройка учетной записи пользователя Linux части

Нажмите кнопку Вперед.

Шаг 9. Настройка параметров основного табличного пространства

Важная информация!

Рекомендации по настройке параметров приводятся в п. 3.1.1 на стр. 28.

Укажите параметры файла данных для основного табличного пространства (см. рис. 18):

начальное количество файлов данных;

путь к файлам данных для основного табличного пространства;

начальный размер файлов данных (в Мб);

размер приращения – величину, на которую будут расширяться файлы данных (в Мб).

Установка системы 37

Рисунок 18. Параметры основного табличного пространства

Нажмите кнопку Вперед.

Шаг 10. Настройка параметров ежедневных табличных пространств

Важная информация!

Рекомендации по настройке параметров приводятся в п. 3.1.1 на стр. 28.

Настройте параметры для ежедневных табличных пространств (см. рис. 19):

число файлов данных, которые будут содержаться в одном табличном пространстве.

начальный размер файлов данных (в Мб);

размер приращения – величина, на которую будут расширяться файлы данных (в Мб).

лаг времени (в днях) – дополнительный интервал, для которого будут созданы ежедневные таб-личные пространства. Каждый день в базе данных создаются табличные пространства на текущий и на следующий день. Лаг времени позволяет задать дополнительный интервал, для которого бу-дут созданы ежедневные табличные пространства. Например, если лаг времени составляет 1 день, то будут созданы ежедневные табличные пространства на текущий день и на два после-дующих дня (т.е. табличные пространства, необходимые для работы в течение 3 дней).

38 InfoWatch Traffic Monitor Enterprise 3.5

Рисунок 19. Параметры ежедневных табличных пространств

Нажмите кнопку Вперед.

Шаг 11. Настройка параметров файловой системы

Важная информация!

Рекомендации по настройке параметров приводятся в п. 3.1.1 на стр. 28.

Укажите параметры хранения данных (см. рис. 20):

количество циклических файловых систем (максимальное количество 10 файловых систем).

Если распределенное хранение данных не требуется, оставьте значение по умолчанию (1 файло-вая система).

местоположение файлов данных (отдельно для каждой файловой системы).

Примечание:

Если количество файловых систем превышает 5, то нажмите кнопку Вперед и укажите путь к осталь-ным файловым системам.

Установка системы 39

Рисунок 20. Параметры циклических файловых систем

Нажмите кнопку Вперед.

Шаг 12. Настройка параметров очистки журнала протоколирования

Для удаления записей системы протоколирования каждый день в 01 ч 00 мин запускается задание. Все записи, срок хранения которых превышает указанное значение (в днях) удаляются. При расчете интерва-ла текущий день не учитывается. По умолчанию задан интервал в 100 дней.

Чтобы начать установку, нажмите кнопку Старт.

3.2. Traffic Monitor Server

В этом разделе:

Установка и настройка (п. 3.2.1 на стр. 40).

40 InfoWatch Traffic Monitor Enterprise 3.5

Установка и замена лицензии на перехватчики (п. 3.2.2 на стр. 45).

Установка и замена лицензии на технологии контентного анализа (п. 3.2.3 на стр. 47).

Настройка DNS для поддержки Active Directory (п. 3.2.4 на стр. 48).

Проверка интеграции Postfix и Traffic Monitor Server (п. 3.2.5 на стр. 49).

Настройка параметров взаимодействия со Sniffer (п. 3.2.6 на стр. 50).

Установка и настройка модуля взаимодействия с удаленной базой данных (п. 3.2.7 на стр. 52).

Установка и настройка модуля IW ICAP (п. 3.2.8 на стр. 55).

Кластер Traffic Monitor Server c одним Сервером контентного анализа (п. 3.2.9 на стр. 59).

3.2.1. Установка и настройка

Важная информация!

Traffic Monitor Server и Сервер СУБД Oracle должны быть установлены на разных компьютерах.

Важная информация!

Если используется технология Цифровые отпечатки, то в Системе должен функционировать только один Сервер контентного анализа. При наличии в Системе нескольких экземпляров Traffic Monitor Server настройте Сервер контентного анализа только на одном экземпляре Traffic Monitor Server (см. п. 3.2.9 на стр. 59).

Примечание:

Если предыдущая версия Traffic Monitor Server была удалена, то в этом случае часть информации, необходимой для работы Системы, сохраняется и после удаления (см. п. 5.4 на стр. 73). Если вы ус-танавливаете новую версию Traffic Monitor Server, но при этом не планируете использовать данные из

предыдущей версии, то вы можете вручную удалить содержимое папки /usr/local/infowatch.

Шаг 1. Подготовка к установке

Убедитесь, что компьютер, на который будет установлен Traffic Monitor Server, подготовлен к установке:

на компьютере установлен и настроен клиент СУБД Oracle версии 11g R2 (11.2.0.1.0), тип установ-ки клиента – Администратор. Рекомендации по установке и настройке клиента СУБД Oracle см. в приложении A.2.1 на стр. 83. Для этого проверьте, что в каталоге:

/u01/app/oracle/product/11.2.0/client_1/bin

существует файл sqlldr.

для компьютера задано полное имя домена. Проверить наличие этого имени можно командой:

hostname –f

Если полное имя домена не определено, то задайте это имя до начала установки Traffic Monitor

Server. Для этого в файле /etc/hosts укажите IP-адрес, полное доменное имя и псевдоним ком-

пьютера, на который будет выполняться установка Traffic Monitor Server:

IP-адрес полное_доменное_имя псевдоним

Например:

10.1.10.120 tmserver.company.com tmserver

Затем перезагрузите операционную систему:

Reboot

Убедитесь, что имеются все пакеты Linux, требующиеся для установки rpm-пакетов, входящих в дистрибутив. Это можно сделать с помощью следующей команды:

rpm –qpR xxxx.rpm

где xxxx.rpm – имя устанавливаемого пакета.

Установка системы 41

Шаг 2. Установка Traffic Monitor Server и ПО, распространяемого по лицензии GPL

Чтобы установить Traffic Monitor Server и дополнительные пакеты:

1. Зарегистрируйтесь в операционной системе от имени учетной записи пользователя root:

su – root

2. Установите следующие пакеты (поставляются на диске с дистрибутивом системы):

Название пакета Описание пакета

tmcap-x.x.x-x.i686.rpm Модуль перехвата пакетов. Необходим для установки только в схеме копии трафика с помощью Sniffer (см. п. 2.1.2 на стр. 12).

iwtm-x.x.x-x.i686.rpm Traffic Monitor Server

iwtm_gpl_components-x.x.x-

x.i686.rpm

Программное обеспечение, распространяемое по ли-цензии GPL (General Public License)

Важная информация! Устанавливается после пакета iwtm-x.x.x-x.i686.rpm

В названии пакетов x.x.x-x номер версии InfoWatch Traffic Monitor.

Для установки пакета, выполните команду:

rpm -i /полный_путь_к_пакету

Например:

rpm -i /u01/tmcap-3.4.3-59.i686.rpm

rpm -i /u01/iwtm-3.4.3-59.i686.rpm

rpm -i /u01/iwtm_gpl_components-3.4.3-59.i686.rpm

Пакет tmcap будет установлен в каталог /lib/modules/’unam-r’/extra.

Пакет iwtm будет установлен в каталог /usr/local/infowatch/tm3.

Пакет gpl_components будет установлен в каталог /usr/local/infowatch/tm3/tools.

Шаг 3. Настройка и запуск Traffic Monitor Server

Запустите сценарий setup.sh:

/usr/local/infowatch/tm3/setup.sh

После этого вам будет предложено указать ряд параметров:

1. Enter user name to be used as an owner of InfoWatch Traffic Monitor

Укажите локальную учетную запись пользователя – владельца Traffic Monitor Server, от имени ко-

торого будут запускаться процессы. По умолчанию создается учетная запись iwtm.

2. Enter group name to be used as an owner of InfoWatch Traffic Monitor

Укажите группу, в состав которой будет включен пользователь – владелец InfoWatch Traffic Monitor. Рекомендуется включить пользователя в группу владельца инсталляции клиента СУБД

Oracle (по умолчанию это группа oinstall). В этом случае решается проблема недостатка прав

при работе с СУБД Oracle.

3. Select ip-addresses for IW SMTP Server

Выберите IP-адрес, который будет использоваться процессом iw_smtpd для получения входящей почты. Возможные значения:

один из IP-адресов, того компьютера, на который выполняется установка Traffic Monitor Server (выводятся все IP-адреса по количеству установленных сетевых карт);

42 InfoWatch Traffic Monitor Enterprise 3.5

127.0.0.1 – получение почты от процесса, запущенного на локальном компьютере (данное

значение рекомендуется выбирать при интеграции с Postfix);

0.0.0.0 – IP-адрес любого активного сетевого интерфейса (значение по умолчанию).

Примечание:

Если передача SMTP-трафика ведется только в режиме копии, то вы можете выбрать любой вариант.

4. Select a port to be listened

Укажите порт, на котором будет запущен процесс прослушивания входящих писем процессом

iw_smtpd. Значение по умолчанию (2025) используется при интеграции с Postfix.

5. Select a type of IW SMTP Server MTA installation

Выберите тип почтового агента. Возможны два варианта:

relay to a Postfix instance running on localhost – почтовый сервер Postfix уста-

новлен на том же компьютере, что и Traffic Monitor Server (значение по умолчанию). Выберите этот вариант, если прием и отправка почты должны осуществляться через Postfix.

relay to another smtp-server – интеграция с Postfix отсутствует или выполнена частично.

Примером частичной интеграции является случай, когда Postfix только принимает почту, но не участвует в ее доставке (доставка осуществляется другим почтовым сервером).

6. Настройте параметры отправки почты. Настройки зависят от типа почтового агента, выбранного на шаге 5.

Если был выбран первый вариант, т.е. Traffic Monitor Server и Postfix находятся на одном компью-тере, то укажите параметры:

Hostname of this machine

Доменное имя компьютера, на который будет установлен Traffic Monitor Server. По умолчанию

указано имя того компьютера, с которого был запущен сценарий setup.sh.

Enter a port number used by target smtp-server

Порт почтового relay-сервера, на который будет выполняться отправка писем (значение по

умолчанию 2020).

Если был выбран второй вариант, т.е. интеграция с Postfix отсутствует или выполнена частично, то укажите параметры:

Enter a hostname or ip-address of target smtp-server

Доменное имя или IP-адрес почтового relay-сервера, через который будет выполняться достав-ка исходящей почты.

Enter a port number used by target smtp-server

Порт почтового relay-сервера, на который будет выполняться отправка писем (значение по

умолчанию 25).

7. Select Oracle Home to be used

Укажите путь к каталогу, в который установлен клиент СУБД Oracle. Путь прописывается автома-

тически и должен совпадать со значением переменной ORACLE_HOME в файле /etc/profile.

Однако если на компьютере установлено несколько версий СУБД Oracle, правильность определе-ния пути к нужному каталогу не гарантируется. В этом случае проверьте путь к каталогу и при не-обходимости укажите правильный путь вручную.

8. Укажите параметры соединения с сервером СУБД Oracle:

Oracle User Name (InfoWatch Traffic Monitor Linux DB User)

Имя учетной записи пользователя Linux части (задается при создании схемы базы данных, см.

п. 3.1.2 на стр. 30, шаг 6). По умолчанию имеет значение IWTM_LINUX.

Установка системы 43

Oracle Password (InfoWatch Traffic Monitor Linux DB User)

Пароль пользователя Linux части (задается при создании схемы базы данных, см. п. 3.1.2 на стр. 30, шаг 6).

Важная информация!

Если при установке Traffic Monitor Server пароль пользователя Linux части указан неверно, то после установки учетная запись пользователя Linux части будет заблокирована. Решение данной проблемы описывается в прил. C.2 на стр. 92

Oracle Connection String

Строка соединения с сервером (псевдоним сервера из файла tnsnames.ora).

Примечание:

По умолчанию файл tnsnames.ora расположен в каталоге

/ORACLE_HOME/network/admin (здесь /ORACLE_HOME – это путь к каталогу, в который

установлен клиент СУБД Oracle).

9. Do you want to set up interaction with Postfix?

Укажите, требуется ли интеграция с Postfix для перехвата SMTP-трафика (значение по умолчанию

y – интеграция нужна). Выбор значения зависит от варианта развертывания Системы:

Вариант развертывания Системы Значение параметра

Система осуществляет перехват и доставку SMTP-трафика посред-ством интеграции с Postfix

y (обязательная интеграция)

Доставка SMTP-трафика осуществляется корпоративной почтовой системой. Система получает только копию SMTP-трафика. Для кор-ректного приема копии трафика рекомендуется интеграция с Postfix

y (интеграция рекомендуется)

Система получает копию SMTP-трафика через Sniffer n

Перехват SMTP-трафика не требуется (например, Traffic Monitor Server будет использоваться только как Sniffer)

n

Шаг 4. Установка лицензии

Примечание:

Если данный экземпляр Traffic Monitor Server будет функционировать только как Sniffer (см. пример в п. 2.1.2 на стр. 12, варианты 2 – 4), то установка лицензии не требуется.

Работа с Системой возможна только при наличии лицензии. Ознакомительная лицензия на перехватчики действует 30 дней с момента установки Traffic Monitor Server. Чтобы по истечении этого периода исполь-зовать необходимые перехватчики, установите коммерческую лицензию (см. п. 3.2.2 на стр. 45).

Лицензия на технологии контентного анализа текста по умолчанию не устанавливается. Чтобы задейст-вовать функции контентного анализа, установите ознакомительную или коммерческую лицензию (см. п. 3.2.3 на стр. 47).

Шаг 5. Дополнительные проверки и настройки

Проверка параметров интеграции с Postfix

Если при установке Traffic Monitor Server выбрана интеграция с Postfix, то убедитесь, что параметры ин-теграции заданы корректно (см. п. 3.2.5 на стр. 49).

Настройка параметров взаимодействия со Sniffer

44 InfoWatch Traffic Monitor Enterprise 3.5

Если перехват трафика будет выполняться через Sniffer, то настройте параметры приема копии трафика от Sniffer (см. п. 3.2.6.1 на стр. 50).

Если нужно создать кластер и данный экземпляр Traffic Monitor Server будет входить в кластер, настрой-те параметры кластеризации (см. п. 3.2.6.2 на стр. 51).

Установка и настройка модуля взаимодействия с удаленной базой данных

Если объекты, перехваченные в филиале, нужно загружать в удаленную базу данных центрального офи-са, то установите модуль в следующей конфигурации:

в филиале установите клиентскую часть модуля на компьютере с Traffic Monitor Server (см. п. 3.2.7.1 на стр. 52;

в центральном офисе установите серверную часть модуля на компьютере с Traffic Monitor Server (см. п. 3.2.7.2 на стр. 54).

Установка и настройка модуля IW ICAP

Если перехват HTTP-трафика будет выполняться через ICAP-сервер, установите и настройте модуль IW ICAP (см. п. 3.2.8 на стр. 55).

Шаг 6. Проверка автозапуска процессов

Автозапуск должен быть включен только для процессов, которые необходимы данному экземпляру Traffic Monitor Server для корректной работы:

Процесс В каких случаях необходим автозапуск процесса По умолчанию ав-тозапуск включен

iw_smtpd Перехват SMTP-трафика в режиме почтового релея Да

iw_messed Перехват SMTP-трафика в любом режиме (релей или Sniffer) Да

iw_deliverd Только если доставка SMTP-трафика ведется через Систему Да

iw_sniffer На компьютере с установленным Sniffer Нет

iw_proxy SMTP

iw_proxy HTTP

iw_proxy ICQ

Перехват копии SMTP-, HTTP- и ICQ-трафика через Sniffer. Включите автозапуск только для необходимых перехватчиков

Включен для пере-хватчиков HTTP и ICQ

iw_icap Перехват HTTP-трафика, передаваемого через ICAP-сервер.

Процесс появляется, если установлен модуль IW ICAP

Да

iw_expressd Прием объектов перехваченных системой InfoWatch Device Monitor

Прием объектов перехваченных системой DeviceLock

Да

iw_qmover_server В центральном офисе. Если нужно принимать объекты из фи-лиала.

Процесс появляется, если установлена серверная часть мо-дуля взаимодействия с удаленной базой данных

Да

iw_qmover_client В филиале. Если нужно загружать объекты в базу данных центрального офиса.

Процесс появляется, если установлена клиентская часть мо-дуля взаимодействия с удаленной базой данных

Да

Установка системы 45

Процесс В каких случаях необходим автозапуск процесса По умолчанию ав-тозапуск включен

iw_dbloader

iw_updater

iw_warpd

iw_adlibitum

Автозапуск должен быть включен при любой схеме внедрения Да

Важная информация!

Отключите автозапуск нелицензированных процессов, отвечающих за перехват трафика (iw_smtpd, iw_proxy, iw_expressd, iw_icap). Это позволит уменьшить количество сообщений в журнале протоко-лирования.

Чтобы включить/отключить автозапуск процесса:

1. Для корректной смены параметров остановите процессы Traffic Monitor Server:

service iw-trafmon stop

2. В файле /usr/local/infowatch/tm3/etc/tm.conf, секция [AUTO_RESTART] выполните на-

стройки:

Чтобы включить автозапуск для процесса, установите в блоке процесса: autorestart = On

Пример (включение iw_sniffer):

iw_sniffer:

autorestart = On

Чтобы отключить автозапуск для процесса, установите в блоке процесса: autorestart = Off

3. Запустите процессы Traffic Monitor Server:

service iw-trafmon start

3.2.2. Установка и замена лицензии на перехватчики

В этом разделе:

Особенности использования лицензионного ключа (п. 3.2.2.1 на стр. 45).

Установка и замена лицензионного ключа (п. 3.2.2.2 на стр. 47).

3.2.2.1. Особенности использования лицензионного ключа

Ознакомительная лицензия на перехватчики действует в течение 30 дней с момента установки Traffic Monitor Server. Чтобы продолжить эксплуатацию Системы, установите коммерческую лицензию на пере-хватчики, которые вы планируете использовать.

Коммерческий лицензионный ключ представляет собой файл iw_licence.dat, который поставляется

по запросу. Для получения коммерческого лицензионного ключа вам потребуется специальный файл

iw_customer.dat. Этот файл генерируется при помощи утилиты iw_lickey, входящей в состав Traffic

Monitor Server. Кроме того, утилита iw_lickey может поставляться по запросу, отдельно от дистрибутива Системы.

Порядок установки и замены лицензионного ключа описан в п. 3.2.2.2 на стр. 47.

При установке и использовании лицензионного ключа нужно учитывать следующее:

Лицензионный ключ (файл iw_licence.dat) жестко привязан к программно-аппаратной конфи-

гурации того компьютера, на котором был сгенерирован запрос на лицензию (файл

iw_customer.dat). Таким образом, при переносе файла iw_licence.dat на другой компьютер

функциональность InfoWatch Traffic Monitor будет недоступна.

46 InfoWatch Traffic Monitor Enterprise 3.5

Если в Системе имеется кластер Traffic Monitor Server, то для каждого экземпляра Traffic Monitor Server требуется отдельный лицензионный ключ. Например, если в Системе три экземпляра Traffic

Monitor Server, то всего должно быть сгенерировано три файла iw_customer.dat (по одному

файлу от каждого экземпляра). И для каждого такого файла будет выслан отдельный файл

iw_licence.dat.

Разрешается обновление аппаратной и программной платформ (за исключением замены систем-ной платы).

При полной переустановке операционной системы и/или системы InfoWatch Traffic Monitor вам по-требуется заново установить лицензию. Поэтому рекомендуется сохранить файл

iw_licence.dat на каком-либо носителе информации.

Особенности замены лицензии

Если у вас установлена коммерческая лицензия, то замена лицензионного ключа требуется в следующих случаях:

срок действия текущей коммерческой лицензии подходит к концу;

произведена замена системной платы на компьютере с Traffic Monitor Server;

необходимо изменить набор лицензированных перехватчиков.

Если период действия лицензии (ознакомительной или коммерческой) истек, то работа нелицензирован-ных перехватчиков будет остановлена. В этом случае необходимо продлить срок действия лицензии или удалить Систему (см. главу 5 на стр. 70).

Если лицензия продлевается только на часть перехватчиков, то в этом случае Систему удалять не нуж-но. Однако необходимо вернуть исходные настройки передачи тех видов трафика, которые не будут ли-цензироваться:

Схема перехвата трафика Необходимые настройки

Перехват и доставка SMTP-трафика (работа с поч-товым relay-сервером) осуществляется Системой

Перенастройте подсистему доставки SMTP-трафика через корпоративный почтовый сервер, минуя InfoWatch Traffic Monitor.

Об изменениях в параметрах Postfix см. п. 2.3 на стр. 27 и п. 3.2.5 на стр. 49

Перехват копии SMTP-трафика (работа с почтовым relay-сервером). Система не участвует в доставке писем

Перенастройка не требуется

Перехват копии SMTP-, HTTP- и ICQ-трафика через Sniffer

Перенастройка не требуется

Перехват HTTP-запросов путем интеграции с ICAP Удалите модуль IW ICAP и верните исходные на-стройки прокси-сервера (см. п. 5.3 на стр. 72)

Прием объектов от InfoWatch Device Monitor Перенастройка не требуется

Прием объектов от DeviceLock Удалите InfoWatch DeviceLock Adapter (см. доку-мент «InfoWatch DeviceLock Adapter. Руководство по установке и конфигурированию»).

Перенастройка не требуется.

Установка системы 47

3.2.2.2. Установка и замена лицензионного ключа

Важная информация!

В этом разделе описывается применение лицензионного ключа для одного экземпляра Traffic Monitor Server. При наличии нескольких экземпляров Traffic Monitor Server повторите указанную ниже после-довательность действий для каждого экземпляра.

На Sniffer (устанавливаемый отдельно от Traffic Monitor Server) лицензия не требуется.

Чтобы установить новый лицензионный ключ или заменить текущий:

1. Запустите утилиту iw_lickey, расположенную в каталоге/usr/local/infowatch/tm3/bin. В ре-

зультате работы данной утилиты в каталоге /usr/local/infowatch/tm3/bin будет создан

файл iw_customer.dat.

2. Отправьте файл iw_customer.dat по электронной почте на адрес менеджера отдела продаж

компании InfoWatch. После получения файла iw_customer.dat менеджер направит вам по элек-

тронной почте файл iw_licence.dat.

3. Сохраните файл iw_licence.dat, полученный от сотрудника InfoWatch, в каталог

/usr/local/infowatch/tm3/etc. Если в каталоге уже имеется файл iw_licence.dat, то со-

храните новый файл взамен старого.

Важная информация!

Файл с лицензионным ключом должен находиться на том же компьютере, на котором был сге-

нерирован файл iw_customer.dat.

Если вы используете лицензию на перехват HTTP-трафика по протоколу ICAP, то укажите в каче-

стве владельца файла iw_licence.dat пользователя – владельца Traffic Monitor Server (по

умолчанию iwtm):

chown iwtm:oinstall iw_licence.dat

Примечание:

Владелец Traffic Monitor Server указан в файле /usr/local/infowatch/tm3/etc/tm.conf,

секция [GENERAL], параметр user.

4. Чтобы новая лицензия вступила в действие, перезапустите процессы Traffic Monitor Server:

service iw-trafmon restart

Важная информация!

Отключите автозапуск нелицензированных процессов, отвечающих за перехват трафика (iw_smtpd, iw_proxy, iw_expressd). Это позволит уменьшить количество сообщений в журнале протоколирова-ния.

3.2.3. Установка и замена лицензии на технологии

контентного анализа

В этом разделе:

Особенности использования лицензии (п. 3.2.3.1 на стр. 47).

Установка и замена лицензии (п. 3.2.3.2 на стр. 48).

3.2.3.1. Особенности использования лицензии

Лицензия на технологии контентного анализа представляет собой числовой код. После установки Traffic Monitor Server технологии контентного анализа не имеют лицензии. Чтобы использовать контентный ана-лиз, установите ознакомительную или коммерческую лицензию.

48 InfoWatch Traffic Monitor Enterprise 3.5

Варианты числовых кодов для ознакомительных лицензий расположены на диске с дистрибутивом Сис-

темы в каталоге license, файл trial.info. Предусмотрены две ознакомительные лицензии (период

действия каждой лицензии 30 дней):

семантическое зеркало (поиск по терминам) + анализатор шаблонов (детектирование текстовых объектов);

копирайтный анализ (сравнение с образцами документов) + анализатор шаблонов (детектирова-ние текстовых объектов).

Одновременно может использоваться только одна лицензия. Чтобы ознакомиться со всеми технологиями контентного анализа, используйте эти лицензии по очереди. Чтобы использовать одну или несколько технологий контентного анализа текста по истечении пробного периода, установите коммерческую ли-цензию.

Ввод лицензии (ознакомительной или коммерческой) выполняется после установки Traffic Monitor Server.

Замена лицензии выполняется в следующих случаях:

срок действия текущей лицензии истекает;

необходимо изменить набор технологий контентного анализа.

3.2.3.2. Установка и замена лицензии

Важная информация!

В данном разделе описывается установка лицензии для одного экземпляра Traffic Monitor Server. При наличии в Системе нескольких экземпляров Traffic Monitor Server необходимо повторить указанную ниже последовательность действий для каждого экземпляра.

Чтобы установить ознакомительную лицензию:

1. На компьютере с Traffic Monitor Server откройте файл

/usr/local/infowatch/tm3/etc/tm.conf.

В секции [CAS] файла tm.conf замените текущее значение параметра EngineLic числовым ко-

дом из файла trial.info.

2. Чтобы ознакомительная лицензия вступила в действие, перезапустите сервер контентного анали-за (CAS):

service iw-caserv restart

Чтобы установить новую или заменить текущую коммерческую лицензию:

1. Отправьте по электронной почте запрос для получения лицензии на адрес менеджера отдела про-даж компании InfoWatch. Менеджер передаст вам числовой код.

2. На компьютере с Traffic Monitor Server откройте файл

/usr/local/infowatch/tm3/etc/tm.conf.

В секции [CAS] файла tm.conf введите полученный числовой код вместо текущего значения па-

раметра EngineLic.

3. Чтобы новая лицензия вступила в действие, перезапустите сервер контентного анализа (CAS):

service iw-caserv restart

3.2.4. Настройка DNS для поддержки Active Directory

Если вы используете интеграцию InfoWatch Traffic Monitor с Active Directory (подробнее см. документ «Ру-ководство пользователя InfoWatch Traffic Monitor»), то для использования имени сервера AD в настройке параметров подключения, на каждом сервере Traffic Monitor необходимо задать адрес DNS сервера.

Для этого в конфигурационный файл /etc/resolv.conf добавьте следующие строки:

search <имя домена>

nameserver <ip DNS сервера>

Установка системы 49

Наример:

search company.com

nameserver 10.10.0.98

nameserver 10.10.0.106

3.2.5. Проверка интеграции Postfix и Traffic Monitor

Server

Важная информация!

В этом подразделе описываются настройки, которые необходимы, если Traffic Monitor Server устанав-ливается на тот же компьютер, на котором установлен почтовый сервер Postfix.

Почтовый сервер Postfix принимает входящие SMTP-письма на 25 порт. Далее входящие SMTP-письма передаются (контент-фильтром) процессу iw_smtpd на порт 2025. Traffic Monitor Server анализирует по-лученные SMTP-письма. После анализа процесс iw_messed передает письма, доставка которых разре-шена, на порт 2020 почтового сервера Postfix (см. рис. 21). Почтовый сервер Postfix либо напрямую дос-тавляет письма адресатам, либо передает их следующему почтовому relay-серверу.

Рисунок 21. Интеграция с Postfix

Настройка параметров, необходимая для корректного взаимодействия системы InfoWatch Traffic Monitor с почтовым сервером Postfix, выполняется при установке Traffic Monitor Server (см. п. 3.2.1 на стр. 40). Во

время установки необходимые изменения заносятся в конфигурационные файлы master.cf и tm.conf:

изменения в файле /etc/postfix/master.cf:

smtp inet n — n — — smtpd

-o content_filter=smtp:127.0.0.1:2025

pickup fifo n — n 60 1 pickup

-o content_filter=smtp:127.0.0.1:2025

В конец файла дописываются строки:

127.0.0.1:2020 inet n — n — 21 smtpd

-o content_filter=

-o local_recipient_maps=

-o relay_recipient_maps=

-o smtpd_restriction_classes=

-o smtpd_client_restrictions=

-o smtpd_helo_restrictions=

-o smtpd_sender_restrictions=

-o mynetworks=127.0.0.0/8

-o strict_rfc821_envelopes=yes

-o smtpd_error_sleep_time=0

-o smtpd_soft_error_limit=1001

-o smtpd_hard_error_limit=1000

50 InfoWatch Traffic Monitor Enterprise 3.5

-o myhostname=<$hostname>

изменения в значениях параметров файла /usr/local/infowatch/tm3/etc/tm.conf:

Секция tm.conf Измененные параметры

[SMTPD] ListenAddr = 127.0.0.1

ListenPort = 2025

[MESSED] Relay = 127.0.0.1

RelayPort = 2020

[DELIVERD] Relay = 127.0.0.1

RelayPort = 2020

3.2.6. Настройка параметров взаимодействия со Sniffer

В этом разделе:

Прием копии трафика от Sniffer (п. 3.2.6.1 на стр. 50).

Создание кластера Traffic Monitor Server (п. 3.2.6.2 на стр. 51).

3.2.6.1. Прием копии трафика от Sniffer

Настройка выполняется на компьютере с Traffic Monitor Server. Настройка необходима и в том случае, когда Sniffer и Traffic Monitor Server установлены на одном компьютере.

В конфигурационном файле /usr/local/infowatch/tm3/etc/tm.conf, выполните настройки:

Задайте параметры для используемых перехватчиков в секциях [PROXY_SMTP], [PROXY_HTTP],

[PROXY_ICQ]:

Параметр Пояснения

SnifferInterface Сетевой интерфейс, через который будут поступать данные от ком-мутатора CISCO. Допускаются следующие варианты:

каждому перехватчику назначается отдельный сетевой интер-фейс;

всем перехватчикам назначается один сетевой интерфейс

SnifferPorts Порты, используемые для передачи данных определенному пере-хватчику. На обработку будут приняты пакеты, у которых заданные порты присутствуют в полях адрес источника и/или адрес назначения.

Порты можно указать путем перечисления (разделитель – запятая) и/или определения диапазона (разделитель – тире). Например:

«80, 8080 – 9090».

SnifferLiveTimeout Время ожидания (сек), в течение которого соединение должно перей-ти в состояние ESTABLISHED. Если состояние не изменилось, то со-единение автоматически прекращается

SnifferOpenTimeout Время сохранения соединения (в сек) при отсутствии пакетов

SnifferCloseTimeout Время сохранения соединения (в сек) при переходе в состояние TIME_WAIT

SnifferQueueMemorySize Объем памяти (в байтах), используемой для приема пакетов. При вы-сокой загруженности канала, можно увеличить значение. Диапазон

Установка системы 51

Параметр Пояснения

значений: от 1 до 500 Мб. Рекомендуемое значение – 104857600.

SnifferHost IP-адрес Sniffer

SnifferPort Порт, через который Sniffer принимает входящие соединения

В секции [PROXY_HTTP] установите значение Off для параметра SkipNegotiate.

Если необходимо перехватывать ICQ-трафик, передаваемый через прокси-сервер (поверх HTTP),

то в секции [PROXY_HTTP] установите On для параметра IcqFilter.

3.2.6.2. Создание кластера Traffic Monitor Server

При перехвате копии трафика через Sniffer можно создавать кластеры Traffic Monitor Server. Это позволя-ет увеличить производительность Системы.

Важная информация!

1. Один кластер может содержать до двух экземпляров Traffic Monitor Server. Не рекомендуется ис-пользовать более 3-х кластеров.

2. При использовании кластера сетевое соединение между Sniffer и Traffic Monitor Server должно обеспечивать скорость передачи в два раза превышающую скорость, с которой трафик поступает на Sniffer.

Чтобы создать кластер Traffic Monitor Server:

На каждом экземпляре Traffic Monitor Server, который будет входить в кластер, задайте параметры

кластеризации. Настройка выполняется в файле /usr/local/infowatch/tm3/etc/tm.conf,

секции [PROXY_SMTP], [PROXY_HTTP], [PROXY_ICQ]. Для каждого используемого перехватчика

укажите параметры:

Параметр Пояснения

SnifferClusterID Идентификатор кластера, в который будет включен данный экземпляр Traffic Monitor Server. По этому идентификатору трафик определенного вида распреде-ляется внутри кластера.

Задается в виде строки. Например, icq – 1

Важная информация!

На всех экземплярах Traffic Monitor Server, входящих в кластер, параметр дол-жен иметь одинаковое значение для одного и того же перехватчика.

SnifferBalancer Тип балансировки (распределение трафика между несколькими экземплярами Traffic Monitor Server с iw_proxy). Возможные значения:

Connection. Для каждого нового TCP-соединения выбирается экземпляр Traffic

Monitor Server с iw_proxy. Таким образом, поочередно задействуются все экзем-пляры Traffic Monitor Server.

SrcIp. Распределение трафика между несколькими экземплярами Traffic Monitor

Server с iw_proxy выполняется на основании IP-адреса клиента. Это значит, что все данные с одинаковым IP-адресом клиента будут передаваться на один эк-земпляр Traffic Monitor Server.

Важная информация! Вариант SrcIp необходимо указать для перехватчика

PROXY_HTTP, если нужен перехват ICQ-сообщений, передаваемых через прокси-

сервер (поверх HTTP).

В остальных случаях рекомендуется вариант Connection

52 InfoWatch Traffic Monitor Enterprise 3.5

Пример. Создание кластера из двух экземпляров Traffic Monitor Server

Система перехватывает копию SMTP- и HTTP-трафика через Sniffer. Для повышения производительно-сти при анализе трафика создается кластер из двух экземпляров Traffic Monitor Server (см. рис. 22).

Рисунок 22. Создание кластера из двух Traffic Monitor Server

Для создания кластера на каждом экземпляре Traffic Monitor Server нужно выполнить следующие на-

стройки в файле /usr/local/infowatch/tm3/etc/tm.conf:

Секция [PROXY_SMTP]:

SnifferClusterID = smtp

SnifferBalancer = Connection

Секция [PROXY_HTTP]:

SnifferClusterID = http

SnifferBalancer = Connection

3.2.7. Установка и настройка модуля взаимодействия с

удаленной базой данных

В этом разделе:

Установка клиентской части модуля взаимодействия с удаленной БД (филиал) (п. 3.2.7.1 на стр. 52).

Установка серверной части модуля взаимодействия с удаленной БД (центральный офис) (п. 3.2.7.2 на стр. 54).

3.2.7.1. Установка клиентской части модуля взаимодействия

с удаленной БД (филиал)

Шаг 1. Установка и настройка общих параметров

1. Убедитесь, что имеются все пакеты Linux, требующиеся для установки клиентской части модуля взаимодействия с удаленной базой данных. Это можно сделать с помощью следующей команды:

rpm –qpR /путь_к_пакету_iwtm/iwtm_qmover-x.x.x-x.i686.rpm

где x.x.x-x номер версии InfoWatch Traffic Monitor.

2. На компьютер с Traffic Monitor Server установите пакет iwtm_qmover-x.x.x-x.i686.rpm

(здесь x.x.x-x номер версии InfoWatch Traffic Monitor). Для этого выполните команду (от имени

пользователя root):

rpm -i /путь_к_пакету_iwtm/iwtm_qmover-x.x.x-x.i686.rpm

Например:

rpm -i /u01/iwtm_qmover-3.4.3-59.i686.rpm

Пакет будет установлен в каталог:

Установка системы 53

/usr/local/infowatch/tm3

3. Запустите сценарий qmover-setup.sh:

/usr/local/infowatch/tm3/qmover-setup.sh

4. Настройте параметры клиента:

Select remote queue setup type?

Выберите client.

Enter TM EE qmover server’s IP address.

IP-адрес, сервера (в центральном офисе), на который клиент будет передавать перехваченные

объекты. Значение по умолчанию 127.0.0.1.

Enter TM EE qmover server’s port number.

Порт сервера, на который будут передаваться перехваченные объекты. Значение по умолча-нию 16888.

5. Перезапустите Traffic Monitor Server:

service iw-trafmon restart

Шаг 2. Настройка автозапуска процессов

Включите автозапуск для процесса iw_qmover_client. Отключите автозапуск для процессов

iw_dbloader, iw_deliverd и iw_adlibitum.

Чтобы включить/отключить автозапуск процесса:

1. Для корректной смены параметров остановите процессы Traffic Monitor Server:

service iw-trafmon stop

2. В файле /usr/local/infowatch/tm3/etc/tm.conf, секция [AUTO_RESTART] выполните на-

стройки:

Чтобы включить автозапуск для процесса, установите в блоке процесса: autorestart = On

Пример (включение iw_qmover_client):

iw_qmover_client:

autorestart = On

Чтобы отключить автозапуск для процесса, установите в блоке процесса: autorestart = Off

3. Запустите процессы Traffic Monitor Server:

service iw-trafmon start

Шаг 3. Изменение ширины полосы пропускания для канала передачи данных

По умолчанию полоса пропускания имеет ширину 128 Кбит/с. Но вы можете настроить автоматическое изменение полосы пропускания в различные периоды времени. Для этого используется утилита

iw_qmover_channel__width_setter.

Допускается изменение ширины полосы пропускания в пределах от 128 Кбит/с до 2 Mбит/с включитель-но.

Чтобы настроить ограничения на ширину полосы пропускания:

на стороне клиента (филиал) настройте crond на запуск утилиты

iw_qmover_channel__width_setter с нужными интервалами.

Утилита запускается с обязательными параметрами:

iw_qmover_channel__width_setter <полоса_пропускания>

Здесь:

Полоса_пропускания – ширина полосы пропускания (кбит/с), которую нужно установить.

54 InfoWatch Traffic Monitor Enterprise 3.5

Пример

Имеется канал с полосой пропускания 256 кбит/с. Необходимо, чтобы в период с 9.00 до 18.00 ка-нал был занят на 50 %. А с 18.00 до 9.00 на 100%.

1. Рассчитайте ширину полосы пропускания, исходя из загрузки вашего канала. В этом примере ширина полосы пропускания для разных интервалов времени составляет:

Интервал

Ширина полосы пропускания

Процент от величины канала В пересчете на кбит/с

9.00 до 18.00 50% 128

18.00 до 9.00 100% 256

2. Добавьте в cron команды:

00 9 * * * iwtm /usr/local/infowatch/tm3/bin/iw_qmover_channel_width_setter 128

00 18 * * * iwtm /usr/local/infowatch/tm3/bin/iw_qmover_channel_width_setter 256

3.2.7.2. Установка серверной части модуля взаимодействия с

удаленной БД (центральный офис)

Шаг 1. Установка и настройка

1. Убедитесь, что имеются все пакеты Linux, требующиеся для установки серверной части модуля взаимодействия с удаленной базой данных. Это можно сделать с помощью следующей команды:

rpm –qpR /путь_к_пакету_iwtm/iwtm_qmover-x.x.x-x.i686.rpm

где x.x.x-x номер версии InfoWatch Traffic Monitor.

2. На компьютер с Traffic Monitor Server установите пакет iwtm_qmover-x.x.x-x.i686.rpm

(здесь x.x.x-x номер версии InfoWatch Traffic Monitor). Для этого выполните команду (от имени

пользователя root):

rpm -i /путь_к_пакету_iwtm/iwtm_qmover-x.x.x-x.i686.rpm

Например:

rpm -i /u01/iwtm_qmover-3.4.1-169.i686.rpm

Пакет будет установлен в каталог:

/usr/local/infowatch/tm3

3. Запустите сценарий qmover-setup.sh:

/usr/local/infowatch/tm3/qmover-setup.sh

4. Настройте параметры сервера:

Select remote queue setup type?

Выберите server.

Enter TM EE qmover server’s port number.

Укажите порт, на котором сервер прослушивает объекты, поступающие от клиентов (из филиа-

лов). Значение по умолчанию 16888.

Enter number of clients.

Укажите число клиентов, от которых сервер будет принимать объекты.

Please enter IP address of client N.

Укажите IP-адрес клиента N. Значение по умолчанию 127.0.0.1. Для каждого клиента выводится

отдельный запрос.

Установка системы 55

Примечание:

В файле /usr/local/infowatch/tm3/etc/tm.conf, секция [AUTO_RESTART] настройте автоза-

пуск для процесса iw_qmover_server.

Смену параметров автозапуска необходимо выполнять при отключенном Traffic Monitor Server. Под-робнее см. п. 3.2.1 на стр. 40, шаг 6 Проверка автозапуска процессов.

Шаг 2. Создание разных очередей для клиентов

По умолчанию после установки Traffic Monitor Server объекты от всех клиентов (филиалы) загружаются в

общую очередь /usr/local/infowatch/tm3/queue/db. В эту же очередь загружаются объекты, пе-

рехваченные в локальной сети центрального офиса (т.е. из сети на стороне базы данных).

С целью повышения надежности приема объектов необходимо создать отдельную очередь для каждого клиента. Настройка очередей выполняется на сервере приемнике (server)

Чтобы создать отдельную очередь для приема объектов от клиента,

1. Откройте файл /usr/local/infowatch/tm3/etc/qmover.conf.

2. В секции [client_N] (N – порядковый номер клиента) измените значение параметра QueuePath,

указав полный путь к директории, в которой нужно разместить очередь. Очередь будет создана в указанном месте при первом соединении сервера с клиентом.

Повторяйте п. 2, пока не будут заданы очереди для каждого клиента.

Важная информация!

Очереди от всех клиентов должны размещаться на одном разделе жесткого диска.

3. Для очереди каждого клиента задайте параметры перемещения объектов в основную очередь. За-пустите утилиту iw_qtool с параметрами:

iw_qtool move <очередь-источник> <очередь-приемник>

Здесь:

очередь-источник – полный путь к директории с очередью клиента N (должен совпадать cо

значением QueuePath в секции [client_N]).

очередь-приемник – полный путь к основной очереди сервера (по умолчанию используется

queue/db).

Например:

iw_qtool move /u01/client_1 /usr/local/infowatch/tm3/queue/db

4. Настройте в crond автоматический запуск утилиты iw_qtool с требуемой периодичностью.

3.2.8. Установка и настройка модуля IW ICAP

Шаг 1. Подготовка к установке

Убедитесь, что имеются все пакеты Linux, требующиеся для установки модуля IW ICAP. Это можно сде-лать с помощью следующей команды:

rpm –qpR /путь_к_пакету_iwtm/iwtm_icap-x.x.x-x.i686.rpm

где x.x.x-x номер версии InfoWatch Traffic Monitor.

Шаг 2. Установка модуля IW ICAP

На компьютер с Traffic Monitor Server установите пакет iwtm_icap-x.x.x-x.i686.rpm (здесь x.x.x-x

номер версии InfoWatch Traffic Monitor). Для этого выполните команду (от имени пользователя root):

rpm -i /путь_к_пакету_iwtm/iwtm_icap-x.x.x-x.i686.rpm

56 InfoWatch Traffic Monitor Enterprise 3.5

Например:

rpm -i /u01/iwtm_icap-3.4.3-59.i686.rpm

Пакет будет установлен в каталог:

/usr/local/infowatch/tm3

Примечание:

В файле /usr/local/infowatch/tm3/etc/tm.conf, секция [AUTO_RESTART] настройте автоза-

пуск для процесса iw_icap.

Смену параметров автозапуска необходимо выполнять при отключенном Traffic Monitor Server. Под-робнее см. п. 3.2.1 на стр. 40, шаг 6 Проверка автозапуска процессов.

Шаг 3. Настройка прокси-сервера

Настройте параметры перехвата HTTP-запросов на прокси-сервере.

Важная информация!

На каждой рабочей станции браузер должен быть настроен так, чтобы HTTP(S)-трафик проходил че-рез используемый прокси-сервер (SQUID, Blue Coat). Информацию по настройке вы можете получить из документации к браузеру.

Настройка SQUID

В настройках прокси-сервера задайте следующие параметры:

разрешите использование ICAP;

обязательно установите режим работы ICAP-сервера: Request Mod;

укажите IP-адрес ICAP-сервера, на который будут передаваться HTTP-запросы. ICAP-сервер вхо-дит в состав модуля IW ICAP. Поэтому нужно указывать IP-адрес компьютера, на который уста-новлен этот модуль.

Пример настройки ICAP для SQUID 3.1.7

В файле squid.conf задайте параметры:

icap_enable on

icap_preview_enable off

icap_send_client_ip on

icap_send_client_username on

icap_service service_1 reqmod_precache 0 icap://IP_TM_Server:Port_TM_Server/reqmod

icap_class class_1 service_1

icap_access class_1 allow all

never_direct allow all

Где IP_TM_Server — IP-адрес Traffic Monitor Server, а Port_TM_Server – порт, на котором Traffic Monitor

Server слушает ICAP (по умолчанию – 1344).

Настройка прокси-сервера для обеспечения его интеграции с Active Directory на примере SQUID 3.1.7 на компьютере с CentOS 5.5 / RHEL 5.5

Примечание:

Процедура настройки, которая приводится далее, может отличаться в зависимости от версии и моде-ли прокси-сервера. Актуальную информацию по настройке вы можете получить из документации к прокси-серверу.

1. Убедитесь, что установлены следующие пакеты:

squid3

samba

samba-common

Установка системы 57

kerberos

2. Настройте конфигурационный файл samba (/etc/samba/smb.conf):

[global]

workgroup = EXAMPLE

server string = Samba server %v

netbios name = machine

security = ADS

realm = EXAMPLE.COM

password server = 192.168.1.1

encrypt passwords = Yes

preferred master = No

domain master = No

Где:

­ EXAMPLE – имя рабочей группы, куда входит ICAP-сервер;

­ EXAMPLE.COM – DNS имя ICAP-сервера.

3. Настройте конфигурационный файл kerberos (/etc/krb5.conf):

[logging]

default = FILE:/var/log/krb5libs.log

kdc = FILE:/var/log/krb5kdc.log

admin_server = FILE:/var/log/kadmind.log

[libdefaults]

default_realm = EXAMPLE.COM

dns_lookup_realm = false

dns_lookup_kdc = false

ticket_lifetime = 24h

forwardable = yes

[realms]

EXAMPLE.COM = {

kdc = dc.example.com:88

admin_server = dc.example.com:749

default_domain = example.com

}

[domain_realm]

.example.com = EXAMPLE.COM

example.com = EXAMPLE.COM

[appdefaults]

pam = {

debug = false

ticket_lifetime = 36000

renew_lifetime = 36000

forwardable = true

krb4_convert = false

}

4. Настройте конфигурационный файл /etc/nsswitch.conf:

passwd: files winbind

group: files winbind

shadow: files

5. В файле /etc/hosts укажите записи для FQDN ICAP-сервера. Т.е.:

192.168.1.2 squid.example.com

6. Выполните проверку на наличие ошибок в файле smb.conf:

testparm

Если проверка указала на отсутствие ошибок, перезапустите samba:

58 InfoWatch Traffic Monitor Enterprise 3.5

/etc/init.d/smb restart

7. Выполните включение компьютера в домен

net ads join –U username

где username – имя пользователя с правами на включение данного компьютера в домен.

8. Запустите winbind:

winbindd

/etc/init.d/smb restart

9. Проверьте работу winbind:

Чтобы получить список доменных пользователей, выполните команду:

wbinfo –u

Чтобы получить список доменных групп, выполните команду:

wbinfo –g

10. Настройте конфигурационный файл /etc/squid/squid.conf, добавив следующие строки:

auth_param ntlm program /usr/bin/ntlm_auth —helper-protocol=squid-2.5-ntlmssp

auth_param ntlm children 5

auth_param ntlm keep_alive on

acl ntlm_users proxy_auth REQUIRED

http_access allow ntlm_users

/etc/init.d/squid restart

Рекомендации по настройке ICAP для Blue Coat SG Series

На прокси-сервере должно быть разрешено использование ICAP в режиме Request Mod, настроены па-раметры взаимодействия с Traffic Monitor Server. Настройки выполняются через Web-интерфейс, под учетной записью администратора.

Примечания:

Процедура настройки, которая приводится далее, может отличаться в зависимости от версии и моде-ли прокси-сервера. Актуальную информацию по настройке вы можете получить из документации к прокси-серверу.

Если вам необходимо перехватывать HTTPS-трафик, то настройте Blue Coat так, чтобы HTTPS-трафик обрабатывался как HTTP-трафик. Подробную информацию по этому вопросу вы можете полу-чить из документации к прокси-серверу.

1. Перейдите на вкладку Configuration.

2. Перейдите в раздел External Services ► ICAP. Создайте сервис tm. Задайте параметры сервиса:

Service URL: icap://<TM_server_IP>/reqmod

Например: icap://10.60.0.20/reqmod.

Maximum number of connections: 10

Connection timeout: 70

Установите флажок This service supports plain ICAP connection. В поле Plain ICAP port ука-жите порт 1344.

Важная информация!

Значение поля Plain ICAP port должно совпадать со значением параметра ListenPort в

файле /usr/local/infowatch/tm3/etc/icap.conf, секция [ICAP]. Если параметр

ListenPort имеет другое значение, то откорректируйте его.

На панели ICAP v1.0 Options настройте параметры:

o Method supported: выберите request modification

o Send. Установите флажки Authenticated User, Client address и Server address.

Установка системы 59

3. Перейдите в раздел Health Checks ► General. Убедитесь, что включена проверка состояния для серверов – на вкладке Health Checks отображаются адреса:

icap.tm

Проверьте доступность всех перечисленных серверов, нажав кнопку Perform health check.

3.2.9. Кластер Traffic Monitor Server c одним Сервером

контентного анализа

Важная информация!

Сведения в данном разделе относятся только к случаю, когда используется технология контентного анализа текста Цифровые отпечатки.

При использовании технологии Цифровые отпечатки в системе должен функционировать только один Сервер контентного анализа. Если в Системе имеется несколько экземпляров Traffic Monitor Server, то необходимо настроить передачу текста на контентный анализ со всех экземпляров на общий Сервер кон-тентного анализа.

Чтобы настроить один Сервер контентного анализа для нескольких экземпляров Traffic Monitor:

На всех экземплярах Traffic Monitor Server остановите Сервер контентного анализа:

service iw-caserv stop

На компьютере с Traffic Monitor Server, на котором будет работать Сервер контентного анализа, в

файле /usr/local/infowatch/tm3/etc/tm.conf, измените адрес сервера на 0.0.0.0:

секция [CAS]

ListenAddr=0.0.0.0

На других экземплярах Traffic Monitor Server в файле

/usr/local/infowatch/tm3/etc/tm.conf, секция [FILTER], укажите адрес и порт Сервера

контентного анализа.

На компьютере с Traffic Monitor Server, на котором будет работать Сервер контентного анализа, запустите Сервер контентного анализа:

service iw-caserv start

3.3. Sniffer

Шаг 1. Установка Sniffer

Установите и настройте Traffic Monitor Server в соответствии с п. 3.2.1 на стр. 40. Особенности настройки Traffic Monitor Server зависят от схемы развертывания:

Схема развертывания Системы Настройка Traffic Monitor Server

Перехват и анализ трафика будет выпол-няться на разных компьютерах. Устанавли-ваемый экземпляр Traffic Monitor Server будет работать только как Sniffer (перехват трафи-ка)

При настройке выбирайте значения по умолчанию, но откажитесь от интеграции с Postfix, (выберите значе-

ние n).

Включите автозапуск только для процесса iw_sniffer.

60 InfoWatch Traffic Monitor Enterprise 3.5

Схема развертывания Системы Настройка Traffic Monitor Server

Перехват и анализ копии трафика будет вы-полняться на одном компьютере. Traffic Moni-tor Server будет принимать копию трафика от коммутатора CISCO (функция Sniffer), анали-зировать полученные данные и загружать их в базу данных (функции Traffic Monitor Server)

При настройке укажите параметры, необходимые для выполнения функций Traffic Monitor Server. Но откажи-

тесь от интеграции с Postfix, (выберите значение n).

Включите автозапуск для процессов iw_sniffer. iw_dbloader, iw_updater, iw_warpd и iw_adlibitum. Также включите автозапуск для нужных перехватчиков тра-фика: iw_proxy ICQ, iw_proxy HTTP, iw_proxy SMTP. Отключите автозапуск других процессов.

Шаг 2. Настройка параметров перехвата трафика

На компьютере с установленным Sniffer выполните следующие настройки:

1. Остановите процессы Traffic Monitor Server, выполнив команду:

service iw-trafmon stop

2. В конфигурационном файле /usr/local/infowatch/tm3/etc/tm.conf, секция [SNIFFER],

задайте параметры:

Host. IP-адрес, на который нужно принимать входящие соединения.

Port. Порт, через который нужно принимать входящие соединения

3. По окончании настройки запустите iw_sniffer:

service iw-trafmon start

3.4. Management Console

В этом разделе:

Установка Management Console (п. 3.4.1 на стр. 60).

Настройка соединения с сервером СУБД Oracle (п. 3.4.2 на стр. 61).

Настройка параметров анализа и мониторинга объектов (п. 3.4.3 на стр. 62).

3.4.1. Установка Management Console

Шаг 1. Запуск мастера установки

На диске с дистрибутивом Системы откройте каталог Setup.Gui.Ru. В этом каталоге найдите и запусти-

те файл setup.exe.

В результате на экран будет выведено окно приветствия мастера установки «InfoWatch Traffic Monitor Management Console».

Нажмите кнопку Далее.

Шаг 2. Принятие лицензионного соглашения

Ознакомьтесь с текстом лицензионного соглашения. Если вы принимаете условия лицензионного согла-шения, выберите вариант Принимаю и нажмите кнопку Далее.

Установка системы 61

Шаг 3. Выбор каталога для установки

Путь к каталогу, в который будет установлена Management Console, задан в поле ввода Папка.

Выберите один из вариантов создания ярлыка для Management Console:

Для всех. Ярлык создается для каждого пользователя, зарегистрированного на данном компьюте-ре.

Только для меня. Ярлык будет создан только для того пользователя, который выполнял установ-ку.

Нажмите кнопку Далее.

Шаг 4. Завершение работы мастера установки

После перехода к окну Подтверждение установки, нажмите кнопку Далее, чтобы начать установку Man-agement Console.

Следуйте дальнейшим указаниям мастера, чтобы завершить установку Management Console.

Шаг 5. Дополнительные настройки для отправки рапортов

Пользователи, выполняющие анализ объектов в Management Console, могут направлять рапорты с ком-ментариями по объектам. Для поддержки этой функции на всех компьютерах, с установленной Manage-ment Console, которые будут использоваться для отправки рапортов, необходимо внести изменения в настройки операционной системы. Для этого откройте Панель управления (Пуск ► Настройки ► Па-нель управления). Затем выберите компонент Язык и региональные стандарты. В открывшемся диа-логовом окне перейдите на вкладку Дополнительно и выберите русский язык для программ, не поддер-живающих Юникод.

3.4.2. Настройка соединения с сервером СУБД Oracle

После установки Management Console необходимо выполнить настройку параметров соединения с сервером СУБД Oracle.

Чтобы настроить параметры взаимодействия с сервером СУБД Oracle:

1. Для поддержки национальных кодировок и установок времени укажите в системном реестре зна-

чение переменной окружения NLS_LANG равным RUSSIAN_CIS.AL32UTF8.

Путь к ключу реестра:

HKEY_LOCAL_MACHINESOFTWAREORACLEKEY_OraClient11g_home#NLS_LANG

где символ «#» означает некоторую цифру. Для KEY_OraClient11g_home# значение символа

«#» будет совпадать со значением этого же символа для каталога OraHome_#.

Важная информация!

Если ключ реестра отсутствует по указанному пути (например, вследствие того, что на компьютере не установлен клиент СУБД Oracle), то при работе с национальными коди-ровками и установками времени (например, при определении настроек дней недели) бу-дут использоваться параметры сервера СУБД Oracle.

2. Для корректного соединения с сервером СУБД Oracle настройте параметры соединения в файле

tnsnames.ora. По умолчанию файл расположен в папке:

C:Program FilesInfoWatchTraffic MonitorManagement Consoleinstantclient_11_1

При настройке параметров файла tnsnames.ora необходимо указать значения для всех пара-

метров, перечисленных в следующем примере:

IWTM =

(DESCRIPTION =

(ADDRESS_LIST =

(ADDRESS = (PROTOCOL = TCP)(HOST = iwtm_host)(PORT = 1521))

)

62 InfoWatch Traffic Monitor Enterprise 3.5

(CONNECT_DATA =

(SERVER = DEDICATED)

(SERVICE_NAME = iwtm_service_name)

)

)

Здесь iwtm_host – сетевое имя сервера СУБД Oracle. А iwtm_service_name – имя сервиса базы

данных.

3. Проверьте взаимодействие между клиентом и сервером СУБД Oracle (см. прил. A.2.3 на стр. 85).

3.4.3. Настройка параметров анализа и мониторинга

объектов

После установки настройте в Management Console параметры анализа и обработки объектов:

1. Настройте конфигурацию и загрузите ее на Traffic Monitor Server.

2. Составьте и скомпилируйте базу эталонных документов.

3. Выполните дополнительные настройки (наборы цветов и зон ответственности), необходимые для корректной работы сценария обработки объектов.

Примечание:

Информация, необходимая для выполнения этих настроек описывается в документе «InfoWatch Traffic Monitor. Руководство пользователя»

ГЛАВА 4. ОБНОВЛЕНИЕ СИСТЕМЫ

Вы можете обновить InfoWatch Traffic Monitor, начиная с версии 3.4.0, до более поздней версии.

В этой главе:

Порядок обновления Системы (п. 4.1 на стр. 63).

Загрузка очередей объектов (п. 4.2 на стр. 64).

Схема базы данных (п. 4.3 на стр. 65).

4.1. Порядок обновления Системы

На время выполнения обновления Traffic Monitor Server потребуется отключить перехват всего трафика. Поэтому рекомендуется выполнять обновление в то время, когда трафик и размер файловой очереди минимальны.

Важная информация!

Перед тем как приступить к обновлению Системы, создайте резервную копию базы данных.

Обновление системы выполняется в такой последовательности:

1. Загрузка имеющихся очередей объектов (см. п. 4.2 на стр. 64).

2. Обновление схемы базы данных (см. п. 4.3.2 на стр. 67).

3. Удаление текущей версии серверной части и установка новой версии.

Важная информация!

Перед установкой компонентов серверной части установите операционную систему Red Hat Enterprise Linux Server 5.5 x86-32.

Требования к аппаратному и программному обеспечению InfoWatch Traffic Monitor Enterprise 3.5 приводятся в п. 2.2 на стр. 23.

Порядок установки зависит от схемы перехвата трафика:

Схема перехвата трафика Порядок обновления серверной части

Перехват трафика ведется не через Sniffer

1. Удалите текущую версию Traffic Monitor Server (см. п. 5.4 на стр. 73).

2. Установите новую версию Traffic Monitor Server. Рекоменда-ции по установке зависят от схемы развертывания Системы:

Перехват копии SMTP-трафика (работа с почтовым relay-сервером) (п. 2.1.1 на стр. 10).

Перехват HTTP-трафика, передаваемого по протоколу ICAP (п. 2.1.3 на стр. 16).

Прием объектов, перехваченных InfoWatch Device Monitor (п. 2.1.4 на стр. 19).

Прием объектов от DeviceLock (п. 2.1.5 на стр. 21).

64 InfoWatch Traffic Monitor Enterprise 3.5

Схема перехвата трафика Порядок обновления серверной части

Перехват трафика выпол-няется через Sniffer

Если Sniffer и Traffic Monitor Server установлены на разных компью-терах:

1. Удалите текущую версию Sniffer (п. 5.5 на стр. 74) и Traffic Monitor Server (см. п. 5.4 на стр. 73).

2. Установите новую версию Sniffer (при этом обязательно уста-новите новое ядро Linux). Порядок установки описан в п. 3.3 на стр. 59.

3. Установите новую версию Traffic Monitor Server.

Если Sniffer и Traffic Monitor Server установлены на одном компью-тере:

1. Удалите текущую версию Traffic Monitor Server (см. п. 5.4 на стр. 73) и Sniffer (см. п. 5.5 на стр. 74).

2. Установите новую версию Sniffer с Traffic Monitor Server. При этом обязательно установите новое ядро Linux. Порядок ус-тановки описан в п. 3.3 на стр. 59.

4. Удаление текущей версии Management Console (см. п. 5.6 на стр. 74) и установка новой версии (см. п. 3.4.1 на стр. 60).

Важная информация!

Не используйте старую версию Management Console для работы с обновленной базой данных.

После установки новой версии Management Console загрузите конфигурацию на Traffic Monitor Server (см. документ «InfoWatch Traffic Monitor. Руководство пользователя»).

В процессе обновления прием объектов не ведется. По завершении обновления Система работает в штатном режиме.

4.2. Загрузка очередей объектов

Чтобы обеспечить загрузку имеющихся очередей объектов:

1. Остановите процессы Traffic Monitor Server:

service iw-trafmon stop

2. Для процессов перехватчиков iw_proxy, iw_smtpd и iw_expressd отключите автозапуск в файле

/usr/local/infowatch/tm3/etc/tm.conf, секция [AUTO_RESTART]:

autorestart = Off

3. Запустите процессы Traffic Monitor Server

service iw-trafmon start

4. Дождитесь, пока будут обработаны все объекты в файловой очереди. Для этого можно просле-дить содержимое каталогов с очередями (о расположении этих каталогов см. Руководство адми-нистратора, п. 3.2.6 «Секция [QUEUE]»).

Примечание:

По окончании обновления Системы убедитесь, что перехватчики запущены, и в конфигурационном файле включен автозапуск процессов.

Обновление системы 65

4.3. Схема базы данных

В этом разделе:

Подготовка к обновлению схемы базы данных (п. 4.3.1 на стр. 65).

Обновление схемы базы данных (п. 4.3.2 на стр. 67).

Подготовка схемы базы данных к работе (п. 4.3.3 на стр. 69).

4.3.1. Подготовка к обновлению схемы базы данных

Проверьте версию установленной у вас схемы базы данных. Для этого выполните запрос от имени вла-дельца схемы БД:

SELECT vers.get_schema_version

FROM dual

Убедитесь, что выполнены условия необходимые для корректного обновления схемы базы данных:

запущен сервер СУБД Oracle;

на сервере СУБД Oracle параметр recyclebin имеет значение off либо не имеет значения. Что-

бы проверить значение параметра:

1. При работе в консоли выполните команду:

sqlplus [email protected]<SID> as sysdba

(где <SID> — имя базы данных), затем введите пароль.

2. От имени пользователя SYS выполните запрос:

select name, value

from v$parameter p

where lower(p.NAME) = ‘recyclebin’

Если параметр recyclebin включен (имеет значение on), то отключите его перед обновлением

схемы БД. Для этого выполните следующие действия:

1. От имени пользователя SYS выполните оператор:

alter system set RECYCLEBIN=’off’ scope=spfile

2. От имени пользователя oracle перезапустите базу данных.

Остановите БД:

lsnrctl stop

dbshut

затем запустите еѐ снова:

lsnrctl start

dbstart

3. Повторно убедитесь, что параметр recyclebin имеет значение off.

на компьютере, с которого будет запущен инсталлятор схемы базы данных, установлен и настроен клиент СУБД Oracle версии 11g R2 (11.2.0.1.0), тип установки клиента – Администратор. Для это-го проверьте, что в директории клиента существует файл:

[X]:app[Текущий пользователь]product11.2.0client_1BINsqlldr.exe

где:

­ [X] – диск, на котором установлен клиент Oracle;

­ [Текущий пользователь] – пользователь, от имени которого осуществлен вход на клиент-

ский компьютер.

Рекомендации по установке и настройке клиента СУБД Oracle см. в приложении A.2.1 на стр. 83.

66 InfoWatch Traffic Monitor Enterprise 3.5

Уточните имя и пароль учетной записи, обладающей правами SYSDBA (как правило, это пользователь SYS);

Важная информация!

Убедитесь, что пароль соответствует следующим требованиям:

Пароль может состоять из латинских букв, цифр и символов:

, ; . : ! ~ ` # $ % ^ * ( ) — _ + < ‘ [ ] { } | > ?

Может начинаться с буквы, цифры или символа. Максимальная длина пароля составляет 15 символов.

Если пароль не соответствует этим требованиям, то измените его перед обновлением схемы БД. При необходимости вы можете вернуть старый пароль после того, как схема БД будет обновлена.

Убедитесь, что в конфигурации отсутствуют теги, названия которых различаются между собой только ре-гистром символов. Если такие теги есть, их следует переименовать.

Примечание:

Если в конфигурации присутствуют теги, названия которых различаются между собой только регист-ром символов, то после обновления схемы базы данных к названиям таких тегов будет добавлен их код.

Так например, если в конфигурации есть теги с названиями Example (код EX1) и EXAMPLE (код EX2), то

после обновления их названия изменятся на Example_EX1 и EXAMPLE_EX2 соответственно.

Перед запуском инсталлятора схемы базы данных, выполните следующие действия:

1. Закройте все экземпляры Management Console. Убедитесь, что отсутствуют соединения с обнов-ляемой схемой из других программ. При необходимости отключите все соединения.

2. Остановите задания IWADDPARTS, IWTM_SYNC_INDEXES и IWDROP (если ранее была создана процедура для удаления табличных пространств), выполнив сценарий:

BEGIN

dbms_scheduler.disable(‘IWDROP’,true);

dbms_scheduler.disable(‘IWADDPARTS’,true);

dbms_scheduler.disable(‘IWTM_SYNC_INDEXES’,true);

COMMIT;

END;

3. Убедитесь, что ни одно задание не выполняется. Проверить состояние заданий можно по таблице user_scheduler_jobs, выполнив запрос:

SELECT job_name,next_run_date,last_run_duration

FROM user_scheduler_jobs

В соответствии с этим запросом будут выведены столбцы:

job_name – имя задания.

next_run_date – дата и время следующего старта.

last_run_duration – длительность, с которой задание выполнялось при последнем запуске. Зна-чение null имеют задания, выполняющиеся в текущий момент.

Если какое-либо задание выполняется, дождитесь его окончания.

4. Остановите процессы Traffic Monitor Server:

service iw-trafmon stop

Обновление системы 67

4.3.2. Обновление схемы базы данных

При обновлении схемы базы данных создается индекс для таблиц с данными. Поэтому время обновле-ния будет зависеть от объема данных (при большом объеме – до 1 часа).

Важная информация!

В базе данных не должны выполняться никакие работы во время обновления схемы базы данных (т.е. от момента нажатия кнопки Старт и до появления сообщения Операция завершена успешно).

Примечания:

1. Перед тем как приступить к обновлению схемы базы данных, выполните подготовительные дейст-вия (см. п. 4.3.1 на стр. 65).

2. Часть параметров, которые нужно указать при обновлении схемы базы данных, отмечены симво-лом «*». Такие параметры заполняются в обязательном порядке.

Шаг 1. Запуск инсталлятора схемы базы данных

На диске с дистрибутивом Системы откройте каталог CreateSchemaWizard. В этом каталоге найдите и

запустите файл Setup.exe.

Вы также можете скопировать инсталлятор в папку, расположенную на жестком диске, и запускать ин-сталлятор из этой папки.

Важная информация!

Инсталлятор схемы базы данных не может быть запущен из сетевой папки.

После этого на экран будет выведено окно Мастер работы с БД.

Шаг 2. Выбор типа установки

В окне Мастер работы с БД выберите вариант Обновление существующей схемы БД и нажмите на кнопку OK.

После этого на экран будет выведено окно мастера обновления схемы БД. В открывшемся окне нажмите кнопку Вперед.

Шаг 3. Настройка параметров соединения с сервером базы данных

В окне мастера обновления схемы БД (см. рис. 23) укажите параметры соединения с сервером базы дан-ных:

База данных. Псевдоним сервера, на котором установлена обновляемая база данных (псевдоним

выбирают из перечисленных в файле tnsnames.ora).

Имя пользователя с ролью SYSDBA. Имя учетной записи, обладающей правами SYSDBA (на-пример, SYS).

Пароль пользователя с ролью SYSDBA. Пароль учетной записи SYSDBA.

68 InfoWatch Traffic Monitor Enterprise 3.5

Рисунок 23. Параметры соединения с сервером базы данных

Нажмите кнопку Вперед.

Шаг 4. Настройка параметров учетной записи владельца схемы базы данных

Укажите параметры учетной записи владельца обновляемой схемы базы данных (см. рис. 24):

Владелец схемы БД. Имя учетной записи владельца схемы базы данных.

Пароль владельца схемы БД. Пароль учетной записи.

Рисунок 24. Параметры владельца обновляемой схемы базы данных

Нажмите кнопку Старт. После этого начнется процесс обновления схемы базы данных.

Примечание:

Если процесс обновления завершается ошибкой, обратитесь в службу технической поддержки.

Обновление системы 69

4.3.3. Подготовка схемы базы данных к работе

После обновления схемы базы данных выполните следующие действия:

1. Проверьте соединение с сервером базы данных:

sqlplus db_login/[email protected]_name

Здесь db_login и db_password – имя и пароль владельца схемы базы данных, а tns_name –

имя службы TNS.

Если проверка пройдена успешно, то в ответ на выполнение команды будет выведено приглаше-ние SQL *Plus:

SQL>

2. Запустите процессы Traffic Monitor Server:

service iw-trafmon start

3. Проверьте системный журнал на наличие ошибок. Путь к файлу журнала:

/var/log/messages

Если в системном журнале содержится информация об ошибках, то обратитесь в службу поддерж-ки компании InfoWatch.

4. Запустите задания IWADDPARTS, IWTM_SYNC_INDEXES, IWDROP (если ранее была создана процедура для удаления табличных пространств):

BEGIN

dbms_scheduler.enable(‘IWDROP’);

dbms_scheduler.enable(‘IWADDPARTS’);

dbms_scheduler.enable(‘IWTM_SYNC_INDEXES’);

COMMIT;

END;

ГЛАВА 5. УДАЛЕНИЕ СИСТЕМЫ

В этой главе:

Схема базы данных (п. 5.1 на стр. 70).

Модуль взаимодействия с удаленной базой данных (п. 5.2 на стр. 72).

Модуль IW ICAP (п. 5.3 на стр. 72).

Traffic Monitor Server (п. 5.4 на стр. 73).

Sniffer (п. 5.5 на стр. 74).

Management Console (п. 5.6 на стр. 74).

5.1. Схема базы данных

В этом разделе:

Подготовка к удалению (п. 5.1.1 на стр. 70).

Удаление схемы базы данных (п. 5.1.2 на стр. 71).

5.1.1. Подготовка к удалению

Убедитесь, что выполнены условия необходимые для корректного удаления схемы базы данных:

запущен сервер СУБД Oracle;

на компьютере, с которого будет запущен инсталлятор схемы базы данных, установлен и настроен клиент СУБД Oracle версии 11g R2 (11.2.0.1.0), тип установки клиента – Администратор. Реко-мендации по установке и настройке клиента СУБД Oracle см. в A.2.1 на стр. 83.

известно имя и пароль учетной записи, обладающей правами SYSDBA (требуются при установке);

Удаление схемы базы данных, имеющей определенную версию, должно выполняться при помощи ин-сталлятора той же версии.

Чтобы посмотреть версию установленной у вас схемы базы данных:

Выполните запрос к базе данных от имени владельца схемы базы данных:

SELECT vers.get_schema_version

FROM dual

Перед запуском Traffic Monitor Create Schema Wizard необходимо:

остановить все процессы Traffic Monitor Server:

service iw-trafmon stop

закрыть все экземпляры Management Console;

прекратить все соединения c удаляемой схемой базы данных, осуществляемые из других про-грамм.

Удаление системы 71

5.1.2. Удаление схемы базы данных

Важная информация!

Не удаляйте схему базы данных, от которой для архивирования были отключены ежедневные ТП. Иначе вы не сможете восстановить данные из этих табличных пространств.

Примечание:

Перед удалением схемы базы данных выполните подготовительные действия (см. п. 5.1.1 на стр. 70).

Часть параметров, которые нужно указать при удалении схемы базы данных, отмечены символом «*». Такие параметры заполняются в обязательном порядке.

Шаг 1. Запуск инсталлятора схемы базы данных

На диске с дистрибутивом Системы откройте каталог CreateSchemaWizard. В каталоге найдите и запус-

тите файл Setup.exe.

Вы также можете скопировать инсталлятор в папку, расположенную на жестком диске, и запускать ин-сталлятор из этой папки.

Важная информация!

Инсталлятор схемы базы данных не может быть запущен из сетевой папки.

После этого на экран будет выведено окно Мастер работы с БД.

Шаг 2. Выбор типа установки

В окне Мастер работы с БД выберите вариант Удаление существующей схемы БД и нажмите на кноп-ку OK.

После этого на экран будет выведено окно мастера удаления схемы БД. В открывшемся окне нажмите кнопку Вперед.

Шаг 3. Настройка параметров соединения с сервером базы данных

В окне мастера удаления схемы БД (данное окно аналогично тому, которое показано на рис. 23) укажите параметры соединения с сервером базы данных:

База данных. Псевдоним сервера, на котором установлена база данных (псевдоним выбирают из

перечисленных в файле tnsnames.ora).

Имя пользователя с ролью SYSDBA. Имя учетной записи, обладающей правами SYSDBA (на-пример, SYS).

Пароль пользователя с ролью SYSDBA. Пароль учетной записи SYSDBA.

Нажмите кнопку Вперед.

Шаг 4. Настройка параметров удаления схемы БД

Укажите имя учетной записи владельца удаляемой схемы базы данных (см. рис. 25):

Обязательно установите флажок в поле Я действительно хочу удалить эту схему. Если данный фла-жок не установлен, то схема базы данных не будет удалена.

72 InfoWatch Traffic Monitor Enterprise 3.5

Рисунок 25. Параметры владельца удаляемой схемы базы данных

Нажмите кнопку Старт. После этого начнется процесс удаления схемы базы данных. По завершении процесса на экран будет выведено соответствующее уведомление.

5.2. Модуль взаимодействия с удаленной

базой данных

Чтобы удалить модуль взаимодействия с удаленной базой данных:

1. Выполните команду:

rpm -e iwtm_qmover

Если конфигурационный файл (qmover.conf) в процессе работы был изменен, то после удаления

он будет сохранен на компьютере как qmover.conf.rpmsave.

2. На стороне клиента (перехватчика объектов) удалите из cron настройки, изменяющие ширину про-пускания для канала передачи данных (пример настроек см. в п. 3.2.7.1 на стр. 52, шаг 2).

5.3. Модуль IW ICAP

Если перехват HTTP-запросов по протоколу ICAP не требуется, отключите модуль IW_ICAP.

Чтобы отключить модуль IW_ICAP:

1. Остановите процессы Traffic Monitor Server:

service iw-trafmon stop

2. Отключите автозапуск процесса iw_icap в файле /usr/local/infowatch/tm3/etc/tm.conf,

секция [AUTO_RESTART]:

iw_icap:

autorestart = Off

3. Запустите процессы Traffic Monitor Server:

service iw-trafmon start

4. Проверьте состояние процессов Traffic Monitor Server:

service iw-trafmon status

Если автозапуск iw_icap отключен, то вывод status не должен содержать информации об iw_icap.

Удаление системы 73

5. Верните исходные настройки прокси-сервера (пример смены настроек см. в п. 3.2.8 на стр. 55, шаг 2).

При необходимости вы можете удалить rpm-пакет iwtm_icap.

Чтобы удалить rpm-пакет модуля IW ICAP:

выполните команду:

rpm -e iwtm_icap

Если конфигурационный файл (icap.conf) в процессе работы был изменен, то после удаления

он будет сохранен на компьютере как icap.conf.rpmsave.

5.4. Traffic Monitor Server

Перед тем как удалять Traffic Monitor Server, удалите:

Модуль взаимодействия с удаленной базой данных (п. 5.2 на стр. 72). Если Traffic Monitor Server использовался для загрузки объектов в удаленную базу данных (как клиент или сервер).

Модуль IW ICAP (п. 5.3 на стр. 72). Если перехват HTTP-трафика выполнялся путем интеграции с ICAP-сервером.

InfoWatch DeviceLock Adapter. Если Traffic Monitor Server использовался для приема объектов от DeviceLock. Рекомендации по удалению см. в документе «InfoWatch DeviceLock Adapter. Руково-дство по установке и конфигурированию».

Чтобы удалить Traffic Monitor Server,

1. Выполните команды:

rpm -e iwtm_gpl_components

rpm -e iwtm

2. Перенастройте подсистемы перехвата трафика, работавшие через Traffic Monitor Server.

Схема перехвата трафика в InfoWatch Traffic Monitor

Необходимые действия после удаления InfoWatch Traffic Moni-tor

Перехват копии SMTP-трафика (работа с почто-вым relay-сервером)

Убедитесь, что параметры Postfix возвращены в исходное состоя-ние (т.е. параметры имеют значение, которое было до установки Системы). Об изменениях в параметрах Postfix см. п. 3.2.5 на стр. 49

Перехват и фильтрация SMTP-трафика выполнялся Системой (интеграция с Postfix)

Убедитесь, что параметры Postfix возвращены в исходное состоя-ние (т.е. параметры имеют значение, которое было до установки Системы). Об изменениях в параметрах Postfix см. п. 3.2.5 на стр. 49.

Настройте доставку SMTP-писем через корпоративный почтовый сервер, минуя InfoWatch Traffic Monitor

После удаления на компьютере остаются только:

Конфигурационные файлы, в которые были внесены изменения (tm.conf, detector.conf,

qmover.conf, icap.conf).

Измененным файлам присваивается суффикс .rpmsave (например, tm.conf.rpmsave). Файлы,

которые не изменялись, будут удалены.

Очередь объектов.

База контентной фильтрации.

Файл лицензии.

Учетная запись пользователя – владельца InfoWatch Traffic Monitor и группа, в состав которой вхо-дил этот пользователь.

74 InfoWatch Traffic Monitor Enterprise 3.5

Если выполнялась интеграция с Postfix, то в процессе удаления происходит возврат к исходным настрой-кам. Об изменениях, выполняемых при интеграции Traffic Monitor Server с Postfix, рассказывается в п. 3.2.5 на стр. 49.

5.5. Sniffer

Если Sniffer и Traffic Monitor Server установлены на одном компьютере, Sniffer будет удален вместе с Traf-fic Monitor Server (см. п. 5.4 на стр. 73). Дополнительная процедура удаления в этом случае не требуется.

Чтобы удалить Sniffer, установленный отдельно от Traffic Monitor Server:

выполните команду:

rpm -e iwtm

После удаления на компьютере остаются только:

Конфигурационный файл, tm.conf, если он был изменен в процессе работы. Файл будет сохра-

нен как tm.conf.rpmsave (например, tm.conf.rpmsave). Файлы, которые не изменялись, будут

удалены.

Учетная запись пользователя – владельца InfoWatch Traffic Monitor и группа, в состав которой вхо-дил этот пользователь.

5.6. Management Console

Чтобы удалить Management Console:

1. Откройте компонент Установка и удаление программ. Для этого в меню Пуск выберите пункт Настройка ► Панель управления. В окне Панели управления выберите компонент Установка или удаление программ.

2. В окне Установка и удаление программ выделите пункт InfoWatch Traffic Monitor Management Console и нажмите кнопку Удалить.

ПРИЛОЖЕНИЕ A. РЕКОМЕНДАЦИИ ПО

УСТАНОВКЕ СУБД ORACLE

В настоящем приложении даются рекомендации по развертыванию СУБД Oracle для обеспечения рабо-ты системы InfoWatch Traffic Monitor.

В этом приложении:

Сервер СУБД Oracle (прил. A.1 на стр. 75).

Клиент СУБД Oracle (прил. A.2 на стр. 82).

A.1. Сервер СУБД Oracle

В этом разделе:

Рекомендации по установке (прил. A.1.1 на стр. 75).

Подготовка к установке (прил. A.1.2 на стр. 75).

Установка сервера базы данных (прил. A.1.3 на стр. 77).

A.1.1. Рекомендации по установке

Для обеспечения приемлемой производительности Системы под управлением сервера должна нахо-диться только одна пользовательская база данных – InfoWatch Traffic Monitor.

Сервер СУБД Oracle и Traffic Monitor Server должны быть установлены на разных компьютерах.

На компьютере, исполняющем роль сервера СУБД Oracle, не рекомендуется: устанавливать и запускать приложения (особенно серверные), использовать этот компьютер в качестве файл-сервера.

По окончании установки, рекомендуется назначить неограниченный срок истечения пароля в профиле пользователя по умолчанию, в том случае, если это не противоречит регламенту компании.

A.1.2. Подготовка к установке

Перед тем как приступить к установке сервера СУБД Oracle, необходимо выполнить ряд подготовитель-ных действий.

Шаг 1. Проверка аппаратного и программного обеспечения

Убедитесь, что аппаратное и программное обеспечение компьютера, на который будет установлен сер-вер СУБД Oracle, соответствует требованиям, приведенным в п. 2.2.5 на стр. 26.

Шаг 2. Регистрация от имени пользователя root

Зарегистрируйтесь в системе от имени учетной записи пользователя root. Для этого выполните коман-

ду:

su – root

Шаг 3. Настройка файла /etc/hosts

В файле /etc/hosts укажите статический IP-адрес, полное доменное имя и псевдоним компьютера, на

который будет установлен сервер СУБД Oracle:

IP-адрес полное_доменное_имя псевдоним

76 InfoWatch Traffic Monitor Enterprise 3.5

Например:

10.1.10.120 oracle.company.com oracle

Шаг 4. Создание новых групп и учетных записей пользователей

Создайте группы пользователей oinstall и dba:

/usr/sbin/groupadd oinstall

/usr/sbin/groupadd dba

Создайте учетную запись для пользователя oracle:

/usr/sbin/useradd -g oinstall -G dba oracle

Задайте пароль для этой учетной записи:

passwd oracle

Шаг 5. Создание каталога для установки

Создайте каталог, в который будет установлен сервер СУБД Oracle и каталог для хранения файлов:

mkdir -p /u01/app/oracle/data

chown -R oracle:oinstall /u01/app/oracle/data

chmod -R 775 /u01/app/oracle/data

Шаг 6. Настройка параметров ядра

Добавьте в файл /etc/sysctl.conf следующие строки:

kernel.sem = 250 32000 100 128

kernel.shmall = 2097152

kernel.shmmax = минимум из двух величин: половина оперативной памяти (в байтах) и

4294967295

kernel.shmmni = 4096

net.ipv4.ip_local_port_range = 9000 65000

net.core.rmem_default = 262144

net.core.rmem_max = 4194304

net.core.wmem_default = 262144

net.core.wmem_max = 1048576

fs.aio-max-nr = 1048576

fs.file-max = 6815744

Важная информация!

Указанные значения параметров kernel.shmall и kernel.shmmax являются минимальными; для

улучшения производительности следует учитывать рекомендации в документации операционной сис-

темы. Если для каких-либо параметров в файле /etc/sysctl.conf заданы значения больше приве-

дѐнных выше, то такие значения менять не следует.

Чтобы применить изменения, выполните команду:

/sbin/sysctl –p

Шаг 7. Настройка файла /etc/security/limits.conf

Добавьте в файл /etc/security/limits.conf следующие строки:

oracle soft nproc 2047

oracle hard nproc 16384

oracle soft nofile 1024

oracle hard nofile 65536

Шаг 8. Настройка файла /etc/pam.d/login

Добавьте в файл /etc/pam.d/login строку (если данная строка не была добавлена ранее):

session required pam_limits.so

Приложение A 77

Шаг 9. Настройка файла /etc/profile

Добавьте в конец файла /etc/profile строки:

if [ $USER = «oracle» ]; then

if [ $SHELL = «/bin/ksh» ]; then

ulimit -p 16384

ulimit -n 65536

else

ulimit -u 16384

ulimit -n 65536

fi

umask 022

fi

Шаг 10. Настройка файла /home/oracle/.bash_profile

Добавьте в конец файла /home/oracle/.bash_profile следующие строки:

ORACLE_BASE=/u01/app/oracle

export ORACLE_BASE

ORACLE_SID=iwtm

export ORACLE_SID

ORACLE_HOME=/u01/app/oracle/product/11.2.0/db_1

export ORACLE_HOME

PATH=$ORACLE_HOME/bin:$PATH

export PATH

Шаг 11. Настройка файла /etc/fstab

Чтобы исключить ошибку с недостатком памяти, в файле /etc/fstab измените строку по умолчанию:

tmpfs /dev/shm tmpfs defaults 0 0

Замените defaults на size=X. Здесь X должно составлять не менее 80% от объема оперативной па-

мяти. Так например, при оперативной памяти 4 Гб эта строка будет иметь вид:

tmpfs /dev/shm tmpfs size=4g 0 0

Перезагрузите операционную систему:

reboot

A.1.3. Установка сервера базы данных

После того как все необходимые настройки будут выполнены, можно приступить к установке и настройке сервера базы данных.

Шаг 1. Регистрация от имени пользователя oracle

Зарегистрируйтесь в системе от имени учетной записи пользователя oracle. Для этого выполните коман-ду:

su – oracle

Шаг 2. Запуск инсталлятора

Запустите Oracle Database Installer, выполнив команду:

/directory_path/runInstaller

где directory_path – путь к каталогу, в котором находится дистрибутив. По умолчанию Oracle Database

Installer располагается в каталоге /Disk1.

78 InfoWatch Traffic Monitor Enterprise 3.5

Шаг 3. Настройка параметров установки

После того как будет запущен инсталлятор Oracle, настройте параметры установки:

1. В окне Configure Security Updates (см. рис. 26), при необходимости, укажите параметры обеспе-чения техподдержки с помощью портала My Oracle Support: e-mail, необходимость получения об-новлений с помощью My Oracle Support и пароль учѐтной записи.

Рисунок 26. Установка и настройка базы данных (шаг 1 из 20)

2. В окне Select Installation Options выберите вариант Create and configure a database.

3. В окне System Class выберите вариант Server Class.

4. В окне Grid Options выберите вариант Single instance database installation.

5. В окне Select Install Type выберите вариант Advanced install.

6. В окне Select Product Languages (см. рис. 27) выберите языки, которые должна поддерживать ба-за данных.

Приложение A 79

Рисунок 27. Установка и настройка базы данных (шаг 6 из 20)

7. В окне Database Edition (см. рис. 28) выберите вариант Enterprise Edition. После этого нажмите кнопку Select Options и убедитесь, что выбраны следующие компоненты:

Oracle Partitioning

Oracle Label Security.

Рисунок 28. Установка и настройка базы данных (шаг 7 из 20)

80 InfoWatch Traffic Monitor Enterprise 3.5

8. В окне Database Edition укажите пути к папкам, куда будет производиться установка:

Oracle base – оставьте путь к директории установки базы данных (Oracle base), заданный по умолчанию, или укажите свой;

Software location – оставьте путь к директории установки компонентов (Oracle home), заданный по умолчанию, или укажите свой.

9. В окне Select Configuration Type выберите вариант General Purpose / Transaction Processing.

10. В окне Specify Database Identifiers задайте параметры идентификации базы данных:

Global database name – укажите имя базы данных.

Oracle Service Identifier – значение SID должно совпадать со значением переменной

ORACLE_SID в файле /home/oracle/.bash_profile. (см. Приложение A.1.2 на стр. 75,

Шаг 10).

11. Задайте параметры инициализации базы данных в окне Specify Configuration Options:

На вкладке Memory установите флажок Enable Automatic Memory Management и укажите объем оперативной памяти, выделяемой для СУБД Oracle, равным 80% от всей оперативной памяти.

На вкладке Character Sets выберите вариант Use Unicode (AL32UTF8).

Примечание:

Выбор кодировки AL32UTF8 при создании базы данных является обязательным условием для корректной работы InfoWatch Traffic Monitor.

На вкладке Security снимите флажок Assert all new security settings.

12. В окне Specify Management Options убедитесь, что отмечен вариант Use Database Control for database management, и, при необходимости получать письменные уведомления, установите флажок Enable mail notifications и укажите параметры почты.

13. В окне Specify Database Storage Options выберите механизм хранения данных. При отсутствии специальных навыков администрирования СУБД Oracle, рекомендуется выбрать вариант File System (создание базы данных на файловой системе). В поле Specify database file locations ука-жите путь к каталогу, созданному на шаге 1.

14. В окне Specify Recovery Options выберите Do not enable automated backups.

15. В окне Specify Schema Passwords выберите вариант Use the same password for all accounts и в полях Administrative password, Confirm password укажите и подтвердите пароль для админист-ративных учетных записей Oracle.

Пароль может состоять из букв латинского алфавита, цифр и символов:

, ; . : ! ~ ` # $ % ^ * ( ) — _ + < ‘ [ ] { } | > ?

Может начинаться с буквы, цифры или символа. Oracle по умолчанию чувствителен к регистру символов. Максимальная длина пароля составляет 15 символов.

Примечание:

Подробные рекомендации по составлению паролей пользователей приводятся в приложении B на стр. 86.

16. В окне Operating System Groups задайте группы из числа ранее созданных (см. Приложение A.1.2 на стр. 75, Шаг 4):

В качестве Database Administrator (OSDBA) Group выберите dba.

В качестве Database Operator (OSOPER) Group выберите oinstall.

17. В окне Perform Prerequizite Checks будут отображены результаты проверки выполнения условий, необходимых для установки.

Приложение A 81

Рисунок 29. Установка и настройка базы данных (шаг 17 из 20)

18. В окне Summary отображаются параметры установки. Вы можете вернуться к предыдущим шагам, если хотите изменить эти параметры, или нажать Finish для начала установки.

19. В окне Install Product будет отображаться прогресс установки. Когда на экране появится предло-

жение выполнить сценарии от имени пользователя root, ответьте утвердительно.

20. Следуйте дальнейшим инструкциям конфигуратора базы данных для завершения процесса созда-ния базы данных.

После того, как процесс установки сервера СУБД Oracle будет завершен, переходите к настройке базы данных.

A.1.4. Настройка сервера базы данных

Шаг 1. Настройка файла /etc/oratab

По завершении установки отредактируйте файл /etc/oratab. Укажите флаг Y (вместо N) для установ-

ленного экземпляра базы данных:

iwtm:/u01/app/oracle/product/11.2.0/db_1:Y

Здесь iwtm – это SID созданной базы данных (см. Приложение A.1.2 на стр. 75, Шаг 10).

Шаг 2. Регистрация Oracle Label Security

Запустите утилиту Database Configuration Assistant от имени пользователя oracle, выполнив команду:

$ dbca

При помощи данной утилиты настройте параметры создаваемой базы данных:

1. В окне Operations выберите вариант Configure Database Options.

2. В окне Database из списка выберите имя БД, куда вы установили Oracle Label Security (см. При-ложение A.1.3 на стр. 77, Шаг 3, п. 8: в окне Software location — Oracle home).

3. В окне Database Content выберите Oracle Label Security.

4. В окне Connection Mode выберите Dedicated Server Mode.

82 InfoWatch Traffic Monitor Enterprise 3.5

5. Следуйте дальнейшим инструкциям конфигуратора базы данных для завершения процесса на-стройки. Когда на экране появится предложение перезапустить базу данных, ответьте утверди-тельно.

6. По окончании процесса настройки базы данных вам будет предложено выполнить другие опера-ции. Нажмите No, чтобы завершить работу с Database Configuration Assistant.

Шаг 3. Настройка пользователя LBACSYS

Чтобы разблокировать пользователя LBACSYS и задать для него пароль:

1. Запустите утилиту Database Control от имени пользователя SYSTEM.

2. Откройте закладку Schema.

3. В области Users and privileges нажмите Users.

4. В окне Users выберите LBACSYS и нажмите Edit.

5. В окне Edit User измените значение поля Status на Unlocked.

6. В поле Enter Password укажите пароль пользователя LBACSYS и подтвердите его в поле Con-firm Password.

7. Откройте закладку System Privileges.

8. Выберите системную привилегию SELECT ANY DICTIONARY.

9. Нажмите Apply.

Шаг 4. Настройка параметров инициализации

В PL/SQL от имени sys выполните следующие настройки:

alter system set db_keep_cache_size=’200M’ scope=spfile

alter system set db_files=5000 scope=spfile

alter system set RECYCLEBIN=’off’ scope=spfile

alter system set nls_territory = russia scope = spfile

alter system set nls_language = russian scope = spfile

alter system set audit_trail=’none’ scope=spfile

alter system set processes = 1000 scope=spfile

Шаг 5. Перезагрузка базы данных

От имени пользователя oracle перезапустите базу данных.

1. Остановите базу данных:

lsnrctl stop

dbshut

2. Затем запустите базу данных снова:

lsnrctl start

dbstart

A.2. Клиент СУБД Oracle

В данном разделе приводятся рекомендации по установке клиента СУБД Oracle версии 11g R2 (11.2.0.1.0). Раздел содержит следующие сведения:

Рекомендации по установке клиента СУБД Oracle на платформу Linux (прил. A.2.1 на стр. 83).

Настройка параметров соединения с сервером СУБД Oracle (прил. A.2.2 на стр. 85).

Проверка взаимодействия между клиентом и сервером СУБД Oracle (прил. A.2.3 на стр. 85).

Приложение A 83

A.2.1. Рекомендации по установке клиента СУБД Oracle

на платформу Linux

Клиент СУБД Oracle устанавливается на тот же компьютер, на который будет выполнена установка Traffic Monitor Server. В данном подразделе рассматривается установка клиента СУБД Oracle на компьютер, ра-ботающий под управлением операционной системы Red Hat Enterprise Linux Server 5.5 x86-32.

В этом подразделе:

Подготовка к установке (прил. A.2.1.1 на стр. 83).

Установка клиента (прил. A.2.1.2 на стр. 84).

A.2.1.1. Подготовка к установке

Шаг 1. Регистрация от имени пользователя root

Зарегистрируйтесь в системе от имени учетной записи пользователя root. Для этого выполните коман-

ду:

su – root

Шаг 2. Настройка файла /etc/hosts

В файле /etc/hosts укажите IP-адрес, полное доменное имя и псевдоним того компьютера, на который

будет выполняться установка клиента СУБД Oracle:

IP-адрес полное_доменное_имя псевдоним

Шаг 3. Создание новых групп и учетных записей пользователей

Создайте группы пользователей oinstall и dba:

/usr/sbin/groupadd oinstall

/usr/sbin/groupadd dba

Создайте учетную запись для пользователя oracle:

/usr/sbin/useradd -g oinstall -G dba oracle

Задайте пароль для этой учетной записи:

passwd oracle

Шаг 4. Создание каталога для установки

Создайте каталог, в который будет установлен клиент СУБД Oracle (рекомендуется создать каталог

/u01):

mkdir -p /u01/app

chown -R oracle:oinstall /u01/app

chmod -R 775 /u01/app/

Шаг 5. Настройка файла /etc/profile

Добавьте в конец файла /etc/profile следующие строки:

ORACLE_BASE=/u01/app/oracle

export ORACLE_BASE

ORACLE_SID=iwtm

export ORACLE_SID

ORACLE_HOME=/u01/app/oracle/product/11.2.0/client_1

export ORACLE_HOME

PATH=$ORACLE_HOME/bin:$PATH

export PATH

84 InfoWatch Traffic Monitor Enterprise 3.5

NLS_LANG=RUSSIAN_RUSSIA.AL32UTF8

export NLS_LANG

Шаг 6. Запуск системы X Window

Установка клиента выполняется в графическом режиме. Поэтому перед началом установки запустите систему X Window. Например:

startx

Если установка выполняется удаленно, то выполните следующие действия:

1. Чтобы иметь возможность управлять работой инсталлятора Oracle с локального X сервера, введите команду:

xhost IP-адрес_удаленного_компьютера

например:

xhost 10.60.0.159

2. Задайте переменную окружения DISPLAY:

DISPLAY=имя_локального_X_сервера:0.0; export DISPLAY

например:

DISPLAY=myhost.xzy.com:0.0; export DISPLAY

A.2.1.2. Установка клиента

После того как все необходимые настройки будут выполнены, можно приступить к установке клиента СУБД Oracle.

Шаг 1. Вход от имени пользователя oracle

Войдите в систему от имени учетной записи пользователя oracle. Для этого выполните команду:

su – oracle

Шаг 2. Запуск инсталлятора

Запустите Oracle Universal Installer, выполнив команду:

/directory_path/runInstaller

где directory_path – путь к каталогу, в котором находится дистрибутив клиента СУБД Oracle. По

умолчанию Oracle Universal Installer располагается в каталоге /Disk1.

Шаг 3. Настройка параметров установки

После запуска инсталлятора Oracle настройте параметры установки:

1. Выберите тип установки Administrator.

2. Укажите имя и путь к каталогу ORACLE_HOME (путь задан в файле /etc/profile).

Продолжайте следовать указаниям инсталлятора Oracle, чтобы завершить установку. Когда на экране

появится предложение выполнить несколько сценариев от имени пользователя root, ответьте утверди-

тельно.

Шаг 4. Настройка после установки

По завершении установки выполните следующие настройки:

1. Для корректного соединения с сервером СУБД Oracle настройте параметры соединения в файле

tnsnames.ora (см. п. A.2.2 на стр. 85).

2. Проверьте взаимодействие между клиентом и сервером СУБД Oracle (см. п. A.2.3 на стр. 85).

Приложение A 85

A.2.2. Настройка параметров соединения с сервером

СУБД Oracle

Для корректного соединения с сервером СУБД Oracle на каждом компьютере, на котором установлен

клиент СУБД Oracle, необходимо настроить параметры соединения в файле tnsnames.ora.

Примечание:

По умолчанию файл tnsnames.ora расположен в каталоге /ORACLE_HOME/network/admin (здесь

/ORACLE_HOME – это путь к каталогу, в который установлен клиент СУБД Oracle).

При настройке параметров файла tnsnames.ora необходимо указать значения для всех параметров,

перечисленных в следующем примере:

IWTM =

(DESCRIPTION =

(ADDRESS_LIST =

(ADDRESS = (PROTOCOL = TCP)(HOST = iwtm)(PORT = 1521))

)

(CONNECT_DATA =

(SERVER = DEDICATED)

(SERVICE_NAME = iwtm)

)

)

Здесь HOST – сетевое имя сервера СУБД Oracle. А SERVICE_NAME – имя сервиса базы данных.

A.2.3. Проверка взаимодействия между клиентом и

сервером СУБД Oracle

Перед началом эксплуатации СУБД Oracle, на каждом компьютере, на котором установлен клиент СУБД Oracle, необходимо выполнить ряд проверок:

Проверить работоспособность и доступность СУБД Oracle. Для выполнения проверки введите ко-манду:

sqlplus db_login/[email protected]_name

где db_login и db_password – имя и пароль владельца схемы базы данных, а tns_name –

псевдоним сервера, на котором установлена база данных (псевдоним выбирают из перечисленных

в файле tnsnames.ora).

Если проверка пройдена успешно, то в ответ на выполнение указанной команды будет выведено приглашение SQL *Plus:

SQL>

Убедиться, что в файле NETWORK/ADMIN/sqlnet.ora строка sqlnet.ora начинается символом

«#»:

# sqlnet.ora Network Configuration File: C:Oracleproduct11.2.0Client_1network

adminsqlnet.ora

ПРИЛОЖЕНИЕ B. РЕКОМЕНДАЦИИ ПО

СОСТАВЛЕНИЮ ИМЕН И ПАРОЛЕЙ

Общие рекомендации

Длина имени пользователя может составлять от 1 до 10 символов. Имя пользователя может состоять из букв латинского алфавита, цифр и символа подчеркивания «_». Должно начинаться с буквы.

Пароли составляются по следующим правилам:

Пароль пользователя может состоять из латинских букв, цифр и символов:

( ) , ; . : ! ~ ` # $ % ^ * — _ + ‘ [ ] { } | ? < >

Может начинаться с буквы, цифры или символа. Максимальная длина пароля составляет 30 символов.

Не рекомендуется начинать имена и пароли пользователей с последовательностей: SYS_ и ORA_.

В составе имени и пароля не рекомендуется использовать зарезервированные слова СУБД Oracle:

ACCESS IDENTIFIED PUBLIC

ADD IMMEDIATE RAW

ALL IN RENAME

ALTER INCREMENT RESOURCE

AND INDEX REVOKE

ANY INITIAL ROW

AS INSERT ROWID

ASC INTEGER ROWNUM

AUDITBETWEEN INTERSECT ROWS

BY INTO SELECT

CHAR IS SESSION

CHECK LEVEL SET

CLUSTER LIKE SHARE

COLUMN LOCK SIZE

COMMENT LONG SMALLINT

COMPRESS MAXEXTENTS START

CONNECT MINUS SUCCESSFUL

CREATE MLSLABEL SYNONYM

CURRENT MODE SYSDATE

DATE MODIFY TABLE

Приложение B 87

DECIMAL NOAUDIT THEN

DEFAULT NOCOMPRESS TO

DELETE NOT TRIGGER

DESC NOWAIT UID

DISTINCT NULL UNION

DROP NUMBER UNIQUE

ELSE OF UPDATE

EXCLUSIVE OFFLINE USER

EXISTS ON VALIDATE

FILE ONLINE VALUES

FLOAT OPTION VARCHAR

FOR OR VARCHAR2

FROM ORDER VIEW

GRANT PCTFREE WHENEVER

GROUP PRIOR WHERE

HAVING PRIVILEGES WITH

Рекомендации по составлению надежных паролей

Рекомендуемая длина пароля: от 10 до 30 символов.

Пароль должен представлять собой смешанный набор букв, цифр и символов.

Не рекомендуется:

включать в состав пароля слова и словосочетания;

включать в состав пароля имя пользователя (в т.ч. записанное наоборот);

включать в состав пароля несколько идущих подряд одинаковых символов;

начинать и заканчивать пароль одним и тем же символом;

создавать новый пароль, путем добавления символов к текущему паролю.

ПРИЛОЖЕНИЕ C. РАЗРЕШЕНИЕ ПРОБЛЕМ

В этом приложении:

Проблемы со схемой базы данных (прил. C.1 на стр. 88).

Проблемы с Traffic Monitor Server (прил. C.2 на стр. 92).

C.1. Проблемы со схемой базы данных

В настоящем приложении описываются проблемы, которые могут возникать при создании, обновлении или удалении схемы базы данных.

При запуске Traffic Monitor Create Schema Wizard выдается сообщение о нехватке прав доступа

Инсталлятор был запущен из сетевой папки. В этом случае будет выдано сообщение, подобное тому, которое показано на рисунке:

Решение

Скопируйте инсталлятор схемы базы данных в папку на локальном диске. Затем запустите ин-сталлятор из локальной папки.

При запуске Traffic Monitor Create Schema Wizard выдается сообщение об отсутствии SQLPlus

На компьютере не установлен клиент СУБД Oracle. В результате на экран будет выведено уве-домление об ошибке:

Решение

Установите клиент СУБД Oracle как описано в приложении A.2 на стр. 82.

При нажатии кнопки Старт появляется сообщение об ошибке ORA-12154

При настройке параметров создания (обновления/удаления) схемы базы данных неверно указано имя сервера базы данных. В результате на экран будет выведено уведомление об ошибке:

Решение

Запустите повторно процесс создания (обновления/удаления) схемы базы данных и при настройке параметров соединения введите корректное имя сервера базы данных.

Настройка параметров соединения с сервером описывается в следующих разделах:

Создание схемы базы данных (п. 3.1.2 на стр. 30).

Обновление схемы базы данных (п. 4.3.2 на стр. 67).

Удаление схемы базы данных (п. 5.1.2 на стр. 71).

Приложение C 89

При нажатии кнопки Старт появляется сообщение об ошибке ORA-01017

При настройке параметров обновления/удаления схемы базы данных неверно указано имя и/или пароль владельца схемы базы данных. В результате на экран будет выведено уведомление об ошибке:

Решение

Запустите повторно процесс обновления/удаления схемы базы данных и при настройке парамет-ров учетной записи введите корректное имя владельца схемы базы данных.

Настройка параметров учетной записи владельца схемы базы данных описывается в следующих разделах:

Обновление схемы базы данных (п. 4.3.2 на стр. 67).

Удаление схемы базы данных (п. 5.1.2 на стр. 71).

90 InfoWatch Traffic Monitor Enterprise 3.5

При нажатии кнопки Старт появляется сообщение об ошибке ORA-12560 или ошибка SQL*Plus

При настройке параметров создания (обновления/удаления) схемы базы данных неверно указан один или несколько следующих параметров: имя сервера базы данных, имя и/или пароль вла-дельца схемы базы данных. В результате на экран будет выведено уведомление об ошибке ORA-12560:

или сообщение SQL*Plus:

Решение

Запустите повторно процесс создания (обновления/удаления) схемы базы данных и при настройке параметров соединения введите корректное имя сервера базы данных. При обновлении/удалении схемы базы данных укажите корректные имя и пароль владельца обновляемой/удаляемой схемы базы данных.

Приложение C 91

В частности, корректные значения параметров не должны содержать служебные символы (пробе-лы, тире и пр.).

Настройка параметров схемы базы данных описывается в следующих разделах:

Создание схемы базы данных (п. 3.1.2 на стр. 30).

Обновление схемы базы данных (п. 4.3.2 на стр. 67).

Удаление схемы базы данных (п. 5.1.2 на стр. 71).

При нажатии кнопки Старт появляется сообщение об ошибках ORA-20000 и ORA-06512

Ошибка возникает в следующих случаях:

схема базы данных уже обновлена до выбранной версии;

версия текущей схемы базы данных, отличается от версии, указанной при выборе варианта об-новления.

В результате на экран будет выведено уведомление об ошибке:

Решение

Проверьте версию текущей схемы базы данных (запрос выполняется от имени владельца схемы базы данных):

SELECT vers.get_schema_version

FROM dual

Выберите вариант обновления, подходящий для вашей текущей схемы безопасности.

Примечание:

Версия, до которой будет обновлена схема базы данных, отображается в заголовке окна мас-тера обновления схемы (см. рисунок 24).

Удаление схемы завершается ошибкой

Если во время попытки удаления схемы базы данных происходит работа заданий индексации, то эта попытка завершится ошибкой. В результате на экран будет выведено следующее уведомле-ние:

Решение

Повторите попытку удаления схемы базы данных по окончании работы заданий индексации.

Подготовка к удалению схемы базы данных описана в п. 5.1.1 на стр. 70.

92 InfoWatch Traffic Monitor Enterprise 3.5

C.2. Проблемы с Traffic Monitor Server

При запуске процессов iw_messed, iw_deliverd выдается сообщение о том, что не найдены дина-мические библиотеки СУБД Oracle

В скрипте автозапуска iw-trafmon неверно задана переменная окружения ORACLE_HOME.

Решение

Откройте скрипт автозапуска серверной части:

/usr/local/infowatch/tm3/bin/scripts/iw-autorestart.sh

Проверьте значение переменной окружения ORACLE_HOME. Это значение должно совпадать со

значением ORACLE_HOME, заданным при установке сервера СУБД Oracle.

При запуске процессов iw_messed, iw_deliverd выдается сообщение о том, что нет прав на загруз-ку динамических библиотек СУБД Oracle

Некорректно выполнена установка Traffic Monitor Server.

Решение

Необходимо включить пользователя – владельца Traffic Monitor Server (от имени которого запус-

каются процессы Traffic Monitor Server) – в группу oinstall (группа владельца инсталляции кли-

ента СУБД Oracle) (см. п. 3.2.1 на стр. 40).

Учетная запись пользователя Linux части заблокирована

При установке Traffic Monitor Server был указан неверный пароль пользователя Linux части.

Решение

Для того чтобы разблокировать учетную запись пользователя Linux части, необходимо выполнить следующие действия:

1. Остановить все процессы Traffic Monitor Server, выполнив команду:

service iw-trafmon stop

2. В файле /usr/local/infowatch/tm3/etc/tm.conf указать корректные имя и пароль поль-

зователя Linux части (секция [ORACLE], параметры Username и Password, соответственно).

3. Разблокировать учетную запись пользователя Linux части, выполнив в SQL *Plus команду:

ALTER USER имя_пользователя_Linux_части ACCOUNT UNLOCK

4. Запустить все процессы Traffic Monitor Server, выполнив команду:

service iw-trafmon start

ПРИЛОЖЕНИЕ D. ЛИЦЕНЗИИ ТРЕТЬИХ

СТОРОН

При создании Системы были использованы разработки третьих сторон, распространяемые на условиях лицензии MIT (http://www.opensource.org/licenses/mit-license.html):

Lua – http://www.lua.org/license.html

LuaBind – http://www.rasterbar.com/products/luabind.html

libxml2 – http://www.xmlsoft.org/

Также использовалось программное обеспечение:

распространяемое на условиях лицензий BSD (http://www.opensource.org/licenses/bsd-license.php):

­ Stringencoders – http://code.google.com/p/stringencoders/

распространяемое на условиях GNU GENERAL PUBLIC LICENSE (http://www.gnu.org/licenses/gpl-2.0.html):

­ Pdftotext http://www.foolabs.com/xpdf/

­ Tnef http://sourceforge.net/projects/tnef/

­ Unzip http://www.info-zip.org/UnZip.html

­ libcole.so [email protected]; [email protected]

­ libhtmltree.so [email protected]

ГЛОССАРИЙ

HTTP-запрос

Запрос, удовлетворяющий требованиям протокола HTTP (POST-запрос, GET-запрос и т. д.).

ICQ-сообщение

Сообщение, передаваемое по протоколу ICQ.

InfoWatch Device Monitor

Система, предназначенная для контроля за доступом пользователей к периферийным устройст-вам и мониторинга операций по созданию файлов на съемных устройствах.

InfoWatch Traffic Monitor Management Console

Графический интерфейс пользователя. Предназначен для управления системой InfoWatch Traffic Monitor (администрирование Системы, настройка конфигурации, анализ объектов и т. п.).

Management Console

См.: InfoWatch Traffic Monitor Management Console

SMTP-письмо

Письмо, удовлетворяющее требованиям протокола SMTP.

SPAN

Switched Port Analyzer. Функция, позволяющая принимать копию трафика, проходящего через ком-мутаторы CISCO

Switched Port Analyzer

См. SPAN порт

Traffic Monitor Server

Компонент InfoWatch Traffic Monitor, включающий в себя несколько подсистем, предназначенных для выполнения задач контроля и анализа объектов.

XML-контекст

Содержимое (текст, заголовки, архивы, вложения и т.п.), извлекаемое из объекта при обработке на Traffic Monitor Server.

Кластер

Группа серверов, использующихся как единый ресурс. В рамках InfoWatch Traffic Monitor кластер организуется из нескольких экземпляров Traffic Monitor Server.

Режим копии

Один из транспортных режимов системы InfoWatch Traffic Monitor. В этом режиме реальный трафик не проходит через Систему. Анализу подвергается копия трафика. В данном режиме невозможна фильтрация трафика средствами Системы

См. также: Транспортный режим

Нормальный транспортный режим

Режим, в котором выполняется анализ и фильтрация проходящего трафика.

См. также: Транспортный режим

Глоссарий 95

Подсистема анализа и принятия решений

Выполняет общий анализ объектов. На основании данных общего и контентного анализа принима-ет решения по дальнейшим действиям над объектами.

Почтовый агент

В системе электронной почты – агент для пересылки почтовых сообщений (Mail Transfer Agent).

Прозрачный транспортный режим

Режим, в котором трафик передается через Систему без фильтрации. Задачей Системы является только анализ перехваченного трафика

См. также: Транспортный режим

Сервер контентного анализа

Принимает тексты от подсистемы анализа и принятия решений. Контентный анализ позволяет вы-явить текст, содержание которого нарушает корпоративную политику безопасности.

СУБД

Система управления базами данных.

Теневая копия файла

Копия файла, создаваемого на съемном устройстве. Создается только при успешном завершении операции сохранения файла на съемное устройство. Анализ теневых копий файлов выполняется в системе InfoWatch Traffic Monitor.

Транспортный режим

Определяет степень контроля за доставкой объектов получателям. Обязательный атрибут объек-та. Назначается в процессе анализа объекта на DAE и впоследствии не может быть изменен. В сочетании с атрибутом Вердикт определяет возможность дальнейшей транспортировки объекта (атрибут Состояние доставки). Обязательный атрибут объекта.

См. также: Режим копии, Нормальный транспортный режим, Прозрачный транспортный режим

УКАЗАТЕЛЬ

I

InfoWatch Traffic Monitor ………………………………….. 8

iw_lickey ……………………………………………………….. 45

P

Postfix …………………………………………………….. 42, 43

А

Администратор пользователей ……………….. 33, 34

В

Входящая почта

настройка IP-адреса …………………………………. 41

настройка порта ……………………………………….. 42

И

Исходящая почта

доменное имя компьютера ……………………….. 42

порт компьютера ………………………………………. 42

К

Клиент СУБД Oracle ……………………………………… 42

Л

Лицензионный ключ

iw_customer.dat …………………………………… 45, 47

iw_licence.dat ………………………………………. 45, 47

Лицензирование

iw_lickey …………………………………………………… 45

П

Пользователь

root ………………………………………………………….. 41

владелец Traffic Monitor Server………………….. 41

владелец инсталляции клиента Oracle ……… 41

Пользователь Linux части ……………………………..35

Почтовый агент …………………………………………….42

Р

Рапорт

дополнительная настройка ………………………..61

С

Сервер СУБД Oracle

установка и конфигурация базы данных (Linux) …………………………………………………..77

СУБД Oracle

tnsnames.ora ……………………………………………..43

параметры соединения ……………………………..42

Схема базы данных

параметры обновления ……………………………..67

параметры удаления …………………………………71

параметры установки ………………………………..31

подготовка к обновлению …………………………..65

подготовка к созданию ………………………………30

подготовка к удалению ………………………………70

рекомендации по созданию ……………………….28

Т

Табличное пространство

ежедневное ……………………………………….. 28, 37

основное …………………………………………………..28

Ф

Файл данных ………………………………………….. 29, 36

Ц

Циклическая файловая система ……………… 29, 38

InfoWatch Traffic Monitor
Руководство по установке и конфигурированию

I N F O WAT C H T R A F F I C M O N I TO R

Руководство по установке и
   конфигурированию

                    © ЗАО "ИнфоВотч"
    Тел. +7 (495) 229-00-22 • Факс +7 (495) 229-00-22
                  http://www.infowatch.ru/

             Дата редакции: март 2009 года

СОДЕРЖАНИЕ
ВВЕДЕНИЕ.............................................................................................................................................................................. 6
  Аудитория........................................................................................................................................................................... 6
  Структура руководства..................................................................................................................................................... 6
  Дополнительная документация ...................................................................................................................................... 6
  Условные обозначения .................................................................................................................................................... 7

ГЛАВА 1. ВВЕДЕНИЕ В INFOWATCH TRAFFIC MONITOR ............................................................................................ 8
  1.1. Основные сведения о Системе ............................................................................................................................... 8
  1.2. Состав Системы......................................................................................................................................................... 8
  1.3. Транспортные режимы InfoWatch Traffic Monitor................................................................................................... 9
  1.4. Информация о лицензии .......................................................................................................................................... 9

ГЛАВА 2. ПОДГОТОВКА К УСТАНОВКЕ.......................................................................................................................... 10
  2.1. Схема развертывания Системы............................................................................................................................ 10
  2.2. Аппаратные и программные требования ............................................................................................................. 11
     2.2.1. Traffic Monitor Server. Транспортные режимы: нормальный, прозрачный, обычная копия .................. 11
     2.2.2. Traffic Monitor Server. Транспортный режим: SPAN-копия......................................................................... 12
     2.2.3. Сервер СУБД Oracle........................................................................................................................................ 14
     2.2.4. Management Console ....................................................................................................................................... 15

ГЛАВА 3. УСТАНОВКА СИСТЕМЫ ................................................................................................................................... 17
  3.1. Схема базы данных ................................................................................................................................................. 17
     3.1.1. Подготовка к созданию схемы базы данных ............................................................................................... 17
     3.1.2. Рекомендации по созданию схемы базы данных ....................................................................................... 17
     3.1.3. Создание схемы базы данных ....................................................................................................................... 18
  3.2. Traffic Monitor Server. Транспортные режимы: нормальный, прозрачный, обычная копия .......................... 23
     3.2.1. Состав Traffic Monitor Server........................................................................................................................... 23
     3.2.2. Рекомендации по установке........................................................................................................................... 24
     3.2.3. Установка и настройка .................................................................................................................................... 24
  3.3. Traffic Monitor Server. Транспортный режим SPAN-копия.................................................................................. 27
     3.3.1. Рекомендации по установке........................................................................................................................... 27
     3.3.2. Установка и настройка Sniffer......................................................................................................................... 30
     3.3.3. Установка и настройка Traffic Monitor Server ............................................................................................... 31
     3.3.4. Установка и настройка Forwarder .................................................................................................................. 33
  3.4. Подсистема загрузки объектов в удаленную базу данных ............................................................................... 34
     3.4.1. Настройка подсистемы на стороне сервера – загрузчика объектов........................................................ 35
     3.4.2. Создание копии подсистемы на стороне сервера – загрузчика объектов.............................................. 37
     3.4.3. Настройка подсистемы на стороне сервера – перехватчика объектов .................................................. 39
     3.4.4. Настройка протоколирования работы сценариев....................................................................................... 41
  3.5. Management Console ............................................................................................................................................... 41
     3.5.1. Рекомендации по установке........................................................................................................................... 42
     3.5.2. Описание установки ........................................................................................................................................ 42
     3.5.3. Дополнительная настройка для отправки рапорта .................................................................................... 42
  3.6. Лицензирование....................................................................................................................................................... 43
     3.6.1. Особенности использования лицензионного ключа .................................................................................. 43
     3.6.2. Установка лицензионного ключа ................................................................................................................... 44
     3.6.3. Замена лицензионного ключа........................................................................................................................ 44

4                                                                                                                                          InfoWatch Traffic Monitor
ГЛАВА 4. НАСТРОЙКА СИСТЕМЫ................................................................................................................................... 46
4.1. Режимы работы Transparent Proxy при перехвате HTTP-трафика .................................................................. 46
4.2. Сбор информации о пользователях, выполняющих HTTP-запросы............................................................... 47
4.3. Настройка файла tm.conf........................................................................................................................................ 48
4.3.1. Секция [GENERAL] .......................................................................................................................................... 48
4.3.2. Секция [AUTO_RESTART] .............................................................................................................................. 49
4.3.3. Секция [SMTPD] ............................................................................................................................................... 49
4.3.4. Секция [MESSED] ............................................................................................................................................ 50
4.3.5. Секция [DELIVERD].......................................................................................................................................... 51
4.3.6. Секция [SNIFFER] ............................................................................................................................................ 51
4.3.7. Секция [QUEUE]............................................................................................................................................... 51
4.3.8. Секция [PROXY] ............................................................................................................................................... 52
4.3.9. Секция [PROXY_ICQ] ...................................................................................................................................... 52
4.3.10. Секция [PROXY_HTTP] ................................................................................................................................. 53
4.3.11. Секция [PROXY_SMTP] ................................................................................................................................ 55
4.3.12. Секция [FORWARDER] ................................................................................................................................. 55
4.3.13. Секция [CAS]................................................................................................................................................... 56
4.3.14. Секция [DBLOADER] ..................................................................................................................................... 57
4.3.15. Секция [FILTER] ............................................................................................................................................. 57
4.3.16. Секция [ORACLE]........................................................................................................................................... 57
4.3.17. Секция [EXPRESSD]...................................................................................................................................... 57
4.3.18. Секция [DEVMON].......................................................................................................................................... 58
4.3.19. Секция [EXTRACTOR]................................................................................................................................... 58
4.3.20. Секция [UPDATER] ........................................................................................................................................ 58
4.3.21. Секция [SNMPD]............................................................................................................................................. 58
4.3.22. Секция [LDAP]................................................................................................................................................. 59
4.4. Настройка расширенного протоколирования...................................................................................................... 59
4.5. Обработка архивов и вложений. Настройка файла Detector.conf.................................................................... 59
4.6. Настройка интеграции с Postfix.............................................................................................................................. 60
4.7. Перенаправление HTTP-трафика в нормальном и прозрачном транспортном режимах............................ 62
4.7.1. Настройка iptables для передачи HTTP-трафика через Transparent Proxy............................................. 62
4.7.2. Настройка пользовательских компьютеров для работы по протоколу HTTP ........................................ 64
4.8. Перенаправление ICQ-трафика в нормальном и прозрачном транспортном режимах............................... 64
4.8.1. Настройка iptables для передачи ICQ-трафика через Transparent Proxy................................................ 64
4.8.2. Настройка пользовательских компьютеров для работы по протоколу ICQ ........................................... 66
ГЛАВА 5. ОБНОВЛЕНИЕ СИСТЕМЫ ............................................................................................................................... 67
5.1. Порядок обновления Системы .............................................................................................................................. 67
5.1.1. Подготовка к обновлению Системы.............................................................................................................. 67
5.2. Обновление схемы базы данных .......................................................................................................................... 67
5.3. Обновление Traffic Monitor Server ......................................................................................................................... 69
ГЛАВА 6. УДАЛЕНИЕ СИСТЕМЫ...................................................................................................................................... 71
6.1. Удаление схемы базы данных............................................................................................................................... 71
6.1.1. Подготовка к удалению схемы базы данных............................................................................................... 71
6.1.2. Описание процесса удаления........................................................................................................................ 71
6.2. Удаление Traffic Monitor Server .............................................................................................................................. 72
6.3. Удаление Management Console............................................................................................................................. 73
ПРИЛОЖЕНИЕ A. РЕКОМЕНДАЦИИ ПО УСТАНОВКЕ СУБД ORACLE.................................................................... 74
A.1. Сервер СУБД Oracle ............................................................................................................................................... 74
A.1.1. Рекомендации по установке сервера СУБД Oracle.................................................................................... 74

Содержание                                                                                                                                                                           5
A.1.2. Подготовка к установке................................................................................................................................... 74
A.1.3. Установка сервера СУБД Oracle ................................................................................................................... 76
A.2. Клиент СУБД Oracle ................................................................................................................................................ 86
A.2.1. Рекомендации по установке клиента СУБД Oracle на платформу Linux................................................ 86
A.2.1.1. Подготовка к установке........................................................................................................................... 87
A.2.1.2. Установка клиента СУБД Oracle............................................................................................................ 88
A.2.2. Рекомендации по установке клиента СУБД Oracle на платформу Microsoft Windows ......................... 89
A.2.3. Настройка параметров соединения с сервером СУБД Oracle ................................................................. 89
A.2.4. Проверка взаимодействия между клиентом и сервером Oracle.............................................................. 90
ПРИЛОЖЕНИЕ B. РАЗРЕШЕНИЕ ПРОБЛЕМ ................................................................................................................ 91
B.1. Проблемы со схемой базы данных....................................................................................................................... 91
B.2. Проблемы с Traffic Monitor Server ......................................................................................................................... 94
ГЛОССАРИЙ......................................................................................................................................................................... 95
УКАЗАТЕЛЬ .......................................................................................................................................................................... 98

ВВЕДЕНИЕ
InfoWatch Traffic Monitor (далее InfoWatch Traffic Monitor или Система) – это распределенная многоком-
понентная система, предназначенная для контроля над различными видами трафика (SMTP, HTTP, ICQ),
а также над данными, поступающими от системы InfoWatch Device Monitor.
В настоящем руководстве вы можете найти сведения по установке и настройке InfoWatch Traffic Monitor.
Аудитория
Информация, содержащаяся в руководстве, предназначена для пользователей, выполняющих установку
и настройку InfoWatch Traffic Monitor.
Руководство рассчитано на пользователей, знакомых с основами работы в среде той операционной сис-
темы, в которой выполняется установка компонентов InfoWatch Traffic Monitor (Linux, Microsoft Windows).
InfoWatch Traffic Monitor взаимодействует с базой данных, находящейся под управлением СУБД Oracle.
Поэтому при настройке Системы также необходимы навыки администрирования СУБД Oracle.
Структура руководства
В состав руководства входят следующие разделы:
• Глава 1. Введение в InfoWatch Traffic Monitor (стр. 8).
Содержит общие сведения о Системе.
• Глава 2. Подготовка к установке (стр. 10).
Описывает требования к аппаратному и программному обеспечению, необходимому для работы
Системы; порядок установки компонентов Системы.
• Глава 3. Установка системы (стр. 17).
Содержит рекомендации по установке компонентов Системы и описание установки. Также здесь
описываются правила получения и установки лицензионного ключа.
• Глава 4. Настройка системы (стр. 46).
В разделе рассматриваются вопросы, связанные с настройкой Системы (настройка конфигураци-
онных файлов, организация взаимодействия между компонентами Системы и пр.).
• Глава 5. Обновление системы (стр. 67).
В разделе содержится информация по обновлению компонентов Системы.
• Глава 6. Удаление системы (стр. 71).
Приводятся сведения по удалению компонентов Системы.
• Приложение A. Рекомендации по установке СУБД Oracle (стр. 74).
Содержит рекомендации по установке серверной и клиентской части СУБД Oracle. Также здесь
приводятся рекомендации по настройке взаимодействия между базой данных и другими компонен-
тами Системы.
• Приложение B. Разрешение проблем (стр. 91).
В приложении описываются проблемы, которые могут возникнуть в процессе установки и настрой-
ки Системы, а также способы их разрешения.
Дополнительная документация
Сведения по некоторым дополнительным вопросам вы можете найти в следующих документах:
• «InfoWatch Traffic Monitor. Руководство пользователя».

Введение                                                                                           7
В документе описывается работа с InfoWatch Traffic Monitor (настройка конфигурации, экс-
порт/импорт данных, правила составления сценария обработки объектов).
• «InfoWatch Device Monitor. Руководство пользователя»
Содержит описание принципов работы системы InfoWatch Device Monitor.
В настоящем руководстве не рассматриваются вопросы установки и настройки СУБД Oracle. За получе-
нием необходимых сведений вы можете обратиться к соответствующей документации.
Условные обозначения
Для наглядности в тексте документации используются различные стили оформления. Области примене-
ния стилей указаны в таблице 1.
Таблица 1. Стили оформления
Стиль оформления                                  Область применения
Полужирный шрифт                                  Названия программ (при первом упоминании), эле-
ментов графического пользовательского интер-
фейса. Выделение терминов, определений
Курсив                                            Названия документов, оглавление в начале разде-
лов и подразделов документа. При описании таб-
лиц – названия и значения атрибутов. Выделение
некоторых элементов текста (если не предусмот-
рены другие стили оформления)
Шрифт Courier New                                 Имена файлов, примеры текста программ. При
описании конфигурационных файлов – значения
параметров, примеры настройки
ШРИФТ COURIER NEW (ВЕРХНИЙ РЕГИСТР)               Названия переменных, параметров (при описании
конфигурационных файлов), ключевые слова SQL,
инструкции PL/SQL, типы данных, привилегии
В таблице 2 приводятся условные обозначения, используемые при описании командной строки.
Таблица 2. Условные обозначения для командной строки
Условное обозначение                              Расшифровка
Шрифт Courier New                                 Команды и параметры
Шрифт Courier New (курсив)                        Значения, вводимые пользователем
[Параметр]                                        Необязательные параметры
Значение 1 | Значение 2                           Набор, из которого нужно указать одно значение

ГЛАВА 1. ВВЕДЕНИЕ В INFOWATCH TRAFFIC
MONITOR
В этой главе содержится следующая информация:
• Основные сведения о Системе (п. 1.1 на стр. 8).
• Состав Системы (п. 1.2 на стр. 8).
• Транспортные режимы InfoWatch Traffic Monitor (п. 1.3 на стр. 9).
• Информация о лицензии (п. 1.4 на стр. 9).
1.1. Основные сведения о Системе
Назначение InfoWatch Traffic Monitor заключается в контроле над информационными потоками, которые
передаются по протоколам SMTP, HTTP, ICQ. Кроме того, в Системе осуществляется анализ данных,
полученных от InfoWatch Device Monitor.
Основные функции InfoWatch Traffic Monitor:
• перехват трафика данных, передаваемых по протоколам SMTP, HTTP, ICQ (OSCAR);
Примечание!
При использовании перехватчика ICQ-трафика передача файлов по протоколу ICQ не поддержи-
вается.
• анализ содержимого перехваченного трафика с целью выявления нарушений корпоративной поли-
тики безопасности;
• фильтрация трафика путем выдачи разрешения/запрещения на доставку определенных данных;
• анализ данных (теневых копий файлов), полученных от системы InfoWatch Device Monitor с целью
выявления нарушений корпоративной политики безопасности.
1.2. Состав Системы
Компоненты, входящие в состав InfoWatch Traffic Monitor, перечислены в таблице 3.
Таблица 3. Компоненты InfoWatch Traffic Monitor
Компонент                                           Назначение
Traffic Monitor Server                              Контроль и анализ трафика, передаваемого по
протоколам SMTP, HTTP, ICQ.
включает в себя отдельные подсистемы для: кон-
троля SMTP-трафика; доставки и анализа объектов     Анализ теневых копий файлов, передаваемых от
InfoWatch Device Monitor; контроля HTTP- и ICQ-     InfoWatch Device Monitor.
трафика (Transparent Proxy)
Контентный анализ текстовых данных,
а также подсистемы анализа: Decision and Analysis
Принятие решения о дальнейших действиях над
Engine (DAE) (интегрирована с подсистемами кон-
объектами, прошедшими анализ.
троля), Content Analysis Server (CAS)
Загрузка информации в локальную или удаленную
и подсистему загрузки объектов в удаленную базу
базу данных
данных
Management Console                                  Управление Системой

Введение в InfoWatch Traffic Monitor                                                              9
Компонент                                          Назначение
CreateSchemaWizard                                 Создание/обновление/удаление схемы базы дан-
ных
1.3. Транспортные режимы InfoWatch Traffic
Monitor
Система InfoWatch Traffic Monitor имеет три транспортных режима: нормальный, прозрачный и режим ко-
пии. Условия, в соответствии с которыми определяется транспортный режим для различных объектов
(SMTP-писем, HTTP-запросов и др.), задаются при обработке объектов в Системе.
Различие между режимами работы заключается в особенностях транспортировки объектов.
Нормальный режим. Перехват, анализ и дальнейшая транспортировка объектов выполняется посред-
ством InfoWatch Traffic Monitor. В этом режиме возможность доставки объекта получателям зависит от
результатов анализа объекта.
Прозрачный режим. Отличается от предыдущего режима только тем, что доставка объекта получате-
лям осуществляется всегда (т.е. вне зависимости от результатов анализа).
Режим копии. В данном режиме InfoWatch Traffic Monitor получает копии объектов. Отличие режима ко-
пии от двух других заключается в том, что транспортировка объектов выполняется без участия Системы.
Таким образом, задачей Системы является только анализ объектов. В Системе поддерживаются две
разновидности этого режима: обычная копия и SPAN-копия.
Режим обычной копии поддерживается только для SMTP-трафика. При этом копия трафика поступает от
корпоративного почтового сервера.
В режиме SPAN-копии передача трафика осуществляется через коммутатор CISCO. Копия трафика, про-
ходящего через коммутатор, перехватывается компонентом Sniffer и затем передается на анализ.
1.4. Информация о лицензии
Функциональность Системы зависит от выбранной лицензии. Лицензированию подвергаются компонен-
ты, отвечающие за перехват трафика SMTP, HTTP, ICQ, а также за прием объектов от системы InfoWatch
Device Monitor.
При выборе лицензии необходимо определить следующее:
• какой трафик будет перехватываться Системой;
• нужно ли принимать данные от InfoWatch Device Monitor.
Прием и, как следствие, фильтрация объектов может осуществляться только лицензированными пере-
хватчиками.
Важная информация!
Прием тех видов трафика, которые не подлежат контролю, должен осуществляться минуя Систему.
Для ознакомления с Системой предусмотрен пробный период длительностью 30 дней. В течение этого
времени Система может эксплуатироваться без установки полной лицензии. Однако если вы планируете
продолжить эксплуатацию Системы, то вам нужно установить лицензию на используемые перехватчики.
В противном случае, по истечении пробного периода работа всех нелицензированных перехватчиков бу-
дет остановлена.
Информация по использованию лицензионного ключа приводится в п. 3.6 на стр. 43.

ГЛАВА 2. ПОДГОТОВКА К УСТАНОВКЕ
В этой главе содержится следующая информация:
• Схема развертывания Системы (п. 2.1 на стр. 10).
• Аппаратные и программные требования (п. 2.2 на стр. 11).
2.1. Схема развертывания Системы
Шаг 1. Подготовка к созданию базы данных
Перед развертыванием Системы необходимо выполнить установку сервера СУБД Oracle. Рекомендации
по установке сервера базы данных приводятся в приложении A.1 на стр. 74.
К началу развертывания Системы сервер СУБД Oracle должен быть установлен и запущен.
Шаг 2. Проверка аппаратных и программных требований к Системе
Перед тем как устанавливать Систему убедитесь, что для каждого компонента соблюдены необходимые
аппаратные и программные требования (п. 2.2 на стр. 11).
Шаг 3. Проверка характеристик канала передачи данных (только для работы с
удаленной базой данных)
Если перехваченные объекты необходимо загружать в удаленную базу данных (п. 3.4 на стр. 34), то убе-
дитесь, что канал передачи данных удовлетворяет характеристикам, приведенным в таблице 4.
Таблица 4. Требования к каналу для загрузки объектов в удаленную базу данных
Характеристика канала связи                              Требования
Минимальная скорость передачи данных                     128 Кбит/с
Протокол                                                 TCP/IP
Шаг 4. Настройка коммутатора CISCO (только для работы с SMTP, HTTP- и ICQ-
трафиком в режиме SPAN-копии)
Передача трафика в режиме SPAN-копии должна осуществляться через коммутатор Cisco Catalyst 2960
Series.
Примечание:
Допускаются и другие модели коммутаторов с поддержкой функции SPAN.
Требования к дополнительному аппаратному обеспечению, необходимому для работы в режиме SPAN-
копии, приводятся в п. 2.2.2 на стр. 12.
Чтобы организовать передачу SMTP, HTTP- и ICQ-трафика в режиме SPAN-копии, Traffic Monitor Server
должен быть подключен к коммутатору CISCO через SPAN порт. Поэтому после установки и настройки
коммутатора CISCO вам нужно инициализировать SPAN порт (рекомендации по инициализации приво-
дятся в руководстве по установке и настройке коммутатора CISCO).
Шаг 5. Развертывание Системы
Развертывание Системы выполняется в следующем порядке:
1. Создание схемы базы данных (п. 3.1 на стр. 17).
2. Установка Traffic Monitor Server (п. 3.2 на стр. 23).

Подготовка к установке                                                                            11
• транспортный режим нормальный, прозрачный или обычная копия (п. 3.2 на стр. 23);
• транспортный режим SPAN-копия (п. 3.3 на стр. 27).
3. Только при необходимости загружать перехваченные объекты в удаленную базу данных: на-
стройка подсистемы загрузки объектов в удаленную базу данных (п. 3.4 на стр. 34).
4. Установка лицензионного ключа (п. 3.6 на стр. 43).
5. Только при контроле HTTP-трафика в нормальном или прозрачном транспортном режиме: На-
стройка режима работы Transparent Proxy (п. 4.1 на стр. 46).
6. Только при контроле HTTP- или ICQ-трафика в нормальном или прозрачном транспортном ре-
жиме. Настройка перенаправления трафика через Transparent Proxy:
• перенаправление HTTP-трафика (п. 4.7 на стр. 62);
• перенаправление ICQ-трафика (п. 4.8 на стр. 64).
7. Установка Management Console (п. 3.5 на стр. 41).
2.2. Аппаратные и программные требования
В настоящем подразделе приводятся требования к аппаратному и программному обеспечению для каж-
дого компонента Системы:
• Traffic Monitor Server. Транспортные режимы: нормальный, прозрачный, обычная копия (п. 2.2.1 на
стр. 11).
• Traffic Monitor Server. Транспортный режим: SPAN-копия (п. 2.2.2 на стр. 12).
• Сервер СУБД Oracle (п. 2.2.3 на стр. 14).
• Management Console (п. 2.2.4 на стр. 15).
2.2.1. Traffic Monitor Server. Транспортные режимы:
нормальный, прозрачный, обычная копия
Типовая конфигурация Traffic Monitor Server при скорости трафика 50 Мбит/с:
• Сервер: HP DL360 Intel Xeon.
• Процессор: Intel Xeon x86 с частотой 3 ГГц. Требуются 2 процессора с 4 ядрами каждый.
• Оперативная память: 2 Гб.
• Жесткий диск: 160 Гб.
При более высоких скоростях трафика рекомендуется использовать кластеры Traffic Monitor Server. Один
кластер может содержать до 50 экземпляров Traffic Monitor Server включительно. Не рекомендуется ис-
пользовать более 4 кластеров.
Требования к программному обеспечению:
• Операционная система: Red Hat Enterprise Linux ES 4 update 3 x86-32, Red Hat Enterprise Linux
AS 4 update 3 x86-32, Red Hat Enterprise Linux 4 update 5 x86-32.
Важная информация!
При установке операционной системы необходимо выбрать английскую локализацию.
Для корректной работы InfoWatch Traffic Monitor, установите в составе операционной системы сле-
дующие пакеты:
− e2fsprogs,
− glibc,
− iptables,

12                                                                                  InfoWatch Traffic Monitor
Примечание:
Установка iptables выполняется в тех случаях, когда необходим перехват HTTP- и/или ICQ-
трафика в нормальном или прозрачном транспортном режиме.
− krb5-libs,
− libgcc,
− libstdc++,
− libxml2,
− openldap,
− zlib,
− gzip,
− bzip2,
− unzip,
− lha,
− tar.
• Архиваторы: unrar версии 3.6.8, arj версии 3.10.
• Клиент СУБД Oracle версии 11g R1 (11.1.0.6.0).
• Только для контроля SMTP-трафика в режимах: нормальный и прозрачный, обычная копия.
Почтовый сервер: Postfix (входит в состав дистрибутива Red Hat Enterprise Linux 4).
Для загрузки перехваченных объектов в удаленную базу данных (см. п. 3.4 на стр. 34) необходимо
также программное обеспечение, поддерживающее работу по ftp-протоколу:
• Nc FTP Client версии 3.1.6.
Устанавливается на стороне Traffic Monitor Server, расположенного удаленно от базы данных.
• FTP сервер. Допускается использование сервера vsftpd из дистрибутива операционной системы
либо другого FTP-сервера, совместимого с установленной операционной системой.
Устанавливается на стороне Traffic Monitor Server, отвечающего за прием объектов от других эк-
земпляров Traffic Monitor Server и загрузку принятых объектов в базу данных.
2.2.2. Traffic Monitor Server. Транспортный режим:
SPAN-копия
Передача трафика в режиме SPAN-копии должна осуществляться через коммутатор Cisco Catalyst 2960
Series.
Примечание:
Допускаются и другие модели коммутаторов с поддержкой функции SPAN.
При работе в режиме SPAN-копии требуется несколько экземпляров Traffic Monitor Server, выполняющих
различные функции:
• Sniffer. Для приема SPAN-копии трафика.
• Traffic Monitor Server. Для анализа SPAN-копии трафика.
• Forwarder. Используется при наличии нескольких экземпляров Sniffer для распределения трафика
между ними.
Аппаратное и программное обеспечение Traffic Monitor Server описано в п. 2.2.1 на стр. 11.
Аппаратное обеспечение, необходимое для работы Sniffer и Forwarder, указано в таблицах 5 – 7.

Подготовка к установке                                                                                    13
Таблица 5. Sniffer: Требования к процессору, оперативной памяти и жесткому диску
Оборудование          Минимальные требования (при скорости трафика 100 Мбит/с)
Процессор             Core 2 DUO E6750 (частота 2,66 ГГц
Оперативная память    2 Гб
Типовая конфигурация Sniffer при скорости трафика 300 Мбит/с:
• Сервер: HP DL360 Intel Xeon.
• Процессор: Intel Xeon x86 с частотой 3 ГГц. Требуются 2 процессора с 4 ядрами каждый.
• Оперативная память: 2 Гб.
• Жесткий диск: 160 Гб.
Таблица 6. Forwarder: Требования к процессору, оперативной памяти и жесткому диску
Оборудование          Минимальные требования
Процессор             Pentium IV с частотой 3 ГГц и выше
Оперативная память    1 Гб
В таблице 7 приводятся требования к сетевым картам для Sniffer и Forwarder. Необходимое количество
сетевых карт зависит от конфигурации вашей системы:
• На Forwarder одна сетевая карта используется для приема копии трафика от коммутатора CISCO.
Кроме того, нужны дополнительные сетевые карты для каждого экземпляра Sniffer, с которым
взаимодействует Forwarder.
• На Sniffer должны быть установлены две сетевые карты. Одна – для приема копии трафика от
коммутатора CISCO (или от Forwarder). Другая – для взаимодействия с прочими объектами сети. В
частности, вторая сетевая карта используется для передачи трафика на Traffic Monitor Server или
для взаимодействия с базой данных (если Sniffer и Traffic Monitor Server установлены на одном
компьютере).
Таблица 7. Требования к сетевым картам для Sniffer и Forwarder
Общие требования                                       Рекомендуемые модели сетевых карт
Поддержка NAPI и режима Promiscuous mode.
Intel Corporation 82540EM Gigabit Ethernet Controller
Допускается использование сетевых карт серии
Broadcom Corporation NetXtreme II BCM5708 1Gb
Intel PRO/1000 GT
Требования к программному обеспечению
Sniffer:
• Операционная система: Red Hat Enterprise Linux ES 4 update 5 x86-32. Необходимо установить яд-
ро Linux с патчем PF_RING. Ядро поставляется в виде rpm-пакета вместе с дистрибутивом Систе-
мы. Установка ядра описывается в п. 3.3.3 на стр. 31.
Важная информация!
При установке операционной системы необходимо выбрать английскую локализацию.
Если Sniffer и Traffic Monitor Server функционируют на одном компьютере, то потребуется дополнитель-
ное программное обеспечение:
• пакеты в составе операционной системы:
− e2fsprogs,
− glibc,
− krb5-libs,

14                                                                               InfoWatch Traffic Monitor
− libgcc,
− libstdc++,
− libxml2,
− openldap,
− zlib,
− gzip,
− bzip2,
− unzip,
− lha,
− tar.
• Архиваторы: unrar версии 3.6.8, arj версии 3.10.
• Клиент СУБД Oracle версии 11g R1 (11.1.0.6.0).
Дополнительное программное обеспечение для загрузки объектов в удаленную базу данных (см.
п. 3.4 на стр. 34):
• Nc FTP Client версии 3.1.6.
Устанавливается на стороне Traffic Monitor Server, расположенного удаленно от базы данных.
• FTP сервер. Допускается использование сервера vsftpd из дистрибутива операционной системы
либо другого FTP-сервера, совместимого с установленной операционной системой.
Устанавливается на стороне Traffic Monitor Server, отвечающего за прием объектов от других эк-
земпляров Traffic Monitor Server и загрузку принятых объектов в базу данных.
Forwarder:
• Операционная система: Red Hat Enterprise Linux ES 4 update 5 x86-32. Необходимо установить яд-
ро Linux с патчем PF_RING. Ядро поставляется в виде rpm-пакета вместе с дистрибутивом Систе-
мы. Установка ядра описывается в п. 3.3.4 на стр. 33.
Важная информация!
При установке операционной системы необходимо выбрать английскую локализацию.
2.2.3. Сервер СУБД Oracle
Для корректной работы InfoWatch Traffic Monitor необходимо установить сервер СУБД Oracle версии
11.1.0.6.0 с обновлением (Patch Set) 11.1.0.7.
Требования к аппаратному и программному обеспечению
Требования к аппаратному обеспечению, необходимому для установки сервера СУБД Oracle, приведены
в таблице 8.

Подготовка к установке                                                                                    15
Таблица 8. Аппаратное обеспечение сервера СУБД Oracle
Оборудование                                               Рекомендуемые требования
Процессор                                                  Xeon с частотой 2.4 ГГц и выше
Оперативная память                                         4 Гб
Жесткий диск                                               Аппаратный RAID-контроллер (уровень 1 и выше).
Емкость RAID-массива должна составлять не ме-
нее 200 GB (в зависимости от объема трафика пи-
сем, которые будут храниться в базе данных)
Требования к программному обеспечению
Операционная система: Red Hat Enterprise Linux Server release 5.2 x86-32.
В составе операционной системы должны быть установлены следующие пакеты:
• binutils-2.17.50.0.6-2.el5,
• compat-libstdc++-33-3.2.3-61,
• elfutils-libelf-0.125-3.el5,
• elfutils-libelf-devel-0.125,
• gcc-4.1.2-42,
• gcc-c++-4.1.2-42,
• glibc-2.5-24,
• glibc-common-2.5-24,
• glibc-devel-2.5-24,
• glibc-headers-2.5-24,
• libaio-0.3.106,
• libaio-devel-0.3.106,
• libgcc-4.1.2-42,
• libstdc++-4.1.2-42,
• libstdc++-devel-4.1.2-42,
• make-3.81-3,
• sysstat-7.0.2,
• unixODBC-2.2.11,
• unixODBC-devel-2.2.11.
2.2.4. Management Console
Требования к аппаратному обеспечению, необходимому для работы Management Console, перечислены в
таблице 9.
Таблица 9. Аппаратное обеспечение Management Console
Оборудование                        Минимальные требования                Рекомендуемые требования
Процессор                           Celeron с частотой 1.7 ГГц и выше     Pentium IV с частотой 3 ГГц и выше
Оперативная память                  512 Мб                                1 Гб

16                                                                                  InfoWatch Traffic Monitor
Оборудование                  Минимальные требования                Рекомендуемые требования
Жесткий диск                  1 Гб свободного пространства          1 Гб свободного пространства
Виртуальная память            не менее 2 Гб                         не менее 2 Гб
Требования к программному обеспечению:
• Операционная система: Microsoft Windows XP Service Pack 2;
• Microsoft .Net Framework 2.0;
• Клиент СУБД Oracle версии 11g R1 (11.1.0.6.0).

ГЛАВА 3. УСТАНОВКА СИСТЕМЫ
В этой главе содержится следующая информация:
• Схема базы данных (п. 3.1 на стр. 17).
• Traffic Monitor Server. Транспортные режимы: нормальный, прозрачный, обычная копия (п. 3.2 на
стр. 23).
• Traffic Monitor Server. Транспортный режим SPAN-копия (п. 3.3 на стр. 27).
• Подсистема загрузки объектов в удаленную базу данных (п. 3.4 на стр. 34).
• Management Console (п. 3.5 на стр. 41).
• Лицензирование (п. 3.6 на стр. 43).
3.1. Схема базы данных
Перед установкой Traffic Monitor Server необходимо создать схему базы данных. Информация по созда-
нию схемы базы данных содержится в следующих разделах:
• Подготовка к созданию схемы базы данных (п. 3.1.1 на стр. 17).
• Рекомендации по созданию схемы базы данных (п. 3.1.2 на стр. 17).
• Создание схемы базы данных (п. 3.1.3 на стр. 18).
Примечание:
Если у вас имеется установленная схема базы данных, то вы можете выполнить обновление до текущей
версии (см. главу 5 на стр. 67).
3.1.1. Подготовка к созданию схемы базы данных
Для создания схемы базы данных предназначен компонент Traffic Monitor Create Schema Wizard (далее
также или инсталлятор схемы базы данных).
Перед запуском Traffic Monitor Create Schema Wizard необходимо убедиться в том, что:
• запущен сервер СУБД Oracle;
• на компьютере, с которого будет выполняться установка схемы базы данных, установлен и на-
строен клиент СУБД Oracle версии 11g R1 (11.1.0.6.0).
Примечание:
Рекомендации по установке и настройке клиента СУБД Oracle приводятся в приложении A.2 на
стр. 86.
Для создания схемы базы данных необходимо знать имя и пароль учетной записи, обладающей правами
SYSDBA.
Перед созданием схемы необходимо убедиться, что имя, которое будет назначено владельцу схемы ба-
зы данных, уникально в пределах базы данных. Это означает, что в базе данных не должно быть схемы
базы данных и табличного пространства с таким же именем.
3.1.2. Рекомендации по созданию схемы базы данных
Процесс создания схемы базы данных включает в себя создание табличных пространств (основного и
ежедневных), необходимых для работы Системы. Ежедневные табличные пространства предназначены
для хранения объектов (SMTP-писем, HTTP-запросов и пр.), поступающих в Систему. В основном таб-
личном пространстве хранятся данные, необходимые для обработки поступающих данных. При настрой-
ке параметров схемы базы данных вам будет предложено указать ряд параметров, связанных с создани-

18                                                                                InfoWatch Traffic Monitor
ем табличных пространств. Настройка параметров для ежедневных табличных пространств (количество
файлов данных, начальный размер файла данных) выполняется с учетом суммарного объема суточного
трафика объектов, проходящего через Систему. Для оптимальной настройки данных параметров реко-
мендуется оценить максимальный и минимальный объем суточного трафика в пределах определенного
интервала (например, недели). Оценка выполняется только для тех типов трафика, которые отслежива-
ются Системой. Если, например, у вас не установлен HTTP-монитор, то оценку НTTP-трафика проводить
не нужно. Выбор интервала для оценки зависит от того, насколько постоянен этот объем. Пусть, к приме-
ру, трафик имеет различный объем в пределах недели. Тогда рекомендуется оценить минимальный и
максимальный объем суточного трафика на протяжении одной недели.
При определении количества файлов данных необходимо учитывать, что максимальный размер одного
файла данных составляет 30 Гб. Тогда количество файлов данных определяется максимальным объе-
мом трафика. Например, при максимальном объеме суточного трафика 65 Гб необходимо задать значе-
ние данного параметра равным 3.
Начальный размер файла данных можно определить, рассчитав среднесуточный объем трафика за ис-
следуемый период. При этом необходимо учитывать следующее. Если колебания в объеме трафика в
разные периоды времени велики, то часть пространства, выделяемого для файлов данных, может ока-
заться неиспользованной. В то же время, если начальный объем файла данных будет значительно
меньше суточного объема трафика, то потребуется приращение файла данных, что приведет к снижению
производительности Системы. Количество приращений будет зависеть от заданного размера прираще-
ния.
Ежедневные табличные пространства могут храниться либо в одном каталоге, либо распределенно (в
разных каталогах или на разных физических дисках).
Примечание:
Для того чтобы увеличить надежность хранения данных, рекомендуется размещать ежедневные таблич-
ные пространства на разных физических дисках.
Распределенное хранение данных возможно при условии, что используются циклические файловые сис-
темы. Каждый каталог или физический диск, на который могут быть сохранены ежедневные табличные
пространства, является отдельной циклической файловой системой. При создании схемы базы данных
задается количество циклических файловых систем и местоположение файлов данных в каждой такой
системе. Циклические файловые системы используются поочередно. Например, если задано 3 цикличе-
ских файловых системы, то данные будут размещаться следующим образом:
Первый день – ежедневное табличное пространство создается в файловой системе 1.
Второй день – ежедневное табличное пространство создается в файловой системе 2.
Третий день – ежедневное табличное пространство создается в файловой системе 3.
Четвертый день – ежедневное табличное пространство создается в файловой системе 1.
…
Если распределенное хранение данных не требуется, то необходимо установить количество циклических
файловых систем равным 1. В этом случае все табличные пространства будут располагаться в одной
директории.
3.1.3. Создание схемы базы данных
Подготовка к созданию схемы базы данных описывается в пп. 3.1.1 – 3.1.2 на стр. 17 – 17.
Примечание:
Часть параметров, которые нужно указать при создании схемы базы данных, отмечены символом «*».
Такие параметры заполняются в обязательном порядке.
Шаг 1. Запуск инсталлятора схемы базы данных
На диске с дистрибутивом Системы откройте каталог CreateSchemaWizard. В данном каталоге найдите
и запустите файл Setup.exe.
Вы также можете скопировать инсталлятор в папку, расположенную на жестком диске, и запускать ин-
сталлятор из этой папки.

Установка системы                                                                                19
Важная информация!
Инсталлятор схемы базы данных не может быть запущен из сетевой папки.
После этого на экран будет выведено окно Мастер работы с БД.
Шаг 2. Выбор типа установки
В окне Мастер работы с БД выберите вариант Установка новой схемы БД и нажмите на кнопку OK.
После этого на экран будет выведено окно мастера установки схемы БД.
Шаг 3. Настройка параметров соединения с сервером базы данных
В окне мастера установки схемы БД (см. рис. 1) укажите параметры соединения с сервером базы данных:
• Database. Псевдоним сервера, на котором установлена база данных (псевдоним выбирают из пе-
речисленных в файле tnsnames.ora).
• SYSDBA. Имя учетной записи, обладающей правами SYSDBA (например, SYS).
• SYSDBA password. Пароль учетной записи SYSDBA.
Рисунок 1. Параметры соединения с сервером базы данных
Нажмите кнопку Вперед.
Шаг 4. Настройка параметров учетной записи владельца схемы БД
Укажите параметры, необходимые для создания учетной записи владельца схемы базы данных (см.
рис. 2):
• Владелец схемы БД. Имя учетной записи владельца схемы базы данных.
Важная информация!
Имя владельца базы данных должно быть уникальным в пределах базы данных. Это означает, что
в базе данных не должно быть схемы базы данных и табличного пространства с таким же именем.
Если схема базы данных с таким именем уже существует, то установить новую схему с этим же
именем можно, только если будет установлен флажок в поле Удалить, если существует. При
этом сначала удаляется существующая схема базы данных и табличное пространство, а затем
создается новая схема базы данных и новое табличное пространство с таким же именем.

20                                                                                     InfoWatch Traffic Monitor
Важная информация!
Устанавливать флажок в поле Удалить, если существует нужно только в том случае, если ранее
схема базы данных была создана некорректно.
• Пароль владельца схемы БД, Подтвердить пароль. Пароль учетной записи.
Примечание:
Пароль задается в соответствии с указаниями документации для СУБД Oracle.
Рисунок 2. Настройка учетной записи владельца схемы базы данных
Нажмите кнопку Вперед.
Шаг 5. Настройка параметров учетной записи администратора пользователей
Для первой настройки Management Console используется учетная запись администратора пользовате-
лей, имеющая ограниченный набор прав.
Примечание:
Информация о функциях администратора пользователей приводится в документе «InfoWatch Traffic Moni-
tor. Руководство пользователя».
Укажите параметры, необходимые для создания учетной записи администратора пользователей (см.
рис. 3):
• Администратор пользователей. Имя учетной записи администратора пользователей. (К имени
администратора пользователей рекомендуется добавить суффикс _ADM.)
Важная информация!
Имя учетной записи администратора пользователей должно быть уникальным в пределах базы
данных. Это означает, что в базе данных не должно быть схемы базы данных с таким же именем.
• Пароль администратора пользователей, Подтвердить пароль. Пароль учетной записи.

Установка системы                                                                      21
Рисунок 3. Настройка учетной записи администратора пользователей
Нажмите кнопку Вперед.
Шаг 6. Настройка параметров основного табличного пространства
Настройте параметры файла данных для основного табличного пространства (см. рис. 4):
• путь к файлу данных для основного табличного пространства.
• начальный размер файла данных (в Мб);
• размер приращения – величину, на которую будет расширяться файл данных (в Мб).
Рисунок 4. Параметры основного табличного пространства
Нажмите кнопку Вперед.
Шаг 7. Настройка параметров ежедневных табличных пространств
Настройте параметры для ежедневных табличных пространств (см. рис. 5):
• число файлов данных, которые будут содержаться в одном табличном пространстве.
• начальный размер файла данных (в Мб);

22                                                                               InfoWatch Traffic Monitor
• размер приращения – величину, на которую будет расширяться файл данных (в Мб).
• лаг времени (в днях) – дополнительный интервал, для которого будут созданы ежедневные таб-
личные пространства. Каждый день в базе данных создаются табличные пространства на текущий
и на следующий день. Лаг времени позволяет задать дополнительный интервал, для которого бу-
дут созданы ежедневные табличные пространства. Например, если лаг времени составляет 1
день, то будут созданы ежедневные табличные пространства на текущий день и на два после-
дующих дня (т.е. табличные пространства, необходимые для работы в течение 3 дней).
Рисунок 5. Параметры ежедневных табличных пространств
Нажмите кнопку Вперед.
Шаг 8. Настройка параметров файловой системы
Укажите параметры циклических файловых систем (см. рис. 6):
• количество циклических файловых систем (максимальное количество 10 файловых систем).
• местоположение файлов данных (отдельно для каждой файловой системы).
Примечание:
Если количество файловых систем превышает 5, то нажмите кнопку Вперед и укажите путь к остальным
файловым системам.

Установка системы                                                                                 23
Рисунок 6. Параметры циклических файловых систем
Нажмите кнопку Вперед. Чтобы начать установку, нажмите кнопку Старт.
3.2. Traffic Monitor Server. Транспортные
режимы: нормальный, прозрачный, обычная
копия
В разделе содержится информация, необходимая для установки Traffic Monitor Server:
• Состав Traffic Monitor Server (п. 3.2.1 на стр. 23).
• Рекомендации по установке (п. 3.2.2 на стр. 24).
• Установка и настройка (п. 3.2.3 на стр. 24).
3.2.1. Состав Traffic Monitor Server
Traffic Monitor Server включает в себя ряд подсистем, к которым, в частности, относятся:
• Подсистема контроля SMTP-писем (нормальный и прозрачный транспортный режим). Включает в
себя демоны iw_smtpd, iw_messed (интегрированный с DAE), iw_deliverd.
• Transparent Proxy.  Прокси-сервер, предназначенный для контроля HTTP-запросов и ICQ-
сообщений (в любом транспортном режиме). Для работы с каждым типом объектов запускается
отдельный экземпляр Transparent Proxy (демон iw_proxy с интегрированным DAE).
• Подсистема анализа теневых копий файлов, полученных от InfoWatch Device Monitor. Включает в
себя демон iw_expressd, интегрированный с DAE.
Decision and Analysis Engine (DAE) – подсистема анализа и принятия решения. В задачи DAE входит ана-
лиз объектов и последующая обработка объектов по результатам анализа. В состав Traffic Monitor Server
входит несколько экземпляров DAE. Каждый экземпляр DAE интегрирован с одним из демонов, прини-
мающих объекты. Таким образом, количество экземпляров DAE определяется количеством установлен-
ных перехватчиков.
Для проведения контентного анализа в состав Traffic Monitor Server входит Content and Analysis Server
(CAS). Задачей CAS является контентный анализ текста. В процессе обработки объекта DAE отправляет
текст, содержащийся в объекте (например, текст SMTP-письма) на CAS. Результат контентного анализа
возвращается подсистеме DAE.
Загрузка объектов в базу данных выполняется посредством демона iw_dbloader.

24                                                                              InfoWatch Traffic Monitor
Примечание:
Описание процессов Traffic Monitor Server приводится в документе «InfoWatch Traffic Monitor. Руково-
дство пользователя».
3.2.2. Рекомендации по установке
Важная информация!
Traffic Monitor Server и Сервер СУБД Oracle должны быть установлены на разных компьютерах.
Для корректной работы Системы необходимо выполнить ряд предварительных настроек на том компью-
тере, на который будет установлен Traffic Monitor Server, а именно:
• установить клиентское программное обеспечение СУБД Oracle версии 11g R1 (11.1.0.6.0) (реко-
мендации по установке приводятся в приложениях A.2.1 – A.2.4 на стр. 86 – 90);
• в случае интеграции с почтовым сервером Postfix установить соответствующее программное обес-
печение (о настройке интеграции с Postfix рассказывается в п. 4.6 на стр. 60).
Примечание:
Другие почтовые сервера (Microsoft Exchange и пр.), функционирующие в корпоративной почтовой
системе, должны быть настроены как промежуточные relay-сервера.
• убедиться, что для компьютера, на который будет устанавливаться Traffic Monitor Server, задано
полное имя домена. Проверить наличие этого имени можно командой:
hostname –f
Если полное имя домена не определено, то необходимо задать это имя до начала установки Traf-
fic Monitor Server.
3.2.3. Установка и настройка
Примечание:
Если у вас имеется установленная версия Traffic Monitor Server, то вы можете установить более новую
версию путем обновления (см. главу 5 на стр. 67).
Если предыдущая версия Traffic Monitor Server была удалена, то в этом случае часть информации, необ-
ходимой для работы Системы, сохраняется и после удаления (см. п. 6.1 на стр. 71). Если вы устанавли-
ваете новую версию Traffic Monitor Server, но при этом не планируете использовать данные из предыду-
щей версии, то в этом случае вам нужно вручную удалить содержимое папки /usr/local/infowatch.
Шаг 1. Установка Traffic Monitor Server
Установите пакет iwtm-x.x.x-x.i386.rpm (здесь x.x.x-x номер версии InfoWatch Traffic Monitor). Для
этого:
1. Зарегистрируйтесь в операционной системе от имени учетной записи пользователя root:
su – root
2. Выполните команду:
rpm -i /путь_к_пакету_iwtm/iwtm-x.x.x-x.i386.rpm
Например:
rpm -i /u01/iwtm-3.1.0-1.i386.rpm
Установка пакета будет выполнена в каталог:
/usr/local/infowatch/tm3
Шаг 2. Настройка и запуск Traffic Monitor Server
Запустите сценарий setup.sh:

Установка системы                                                                                  25
/usr/local/infowatch/tm3/setup.sh
В процессе работы вам будет предложено указать ряд параметров:
1. Enter user name to be used as an owner of InfoWatch Traffic Monitor
Укажите локальную учетную запись пользователя – владельца Traffic Monitor Server, от имени ко-
торого будут запускаться процессы. По умолчанию создается учетная запись iwtm.
Важная информация!
На всех экземплярах Traffic Monitor Server, входящих в подсистему загрузки объектов в удаленную
базу данных, имя владельца должно быть одинаковым.
2. Enter group name to be used as an owner of InfoWatch Traffic Monitor
Укажите группу, в состав которой будет включен пользователь – владелец InfoWatch Traffic
Monitor. Рекомендуется включить пользователя в группу владельца инсталляции клиента СУБД
Oracle (по умолчанию это группа oinstall) . В этом случае решается проблема недостатка прав
при работе с СУБД Oracle.
3. Select ip-addresses for IW SMTP Server
Выберите IP-адрес, который будет использоваться демоном iw_smtpd для получения входящей
почты. Вы можете выбрать одно из следующих значений:
• один из IP-адресов, того компьютера, на который выполняется установка Traffic Monitor Server
(выводятся все IP-адреса по количеству установленных сетевых карт);
• 127.0.0.1 – получение почты от демона, запущенного на локальном компьютере (данное зна-
чение рекомендуется выбирать при интеграции с Postfix);
• 0.0.0.0 – подразумевается любой IP-адрес (значение по умолчанию).
Примечание:
Если передача SMTP-трафика ведется только в режиме копии, то вы можете выбрать любой вари-
ант.
4. Select a port to be listened
Укажите порт, на котором будет запущен процесс прослушивания входящих писем демоном
iw_smtpd. Значение по умолчанию (2025) используется при интеграции с Postfix.
5. Select a type of IW SMTP Server MTA installation
Выберите тип почтового агента. Возможны два варианта:
• relay to a Postfix instance running on localhost – почтовый сервер Postfix уста-
новлен на том же компьютере, что и Traffic Monitor Server (значение по умолчанию);
• relay to another smtp-server – интеграция с Postfix отсутствует или выполнена частично.
6. Настройте параметры исходящей почты. Настройки зависят от типа почтового агента, выбранного
на шаге 5.
Если был выбран первый вариант, т.е. Traffic Monitor Server и Postfix находятся на одном компью-
тере, то нужно указать параметры:
• Hostname of this mashine
Доменное имя компьютера, на который будет установлен Traffic Monitor Server. По умолчанию
указано имя того компьютера, с которого был запущен сценарий setup.sh.
• Enter a port number used by target smtp-server
Порт почтового relay-сервера, на который будет выполняться отправка писем (значение по
умолчанию 2020).
Если был выбран второй вариант, т.е. интеграция с Postfix отсутствует или выполнена частично, то
нужно указать параметры:
• Enter a hostname or ip-address of target smtp-server.

InfoWatch Traffic Monitor Enterprise 3.5 Руководство по установке и конфигурированию

INFOWATCH TRAFFIC MONITOR ENTERPRISE 3 .5

Руководство по установке и

конфигурированию

© ЗАО “ИнфоВотч” Тел. +7 (495) 229-00-22 • Факс +7 (495) 229-00-22

http://www.infowatch.com

Дата редакции: март 2011 года

СОДЕРЖАНИЕ

ВВЕДЕНИЕ………………………………………………………………………………………………………………………………………………………… 5

Аудитория ……………………………………………………………………………………………………………………………………………………… 5

Структура руководства ………………………………………………………………………………………………………………………………….. 5

Дополнительная документация …………………………………………………………………………………………………………………….. 6

Условные обозначения …………………………………………………………………………………………………………………………………. 6

Техническая поддержка пользователей ………………………………………………………………………………………………………… 7

ГЛАВА 1. ОБЗОР INFOWATCH TRAFFIC MONITOR ENTERPRISE 3.5 ……………………………………………………………… 8

1.1. Функции InfoWatch Traffic Monitor Enterprise 3.5 ………………………………………………………………………………………. 8

1.2. Состав InfoWatch Traffic Monitor Enterprise 3.5 …………………………………………………………………………………………. 9

ГЛАВА 2. ПОДГОТОВКА К УСТАНОВКЕ ………………………………………………………………………………………………………….. 10

2.1. Схемы развертывания Системы …………………………………………………………………………………………………………… 10

2.1.1. Перехват копии SMTP-трафика (работа с почтовым relay-сервером) ……………………………………………. 10

2.1.2. Перехват копии трафика при помощи Sniffer …………………………………………………………………………………. 12

2.1.3. Перехват HTTP-трафика, передаваемого по протоколу ICAP ……………………………………………………….. 16

2.1.4. Прием объектов, перехваченных InfoWatch Device Monitor ……………………………………………………………. 19

2.1.5. Прием объектов от DeviceLock ………………………………………………………………………………………………………. 21

2.2. Аппаратные и программные требования ………………………………………………………………………………………………. 23

2.2.1. Traffic Monitor Server……………………………………………………………………………………………………………………….. 23

2.2.2. Sniffer ……………………………………………………………………………………………………………………………………………… 24

2.2.3. Модуль IW ICAP …………………………………………………………………………………………………………………………….. 25

2.2.4. Модуль взаимодействия с удаленной базой данных ……………………………………………………………………… 25

2.2.5. Сервер СУБД Oracle ………………………………………………………………………………………………………………………. 26

2.2.6. Management Console ……………………………………………………………………………………………………………………… 26

2.3. Настройка Postfix …………………………………………………………………………………………………………………………………… 27

ГЛАВА 3. УСТАНОВКА СИСТЕМЫ ………………………………………………………………………………………………………………….. 28

3.1. Схема базы данных ………………………………………………………………………………………………………………………………. 28

3.1.1. Рекомендации по созданию схемы базы данных …………………………………………………………………………… 28

3.1.2. Создание схемы базы данных ……………………………………………………………………………………………………….. 30

3.2. Traffic Monitor Server ……………………………………………………………………………………………………………………………… 39

3.2.1. Установка и настройка …………………………………………………………………………………………………………………… 40

3.2.2. Установка и замена лицензии на перехватчики ……………………………………………………………………………… 45

3.2.2.1. Особенности использования лицензионного ключа ………………………………………………………………… 45

3.2.2.2. Установка и замена лицензионного ключа ……………………………………………………………………………… 47

3.2.3. Установка и замена лицензии на технологии контентного анализа ……………………………………………….. 47

3.2.3.1. Особенности использования лицензии …………………………………………………………………………………… 47

3.2.3.2. Установка и замена лицензии …………………………………………………………………………………………………. 48

3.2.4. Настройка DNS для поддержки Active Directory ……………………………………………………………………………… 48

3.2.5. Проверка интеграции Postfix и Traffic Monitor Server ………………………………………………………………………. 49

3.2.6. Настройка параметров взаимодействия со Sniffer …………………………………………………………………………. 50

3.2.6.1. Прием копии трафика от Sniffer ………………………………………………………………………………………………. 50

3.2.6.2. Создание кластера Traffic Monitor Server …………………………………………………………………………………. 51

3.2.7. Установка и настройка модуля взаимодействия с удаленной базой данных …………………………………. 52

3.2.7.1. Установка клиентской части модуля взаимодействия с удаленной БД (филиал) ……………………. 52

3.2.7.2. Установка серверной части модуля взаимодействия с удаленной БД (центральный офис) …… 54

4 InfoWatch Traffic Monitor Enterprise 3.5

3.2.8. Установка и настройка модуля IW ICAP …………………………………………………………………………………………. 55

3.2.9. Кластер Traffic Monitor Server c одним Сервером контентного анализа………………………………………….. 59

3.3. Sniffer …………………………………………………………………………………………………………………………………………………….. 59

3.4. Management Console …………………………………………………………………………………………………………………………….. 60

3.4.1. Установка Management Console …………………………………………………………………………………………………….. 60

3.4.2. Настройка соединения с сервером СУБД Oracle ……………………………………………………………………………. 61

3.4.3. Настройка параметров анализа и мониторинга объектов ……………………………………………………………… 62

ГЛАВА 4. ОБНОВЛЕНИЕ СИСТЕМЫ ………………………………………………………………………………………………………………. 63

4.1. Порядок обновления Системы ……………………………………………………………………………………………………………… 63

4.2. Загрузка очередей объектов …………………………………………………………………………………………………………………. 64

4.3. Схема базы данных ………………………………………………………………………………………………………………………………. 65

4.3.1. Подготовка к обновлению схемы базы данных ………………………………………………………………………………. 65

4.3.2. Обновление схемы базы данных …………………………………………………………………………………………………… 67

4.3.3. Подготовка схемы базы данных к работе ………………………………………………………………………………………. 69

ГЛАВА 5. УДАЛЕНИЕ СИСТЕМЫ …………………………………………………………………………………………………………………….. 70

5.1. Схема базы данных ………………………………………………………………………………………………………………………………. 70

5.1.1. Подготовка к удалению ………………………………………………………………………………………………………………….. 70

5.1.2. Удаление схемы базы данных ……………………………………………………………………………………………………….. 71

5.2. Модуль взаимодействия с удаленной базой данных …………………………………………………………………………….. 72

5.3. Модуль IW ICAP ……………………………………………………………………………………………………………………………………. 72

5.4. Traffic Monitor Server ……………………………………………………………………………………………………………………………… 73

5.5. Sniffer …………………………………………………………………………………………………………………………………………………….. 74

5.6. Management Console …………………………………………………………………………………………………………………………….. 74

ПРИЛОЖЕНИЕ A. РЕКОМЕНДАЦИИ ПО УСТАНОВКЕ СУБД ORACLE ………………………………………………………….. 75

A.1. Сервер СУБД Oracle …………………………………………………………………………………………………………………………….. 75

A.1.1. Рекомендации по установке ………………………………………………………………………………………………………….. 75

A.1.2. Подготовка к установке ………………………………………………………………………………………………………………….. 75

A.1.3. Установка сервера базы данных ……………………………………………………………………………………………………. 77

A.1.4. Настройка сервера базы данных …………………………………………………………………………………………………… 81

A.2. Клиент СУБД Oracle ……………………………………………………………………………………………………………………………… 82

A.2.1. Рекомендации по установке клиента СУБД Oracle на платформу Linux ………………………………………… 83

A.2.1.1. Подготовка к установке …………………………………………………………………………………………………………… 83

A.2.1.2. Установка клиента ………………………………………………………………………………………………………………….. 84

A.2.2. Настройка параметров соединения с сервером СУБД Oracle ……………………………………………………….. 85

A.2.3. Проверка взаимодействия между клиентом и сервером СУБД Oracle …………………………………………… 85

ПРИЛОЖЕНИЕ B. РЕКОМЕНДАЦИИ ПО СОСТАВЛЕНИЮ ИМЕН И ПАРОЛЕЙ …………………………………………….. 86

ПРИЛОЖЕНИЕ C. РАЗРЕШЕНИЕ ПРОБЛЕМ …………………………………………………………………………………………………. 88

C.1. Проблемы со схемой базы данных ………………………………………………………………………………………………………. 88

C.2. Проблемы с Traffic Monitor Server …………………………………………………………………………………………………………. 92

ПРИЛОЖЕНИЕ D. ЛИЦЕНЗИИ ТРЕТЬИХ СТОРОН ………………………………………………………………………………………… 93

ГЛОССАРИЙ ……………………………………………………………………………………………………………………………………………………. 94

УКАЗАТЕЛЬ …………………………………………………………………………………………………………………………………………………….. 96

ВВЕДЕНИЕ

В настоящем руководстве вы можете найти сведения по установке и настройке InfoWatch Traffic Monitor Enterprise 3.5.

Аудитория

Информация, содержащаяся в руководстве, предназначена для пользователей, выполняющих установку и настройку InfoWatch Traffic Monitor.

Руководство рассчитано на пользователей, знакомых с основами работы в среде той операционной сис-темы, в которой выполняется установка компонентов InfoWatch Traffic Monitor (Linux, Microsoft Windows). InfoWatch Traffic Monitor взаимодействует с базой данных, находящейся под управлением СУБД Oracle. Поэтому при настройке Системы также необходимы навыки администрирования СУБД Oracle.

Структура руководства

В настоящем руководстве вы можете найти следующую информацию:

Глава 1. Обзор InfoWatch Traffic Monitor Enterprise 3.5 (стр. 8).

Содержит общие сведения о Системе.

Глава 2. Подготовка к установке (стр. 10).

Описывает требования к аппаратному и программному обеспечению, необходимому для работы Системы; порядок установки компонентов Системы.

Глава 3. Установка системы (стр. 28).

Содержит рекомендации по установке компонентов Системы и описание установки. Также здесь описываются правила получения и установки лицензионного ключа.

Глава 4. Обновление системы (стр. 63).

В разделе содержится информация по обновлению компонентов Системы.

Глава 5. Удаление системы (стр. 70).

Приводятся сведения по удалению компонентов Системы.

Приложение A. Рекомендации по установке СУБД Oracle (стр. 75).

Содержит рекомендации по установке серверной и клиентской части СУБД Oracle. Также здесь приводятся рекомендации по настройке взаимодействия между базой данных и другими компонен-тами Системы.

Приложение B. Рекомендации по составлению имен и паролей (стр. 86).

Приводится набор правил для составления имен и паролей пользователей, даются рекомендации по составлению надежных паролей.

Приложение C. Разрешение проблем (стр. 88).

В приложении описываются проблемы, которые могут возникнуть в процессе установки и настрой-ки Системы, а также способы их разрешения.

Приложение D. Лицензии третьих сторон (стр. 93).

Содержит информацию о лицензиях на стороннее программные компоненты, использованные в продукте.

6 InfoWatch Traffic Monitor Enterprise 3.5

Дополнительная документация

Сведения по некоторым дополнительным вопросам вы можете найти в следующих документах:

«InfoWatch Traffic Monitor Enterprise 3.5. Руководство пользователя».

В документе описывается работа с InfoWatch Traffic Monitor Enterprise (настройка конфигурации, экспорт/импорт данных, правила составления сценария обработки объектов).

«InfoWatch Traffic Monitor Enterprise 3.5. Руководство администратора».

Содержит информацию по администрированию Системы (база данных, серверная часть).

«InfoWatch Device Monitor. Руководство пользователя»

Содержит описание принципов работы системы InfoWatch Device Monitor.

«InfoWatch DeviceLock Adapter. Руководство по установке и конфигурированию».

В документе описывается установка и первоначальная настройка InfoWatch DeviceLock Adapter.

«InfoWatch DeviceLock Adapter. Руководство администратора».

В документе приводятся сведения по настройке и мониторингу работы InfoWatch DeviceLock Adapter.

В настоящем руководстве не рассматриваются вопросы установки и настройки СУБД Oracle. За получе-нием необходимых сведений вы можете обратиться к соответствующей документации.

Условные обозначения

Для наглядности в тексте документации используются различные стили оформления. Области примене-ния стилей указаны в таблице 1.

Таблица 1. Стили оформления

Стиль оформления Область применения Пример

Полужирный шрифт Названия элементов графического пользовательского интерфейса (кнопки, команды меню и пр.)

Нажмите кнопку Старт

Курсив При описании таблиц, в примерах, описаниях – названия и значения атрибутов объектов

После выполнения запроса Запрещено

Шрифт Courier New Имена файлов, примеры текста про-грамм.

При описании конфигурационных файлов – значения параметров, примеры настройки

Проверка запуска Traffic Monitor Server осуществляется командами:

service iw-trafmon status

service iw-caserv status

ШРИФТ COURIER NEW

(ВЕРХНИЙ РЕГИСТР)

При описании конфигурационных файлов – названия секций файла (в квадратных скобках), переменных, параметров.

При описании базы данных – ключе-вые слова SQL, инструкции PL/SQL, типы данных, привилегии

Параметры автозапуска задаются в фай-ле /usr/local/infowatch/tm3/etc/tm.

conf, секция [AUTO_RESTART]

В таблице 2 приводятся условные обозначения, используемые при описании командной строки.

Введение 7

Таблица 2. Условные обозначения для командной строки

Условное обозначение Расшифровка Пример

Шрифт Courier New Команды и параметры Остановите процессы Traffic Mon-itor Server:

service iw-trafmon stop

Шрифт Courier New (курсив) Значения, вводимые пользовате-лем

File путь_к_файлу

[Параметр] Необязательные параметры [Дата]

Значение 1 | Значение 2 Набор, из которого нужно указать одно значение

On | Off

Техническая поддержка пользователей

При возникновении проблем и вопросов, связанных с работой продукта вы можете обратиться в службу технической поддержки:

Если вы приобрели продукт у партнера компании InfoWatch, то обратитесь в службу технической поддержки партнера.

Если продукт приобретен у компании InfoWatch напрямую, то вы можете обратиться в службу тех-нической поддержки компании InfoWatch по адресу [email protected]

Часы работы Службы технической поддержки – с 10-00 до 18-00 с понедельника по пятницу по мо-сковскому времени, исключая официальные выходные и праздничные дни в РФ.

Вы также можете посетить раздел технической поддержки на нашем сайте: http://www.infowatch.ru/support.html.

Перед обращением в службе технической поддержки мы рекомендуем вам посетить раздел База знаний на нашем сайте: http://www.infowatch.ru/faq/infowatch-traffic-monitor-enterprise. Возможно там уже содер-жится ответ, на интересующий вас вопрос или описано решение возникшей у вас проблемы.

ГЛАВА 1. ОБЗОР INFOWATCH TRAFFIC

MONITOR ENTERPRISE 3.5

В этой главе:

Функции InfoWatch Traffic Monitor Enterprise 3.5 (п. 1.1 на стр. 8).

Состав InfoWatch Traffic Monitor Enterprise 3.5 (п. 1.2 на стр. 9).

1.1. Функции InfoWatch Traffic Monitor

Enterprise 3.5

InfoWatch Traffic Monitor Enterprise 3.5 позволяет контролировать информационные потоки в корпоратив-ной среде для выявления и предотвращения случаев несанкционированного использования конфиден-циальных данных.

Основные функции InfoWatch Traffic Monitor Enterprise 3.5:

Перехват SMTP-трафика. Возможен перехват трафика (или копии трафика), передаваемого через почтовый relay-сервер; перехват копии трафика, проходящего через оборудование с поддержкой технологии CISCO SPAN.

Перехват HTTP-трафика. Возможен перехват трафика, передаваемого через прокси-сервер, под-держивающий ICAP-протокол, перехват копии трафика, проходящего через оборудование с под-держкой технологии CISCO SPAN.

Примечание:

При интеграции с прокси-сервером Blue Coat возможен перехват HTTPS-трафика, если прокси-сервер обрабатывает HTTPS-трафик как HTTP-трафик.

Перехват копии ICQ-трафика (протокол OSCAR), проходящего через оборудование с поддержкой технологии CISCO SPAN. При подключении ICQ через HTTP Система перехватывает ICQ-трафик аналогично трафику HTTP

Важная информация!

Не поддерживается перехват и анализ зашифрованного ICQ-трафика, в том числе по протоко-лу SSL.

Анализ содержимого перехваченного трафика с целью выявления нарушений корпоративной по-литики безопасности.

Фильтрация перехваченного трафика путем выдачи разрешения/запрещения на доставку опреде-ленных данных.

Примечание:

Функция недоступна при работе с копией трафика.

Анализ теневых копий файлов и заданий на печать, перехваченных системой InfoWatch Device Monitor с целью выявления нарушений корпоративной политики безопасности.

Анализ теневых копий файлов, перехваченных системой DeviceLock ЗАО «Смарт Лайн Инк» (вер-сии 6.3 и выше), с целью выявления нарушений корпоративной политики безопасности.

Обзор InfoWatch Traffic Monitor Enterprise 3.5 9

1.2. Состав InfoWatch Traffic Monitor Enterprise

3.5

Компонент InfoWatch Traffic Monitor Назначение компонента

Серверная часть (Traffic Monitor Serv-er, Sniffer, модуль IW ICAP, модуль взаимодействия с удаленной базой данных)

Traffic Monitor Server: перехват, анализ и фильтрация трафика, анализ данных, получаемых от систем InfoWatch Device Monitor, DeviceLock.

Sniffer: перехват и передача на анализ копии трафика, проходя-щего через SPAN-порт коммутатора.

Модуль IW ICAP: перехват, анализ и фильтрация HTTP-трафика, передаваемого по протоколу ICAP.

Модуль взаимодействия с удаленной базой данных: передача данных на хранение в удаленную базу данных по медленным каналам связи

База данных Хранение информации, связанной с работой Системы (перехва-ченные данные, результаты анализа перехваченных данных)

Management Console Настройка правил анализа и фильтрации трафика, анализ полу-ченных данных

ГЛАВА 2. ПОДГОТОВКА К УСТАНОВКЕ

В этой главе:

Схемы развертывания Системы (п. 2.1 на стр. 10).

Аппаратные и программные требования (п. 2.2 на стр. 23).

Настройка Postfix (п. 2.3 на стр. 27).

2.1. Схемы развертывания Системы

В этом разделе описаны наиболее общие схемы развертывания Системы:

Перехват копии SMTP-трафика (работа с почтовым relay-сервером) (п. 2.1.1 на стр. 10).

Перехват копии трафика при помощи Sniffer (п. 2.1.2 на стр. 12).

Перехват HTTP-трафика, передаваемого по протоколу ICAP (п. 2.1.3 на стр. 16).

Прием объектов, перехваченных InfoWatch Device Monitor (п. 2.1.4 на стр. 19).

Прием объектов от DeviceLock (п. 2.1.5 на стр. 21).

Для каждой схемы дается порядок развертывания.

2.1.1. Перехват копии SMTP-трафика (работа с

почтовым relay-сервером)

Доставка SMTP-трафика осуществляется корпоративной почтовой системой. Копия SMTP-трафика пере-дается на Traffic Monitor Server для анализа и загрузки в базу данных.

Вариант 1. Система устанавливается в одном офисе, филиалов нет (см. рис. 1).

Рисунок 1. Перехват копии SMTP-трафика

Вариант 2. SMTP-трафик, перехваченный в филиалах, передается в центральный офис по медленному каналу связи (см. рис. 2). В центральном офисе SMTP-трафик загружается в базу данных.

Подготовка к установке 11

Рисунок 2. Передача копии SMTP-трафика из филиала в центральный офис

Далее приводится общий порядок развертывания для всех рассмотренных вариантов. Различия имеются только при установке Traffic Monitor Server.

Шаг 1. Проверка аппаратных и программных требований к Системе

Убедитесь, что среда, в которой будет развернута Система, удовлетворяет аппаратным и программным требованиям:

Traffic Monitor Server (п. 2.2.1 на стр. 23).

Сервер СУБД Oracle (п. 2.2.5 на стр. 26).

Management Console (п. 2.2.6 на стр. 26).

Шаг 2. Настройка параметров Postfix

Почтовый сервер Postfix должен быть установлен и настроен до установки Traffic Monitor Server. О на-стройке Postfix см. в. п. 2.3 на стр. 27.

Шаг 3. Установка сервера базы данных

Перед развертыванием Системы установите сервер СУБД Oracle (см. Приложение A.1 на стр. 75).

Важная информация!

Traffic Monitor Server и Сервер СУБД Oracle должны быть установлены на разных компьютерах.

Шаг 4. Создание схемы базы данных

1. На компьютер, с которого будет запущен инсталлятор схемы базы данных, установите клиент СУБД Oracle, используя тип установки Администратор.

Рекомендации по установке и настройке:

Рекомендации по установке клиента СУБД Oracle на платформу Linux (прил. A.2.1 на стр. 83).

Настройка параметров соединения с сервером СУБД Oracle (прил. A.2.2 на стр. 85).

Проверка взаимодействия между клиентом и сервером СУБД Oracle (прил. A.2.3 на стр. 85).

2. Создайте схему базы данных (п. 3.1 на стр. 28).

12 InfoWatch Traffic Monitor Enterprise 3.5

Шаг 5. Установка и настройка Traffic Monitor Server

Вариант 1 (см. рис. 1). Система будет установлена в одном офисе. Загрузка в удаленную БД не требует-ся:

1. Установите и настройте Traffic Monitor Server (п. 3.2.1 на стр. 40).

2. На компьютере с Traffic Monitor Server задайте адреса DNS сервера (п. 3.2.4 на стр. 48).

Вариант 2 (см. рис. 2). Система будет установлена в центральном офисе и в удаленных филиалах. За-грузка данных из филиалов происходит по медленным каналам связи (не меньше 128 Кбит/с):

В каждом удаленном филиале, где нужно перехватывать SMTP-трафик:

1. Установите и настройте Traffic Monitor Server (п. 3.2.1 на стр. 40).

2. На компьютере с Traffic Monitor Server:

установите и настройте клиентскую часть модуля взаимодействия с удаленной БД (см. п. 3.2.7.1 на стр. 52).

задайте адреса DNS сервера (п. 3.2.4 на стр. 48).

В центральном офисе:

1. Установите и настройте Traffic Monitor Server (п. 3.2.1 на стр. 40).

2. На компьютере с Traffic Monitor Server:

установите серверную часть модуля взаимодействия с удаленной БД (см. п. 3.2.7.2 на стр. 54).

задайте адреса DNS сервера (п. 3.2.4 на стр. 48).

Шаг 6. Установка Management Console

1. Установите Management Console (п. 3.4 на стр. 60).

2. После установки Management Console выполните настройки, необходимые для анализа и обработ-ки объектов на Traffic Monitor Server (подготовка и загрузка на сервер конфигурации, создание ба-зы эталонных документов, дополнительные настройки).

В сценарии обработки объектов установите для перехватчика Smtp транспортный режим Copy.

Информация по выполнению этих настроек содержится в документе «InfoWatch Traffic Monitor. Ру-ководство пользователя».

2.1.2. Перехват копии трафика при помощи Sniffer

Трафик (SMTP, HTTP, ICQ) проходит через коммутатор CISCO, оборудованный SPAN-портом. Копия трафика направляется на Sniffer. Sniffer передает копию трафика на Traffic Monitor Server для анализа и загрузки в базу данных.

Для увеличения производительности можно создавать кластеры Traffic Monitor Server. Один кластер мо-жет содержать два экземпляра Traffic Monitor Server. Не рекомендуется использовать более 3 кластеров.

Важная информация!

При использовании кластера сетевое соединение между Sniffer и Traffic Monitor Server должно обеспе-чивать скорость передачи, в два раза превышающую скорость, с которой трафик поступает на Sniffer.

Возможно несколько вариантов развертывания.

Подготовка к установке 13

Вариант 1. Перехват и анализ копии трафика выполняется на одном компьютере (см. рис. 3). Кластер не создается. Система устанавливается в одном офисе, филиалов нет.

Коммутатор CISCO

Sniffer + Traffic Monitor Server

Копия SMTP-, HTTP-,

ICQ-трафика

SMTP-, HTTP-, ICQ-трафикSMTP-, HTTP-, ICQ-трафик

База данных

Рисунок 3. Перехват и анализ трафика на одном компьютере

Вариант 2. Перехват и анализ копии трафика выполняется на разных компьютерах, кластеризация не используется (см. рис. 4). Система устанавливается в одном офисе, филиалов нет.

Коммутатор CISCO

Traffic Monitor Server

Sniffer

SMTP-, HTTP, ICQ-трафик

Копия SMTP-, HTTP, ICQ-трафика

SMTP-, HTTP, ICQ-трафик

База данных

Рисунок 4. Перехват и анализ копии трафика на разных компьютерах

14 InfoWatch Traffic Monitor Enterprise 3.5

Вариант 3. Перехват и анализ копии трафика выполняется на разных компьютерах. Для увеличения про-изводительности создан кластер из двух экземпляров Traffic Monitor Server (см. рис. 5). Система устанав-ливается в одном офисе, филиалов нет.

Коммутатор CISCO

Traffic Monitor Server

Sniffer

Копия SMTP-, HTTP-, ICQ-трафика

SMTP-, HTTP-, ICQ-трафик SMTP-, HTTP-, ICQ-трафик

База данных

Traffic Monitor Server

Рисунок 5. Кластер из двух экземпляров Traffic Monitor Server

Вариант 4. Перехват и анализ копии трафика выполняется на разных компьютерах. Кластер не создает-ся. Копия трафика из филиала передается в центральный офис по медленному каналу связи. В цен-тральном офисе копия трафика загружается в базу данных (см. рис. 6).

Центральный офис

Филиал

Client

(Traffic Monitor Server)

SMTP-. HTTP-, ICQ-трафик

База данныхServer

(Traffic Monitor Server)

Медленный канал связи (от 128 кбит/с)

Sniffer

SMTP-. HTTP-, ICQ-трафик

SMTP-. HTTP-, ICQ-трафик

Коммутатор CISCO

Рисунок 6. Перехват копии трафика через Sniffer и загрузка в удаленную базу данных

Далее приводится общий порядок развертывания для всех рассмотренных вариантов. Различия имеются только при установке Traffic Monitor Server.

Шаг 1. Проверка аппаратных и программных требований к Системе

Убедитесь, что среда, в которой будет развернута Система, удовлетворяет аппаратным и программным требованиям:

Traffic Monitor Server (п. 2.2.1 на стр. 23).

Sniffer (п. 2.2.2 на стр. 24).

Сервер СУБД Oracle (п. 2.2.5 на стр. 26).

Management Console (п. 2.2.6 на стр. 26).

Подготовка к установке 15

Шаг 2. Установка сервера базы данных

Перед развертыванием Системы установите сервер СУБД Oracle (см. Приложение A.1 на стр. 75).

Важная информация!

Traffic Monitor Server и Сервер СУБД Oracle должны быть установлены на разных компьютерах.

Шаг 3. Создание схемы базы данных

1. На компьютер, с которого будет запущен инсталлятор схемы базы данных, установите клиент СУБД Oracle, используя тип установки Администратор.

Рекомендации по установке и настройке:

Рекомендации по установке клиента СУБД Oracle на платформу Linux (прил. A.2.1 на стр. 83).

Настройка параметров соединения с сервером СУБД Oracle (п. A.2.2 на стр. 85).

Проверка взаимодействия между клиентом и сервером СУБД Oracle (п. A.2.3 на стр. 85).

2. Создайте схему базы данных (п. 3.1 на стр. 28).

Шаг 4. Установка и настройка Sniffer и Traffic Monitor Server

Вариант 1 (см. рис. 3). Перехват и анализ трафика выполняется на одном компьютере. Увеличение про-изводительности не требуется (кластеризация не нужна). Система будет установлена в одном офисе, удаленных филиалов нет:

1. Установите и настройте Sniffer и Traffic Monitor Server на одном компьютере (п. 3.3 на стр. 59).

2. На компьютере с Traffic Monitor Server задайте адреса DNS сервера (п. 3.2.4 на стр. 48).

Вариант 2 (см. рис. 4). Перехват и анализ трафика выполняется на разных компьютерах. Увеличение производительности не требуется (кластеризация не нужна). Система будет установлена в одном офисе, удаленных филиалов нет:

1. На одном компьютере установите и настройте Sniffer (п. 3.3 на стр. 59).

2. На другом компьютере:

установите и настройте Traffic Monitor Server (п. 3.2.1 на стр. 40);

настройте параметры приема копии трафика от Sniffer (п. 3.2.6.1 на стр. 50).

задайте адреса DNS сервера (п. 3.2.4 на стр. 48).

Вариант 3 (см. рис. 5). Перехват и анализ трафика выполняется на разных компьютерах. Необходимо увеличить производительность Системы (требуется кластеризация). Система будет установлена в одном офисе, удаленных филиалов нет:

1. На одном компьютере установите и настройте Sniffer (п. 3.3 на стр. 59).

2. На другом компьютере установите экземпляр кластера Traffic Monitor Server:

установите и настройте Traffic Monitor Server (п. 3.2.1 на стр. 40).

настройте параметры приема копии трафика от Sniffer (п. 3.2.6.1 на стр. 50).

укажите параметры кластеризации (п. 3.2.6.2 на стр. 51).

задайте адреса DNS сервера (п. 3.2.4 на стр. 48).

Повторите п.2, чтобы добавить в кластер еще один экземпляр Traffic Monitor Server.

Важная информация!

Если используется технология Цифровые отпечатки, то в Системе должен функционировать только один Сервер контентного анализа. При наличии в Системе нескольких экземпляров Traf-fic Monitor Server настройте Сервер контентного анализа только на одном экземпляре Traffic Monitor Server (см. п. 3.2.9 на стр. 59).

16 InfoWatch Traffic Monitor Enterprise 3.5

Вариант 4 (см. рис. 6). Перехват и анализ трафика выполняется на разных компьютерах. Увеличение производительности не требуется (кластеризация не нужна). Система будет установлена в центральном офисе и в удаленных филиалах.

В каждом удаленном филиале, где требуется перехватывать копию трафика:

1. На одном компьютере установите и настройте Sniffer (п. 3.3 на стр. 59).

2. На другом компьютере:

установите и настройте Traffic Monitor Server (п. 3.2.1 на стр. 40);

установите и настройте клиентскую часть модуля взаимодействия с удаленной БД (см. п. 3.2.7.1 на стр. 52).

настройте параметры приема копии трафика от Sniffer (п. 3.2.6.1 на стр. 50).

задайте адреса DNS сервера (п. 3.2.4 на стр. 48).

В центральном офисе:

1. Установите и настройте Traffic Monitor Server (п. 3.2.1 на стр. 40).

2. На компьютере с Traffic Monitor Server:

установите и настройте серверную часть модуля взаимодействия с удаленной БД (см. п. 3.2.7.2 на стр. 54).

задайте адреса DNS сервера (п. 3.2.4 на стр. 48).

Шаг 5. Установка Management Console

1. Установите Management Console (п. 3.4 на стр. 60).

2. После установки Management Console выполните настройки, необходимые для анализа и обработ-ки объектов на Traffic Monitor Server (подготовка и загрузка на сервер конфигурации, создание ба-зы эталонных документов, дополнительные настройки).

В сценарии обработки объектов установите для перехватчиков, принимающих копию трафика от Sniffer (Smtp, Http, Icq) транспортный режим Copy.

Информация по выполнению этих настроек содержится в документе «InfoWatch Traffic Monitor. Ру-ководство пользователя».

2.1.3. Перехват HTTP-трафика, передаваемого по

протоколу ICAP

Прокси-сервер с поддержкой протокола ICAP перехватывает HTTP-трафик и передает его на Traffic Moni-tor Server для анализа и загрузки в базу данных. Возможна также фильтрация трафика путем выдачи разрешения/запрещения на доставку данных.

Примечание:

Если в качестве прокси-сервера используется Blue Coat, то возможен также перехват HTTPS-трафика. Для этого прокси-сервер Blue Coat должен быть настроен так, чтобы полученный HTTPS-трафик обрабатывался и передавался на Traffic Monitor Server как HTTP-трафик.

В данной схеме перехвата поддерживается обработка данных пользователя при следующих методах ау-тентификации: NTLM, LDAP, Basic, Digest.

Важная информация!

Traffic Monitor Server и прокси-сервер с ICAP-клиентом должны находиться в одной подсети.

На каждой рабочей станции браузер должен быть настроен так, чтобы HTTP(S)-трафик проходил че-рез используемый прокси-сервер (SQUID, Blue Coat). Информацию по настройке вы можете получить из документации к браузеру.

Подготовка к установке 17

Вариант 1. Система устанавливается в одном офисе, филиалов нет (см. рис. 7).

Рисунок 7. Перехват HTTP-трафика, передаваемого по протоколу ICAP

Вариант 2 . Перехват, анализ и фильтрация HTTP-трафика осуществляется в филиале. Перехваченный HTTP-трафик передается в центральный офис по медленному каналу связи. В центральном офисе копия трафика загружается в базу данных (см. рис. 8).

Рисунок 8. Перехват HTTP-трафика, в филиале и загрузка в удаленную базу данных

Далее приводится общий порядок развертывания для всех рассмотренных вариантов. Различия имеются только при установке Traffic Monitor Server.

Шаг 1. Проверка аппаратных и программных требований к Системе

Убедитесь, что среда, в которой будет развернута Система, удовлетворяет аппаратным и программным требованиям:

Traffic Monitor Server (п. 2.2.1 на стр. 23).

Модуль IW ICAP (п. 2.2.3 на стр. 25).

Сервер СУБД Oracle (п. 2.2.5 на стр. 26).

Management Console (п. 2.2.6 на стр. 26).

18 InfoWatch Traffic Monitor Enterprise 3.5

Шаг 2. Установка сервера базы данных

Перед развертыванием Системы установите сервер СУБД Oracle (см. Приложение A.1 на стр. 75).

Важная информация!

Traffic Monitor Server и Сервер СУБД Oracle должны быть установлены на разных компьютерах.

Шаг 3. Создание схемы базы данных

На компьютер, с которого будет запущен инсталлятор схемы базы данных, установите клиент СУБД Oracle, используя тип установки Администратор.

Рекомендации по установке и настройке:

Рекомендации по установке клиента СУБД Oracle на платформу Linux (прил. A.2.1 на стр. 83).

Настройка параметров соединения с сервером СУБД Oracle (п. A.2.2 на стр. 85).

Проверка взаимодействия между клиентом и сервером СУБД Oracle (п. A.2.3 на стр. 85).

Создайте схему базы данных (п. 3.1 на стр. 28).

Шаг 4. Установка и настройка Traffic Monitor Server

Вариант 1 (см. рис. 7). Система будет установлена в одном офисе. Загрузка в удаленную БД не требует-ся:

1. Установите и настройте Traffic Monitor Server (п. 3.2.1 на стр. 40).

2. На компьютере с Traffic Monitor Server:

установите и настройте модуль IW ICAP (см. п. 3.2.8 на стр. 55).

задайте адреса DNS сервера (п. 3.2.4 на стр. 48).

Вариант 2 (см. рис. 8). Система будет установлена в центральном офисе и в удаленных филиалах. За-грузка данных из филиалов происходит по медленным каналам связи (не меньше 128 Кбит/с):

В каждом удаленном филиале, где нужно перехватывать HTTP—трафик, передаваемый по прото-колу ICAP:

1. Установите и настройте Traffic Monitor Server (п. 3.2.1 на стр. 40).

2. На компьютере с Traffic Monitor Server:

установите и настройте модуль IW ICAP (см. п. 3.2.8 на стр. 55).

задайте адреса DNS сервера (п. 3.2.4 на стр. 48).

На компьютере с Traffic Monitor Server установите и настройте клиентскую часть модуля взаимодействия с удаленной БД (см. п. 3.2.7.1 на стр. 52).

В центральном офисе:

1. Установите и настройте Traffic Monitor Server (п. 3.2.1 на стр. 40).

2. На компьютере с Traffic Monitor Server:

установите и настройте серверную часть модуля взаимодействия с удаленной БД (см. п. 3.2.7.2 на стр. 54).

задайте адреса DNS сервера (п. 3.2.4 на стр. 48).

Шаг 5. Установка Management Console

1. Установите Management Console (п. 3.4 на стр. 60).

2. После установки Management Console выполните настройки, необходимые для анализа и обработ-ки объектов на Traffic Monitor Server (подготовка и загрузка на сервер конфигурации, создание ба-зы эталонных документов, дополнительные настройки).

Подготовка к установке 19

В сценарии обработки объектов установите для перехватчика Http транспортный режим Normal или Transparent.

Информация по выполнению этих настроек содержится в документе «InfoWatch Traffic Monitor. Ру-ководство пользователя».

2.1.4. Прием объектов, перехваченных InfoWatch Device

Monitor

Объекты (теневые копии файлов, задания на печать), перехваченные системой InfoWatch Device Monitor, передаются на Traffic Monitor Server для анализа и загрузки в базу данных.

Вариант 1. Система устанавливается в одном офисе, филиалов нет (см. рис. 9).

Рисунок 9. Прием объектов от InfoWatch Device Monitor

Вариант 2. В филиале установлена система InfoWatch Device Monitor. Объекты, перехваченные Info-Watch Device Monitor, передаются для анализа на Traffic Monitor Server. Затем объекты передаются в центральный офис. В центральном офисе объекты загружаются в базу данных (см. рис. 10).

Рисунок 10. Прием объектов от InfoWatch Device Monitor и загрузка в удаленную базу данных

Далее приводится общий порядок развертывания для всех рассмотренных вариантов. Различия имеются только при установке Traffic Monitor Server.

Шаг 1. Проверка аппаратных и программных требований к Системе

Убедитесь, что среда, в которой будет развернута Система, удовлетворяет аппаратным и программным требованиям:

Traffic Monitor Server (п. 2.2.1 на стр. 23).

Сервер СУБД Oracle (п. 2.2.5 на стр. 26).

Management Console (п. 2.2.6 на стр. 26).

20 InfoWatch Traffic Monitor Enterprise 3.5

Шаг 2. Установка сервера базы данных

Перед развертыванием Системы установите сервер СУБД Oracle (см. Приложение A.1 на стр. 75).

Важная информация!

Traffic Monitor Server и Сервер СУБД Oracle должны быть установлены на разных компьютерах.

Шаг 3. Создание схемы базы данных

1. На компьютер, с которого будет запущен инсталлятор схемы базы данных, установите клиент СУБД Oracle, используя тип установки Администратор.

Рекомендации по установке и настройке:

Рекомендации по установке клиента СУБД Oracle на платформу Linux (прил. A.2.1 на стр. 83).

Настройка параметров соединения с сервером СУБД Oracle (п. A.2.2 на стр. 85).

Проверка взаимодействия между клиентом и сервером СУБД Oracle (п. A.2.3 на стр. 85).

2. Создайте схему базы данных (п. 3.1 на стр. 28).

Шаг 4. Установка и настройка Traffic Monitor Server

Вариант 1 (см. рис. 9). Система будет установлена в одном офисе. Загрузка в удаленную БД не требует-ся:

1. Установите и настройте Traffic Monitor Server (п. 3.2.1 на стр. 40).

2. На компьютере с Traffic Monitor Server задайте адреса DNS сервера (п. 3.2.4 на стр. 48).

Вариант 2 (см. рис. 10). Система будет установлена в центральном офисе и в удаленных филиалах. За-грузка данных из филиалов происходит по медленным каналам связи (не меньше 128 Кбит/с):

В каждом удаленном филиале, где нужно принимать объекты от InfoWatch Device Monitor:

1. Установите и настройте Traffic Monitor Server (п. 3.2.1 на стр. 40).

2. На компьютере с Traffic Monitor Server:

установите и настройте клиентскую часть модуля взаимодействия с удаленной БД (см. п. 3.2.7.1 на стр. 52).

задайте адреса DNS сервера (п. 3.2.4 на стр. 48).

В центральном офисе:

1. Установите и настройте Traffic Monitor Server (п. 3.2.1 на стр. 40).

2. На компьютере с Traffic Monitor Server:

установите и настройте серверную часть модуля взаимодействия с удаленной БД (см. п. 3.2.7.2 на стр. 54).

задайте адреса DNS сервера (п. 3.2.4 на стр. 48).

Шаг 5. Установка Management Console

1. Установите Management Console (п. 3.4 на стр. 60).

2. После установки Management Console выполните настройки, необходимые для анализа и обработ-ки объектов на Traffic Monitor Server (подготовка и загрузка на сервер конфигурации, создание ба-зы эталонных документов, дополнительные настройки).

В сценарии обработки объектов установите для перехватчика Device транспортный режим Copy.

Информация по выполнению этих настроек содержится в документе «InfoWatch Traffic Monitor. Ру-ководство пользователя».

Подготовка к установке 21

2.1.5. Прием объектов от DeviceLock

Объекты, перехваченные системой DeviceLock, передаются на Traffic Monitor Server для анализа и за-грузки в базу данных.

Вариант 1. Система устанавливается в одном офисе, филиалов нет (см. рис. 11).

Рисунок 11. Прием объектов от DeviceLock

Вариант 2. В филиале установлена система DeviceLock. Объекты, перехваченные DeviceLock, переда-ются для анализа на Traffic Monitor Server. Затем объекты передаются в центральный офис. В централь-ном офисе объекты загружаются в базу данных (см. рис. 12).

Рисунок 12. Прием объектов DeviceLock в филиале и загрузка в удаленную базу данных

Далее приводится общий порядок развертывания для всех рассмотренных вариантов. Различия имеются только при установке Traffic Monitor Server.

Шаг 1. Проверка аппаратных и программных требований к Системе

Убедитесь, что среда, в которой будет развернута Система, удовлетворяет аппаратным и программным требованиям:

Traffic Monitor Server (п. 2.2.1 на стр. 23).

Сервер СУБД Oracle (п. 2.2.5 на стр. 26).

Management Console (п. 2.2.6 на стр. 26).

InfoWatch DeviceLock Adapter (см. документ «InfoWatch DeviceLock Adapter. Руководство по уста-новке и конфигурированию»).

22 InfoWatch Traffic Monitor Enterprise 3.5

Шаг 2. Установка сервера базы данных

Перед развертыванием Системы установите сервер СУБД Oracle (см. Приложение A.1 на стр. 75).

Важная информация!

Traffic Monitor Server и Сервер СУБД Oracle должны быть установлены на разных компьютерах.

Шаг 3. Создание схемы базы данных

На компьютер, с которого будет запущен инсталлятор схемы базы данных, установите клиент СУБД Oracle, используя тип установки Администратор.

Рекомендации по установке и настройке:

Рекомендации по установке клиента СУБД Oracle на платформу Linux (прил. A.2.1 на стр. 83).

Настройка параметров соединения с сервером СУБД Oracle (п. A.2.2 на стр. 85).

Проверка взаимодействия между клиентом и сервером СУБД Oracle (п. A.2.3 на стр. 85).

Создайте схему базы данных (п. 3.1 на стр. 28).

Шаг 4. Установка и настройка Traffic Monitor Server

Вариант 1 (см. рис. 11). Система будет установлена в одном офисе. Загрузка в удаленную БД не требу-ется:

1. Установите и настройте InfoWatch DeviceLock Adapter. Рекомендации приводятся в документах:

«InfoWatch DeviceLock Adapter. Руководство по установке и конфигурированию».

«InfoWatch DeviceLock Adapter. Руководство администратора».

2. Установите и настройте Traffic Monitor Server (п. 3.2.1 на стр. 40).

3. На компьютере с Traffic Monitor Server задайте адреса DNS сервера (п. 3.2.4 на стр. 48).

Вариант 2 (см. рис. 12). Система будет установлена в центральном офисе и в удаленных филиалах. За-грузка данных из филиалов происходит по медленным каналам связи (не меньше 128 Кбит/с):

В каждом удаленном филиале, где нужно принимать объекты от DeviceLock:

1. Установите и настройте InfoWatch DeviceLock Adapter. Рекомендации приводятся в документах:

«InfoWatch DeviceLock Adapter. Руководство по установке и конфигурированию».

«InfoWatch DeviceLock Adapter. Руководство администратора».

2. Установите и настройте Traffic Monitor Server (п. 3.2.1 на стр. 40).

3. На компьютере с Traffic Monitor Server:

установите и настройте клиентскую часть модуля взаимодействия с удаленной БД (см. п. 3.2.7.1 на стр. 52).

задайте адреса DNS сервера (п. 3.2.4 на стр. 48).

В центральном офисе:

1. Установите и настройте Traffic Monitor Server (п. 3.2.1 на стр. 40).

2. На компьютере с Traffic Monitor Server:

установите и настройте серверную часть модуля взаимодействия с удаленной БД (см. п. 3.2.7.2 на стр. 54).

задайте адреса DNS сервера (п. 3.2.4 на стр. 48).

Подготовка к установке 23

Шаг 5. Установка Management Console

1. Установите Management Console (п. 3.4 на стр. 60).

2. После установки Management Console выполните настройки, необходимые для анализа и обработ-ки объектов на Traffic Monitor Server (подготовка и загрузка на сервер конфигурации, создание ба-зы эталонных документов, дополнительные настройки).

В сценарии обработки объектов установите для перехватчика Dla транспортный режим Copy.

Информация по выполнению этих настроек содержится в документе «InfoWatch Traffic Monitor. Ру-ководство пользователя».

2.2. Аппаратные и программные требования

Требования приводятся в разделах:

Traffic Monitor Server (п. 2.2.1 на стр. 23).

Sniffer (п. 2.2.2 на стр. 24).

Модуль IW ICAP (п. 2.2.3 на стр. 25).

Модуль взаимодействия с удаленной базой данных (п. 2.2.4 на стр. 25).

Сервер СУБД Oracle (п. 2.2.5 на стр. 26).

Management Console (п. 2.2.6 на стр. 26).

2.2.1. Traffic Monitor Server

Требования к аппаратному обеспечению

Типовая конфигурация Traffic Monitor Server при суммарной скорости входящего и исходящего трафика 50 Мбит/с:

Сервер: поддерживаются конфигурации, допустимые для Red Hat Enterprise Linux Server 5.5 x86-32: см. https://hardware.redhat.com/.

Рекомендуется HP ProLiant DL 360 G7 Server.

Процессор: Intel® Xeon® E5540 2.53 ГГц. Требуются 2 процессора с 4 ядрами каждый.

Оперативная память: DDR3 из расчета 2 Гб + по 4 Гб на каждый перехватчик.

Жесткий диск: SAS, 3 x 300 Гб (10000 rpm) с RAID 5.

Требования к программному обеспечению

Программное обеспе-чение

Требования

Операционная система Red Hat Enterprise Linux Server 5.5 x86-32 со всеми обновлениями.

Для установки всех пакетов, необходимых для корректной работы Системы, необходим доступ к репозиторию Linux.

Перечень пакетов Linux, требующихся для установки rpm-пакетов, входящих в дистрибутив, можно получить с помощью следующей команды:

rpm –qpR /путь_к_пакету_iwtm/xxxx.rpm

где xxxx.rpm – имя устанавливаемого пакета.

Важная информация! При установке операционной системы выберите анг-лийскую локализацию.

СУБД Клиент СУБД Oracle версии 11g R2 (11.2.0.1.0).

Примечание: рекомендации по установке см. в прил. A.2.1 на стр. 83.

24 InfoWatch Traffic Monitor Enterprise 3.5

2.2.2. Sniffer

Требования к сетевому оборудованию

Сетевое оборудование Требования

Коммутатор Cisco Catalyst 2960 Series

Допускаются и другие модели коммутаторов с поддержкой функции SPAN

Sniffer получает копию трафика от коммутатора CISCO. После установки коммутатора настройте SPAN-порт в режиме RX/TX. Инструкции по настройке SPAN-порта для Cisco Catalyst 2960 Series можно найти по адресу:

http://www.cisco.com/en/US/docs/switches/lan/catalyst2960/software/release/12.2_37_se/configuration/guide/swspan.html#wp1036816

Рекомендации по установке и настройке других моделей приводятся в сопроводительной документации коммутаторов.

Требования к аппаратному обеспечению

Требования к процессору и оперативной памяти:

Оборудование Минимальные требования при скорости трафика 100 Мбит/с

Процессор Intel Core2 Duo E6750 (частота 2,66 ГГц)

Оперативная память 2 Гб

Типовая конфигурация Sniffer при суммарной скорости входящего и исходящего трафика 50 Мбит/с:

Сервер: поддерживаются конфигурации, допустимые для Red Hat Enterprise Linux Server 5.5 x86-32: см. https://hardware.redhat.com/.

Рекомендуемая конфигурация — HP ProLiant DL 360 G7 Server.

Процессор: двухъядерный Intel® Xeon® E5502 1.87ГГц.

Оперативная память: 4 Гб DDR3.

Жесткий диск: SAS 300 Гб (10000 rpm).

Требования к сетевым картам:

Общие требования Рекомендуемые модели сетевых карт

Поддержка NAPI и режима Promiscuous mode. Intel Corporation 82540EM Gigabit Ethernet Controller

Broadcom Corporation NetXtreme II BCM5708 1Gb

Допускается использование сетевых карт серии Intel PRO/1000 GT

Поддержка Gigabit Ethernet

На Sniffer должны быть установлены как минимум две сетевые карты:

сетевая карта для приема копии трафика от одного SPAN-порта коммутатора CISCO. Если прием трафика будет осуществляться с нескольких SPAN-портов (которые могут быть настроены как на одном, так и на разных коммутаторах), то для каждого SPAN-порта потребуется отдельная сетевая карта.

сетевая карта для взаимодействия с прочими объектами сети. В частности, для передачи трафика на Traffic Monitor Server или для взаимодействия с базой данных (если Sniffer и Traffic Monitor Serv-er установлены на одном компьютере).

Требования к программному обеспечению

Если Sniffer будет установлен на одном компьютере c Traffic Monitor Server, то программное обеспечение должно соответствовать требованиям, предъявляемым к Traffic Monitor Server в п. 2.2.1 на стр. 23.

Подготовка к установке 25

Если Sniffer будет установлен на отдельном компьютере, то программное обеспечение должно удовле-творять требованиям:

Программное обеспе-чение

Требования

Операционная система Red Hat Enterprise Linux Server 5.5 x86-32 со всеми обновлениями.

Для установки всех пакетов, необходимых для корректной работы Системы, необходим доступ к репозиторию Linux.

Перечень пакетов Linux, требующихся для установки rpm-пакетов, входящих в дистрибутив, можно получить с помощью следующей команды:

rpm –qpR /путь_к_пакету_iwtm/xxxx.rpm

где xxxx.rpm – имя устанавливаемого пакета.

Важная информация! При установке операционной системы выберите анг-лийскую локализацию.

2.2.3. Модуль IW ICAP

При интеграции с модулем IW ICAP передача HTTP-запросов осуществляется через прокси-сервер. Для передачи HTTP-запросов на Traffic Monitor Server по протоколу ICAP необходим ICAP-клиент. Система поддерживает работу с ICAP-клиентами встроенными в прокси-сервер.

Важная информация

Traffic Monitor Server и прокси-сервер с ICAP-клиентом должны находиться в одной подсети.

Поддерживаются следующие прокси-серверы:

SQUID версии не ниже 3.1.7, с включенной поддержкой ICAP.

Cisco IronPort S10.

Blue Coat SG Series с лицензией на ICAP. Поддерживается совместимость с рядом моделей, вы-пускаемых компанией Blue Coat Systems в настоящее время. Производитель постоянно обновляет модельный ряд, поэтому перед тем, как использовать конкретную модель устройства Blue Coat Proxy SG необходимо уточнить совместимость с модулем IW ICAP в службе технической поддерж-ки компании InfoWatch.

Примечание:

Если требуется перехват HTTPS-трафика, настройте прокси-сервер таким образом, чтобы HTTPS трафик обрабатывался и передавался на InfoWatch Traffic Monitor Server как HTTP-трафик.

Описание установки и настройки вы можете найти в сопроводительной документации к выбранному про-кси-серверу. Рекомендации по настройке прокси-серверов см. в п. 3.2.8 на стр. 55.

ICAP-сервер входит в состав модуля интеграции с ICAP. Модуль устанавливается на одном компьютере с Traffic Monitor Server (см. требования в п. 2.2.1 на стр. 23). Дополнительных требований к аппаратному и программному обеспечению модуля не предъявляется.

2.2.4. Модуль взаимодействия с удаленной базой

данных

Модуль устанавливается на одном компьютере с Traffic Monitor Server (см. требования в п. 2.2.1 на стр. 23). Дополнительных требований к аппаратному и программному обеспечению модуля не предъяв-ляется.

26 InfoWatch Traffic Monitor Enterprise 3.5

2.2.5. Сервер СУБД Oracle

Для корректной работы InfoWatch Traffic Monitor необходимо установить сервер СУБД Oracle Database 11g Release 2 (11.2.0.1.0) на платформе Linux x64.

Требования к аппаратному обеспечению

Оборудование Минимальные требования

Процессор Intel Xeon с частотой 2.4 ГГц и выше. Количество ядер – не менее двух (рекомендуется – 8).

Оперативная память 8 Гб DDR3

Жесткий диск Аппаратный RAID-контроллер SAS (уровень 1 и выше). Емкость RAID-массива должна составлять не менее 200 GB (в зависимости от объема пере-хваченных объектов, которые будут храниться в базе данных)

Требования к программному обеспечению

Программное обеспе-чение

Требования

Операционная система Red Hat Enterprise Linux Server release 5.5 x64 со всеми обновлениями.

Для установки всех пакетов, необходимых для корректной работы Системы, необходим доступ к репозиторию Linux.

Перечень пакетов Linux, требующихся для установки rpm-пакетов, входящих в дистрибутив, можно получить с помощью следующей команды:

rpm –qpR /путь_к_пакету_iwtm/xxxx.rpm

где xxxx.rpm – имя устанавливаемого пакета.

2.2.6. Management Console

Требования к аппаратному обеспечению

Оборудование Минимальные требования Рекомендуемые требования

Процессор Celeron с частотой 1.7 ГГц и выше Pentium IV с частотой 3 ГГц и выше

Оперативная память 512 Мб 1 Гб

Жесткий диск 1 Гб свободного пространства 1 Гб свободного пространства

Требования к программному обеспечению

Программное обеспе-чение

Требования

Операционная система Microsoft Windows XP Service Pack 3

Платформа .Net Framework

Microsoft .Net Framework 2.0 SP1

Подготовка к установке 27

2.3. Настройка Postfix

Примечания:

1. Интеграция с Postfix не требуется, если перехват копии SMTP-трафика будет осуществляться че-рез Sniffer (см. п. 2.1.2 на стр. 12).

2. Другие почтовые сервера (Microsoft Exchange и пр.), функционирующие в корпоративной почтовой системе, должны быть настроены на использование Postfix в качестве relay-сервера.

Если перехват SMTP-трафика будет выполняться путем интеграции с Postfix (см. п. 2.1.1 на стр. 10), то перед установкой Traffic Monitor Server выполните следующие действия:

1. Убедитесь, что пакет Postfix (входит в дистрибутив операционной системы) установлен.

2. Запустите утилиту system-switch-mail:

system-switch-mail

В окне утилиты выберите Postfix в качестве почтового агента (MTA).

Примечание:

Утилита входит в дистрибутив операционной системы, но по умолчанию не устанавливается. Проверить, установлена ли эта утилита, можно командой:

rpm –q system-switch-mail

3. Остановите Postfix:

service postfix stop

4. В файле /etc/postfix/main.cf укажите параметры:

inet_interfaces = all

append_dot_mydomain = no

если InfoWatch Traffic Monitor будет участвовать в доставке SMTP-трафика, задайте параметр

relayhost. В качестве значения введите ip-адрес корпоративного почтового сервера, которому

SMTP-письма будет передаваться после анализа в Traffic Monitor Server.

Если на Traffic Monitor Server нужно передавать копию SMTP-трафика, то не задавайте пара-

метр relayhost,.

5. Удалите sendmail (рекомендуется):

rpm –e sendmail

6. Запустите Postfix

service postfix start

ГЛАВА 3. УСТАНОВКА СИСТЕМЫ

В этой главе:

Схема базы данных (п. 3.1 на стр. 28).

Traffic Monitor Server (п. 3.2 на стр. 39).

Sniffer (п. 3.3 на стр. 59).

Management Console (п. 3.4 на стр. 60).

3.1. Схема базы данных

Перед установкой Traffic Monitor Server необходимо создать схему базы данных. Информация по созда-нию схемы базы данных содержится в разделах:

Рекомендации по созданию схемы базы данных (п. 3.1.1 на стр. 28).

Создание схемы базы данных (п. 3.1.2 на стр. 30).

Важная информация!

Если у вас имеется установленная схема базы данных, то вы можете выполнить обновление до новой версии (см. главу 5 на стр. 70).

3.1.1. Рекомендации по созданию схемы базы данных

Процесс создания схемы базы данных включает в себя создание табличных пространств (основного и ежедневных), необходимых для работы Системы. Ежедневные табличные пространства предназначе-ны для хранения объектов (SMTP-писем, HTTP-запросов и пр.), поступающих в Систему. В основном табличном пространстве хранятся данные, необходимые для анализа и обработки поступающих дан-ных. При создании схемы базы данных вам будет предложено указать ряд параметров, связанных с соз-данием табличных пространств.

Рекомендации по настройке основного табличного пространства

При настройке параметров основного табличного пространства необходимо указать начальное количест-во файлов данных. Таким образом, можно зарезервировать свободное место для файлов данных. Необ-ходимое количество вычисляется по формуле:

N = S/10/32

Здесь:

N – количество файлов данных основного табличного пространства, которое нужно задать при создании схемы базы данных. Полученное значение округляется до большего целого числа.

S – общий запланированный объѐм хранимых в базе данных объектов (в гигабайтах). Вычисляется как произведение объѐма загружаемых объектов в среднем за сутки на число дней хранения.

Результаты расчета для данных объемом от 0 до 1280 Гб приведены в таблице

Общий запланированный объем объектов в базе данных (Гб)

Количество файлов данных

0 – 320 1

321 – 640 2

641 – 960 3

Установка системы 29

Общий запланированный объем объектов в базе данных (Гб)

Количество файлов данных

961 – 1280 4

Примечание:

В процессе создания схемы базы данных создается задание на автоматическое добавление файлов данных к основному табличному пространству. Файлы данных будут добавлены, в случае если занято более 80% от общего возможного места в основном табличном пространстве. (Общее возможное ме-сто вычисляется по формуле: количество файлов данных * 32 ГБ.)

Задание запускается ежедневно в 00 ч 00 мин.

Рекомендации по настройке ежедневных табличных пространств

Количество файлов данных

Оцените суммарный объем суточного трафика объектов, проходящего через Систему. Для оптимальной настройки параметра рекомендуется оценить максимальный и минимальный объем суточного трафика в пределах определенного интервала (например, недели). Выбор интервала для оценки зависит от того, насколько постоянен этот объем. Пусть, к примеру, трафик имеет различный объем в пределах недели. Тогда рекомендуется оценить минимальный и максимальный объем суточного трафика на протяжении одной недели.

Важная информация!

Оценка выполняется только для тех типов трафика, которые отслеживаются Системой. Например, если у вас не установлен HTTP-монитор, то оценку НTTP-трафика проводить не нужно.

Максимальный размер одного файла данных составляет 32 Гб. Поэтому расчет необходимого количест-ва файлов данных выполняется формуле:

N = TMAX/32

Здесь:

N – количество файлов данных ежедневного табличного пространства, которое нужно задать при создании схемы базы данных. Полученное значение округляется до большего целого числа.

TMAX – максимальный объем суточного трафика (в гигабайтах).

Например, при максимальном объеме суточного трафика 65 Гб необходимо задать значение данного па-раметра равным 3.

Начальный размер файла данных

Рассчитайте среднесуточный объем трафика за исследуемый период. При этом нужно учитывать сле-дующее. Если колебания в объеме трафика в разные периоды времени велики, то часть пространства, выделяемого для файлов данных, может оказаться неиспользованной. В то же время, если начальный объем файла данных будет значительно меньше суточного объема трафика, то потребуется приращение файла данных, что приведет к снижению производительности Системы. Количество приращений будет зависеть от заданного размера приращения.

Циклические файловые системы

Ежедневные табличные пространства могут храниться либо в одном каталоге, либо распределенно (в разных каталогах или на разных физических дисках).

Примечание:

Для того чтобы увеличить надежность хранения данных, рекомендуется размещать ежедневные таб-личные пространства на разных физических дисках.

Распределенное хранение данных возможно при условии, что используется не менее двух циклических файловых систем. Каждый каталог или физический диск, на который могут быть сохранены ежедневные табличные пространства, является отдельной циклической файловой системой. При создании схемы ба-зы данных задается количество циклических файловых систем и местоположение файлов данных в каж-

30 InfoWatch Traffic Monitor Enterprise 3.5

дой такой системе. Циклические файловые системы используются поочередно. Например, если задано 3 циклических файловых системы, то данные будут размещаться следующим образом:

Первый день – ежедневное табличное пространство создается в файловой системе 1.

Второй день – ежедневное табличное пространство создается в файловой системе 2.

Третий день – ежедневное табличное пространство создается в файловой системе 3.

Четвертый день – ежедневное табличное пространство создается в файловой системе 1.

и т. д.

Если распределенное хранение данных не требуется, то установите количество циклических файловых систем равным 1. В этом случае все табличные пространства будут располагаться в одной директории.

3.1.2. Создание схемы базы данных

Важная информация!

В базе данных не должны выполняться никакие работы во время создания схемы базы данных (т.е. от момента нажатия кнопки Старт и до появления сообщения Операция завершена успешно).

Шаг 1. Подготовка к созданию схемы базы данных

Убедитесь, что настроены параметры взаимодействия с базой данных:

запущен сервер СУБД Oracle;

на сервере СУБД Oracle параметр recyclebin имеет значение off либо не имеет значения. Что-

бы проверить значение параметра:

1. При работе в консоли выполните команду:

sqlplus [email protected]<SID> as sysdba

(где <SID> — имя базы данных), затем введите пароль.

2. От имени системного пользователя выполните запрос:

select name, value

from v$parameter p

where lower(p.NAME) = ‘recyclebin’

Если параметр recyclebin включен (имеет значение on), то отключите его перед установкой

схемы БД. Для этого выполните следующие действия:

1. От имени пользователя SYS выполните оператор:

alter system set RECYCLEBIN=’off’ scope=spfile

2. Повторно убедитесь, что параметр recyclebin имеет значение off.

на компьютере, с которого будет запущен инсталлятор схемы базы данных, установлен и настроен клиент СУБД Oracle версии 11g R2 (11.2.0.1.0), используя тип установки клиента – Администра-тор. Для этого проверьте, что в директории клиента существует файл:

[X]:app[Текущий пользователь]product11.2.0client_1BINsqlldr.exe

где:

­ [X] – диск, на котором установлен клиент Oracle;

­ [Текущий пользователь] – пользователь, от имени которого осуществлен вход на клиент-

ский компьютер.

Рекомендации по установке и настройке клиента СУБД Oracle см. в приложении A.2.1 на стр. 83.

Уточните данные, которые вам потребуются при создании схемы БД:

имя и пароль учетной записи, обладающей правами SYSDBA (как правило, это пользователь SYS);

Установка системы 31

Важная информация!

Убедитесь, что пароль соответствует следующим требованиям:

Пароль может состоять из латинских букв, цифр и символов:

( ) , ; . : ! ~ ` # $ % ^ * — _ + ‘ [ ] { } | ? < >

Может начинаться с буквы, цифры или символа. Максимальная длина пароля составляет 30 символов.

Если пароль не соответствует этим требованиям, то измените его перед созданием схемы БД. При необходимости вы можете вернуть старый пароль после того, как схема БД будет создана.

параметры табличных пространств (см. рекомендации в п. 3.1.1 на стр. 28).

Шаг 2. Запуск инсталлятора схемы базы данных

На диске с дистрибутивом Системы найдите и запустите файл CreateSchemaWizard.exe.

Вы также можете скопировать инсталлятор в папку, расположенную на жестком диске, и запускать ин-сталлятор из этой папки.

Важная информация!

Инсталлятор схемы базы данных не может быть запущен из сетевой папки.

После этого на экран будет выведено окно Мастер работы с БД.

Шаг 3. Выбор типа установки

В окне Мастер работы с БД выберите вариант Установка новой схемы БД и нажмите кнопку OK.

После этого на экран будет выведено окно мастера установки схемы БД.

Шаг 4. Настройка параметров соединения с сервером базы данных

В окне мастера установки схемы БД (см. рис. 13) укажите параметры соединения с сервером базы дан-ных:

База данных. Псевдоним сервера, на котором установлена база данных (псевдоним выбирают из

перечисленных в файле tnsnames.ora).

Имя пользователя с ролью SYSDBA. Имя учетной записи, обладающей правами SYSDBA (на-пример, SYS).

Пароль пользователя с ролью SYSDBA. Пароль учетной записи, обладающей правами SYSDBA.

32 InfoWatch Traffic Monitor Enterprise 3.5

Рисунок 13. Параметры соединения с сервером базы данных

Нажмите кнопку Вперед.

Шаг 5. Настройка параметров учетной записи владельца схемы БД

Примечание:

Подробные рекомендации по составлению имен и паролей пользователей приводятся в приложении B на стр. 86.

Укажите параметры для создания учетной записи владельца схемы базы данных (см. рис. 14):

Владелец схемы БД. Имя учетной записи владельца схемы базы данных.

Может состоять из букв латинского алфавита, цифр и символа подчеркивания «_». Должно начи-

наться с буквы. Максимальная длина имени составляет 10 символов.

Важная информация!

Имя учетной записи владельца базы данных должно быть уникальным в пределах базы дан-ных. Это означает, что в базе данных не должно быть схемы базы данных и табличного про-странства с таким же именем.

Пароль владельца схемы БД, Подтверждение пароля. Пароль учетной записи.

Может состоять из букв латинского алфавита, цифр и символов:

( ) , ; . : ! ~ ` # $ % ^ * — _ + ‘ [ ] { } | ? < >

Может начинаться с буквы, цифры или символа. При настройках Oracle по умолчанию, чувствите-лен к регистру символов. Максимальная длина пароля составляет 30 символов.

Установка системы 33

Рисунок 14. Настройка учетной записи владельца схемы базы данных

Нажмите кнопку Вперед.

Шаг 6. Настройка параметров учетной записи администратора пользователей

Для первой настройки Management Console используется учетная запись администратора пользовате-лей, имеющая ограниченный набор прав. Администратор пользователей создает учетные записи для других пользователей и наделяет их необходимыми полномочиями.

Укажите параметры для создания учетной записи администратора пользователей (см. рис. 15):

Администратор пользователей. Имя учетной записи администратора пользователей.

Может состоять из букв латинского алфавита, цифр и символа подчеркивания «_». Должно начи-

наться с буквы. Максимальная длина имени составляет 10 символов. К имени рекомендуется до-бавить суффикс _ADM.

Важная информация!

Имя учетной записи администратора пользователей должно быть уникальным в пределах базы данных. Это означает, что в базе данных не должно быть пользователей с таким же именем.

Пароль администратора пользователей, Подтверждение пароля. Пароль учетной записи.

Может состоять из букв латинского алфавита, цифр и символов:

( ) , ; . : ! ~ ` # $ % ^ * — _ + ‘ [ ] { } | ? < >

Может начинаться с буквы, цифры или символа. При настройках Oracle по умолчанию, чувствите-лен к регистру символов. Максимальная длина пароля составляет 30 символов.

34 InfoWatch Traffic Monitor Enterprise 3.5

Рисунок 15. Настройка учетной записи администратора пользователей

Нажмите кнопку Вперед.

Шаг 7. Настройка параметров учетной записи офицера безопасности

Укажите параметры для создания учетной записи офицера безопасности. Эта учѐтная запись Manage-ment Console будет иметь все права, кроме управления пользователями и ролями.

Офицер безопасности. Имя учетной записи офицера безопасности.

Может состоять из букв латинского алфавита, цифр и символа подчеркивания «_». Должно начи-

наться с буквы. Максимальная длина имени составляет 10 символов.

Важная информация!

Имя учетной записи офицера безопасности должно быть уникальным в пределах базы данных. Это означает, что в базе данных не должно быть пользователей с таким же именем.

Пароль офицера безопасности, Подтверждение пароля. Пароль учетной записи.

Может состоять из букв латинского алфавита, цифр и символов:

( ) , ; . : ! ~ ` # $ % ^ * — _ + ‘ [ ] { } | ? < >

Может начинаться с буквы, цифры или символа. При настройках Oracle по умолчанию, чувствите-лен к регистру символов. Максимальная длина пароля составляет 30 символов.

Установка системы 35

Рисунок 16. Настройка учетной записи офицера безопасности

Нажмите кнопку Вперед.

Шаг 8. Настройка параметров учетной записи для загрузки объектов в базу данных

Укажите параметры для создания учетной записи пользователя, от имени которого перехваченные объ-екты будут загружаться в базу данных (см. рис. 17):

Пользователь для линукс части. Имя учетной записи пользователя Linux части.

Может состоять из букв латинского алфавита, цифр и символа подчеркивания «_». Должно начи-

наться с буквы. Максимальная длина имени составляет 10 символов.

Важная информация!

Имя учетной записи пользователя Linux части должно быть уникальным в пределах базы дан-ных. Это означает, что в базе данных не должно быть пользователей с таким же именем.

Пароль пользователя линукс части, Подтверждение пароля. Пароль учетной записи.

Может состоять из букв латинского алфавита, цифр и символов:

( ) , ; . : ! ~ ` # $ % ^ * — _ + ‘ [ ] { } | ? < >

Может начинаться с буквы, цифры или символа. При настройках Oracle по умолчанию, чувствите-лен к регистру символов. Максимальная длина пароля составляет 30 символов.

36 InfoWatch Traffic Monitor Enterprise 3.5

Рисунок 17. Настройка учетной записи пользователя Linux части

Нажмите кнопку Вперед.

Шаг 9. Настройка параметров основного табличного пространства

Важная информация!

Рекомендации по настройке параметров приводятся в п. 3.1.1 на стр. 28.

Укажите параметры файла данных для основного табличного пространства (см. рис. 18):

начальное количество файлов данных;

путь к файлам данных для основного табличного пространства;

начальный размер файлов данных (в Мб);

размер приращения – величину, на которую будут расширяться файлы данных (в Мб).

Установка системы 37

Рисунок 18. Параметры основного табличного пространства

Нажмите кнопку Вперед.

Шаг 10. Настройка параметров ежедневных табличных пространств

Важная информация!

Рекомендации по настройке параметров приводятся в п. 3.1.1 на стр. 28.

Настройте параметры для ежедневных табличных пространств (см. рис. 19):

число файлов данных, которые будут содержаться в одном табличном пространстве.

начальный размер файлов данных (в Мб);

размер приращения – величина, на которую будут расширяться файлы данных (в Мб).

лаг времени (в днях) – дополнительный интервал, для которого будут созданы ежедневные таб-личные пространства. Каждый день в базе данных создаются табличные пространства на текущий и на следующий день. Лаг времени позволяет задать дополнительный интервал, для которого бу-дут созданы ежедневные табличные пространства. Например, если лаг времени составляет 1 день, то будут созданы ежедневные табличные пространства на текущий день и на два после-дующих дня (т.е. табличные пространства, необходимые для работы в течение 3 дней).

38 InfoWatch Traffic Monitor Enterprise 3.5

Рисунок 19. Параметры ежедневных табличных пространств

Нажмите кнопку Вперед.

Шаг 11. Настройка параметров файловой системы

Важная информация!

Рекомендации по настройке параметров приводятся в п. 3.1.1 на стр. 28.

Укажите параметры хранения данных (см. рис. 20):

количество циклических файловых систем (максимальное количество 10 файловых систем).

Если распределенное хранение данных не требуется, оставьте значение по умолчанию (1 файло-вая система).

местоположение файлов данных (отдельно для каждой файловой системы).

Примечание:

Если количество файловых систем превышает 5, то нажмите кнопку Вперед и укажите путь к осталь-ным файловым системам.

Установка системы 39

Рисунок 20. Параметры циклических файловых систем

Нажмите кнопку Вперед.

Шаг 12. Настройка параметров очистки журнала протоколирования

Для удаления записей системы протоколирования каждый день в 01 ч 00 мин запускается задание. Все записи, срок хранения которых превышает указанное значение (в днях) удаляются. При расчете интерва-ла текущий день не учитывается. По умолчанию задан интервал в 100 дней.

Чтобы начать установку, нажмите кнопку Старт.

3.2. Traffic Monitor Server

В этом разделе:

Установка и настройка (п. 3.2.1 на стр. 40).

40 InfoWatch Traffic Monitor Enterprise 3.5

Установка и замена лицензии на перехватчики (п. 3.2.2 на стр. 45).

Установка и замена лицензии на технологии контентного анализа (п. 3.2.3 на стр. 47).

Настройка DNS для поддержки Active Directory (п. 3.2.4 на стр. 48).

Проверка интеграции Postfix и Traffic Monitor Server (п. 3.2.5 на стр. 49).

Настройка параметров взаимодействия со Sniffer (п. 3.2.6 на стр. 50).

Установка и настройка модуля взаимодействия с удаленной базой данных (п. 3.2.7 на стр. 52).

Установка и настройка модуля IW ICAP (п. 3.2.8 на стр. 55).

Кластер Traffic Monitor Server c одним Сервером контентного анализа (п. 3.2.9 на стр. 59).

3.2.1. Установка и настройка

Важная информация!

Traffic Monitor Server и Сервер СУБД Oracle должны быть установлены на разных компьютерах.

Важная информация!

Если используется технология Цифровые отпечатки, то в Системе должен функционировать только один Сервер контентного анализа. При наличии в Системе нескольких экземпляров Traffic Monitor Server настройте Сервер контентного анализа только на одном экземпляре Traffic Monitor Server (см. п. 3.2.9 на стр. 59).

Примечание:

Если предыдущая версия Traffic Monitor Server была удалена, то в этом случае часть информации, необходимой для работы Системы, сохраняется и после удаления (см. п. 5.4 на стр. 73). Если вы ус-танавливаете новую версию Traffic Monitor Server, но при этом не планируете использовать данные из

предыдущей версии, то вы можете вручную удалить содержимое папки /usr/local/infowatch.

Шаг 1. Подготовка к установке

Убедитесь, что компьютер, на который будет установлен Traffic Monitor Server, подготовлен к установке:

на компьютере установлен и настроен клиент СУБД Oracle версии 11g R2 (11.2.0.1.0), тип установ-ки клиента – Администратор. Рекомендации по установке и настройке клиента СУБД Oracle см. в приложении A.2.1 на стр. 83. Для этого проверьте, что в каталоге:

/u01/app/oracle/product/11.2.0/client_1/bin

существует файл sqlldr.

для компьютера задано полное имя домена. Проверить наличие этого имени можно командой:

hostname –f

Если полное имя домена не определено, то задайте это имя до начала установки Traffic Monitor

Server. Для этого в файле /etc/hosts укажите IP-адрес, полное доменное имя и псевдоним ком-

пьютера, на который будет выполняться установка Traffic Monitor Server:

IP-адрес полное_доменное_имя псевдоним

Например:

10.1.10.120 tmserver.company.com tmserver

Затем перезагрузите операционную систему:

Reboot

Убедитесь, что имеются все пакеты Linux, требующиеся для установки rpm-пакетов, входящих в дистрибутив. Это можно сделать с помощью следующей команды:

rpm –qpR xxxx.rpm

где xxxx.rpm – имя устанавливаемого пакета.

Установка системы 41

Шаг 2. Установка Traffic Monitor Server и ПО, распространяемого по лицензии GPL

Чтобы установить Traffic Monitor Server и дополнительные пакеты:

1. Зарегистрируйтесь в операционной системе от имени учетной записи пользователя root:

su – root

2. Установите следующие пакеты (поставляются на диске с дистрибутивом системы):

Название пакета Описание пакета

tmcap-x.x.x-x.i686.rpm Модуль перехвата пакетов. Необходим для установки только в схеме копии трафика с помощью Sniffer (см. п. 2.1.2 на стр. 12).

iwtm-x.x.x-x.i686.rpm Traffic Monitor Server

iwtm_gpl_components-x.x.x-

x.i686.rpm

Программное обеспечение, распространяемое по ли-цензии GPL (General Public License)

Важная информация! Устанавливается после пакета iwtm-x.x.x-x.i686.rpm

В названии пакетов x.x.x-x номер версии InfoWatch Traffic Monitor.

Для установки пакета, выполните команду:

rpm -i /полный_путь_к_пакету

Например:

rpm -i /u01/tmcap-3.4.3-59.i686.rpm

rpm -i /u01/iwtm-3.4.3-59.i686.rpm

rpm -i /u01/iwtm_gpl_components-3.4.3-59.i686.rpm

Пакет tmcap будет установлен в каталог /lib/modules/’unam-r’/extra.

Пакет iwtm будет установлен в каталог /usr/local/infowatch/tm3.

Пакет gpl_components будет установлен в каталог /usr/local/infowatch/tm3/tools.

Шаг 3. Настройка и запуск Traffic Monitor Server

Запустите сценарий setup.sh:

/usr/local/infowatch/tm3/setup.sh

После этого вам будет предложено указать ряд параметров:

1. Enter user name to be used as an owner of InfoWatch Traffic Monitor

Укажите локальную учетную запись пользователя – владельца Traffic Monitor Server, от имени ко-

торого будут запускаться процессы. По умолчанию создается учетная запись iwtm.

2. Enter group name to be used as an owner of InfoWatch Traffic Monitor

Укажите группу, в состав которой будет включен пользователь – владелец InfoWatch Traffic Monitor. Рекомендуется включить пользователя в группу владельца инсталляции клиента СУБД

Oracle (по умолчанию это группа oinstall). В этом случае решается проблема недостатка прав

при работе с СУБД Oracle.

3. Select ip-addresses for IW SMTP Server

Выберите IP-адрес, который будет использоваться процессом iw_smtpd для получения входящей почты. Возможные значения:

один из IP-адресов, того компьютера, на который выполняется установка Traffic Monitor Server (выводятся все IP-адреса по количеству установленных сетевых карт);

42 InfoWatch Traffic Monitor Enterprise 3.5

127.0.0.1 – получение почты от процесса, запущенного на локальном компьютере (данное

значение рекомендуется выбирать при интеграции с Postfix);

0.0.0.0 – IP-адрес любого активного сетевого интерфейса (значение по умолчанию).

Примечание:

Если передача SMTP-трафика ведется только в режиме копии, то вы можете выбрать любой вариант.

4. Select a port to be listened

Укажите порт, на котором будет запущен процесс прослушивания входящих писем процессом

iw_smtpd. Значение по умолчанию (2025) используется при интеграции с Postfix.

5. Select a type of IW SMTP Server MTA installation

Выберите тип почтового агента. Возможны два варианта:

relay to a Postfix instance running on localhost – почтовый сервер Postfix уста-

новлен на том же компьютере, что и Traffic Monitor Server (значение по умолчанию). Выберите этот вариант, если прием и отправка почты должны осуществляться через Postfix.

relay to another smtp-server – интеграция с Postfix отсутствует или выполнена частично.

Примером частичной интеграции является случай, когда Postfix только принимает почту, но не участвует в ее доставке (доставка осуществляется другим почтовым сервером).

6. Настройте параметры отправки почты. Настройки зависят от типа почтового агента, выбранного на шаге 5.

Если был выбран первый вариант, т.е. Traffic Monitor Server и Postfix находятся на одном компью-тере, то укажите параметры:

Hostname of this machine

Доменное имя компьютера, на который будет установлен Traffic Monitor Server. По умолчанию

указано имя того компьютера, с которого был запущен сценарий setup.sh.

Enter a port number used by target smtp-server

Порт почтового relay-сервера, на который будет выполняться отправка писем (значение по

умолчанию 2020).

Если был выбран второй вариант, т.е. интеграция с Postfix отсутствует или выполнена частично, то укажите параметры:

Enter a hostname or ip-address of target smtp-server

Доменное имя или IP-адрес почтового relay-сервера, через который будет выполняться достав-ка исходящей почты.

Enter a port number used by target smtp-server

Порт почтового relay-сервера, на который будет выполняться отправка писем (значение по

умолчанию 25).

7. Select Oracle Home to be used

Укажите путь к каталогу, в который установлен клиент СУБД Oracle. Путь прописывается автома-

тически и должен совпадать со значением переменной ORACLE_HOME в файле /etc/profile.

Однако если на компьютере установлено несколько версий СУБД Oracle, правильность определе-ния пути к нужному каталогу не гарантируется. В этом случае проверьте путь к каталогу и при не-обходимости укажите правильный путь вручную.

8. Укажите параметры соединения с сервером СУБД Oracle:

Oracle User Name (InfoWatch Traffic Monitor Linux DB User)

Имя учетной записи пользователя Linux части (задается при создании схемы базы данных, см.

п. 3.1.2 на стр. 30, шаг 6). По умолчанию имеет значение IWTM_LINUX.

Установка системы 43

Oracle Password (InfoWatch Traffic Monitor Linux DB User)

Пароль пользователя Linux части (задается при создании схемы базы данных, см. п. 3.1.2 на стр. 30, шаг 6).

Важная информация!

Если при установке Traffic Monitor Server пароль пользователя Linux части указан неверно, то после установки учетная запись пользователя Linux части будет заблокирована. Решение данной проблемы описывается в прил. C.2 на стр. 92

Oracle Connection String

Строка соединения с сервером (псевдоним сервера из файла tnsnames.ora).

Примечание:

По умолчанию файл tnsnames.ora расположен в каталоге

/ORACLE_HOME/network/admin (здесь /ORACLE_HOME – это путь к каталогу, в который

установлен клиент СУБД Oracle).

9. Do you want to set up interaction with Postfix?

Укажите, требуется ли интеграция с Postfix для перехвата SMTP-трафика (значение по умолчанию

y – интеграция нужна). Выбор значения зависит от варианта развертывания Системы:

Вариант развертывания Системы Значение параметра

Система осуществляет перехват и доставку SMTP-трафика посред-ством интеграции с Postfix

y (обязательная интеграция)

Доставка SMTP-трафика осуществляется корпоративной почтовой системой. Система получает только копию SMTP-трафика. Для кор-ректного приема копии трафика рекомендуется интеграция с Postfix

y (интеграция рекомендуется)

Система получает копию SMTP-трафика через Sniffer n

Перехват SMTP-трафика не требуется (например, Traffic Monitor Server будет использоваться только как Sniffer)

n

Шаг 4. Установка лицензии

Примечание:

Если данный экземпляр Traffic Monitor Server будет функционировать только как Sniffer (см. пример в п. 2.1.2 на стр. 12, варианты 2 – 4), то установка лицензии не требуется.

Работа с Системой возможна только при наличии лицензии. Ознакомительная лицензия на перехватчики действует 30 дней с момента установки Traffic Monitor Server. Чтобы по истечении этого периода исполь-зовать необходимые перехватчики, установите коммерческую лицензию (см. п. 3.2.2 на стр. 45).

Лицензия на технологии контентного анализа текста по умолчанию не устанавливается. Чтобы задейст-вовать функции контентного анализа, установите ознакомительную или коммерческую лицензию (см. п. 3.2.3 на стр. 47).

Шаг 5. Дополнительные проверки и настройки

Проверка параметров интеграции с Postfix

Если при установке Traffic Monitor Server выбрана интеграция с Postfix, то убедитесь, что параметры ин-теграции заданы корректно (см. п. 3.2.5 на стр. 49).

Настройка параметров взаимодействия со Sniffer

44 InfoWatch Traffic Monitor Enterprise 3.5

Если перехват трафика будет выполняться через Sniffer, то настройте параметры приема копии трафика от Sniffer (см. п. 3.2.6.1 на стр. 50).

Если нужно создать кластер и данный экземпляр Traffic Monitor Server будет входить в кластер, настрой-те параметры кластеризации (см. п. 3.2.6.2 на стр. 51).

Установка и настройка модуля взаимодействия с удаленной базой данных

Если объекты, перехваченные в филиале, нужно загружать в удаленную базу данных центрального офи-са, то установите модуль в следующей конфигурации:

в филиале установите клиентскую часть модуля на компьютере с Traffic Monitor Server (см. п. 3.2.7.1 на стр. 52;

в центральном офисе установите серверную часть модуля на компьютере с Traffic Monitor Server (см. п. 3.2.7.2 на стр. 54).

Установка и настройка модуля IW ICAP

Если перехват HTTP-трафика будет выполняться через ICAP-сервер, установите и настройте модуль IW ICAP (см. п. 3.2.8 на стр. 55).

Шаг 6. Проверка автозапуска процессов

Автозапуск должен быть включен только для процессов, которые необходимы данному экземпляру Traffic Monitor Server для корректной работы:

Процесс В каких случаях необходим автозапуск процесса По умолчанию ав-тозапуск включен

iw_smtpd Перехват SMTP-трафика в режиме почтового релея Да

iw_messed Перехват SMTP-трафика в любом режиме (релей или Sniffer) Да

iw_deliverd Только если доставка SMTP-трафика ведется через Систему Да

iw_sniffer На компьютере с установленным Sniffer Нет

iw_proxy SMTP

iw_proxy HTTP

iw_proxy ICQ

Перехват копии SMTP-, HTTP- и ICQ-трафика через Sniffer. Включите автозапуск только для необходимых перехватчиков

Включен для пере-хватчиков HTTP и ICQ

iw_icap Перехват HTTP-трафика, передаваемого через ICAP-сервер.

Процесс появляется, если установлен модуль IW ICAP

Да

iw_expressd Прием объектов перехваченных системой InfoWatch Device Monitor

Прием объектов перехваченных системой DeviceLock

Да

iw_qmover_server В центральном офисе. Если нужно принимать объекты из фи-лиала.

Процесс появляется, если установлена серверная часть мо-дуля взаимодействия с удаленной базой данных

Да

iw_qmover_client В филиале. Если нужно загружать объекты в базу данных центрального офиса.

Процесс появляется, если установлена клиентская часть мо-дуля взаимодействия с удаленной базой данных

Да

Установка системы 45

Процесс В каких случаях необходим автозапуск процесса По умолчанию ав-тозапуск включен

iw_dbloader

iw_updater

iw_warpd

iw_adlibitum

Автозапуск должен быть включен при любой схеме внедрения Да

Важная информация!

Отключите автозапуск нелицензированных процессов, отвечающих за перехват трафика (iw_smtpd, iw_proxy, iw_expressd, iw_icap). Это позволит уменьшить количество сообщений в журнале протоко-лирования.

Чтобы включить/отключить автозапуск процесса:

1. Для корректной смены параметров остановите процессы Traffic Monitor Server:

service iw-trafmon stop

2. В файле /usr/local/infowatch/tm3/etc/tm.conf, секция [AUTO_RESTART] выполните на-

стройки:

Чтобы включить автозапуск для процесса, установите в блоке процесса: autorestart = On

Пример (включение iw_sniffer):

iw_sniffer:

autorestart = On

Чтобы отключить автозапуск для процесса, установите в блоке процесса: autorestart = Off

3. Запустите процессы Traffic Monitor Server:

service iw-trafmon start

3.2.2. Установка и замена лицензии на перехватчики

В этом разделе:

Особенности использования лицензионного ключа (п. 3.2.2.1 на стр. 45).

Установка и замена лицензионного ключа (п. 3.2.2.2 на стр. 47).

3.2.2.1. Особенности использования лицензионного ключа

Ознакомительная лицензия на перехватчики действует в течение 30 дней с момента установки Traffic Monitor Server. Чтобы продолжить эксплуатацию Системы, установите коммерческую лицензию на пере-хватчики, которые вы планируете использовать.

Коммерческий лицензионный ключ представляет собой файл iw_licence.dat, который поставляется

по запросу. Для получения коммерческого лицензионного ключа вам потребуется специальный файл

iw_customer.dat. Этот файл генерируется при помощи утилиты iw_lickey, входящей в состав Traffic

Monitor Server. Кроме того, утилита iw_lickey может поставляться по запросу, отдельно от дистрибутива Системы.

Порядок установки и замены лицензионного ключа описан в п. 3.2.2.2 на стр. 47.

При установке и использовании лицензионного ключа нужно учитывать следующее:

Лицензионный ключ (файл iw_licence.dat) жестко привязан к программно-аппаратной конфи-

гурации того компьютера, на котором был сгенерирован запрос на лицензию (файл

iw_customer.dat). Таким образом, при переносе файла iw_licence.dat на другой компьютер

функциональность InfoWatch Traffic Monitor будет недоступна.

46 InfoWatch Traffic Monitor Enterprise 3.5

Если в Системе имеется кластер Traffic Monitor Server, то для каждого экземпляра Traffic Monitor Server требуется отдельный лицензионный ключ. Например, если в Системе три экземпляра Traffic

Monitor Server, то всего должно быть сгенерировано три файла iw_customer.dat (по одному

файлу от каждого экземпляра). И для каждого такого файла будет выслан отдельный файл

iw_licence.dat.

Разрешается обновление аппаратной и программной платформ (за исключением замены систем-ной платы).

При полной переустановке операционной системы и/или системы InfoWatch Traffic Monitor вам по-требуется заново установить лицензию. Поэтому рекомендуется сохранить файл

iw_licence.dat на каком-либо носителе информации.

Особенности замены лицензии

Если у вас установлена коммерческая лицензия, то замена лицензионного ключа требуется в следующих случаях:

срок действия текущей коммерческой лицензии подходит к концу;

произведена замена системной платы на компьютере с Traffic Monitor Server;

необходимо изменить набор лицензированных перехватчиков.

Если период действия лицензии (ознакомительной или коммерческой) истек, то работа нелицензирован-ных перехватчиков будет остановлена. В этом случае необходимо продлить срок действия лицензии или удалить Систему (см. главу 5 на стр. 70).

Если лицензия продлевается только на часть перехватчиков, то в этом случае Систему удалять не нуж-но. Однако необходимо вернуть исходные настройки передачи тех видов трафика, которые не будут ли-цензироваться:

Схема перехвата трафика Необходимые настройки

Перехват и доставка SMTP-трафика (работа с поч-товым relay-сервером) осуществляется Системой

Перенастройте подсистему доставки SMTP-трафика через корпоративный почтовый сервер, минуя InfoWatch Traffic Monitor.

Об изменениях в параметрах Postfix см. п. 2.3 на стр. 27 и п. 3.2.5 на стр. 49

Перехват копии SMTP-трафика (работа с почтовым relay-сервером). Система не участвует в доставке писем

Перенастройка не требуется

Перехват копии SMTP-, HTTP- и ICQ-трафика через Sniffer

Перенастройка не требуется

Перехват HTTP-запросов путем интеграции с ICAP Удалите модуль IW ICAP и верните исходные на-стройки прокси-сервера (см. п. 5.3 на стр. 72)

Прием объектов от InfoWatch Device Monitor Перенастройка не требуется

Прием объектов от DeviceLock Удалите InfoWatch DeviceLock Adapter (см. доку-мент «InfoWatch DeviceLock Adapter. Руководство по установке и конфигурированию»).

Перенастройка не требуется.

Установка системы 47

3.2.2.2. Установка и замена лицензионного ключа

Важная информация!

В этом разделе описывается применение лицензионного ключа для одного экземпляра Traffic Monitor Server. При наличии нескольких экземпляров Traffic Monitor Server повторите указанную ниже после-довательность действий для каждого экземпляра.

На Sniffer (устанавливаемый отдельно от Traffic Monitor Server) лицензия не требуется.

Чтобы установить новый лицензионный ключ или заменить текущий:

1. Запустите утилиту iw_lickey, расположенную в каталоге/usr/local/infowatch/tm3/bin. В ре-

зультате работы данной утилиты в каталоге /usr/local/infowatch/tm3/bin будет создан

файл iw_customer.dat.

2. Отправьте файл iw_customer.dat по электронной почте на адрес менеджера отдела продаж

компании InfoWatch. После получения файла iw_customer.dat менеджер направит вам по элек-

тронной почте файл iw_licence.dat.

3. Сохраните файл iw_licence.dat, полученный от сотрудника InfoWatch, в каталог

/usr/local/infowatch/tm3/etc. Если в каталоге уже имеется файл iw_licence.dat, то со-

храните новый файл взамен старого.

Важная информация!

Файл с лицензионным ключом должен находиться на том же компьютере, на котором был сге-

нерирован файл iw_customer.dat.

Если вы используете лицензию на перехват HTTP-трафика по протоколу ICAP, то укажите в каче-

стве владельца файла iw_licence.dat пользователя – владельца Traffic Monitor Server (по

умолчанию iwtm):

chown iwtm:oinstall iw_licence.dat

Примечание:

Владелец Traffic Monitor Server указан в файле /usr/local/infowatch/tm3/etc/tm.conf,

секция [GENERAL], параметр user.

4. Чтобы новая лицензия вступила в действие, перезапустите процессы Traffic Monitor Server:

service iw-trafmon restart

Важная информация!

Отключите автозапуск нелицензированных процессов, отвечающих за перехват трафика (iw_smtpd, iw_proxy, iw_expressd). Это позволит уменьшить количество сообщений в журнале протоколирова-ния.

3.2.3. Установка и замена лицензии на технологии

контентного анализа

В этом разделе:

Особенности использования лицензии (п. 3.2.3.1 на стр. 47).

Установка и замена лицензии (п. 3.2.3.2 на стр. 48).

3.2.3.1. Особенности использования лицензии

Лицензия на технологии контентного анализа представляет собой числовой код. После установки Traffic Monitor Server технологии контентного анализа не имеют лицензии. Чтобы использовать контентный ана-лиз, установите ознакомительную или коммерческую лицензию.

48 InfoWatch Traffic Monitor Enterprise 3.5

Варианты числовых кодов для ознакомительных лицензий расположены на диске с дистрибутивом Сис-

темы в каталоге license, файл trial.info. Предусмотрены две ознакомительные лицензии (период

действия каждой лицензии 30 дней):

семантическое зеркало (поиск по терминам) + анализатор шаблонов (детектирование текстовых объектов);

копирайтный анализ (сравнение с образцами документов) + анализатор шаблонов (детектирова-ние текстовых объектов).

Одновременно может использоваться только одна лицензия. Чтобы ознакомиться со всеми технологиями контентного анализа, используйте эти лицензии по очереди. Чтобы использовать одну или несколько технологий контентного анализа текста по истечении пробного периода, установите коммерческую ли-цензию.

Ввод лицензии (ознакомительной или коммерческой) выполняется после установки Traffic Monitor Server.

Замена лицензии выполняется в следующих случаях:

срок действия текущей лицензии истекает;

необходимо изменить набор технологий контентного анализа.

3.2.3.2. Установка и замена лицензии

Важная информация!

В данном разделе описывается установка лицензии для одного экземпляра Traffic Monitor Server. При наличии в Системе нескольких экземпляров Traffic Monitor Server необходимо повторить указанную ниже последовательность действий для каждого экземпляра.

Чтобы установить ознакомительную лицензию:

1. На компьютере с Traffic Monitor Server откройте файл

/usr/local/infowatch/tm3/etc/tm.conf.

В секции [CAS] файла tm.conf замените текущее значение параметра EngineLic числовым ко-

дом из файла trial.info.

2. Чтобы ознакомительная лицензия вступила в действие, перезапустите сервер контентного анали-за (CAS):

service iw-caserv restart

Чтобы установить новую или заменить текущую коммерческую лицензию:

1. Отправьте по электронной почте запрос для получения лицензии на адрес менеджера отдела про-даж компании InfoWatch. Менеджер передаст вам числовой код.

2. На компьютере с Traffic Monitor Server откройте файл

/usr/local/infowatch/tm3/etc/tm.conf.

В секции [CAS] файла tm.conf введите полученный числовой код вместо текущего значения па-

раметра EngineLic.

3. Чтобы новая лицензия вступила в действие, перезапустите сервер контентного анализа (CAS):

service iw-caserv restart

3.2.4. Настройка DNS для поддержки Active Directory

Если вы используете интеграцию InfoWatch Traffic Monitor с Active Directory (подробнее см. документ «Ру-ководство пользователя InfoWatch Traffic Monitor»), то для использования имени сервера AD в настройке параметров подключения, на каждом сервере Traffic Monitor необходимо задать адрес DNS сервера.

Для этого в конфигурационный файл /etc/resolv.conf добавьте следующие строки:

search <имя домена>

nameserver <ip DNS сервера>

Установка системы 49

Наример:

search company.com

nameserver 10.10.0.98

nameserver 10.10.0.106

3.2.5. Проверка интеграции Postfix и Traffic Monitor

Server

Важная информация!

В этом подразделе описываются настройки, которые необходимы, если Traffic Monitor Server устанав-ливается на тот же компьютер, на котором установлен почтовый сервер Postfix.

Почтовый сервер Postfix принимает входящие SMTP-письма на 25 порт. Далее входящие SMTP-письма передаются (контент-фильтром) процессу iw_smtpd на порт 2025. Traffic Monitor Server анализирует по-лученные SMTP-письма. После анализа процесс iw_messed передает письма, доставка которых разре-шена, на порт 2020 почтового сервера Postfix (см. рис. 21). Почтовый сервер Postfix либо напрямую дос-тавляет письма адресатам, либо передает их следующему почтовому relay-серверу.

Рисунок 21. Интеграция с Postfix

Настройка параметров, необходимая для корректного взаимодействия системы InfoWatch Traffic Monitor с почтовым сервером Postfix, выполняется при установке Traffic Monitor Server (см. п. 3.2.1 на стр. 40). Во

время установки необходимые изменения заносятся в конфигурационные файлы master.cf и tm.conf:

изменения в файле /etc/postfix/master.cf:

smtp inet n — n — — smtpd

-o content_filter=smtp:127.0.0.1:2025

pickup fifo n — n 60 1 pickup

-o content_filter=smtp:127.0.0.1:2025

В конец файла дописываются строки:

127.0.0.1:2020 inet n — n — 21 smtpd

-o content_filter=

-o local_recipient_maps=

-o relay_recipient_maps=

-o smtpd_restriction_classes=

-o smtpd_client_restrictions=

-o smtpd_helo_restrictions=

-o smtpd_sender_restrictions=

-o mynetworks=127.0.0.0/8

-o strict_rfc821_envelopes=yes

-o smtpd_error_sleep_time=0

-o smtpd_soft_error_limit=1001

-o smtpd_hard_error_limit=1000

50 InfoWatch Traffic Monitor Enterprise 3.5

-o myhostname=<$hostname>

изменения в значениях параметров файла /usr/local/infowatch/tm3/etc/tm.conf:

Секция tm.conf Измененные параметры

[SMTPD] ListenAddr = 127.0.0.1

ListenPort = 2025

[MESSED] Relay = 127.0.0.1

RelayPort = 2020

[DELIVERD] Relay = 127.0.0.1

RelayPort = 2020

3.2.6. Настройка параметров взаимодействия со Sniffer

В этом разделе:

Прием копии трафика от Sniffer (п. 3.2.6.1 на стр. 50).

Создание кластера Traffic Monitor Server (п. 3.2.6.2 на стр. 51).

3.2.6.1. Прием копии трафика от Sniffer

Настройка выполняется на компьютере с Traffic Monitor Server. Настройка необходима и в том случае, когда Sniffer и Traffic Monitor Server установлены на одном компьютере.

В конфигурационном файле /usr/local/infowatch/tm3/etc/tm.conf, выполните настройки:

Задайте параметры для используемых перехватчиков в секциях [PROXY_SMTP], [PROXY_HTTP],

[PROXY_ICQ]:

Параметр Пояснения

SnifferInterface Сетевой интерфейс, через который будут поступать данные от ком-мутатора CISCO. Допускаются следующие варианты:

каждому перехватчику назначается отдельный сетевой интер-фейс;

всем перехватчикам назначается один сетевой интерфейс

SnifferPorts Порты, используемые для передачи данных определенному пере-хватчику. На обработку будут приняты пакеты, у которых заданные порты присутствуют в полях адрес источника и/или адрес назначения.

Порты можно указать путем перечисления (разделитель – запятая) и/или определения диапазона (разделитель – тире). Например:

«80, 8080 – 9090».

SnifferLiveTimeout Время ожидания (сек), в течение которого соединение должно перей-ти в состояние ESTABLISHED. Если состояние не изменилось, то со-единение автоматически прекращается

SnifferOpenTimeout Время сохранения соединения (в сек) при отсутствии пакетов

SnifferCloseTimeout Время сохранения соединения (в сек) при переходе в состояние TIME_WAIT

SnifferQueueMemorySize Объем памяти (в байтах), используемой для приема пакетов. При вы-сокой загруженности канала, можно увеличить значение. Диапазон

Установка системы 51

Параметр Пояснения

значений: от 1 до 500 Мб. Рекомендуемое значение – 104857600.

SnifferHost IP-адрес Sniffer

SnifferPort Порт, через который Sniffer принимает входящие соединения

В секции [PROXY_HTTP] установите значение Off для параметра SkipNegotiate.

Если необходимо перехватывать ICQ-трафик, передаваемый через прокси-сервер (поверх HTTP),

то в секции [PROXY_HTTP] установите On для параметра IcqFilter.

3.2.6.2. Создание кластера Traffic Monitor Server

При перехвате копии трафика через Sniffer можно создавать кластеры Traffic Monitor Server. Это позволя-ет увеличить производительность Системы.

Важная информация!

1. Один кластер может содержать до двух экземпляров Traffic Monitor Server. Не рекомендуется ис-пользовать более 3-х кластеров.

2. При использовании кластера сетевое соединение между Sniffer и Traffic Monitor Server должно обеспечивать скорость передачи в два раза превышающую скорость, с которой трафик поступает на Sniffer.

Чтобы создать кластер Traffic Monitor Server:

На каждом экземпляре Traffic Monitor Server, который будет входить в кластер, задайте параметры

кластеризации. Настройка выполняется в файле /usr/local/infowatch/tm3/etc/tm.conf,

секции [PROXY_SMTP], [PROXY_HTTP], [PROXY_ICQ]. Для каждого используемого перехватчика

укажите параметры:

Параметр Пояснения

SnifferClusterID Идентификатор кластера, в который будет включен данный экземпляр Traffic Monitor Server. По этому идентификатору трафик определенного вида распреде-ляется внутри кластера.

Задается в виде строки. Например, icq – 1

Важная информация!

На всех экземплярах Traffic Monitor Server, входящих в кластер, параметр дол-жен иметь одинаковое значение для одного и того же перехватчика.

SnifferBalancer Тип балансировки (распределение трафика между несколькими экземплярами Traffic Monitor Server с iw_proxy). Возможные значения:

Connection. Для каждого нового TCP-соединения выбирается экземпляр Traffic

Monitor Server с iw_proxy. Таким образом, поочередно задействуются все экзем-пляры Traffic Monitor Server.

SrcIp. Распределение трафика между несколькими экземплярами Traffic Monitor

Server с iw_proxy выполняется на основании IP-адреса клиента. Это значит, что все данные с одинаковым IP-адресом клиента будут передаваться на один эк-земпляр Traffic Monitor Server.

Важная информация! Вариант SrcIp необходимо указать для перехватчика

PROXY_HTTP, если нужен перехват ICQ-сообщений, передаваемых через прокси-

сервер (поверх HTTP).

В остальных случаях рекомендуется вариант Connection

52 InfoWatch Traffic Monitor Enterprise 3.5

Пример. Создание кластера из двух экземпляров Traffic Monitor Server

Система перехватывает копию SMTP- и HTTP-трафика через Sniffer. Для повышения производительно-сти при анализе трафика создается кластер из двух экземпляров Traffic Monitor Server (см. рис. 22).

Рисунок 22. Создание кластера из двух Traffic Monitor Server

Для создания кластера на каждом экземпляре Traffic Monitor Server нужно выполнить следующие на-

стройки в файле /usr/local/infowatch/tm3/etc/tm.conf:

Секция [PROXY_SMTP]:

SnifferClusterID = smtp

SnifferBalancer = Connection

Секция [PROXY_HTTP]:

SnifferClusterID = http

SnifferBalancer = Connection

3.2.7. Установка и настройка модуля взаимодействия с

удаленной базой данных

В этом разделе:

Установка клиентской части модуля взаимодействия с удаленной БД (филиал) (п. 3.2.7.1 на стр. 52).

Установка серверной части модуля взаимодействия с удаленной БД (центральный офис) (п. 3.2.7.2 на стр. 54).

3.2.7.1. Установка клиентской части модуля взаимодействия

с удаленной БД (филиал)

Шаг 1. Установка и настройка общих параметров

1. Убедитесь, что имеются все пакеты Linux, требующиеся для установки клиентской части модуля взаимодействия с удаленной базой данных. Это можно сделать с помощью следующей команды:

rpm –qpR /путь_к_пакету_iwtm/iwtm_qmover-x.x.x-x.i686.rpm

где x.x.x-x номер версии InfoWatch Traffic Monitor.

2. На компьютер с Traffic Monitor Server установите пакет iwtm_qmover-x.x.x-x.i686.rpm

(здесь x.x.x-x номер версии InfoWatch Traffic Monitor). Для этого выполните команду (от имени

пользователя root):

rpm -i /путь_к_пакету_iwtm/iwtm_qmover-x.x.x-x.i686.rpm

Например:

rpm -i /u01/iwtm_qmover-3.4.3-59.i686.rpm

Пакет будет установлен в каталог:

Установка системы 53

/usr/local/infowatch/tm3

3. Запустите сценарий qmover-setup.sh:

/usr/local/infowatch/tm3/qmover-setup.sh

4. Настройте параметры клиента:

Select remote queue setup type?

Выберите client.

Enter TM EE qmover server’s IP address.

IP-адрес, сервера (в центральном офисе), на который клиент будет передавать перехваченные

объекты. Значение по умолчанию 127.0.0.1.

Enter TM EE qmover server’s port number.

Порт сервера, на который будут передаваться перехваченные объекты. Значение по умолча-нию 16888.

5. Перезапустите Traffic Monitor Server:

service iw-trafmon restart

Шаг 2. Настройка автозапуска процессов

Включите автозапуск для процесса iw_qmover_client. Отключите автозапуск для процессов

iw_dbloader, iw_deliverd и iw_adlibitum.

Чтобы включить/отключить автозапуск процесса:

1. Для корректной смены параметров остановите процессы Traffic Monitor Server:

service iw-trafmon stop

2. В файле /usr/local/infowatch/tm3/etc/tm.conf, секция [AUTO_RESTART] выполните на-

стройки:

Чтобы включить автозапуск для процесса, установите в блоке процесса: autorestart = On

Пример (включение iw_qmover_client):

iw_qmover_client:

autorestart = On

Чтобы отключить автозапуск для процесса, установите в блоке процесса: autorestart = Off

3. Запустите процессы Traffic Monitor Server:

service iw-trafmon start

Шаг 3. Изменение ширины полосы пропускания для канала передачи данных

По умолчанию полоса пропускания имеет ширину 128 Кбит/с. Но вы можете настроить автоматическое изменение полосы пропускания в различные периоды времени. Для этого используется утилита

iw_qmover_channel__width_setter.

Допускается изменение ширины полосы пропускания в пределах от 128 Кбит/с до 2 Mбит/с включитель-но.

Чтобы настроить ограничения на ширину полосы пропускания:

на стороне клиента (филиал) настройте crond на запуск утилиты

iw_qmover_channel__width_setter с нужными интервалами.

Утилита запускается с обязательными параметрами:

iw_qmover_channel__width_setter <полоса_пропускания>

Здесь:

Полоса_пропускания – ширина полосы пропускания (кбит/с), которую нужно установить.

54 InfoWatch Traffic Monitor Enterprise 3.5

Пример

Имеется канал с полосой пропускания 256 кбит/с. Необходимо, чтобы в период с 9.00 до 18.00 ка-нал был занят на 50 %. А с 18.00 до 9.00 на 100%.

1. Рассчитайте ширину полосы пропускания, исходя из загрузки вашего канала. В этом примере ширина полосы пропускания для разных интервалов времени составляет:

Интервал

Ширина полосы пропускания

Процент от величины канала В пересчете на кбит/с

9.00 до 18.00 50% 128

18.00 до 9.00 100% 256

2. Добавьте в cron команды:

00 9 * * * iwtm /usr/local/infowatch/tm3/bin/iw_qmover_channel_width_setter 128

00 18 * * * iwtm /usr/local/infowatch/tm3/bin/iw_qmover_channel_width_setter 256

3.2.7.2. Установка серверной части модуля взаимодействия с

удаленной БД (центральный офис)

Шаг 1. Установка и настройка

1. Убедитесь, что имеются все пакеты Linux, требующиеся для установки серверной части модуля взаимодействия с удаленной базой данных. Это можно сделать с помощью следующей команды:

rpm –qpR /путь_к_пакету_iwtm/iwtm_qmover-x.x.x-x.i686.rpm

где x.x.x-x номер версии InfoWatch Traffic Monitor.

2. На компьютер с Traffic Monitor Server установите пакет iwtm_qmover-x.x.x-x.i686.rpm

(здесь x.x.x-x номер версии InfoWatch Traffic Monitor). Для этого выполните команду (от имени

пользователя root):

rpm -i /путь_к_пакету_iwtm/iwtm_qmover-x.x.x-x.i686.rpm

Например:

rpm -i /u01/iwtm_qmover-3.4.1-169.i686.rpm

Пакет будет установлен в каталог:

/usr/local/infowatch/tm3

3. Запустите сценарий qmover-setup.sh:

/usr/local/infowatch/tm3/qmover-setup.sh

4. Настройте параметры сервера:

Select remote queue setup type?

Выберите server.

Enter TM EE qmover server’s port number.

Укажите порт, на котором сервер прослушивает объекты, поступающие от клиентов (из филиа-

лов). Значение по умолчанию 16888.

Enter number of clients.

Укажите число клиентов, от которых сервер будет принимать объекты.

Please enter IP address of client N.

Укажите IP-адрес клиента N. Значение по умолчанию 127.0.0.1. Для каждого клиента выводится

отдельный запрос.

Установка системы 55

Примечание:

В файле /usr/local/infowatch/tm3/etc/tm.conf, секция [AUTO_RESTART] настройте автоза-

пуск для процесса iw_qmover_server.

Смену параметров автозапуска необходимо выполнять при отключенном Traffic Monitor Server. Под-робнее см. п. 3.2.1 на стр. 40, шаг 6 Проверка автозапуска процессов.

Шаг 2. Создание разных очередей для клиентов

По умолчанию после установки Traffic Monitor Server объекты от всех клиентов (филиалы) загружаются в

общую очередь /usr/local/infowatch/tm3/queue/db. В эту же очередь загружаются объекты, пе-

рехваченные в локальной сети центрального офиса (т.е. из сети на стороне базы данных).

С целью повышения надежности приема объектов необходимо создать отдельную очередь для каждого клиента. Настройка очередей выполняется на сервере приемнике (server)

Чтобы создать отдельную очередь для приема объектов от клиента,

1. Откройте файл /usr/local/infowatch/tm3/etc/qmover.conf.

2. В секции [client_N] (N – порядковый номер клиента) измените значение параметра QueuePath,

указав полный путь к директории, в которой нужно разместить очередь. Очередь будет создана в указанном месте при первом соединении сервера с клиентом.

Повторяйте п. 2, пока не будут заданы очереди для каждого клиента.

Важная информация!

Очереди от всех клиентов должны размещаться на одном разделе жесткого диска.

3. Для очереди каждого клиента задайте параметры перемещения объектов в основную очередь. За-пустите утилиту iw_qtool с параметрами:

iw_qtool move <очередь-источник> <очередь-приемник>

Здесь:

очередь-источник – полный путь к директории с очередью клиента N (должен совпадать cо

значением QueuePath в секции [client_N]).

очередь-приемник – полный путь к основной очереди сервера (по умолчанию используется

queue/db).

Например:

iw_qtool move /u01/client_1 /usr/local/infowatch/tm3/queue/db

4. Настройте в crond автоматический запуск утилиты iw_qtool с требуемой периодичностью.

3.2.8. Установка и настройка модуля IW ICAP

Шаг 1. Подготовка к установке

Убедитесь, что имеются все пакеты Linux, требующиеся для установки модуля IW ICAP. Это можно сде-лать с помощью следующей команды:

rpm –qpR /путь_к_пакету_iwtm/iwtm_icap-x.x.x-x.i686.rpm

где x.x.x-x номер версии InfoWatch Traffic Monitor.

Шаг 2. Установка модуля IW ICAP

На компьютер с Traffic Monitor Server установите пакет iwtm_icap-x.x.x-x.i686.rpm (здесь x.x.x-x

номер версии InfoWatch Traffic Monitor). Для этого выполните команду (от имени пользователя root):

rpm -i /путь_к_пакету_iwtm/iwtm_icap-x.x.x-x.i686.rpm

56 InfoWatch Traffic Monitor Enterprise 3.5

Например:

rpm -i /u01/iwtm_icap-3.4.3-59.i686.rpm

Пакет будет установлен в каталог:

/usr/local/infowatch/tm3

Примечание:

В файле /usr/local/infowatch/tm3/etc/tm.conf, секция [AUTO_RESTART] настройте автоза-

пуск для процесса iw_icap.

Смену параметров автозапуска необходимо выполнять при отключенном Traffic Monitor Server. Под-робнее см. п. 3.2.1 на стр. 40, шаг 6 Проверка автозапуска процессов.

Шаг 3. Настройка прокси-сервера

Настройте параметры перехвата HTTP-запросов на прокси-сервере.

Важная информация!

На каждой рабочей станции браузер должен быть настроен так, чтобы HTTP(S)-трафик проходил че-рез используемый прокси-сервер (SQUID, Blue Coat). Информацию по настройке вы можете получить из документации к браузеру.

Настройка SQUID

В настройках прокси-сервера задайте следующие параметры:

разрешите использование ICAP;

обязательно установите режим работы ICAP-сервера: Request Mod;

укажите IP-адрес ICAP-сервера, на который будут передаваться HTTP-запросы. ICAP-сервер вхо-дит в состав модуля IW ICAP. Поэтому нужно указывать IP-адрес компьютера, на который уста-новлен этот модуль.

Пример настройки ICAP для SQUID 3.1.7

В файле squid.conf задайте параметры:

icap_enable on

icap_preview_enable off

icap_send_client_ip on

icap_send_client_username on

icap_service service_1 reqmod_precache 0 icap://IP_TM_Server:Port_TM_Server/reqmod

icap_class class_1 service_1

icap_access class_1 allow all

never_direct allow all

Где IP_TM_Server — IP-адрес Traffic Monitor Server, а Port_TM_Server – порт, на котором Traffic Monitor

Server слушает ICAP (по умолчанию – 1344).

Настройка прокси-сервера для обеспечения его интеграции с Active Directory на примере SQUID 3.1.7 на компьютере с CentOS 5.5 / RHEL 5.5

Примечание:

Процедура настройки, которая приводится далее, может отличаться в зависимости от версии и моде-ли прокси-сервера. Актуальную информацию по настройке вы можете получить из документации к прокси-серверу.

1. Убедитесь, что установлены следующие пакеты:

squid3

samba

samba-common

Установка системы 57

kerberos

2. Настройте конфигурационный файл samba (/etc/samba/smb.conf):

[global]

workgroup = EXAMPLE

server string = Samba server %v

netbios name = machine

security = ADS

realm = EXAMPLE.COM

password server = 192.168.1.1

encrypt passwords = Yes

preferred master = No

domain master = No

Где:

­ EXAMPLE – имя рабочей группы, куда входит ICAP-сервер;

­ EXAMPLE.COM – DNS имя ICAP-сервера.

3. Настройте конфигурационный файл kerberos (/etc/krb5.conf):

[logging]

default = FILE:/var/log/krb5libs.log

kdc = FILE:/var/log/krb5kdc.log

admin_server = FILE:/var/log/kadmind.log

[libdefaults]

default_realm = EXAMPLE.COM

dns_lookup_realm = false

dns_lookup_kdc = false

ticket_lifetime = 24h

forwardable = yes

[realms]

EXAMPLE.COM = {

kdc = dc.example.com:88

admin_server = dc.example.com:749

default_domain = example.com

}

[domain_realm]

.example.com = EXAMPLE.COM

example.com = EXAMPLE.COM

[appdefaults]

pam = {

debug = false

ticket_lifetime = 36000

renew_lifetime = 36000

forwardable = true

krb4_convert = false

}

4. Настройте конфигурационный файл /etc/nsswitch.conf:

passwd: files winbind

group: files winbind

shadow: files

5. В файле /etc/hosts укажите записи для FQDN ICAP-сервера. Т.е.:

192.168.1.2 squid.example.com

6. Выполните проверку на наличие ошибок в файле smb.conf:

testparm

Если проверка указала на отсутствие ошибок, перезапустите samba:

58 InfoWatch Traffic Monitor Enterprise 3.5

/etc/init.d/smb restart

7. Выполните включение компьютера в домен

net ads join –U username

где username – имя пользователя с правами на включение данного компьютера в домен.

8. Запустите winbind:

winbindd

/etc/init.d/smb restart

9. Проверьте работу winbind:

Чтобы получить список доменных пользователей, выполните команду:

wbinfo –u

Чтобы получить список доменных групп, выполните команду:

wbinfo –g

10. Настройте конфигурационный файл /etc/squid/squid.conf, добавив следующие строки:

auth_param ntlm program /usr/bin/ntlm_auth —helper-protocol=squid-2.5-ntlmssp

auth_param ntlm children 5

auth_param ntlm keep_alive on

acl ntlm_users proxy_auth REQUIRED

http_access allow ntlm_users

/etc/init.d/squid restart

Рекомендации по настройке ICAP для Blue Coat SG Series

На прокси-сервере должно быть разрешено использование ICAP в режиме Request Mod, настроены па-раметры взаимодействия с Traffic Monitor Server. Настройки выполняются через Web-интерфейс, под учетной записью администратора.

Примечания:

Процедура настройки, которая приводится далее, может отличаться в зависимости от версии и моде-ли прокси-сервера. Актуальную информацию по настройке вы можете получить из документации к прокси-серверу.

Если вам необходимо перехватывать HTTPS-трафик, то настройте Blue Coat так, чтобы HTTPS-трафик обрабатывался как HTTP-трафик. Подробную информацию по этому вопросу вы можете полу-чить из документации к прокси-серверу.

1. Перейдите на вкладку Configuration.

2. Перейдите в раздел External Services ► ICAP. Создайте сервис tm. Задайте параметры сервиса:

Service URL: icap://<TM_server_IP>/reqmod

Например: icap://10.60.0.20/reqmod.

Maximum number of connections: 10

Connection timeout: 70

Установите флажок This service supports plain ICAP connection. В поле Plain ICAP port ука-жите порт 1344.

Важная информация!

Значение поля Plain ICAP port должно совпадать со значением параметра ListenPort в

файле /usr/local/infowatch/tm3/etc/icap.conf, секция [ICAP]. Если параметр

ListenPort имеет другое значение, то откорректируйте его.

На панели ICAP v1.0 Options настройте параметры:

o Method supported: выберите request modification

o Send. Установите флажки Authenticated User, Client address и Server address.

Установка системы 59

3. Перейдите в раздел Health Checks ► General. Убедитесь, что включена проверка состояния для серверов – на вкладке Health Checks отображаются адреса:

icap.tm

Проверьте доступность всех перечисленных серверов, нажав кнопку Perform health check.

3.2.9. Кластер Traffic Monitor Server c одним Сервером

контентного анализа

Важная информация!

Сведения в данном разделе относятся только к случаю, когда используется технология контентного анализа текста Цифровые отпечатки.

При использовании технологии Цифровые отпечатки в системе должен функционировать только один Сервер контентного анализа. Если в Системе имеется несколько экземпляров Traffic Monitor Server, то необходимо настроить передачу текста на контентный анализ со всех экземпляров на общий Сервер кон-тентного анализа.

Чтобы настроить один Сервер контентного анализа для нескольких экземпляров Traffic Monitor:

На всех экземплярах Traffic Monitor Server остановите Сервер контентного анализа:

service iw-caserv stop

На компьютере с Traffic Monitor Server, на котором будет работать Сервер контентного анализа, в

файле /usr/local/infowatch/tm3/etc/tm.conf, измените адрес сервера на 0.0.0.0:

секция [CAS]

ListenAddr=0.0.0.0

На других экземплярах Traffic Monitor Server в файле

/usr/local/infowatch/tm3/etc/tm.conf, секция [FILTER], укажите адрес и порт Сервера

контентного анализа.

На компьютере с Traffic Monitor Server, на котором будет работать Сервер контентного анализа, запустите Сервер контентного анализа:

service iw-caserv start

3.3. Sniffer

Шаг 1. Установка Sniffer

Установите и настройте Traffic Monitor Server в соответствии с п. 3.2.1 на стр. 40. Особенности настройки Traffic Monitor Server зависят от схемы развертывания:

Схема развертывания Системы Настройка Traffic Monitor Server

Перехват и анализ трафика будет выпол-няться на разных компьютерах. Устанавли-ваемый экземпляр Traffic Monitor Server будет работать только как Sniffer (перехват трафи-ка)

При настройке выбирайте значения по умолчанию, но откажитесь от интеграции с Postfix, (выберите значе-

ние n).

Включите автозапуск только для процесса iw_sniffer.

60 InfoWatch Traffic Monitor Enterprise 3.5

Схема развертывания Системы Настройка Traffic Monitor Server

Перехват и анализ копии трафика будет вы-полняться на одном компьютере. Traffic Moni-tor Server будет принимать копию трафика от коммутатора CISCO (функция Sniffer), анали-зировать полученные данные и загружать их в базу данных (функции Traffic Monitor Server)

При настройке укажите параметры, необходимые для выполнения функций Traffic Monitor Server. Но откажи-

тесь от интеграции с Postfix, (выберите значение n).

Включите автозапуск для процессов iw_sniffer. iw_dbloader, iw_updater, iw_warpd и iw_adlibitum. Также включите автозапуск для нужных перехватчиков тра-фика: iw_proxy ICQ, iw_proxy HTTP, iw_proxy SMTP. Отключите автозапуск других процессов.

Шаг 2. Настройка параметров перехвата трафика

На компьютере с установленным Sniffer выполните следующие настройки:

1. Остановите процессы Traffic Monitor Server, выполнив команду:

service iw-trafmon stop

2. В конфигурационном файле /usr/local/infowatch/tm3/etc/tm.conf, секция [SNIFFER],

задайте параметры:

Host. IP-адрес, на который нужно принимать входящие соединения.

Port. Порт, через который нужно принимать входящие соединения

3. По окончании настройки запустите iw_sniffer:

service iw-trafmon start

3.4. Management Console

В этом разделе:

Установка Management Console (п. 3.4.1 на стр. 60).

Настройка соединения с сервером СУБД Oracle (п. 3.4.2 на стр. 61).

Настройка параметров анализа и мониторинга объектов (п. 3.4.3 на стр. 62).

3.4.1. Установка Management Console

Шаг 1. Запуск мастера установки

На диске с дистрибутивом Системы откройте каталог Setup.Gui.Ru. В этом каталоге найдите и запусти-

те файл setup.exe.

В результате на экран будет выведено окно приветствия мастера установки «InfoWatch Traffic Monitor Management Console».

Нажмите кнопку Далее.

Шаг 2. Принятие лицензионного соглашения

Ознакомьтесь с текстом лицензионного соглашения. Если вы принимаете условия лицензионного согла-шения, выберите вариант Принимаю и нажмите кнопку Далее.

Установка системы 61

Шаг 3. Выбор каталога для установки

Путь к каталогу, в который будет установлена Management Console, задан в поле ввода Папка.

Выберите один из вариантов создания ярлыка для Management Console:

Для всех. Ярлык создается для каждого пользователя, зарегистрированного на данном компьюте-ре.

Только для меня. Ярлык будет создан только для того пользователя, который выполнял установ-ку.

Нажмите кнопку Далее.

Шаг 4. Завершение работы мастера установки

После перехода к окну Подтверждение установки, нажмите кнопку Далее, чтобы начать установку Man-agement Console.

Следуйте дальнейшим указаниям мастера, чтобы завершить установку Management Console.

Шаг 5. Дополнительные настройки для отправки рапортов

Пользователи, выполняющие анализ объектов в Management Console, могут направлять рапорты с ком-ментариями по объектам. Для поддержки этой функции на всех компьютерах, с установленной Manage-ment Console, которые будут использоваться для отправки рапортов, необходимо внести изменения в настройки операционной системы. Для этого откройте Панель управления (Пуск ► Настройки ► Па-нель управления). Затем выберите компонент Язык и региональные стандарты. В открывшемся диа-логовом окне перейдите на вкладку Дополнительно и выберите русский язык для программ, не поддер-живающих Юникод.

3.4.2. Настройка соединения с сервером СУБД Oracle

После установки Management Console необходимо выполнить настройку параметров соединения с сервером СУБД Oracle.

Чтобы настроить параметры взаимодействия с сервером СУБД Oracle:

1. Для поддержки национальных кодировок и установок времени укажите в системном реестре зна-

чение переменной окружения NLS_LANG равным RUSSIAN_CIS.AL32UTF8.

Путь к ключу реестра:

HKEY_LOCAL_MACHINESOFTWAREORACLEKEY_OraClient11g_home#NLS_LANG

где символ «#» означает некоторую цифру. Для KEY_OraClient11g_home# значение символа

«#» будет совпадать со значением этого же символа для каталога OraHome_#.

Важная информация!

Если ключ реестра отсутствует по указанному пути (например, вследствие того, что на компьютере не установлен клиент СУБД Oracle), то при работе с национальными коди-ровками и установками времени (например, при определении настроек дней недели) бу-дут использоваться параметры сервера СУБД Oracle.

2. Для корректного соединения с сервером СУБД Oracle настройте параметры соединения в файле

tnsnames.ora. По умолчанию файл расположен в папке:

C:Program FilesInfoWatchTraffic MonitorManagement Consoleinstantclient_11_1

При настройке параметров файла tnsnames.ora необходимо указать значения для всех пара-

метров, перечисленных в следующем примере:

IWTM =

(DESCRIPTION =

(ADDRESS_LIST =

(ADDRESS = (PROTOCOL = TCP)(HOST = iwtm_host)(PORT = 1521))

)

62 InfoWatch Traffic Monitor Enterprise 3.5

(CONNECT_DATA =

(SERVER = DEDICATED)

(SERVICE_NAME = iwtm_service_name)

)

)

Здесь iwtm_host – сетевое имя сервера СУБД Oracle. А iwtm_service_name – имя сервиса базы

данных.

3. Проверьте взаимодействие между клиентом и сервером СУБД Oracle (см. прил. A.2.3 на стр. 85).

3.4.3. Настройка параметров анализа и мониторинга

объектов

После установки настройте в Management Console параметры анализа и обработки объектов:

1. Настройте конфигурацию и загрузите ее на Traffic Monitor Server.

2. Составьте и скомпилируйте базу эталонных документов.

3. Выполните дополнительные настройки (наборы цветов и зон ответственности), необходимые для корректной работы сценария обработки объектов.

Примечание:

Информация, необходимая для выполнения этих настроек описывается в документе «InfoWatch Traffic Monitor. Руководство пользователя»

ГЛАВА 4. ОБНОВЛЕНИЕ СИСТЕМЫ

Вы можете обновить InfoWatch Traffic Monitor, начиная с версии 3.4.0, до более поздней версии.

В этой главе:

Порядок обновления Системы (п. 4.1 на стр. 63).

Загрузка очередей объектов (п. 4.2 на стр. 64).

Схема базы данных (п. 4.3 на стр. 65).

4.1. Порядок обновления Системы

На время выполнения обновления Traffic Monitor Server потребуется отключить перехват всего трафика. Поэтому рекомендуется выполнять обновление в то время, когда трафик и размер файловой очереди минимальны.

Важная информация!

Перед тем как приступить к обновлению Системы, создайте резервную копию базы данных.

Обновление системы выполняется в такой последовательности:

1. Загрузка имеющихся очередей объектов (см. п. 4.2 на стр. 64).

2. Обновление схемы базы данных (см. п. 4.3.2 на стр. 67).

3. Удаление текущей версии серверной части и установка новой версии.

Важная информация!

Перед установкой компонентов серверной части установите операционную систему Red Hat Enterprise Linux Server 5.5 x86-32.

Требования к аппаратному и программному обеспечению InfoWatch Traffic Monitor Enterprise 3.5 приводятся в п. 2.2 на стр. 23.

Порядок установки зависит от схемы перехвата трафика:

Схема перехвата трафика Порядок обновления серверной части

Перехват трафика ведется не через Sniffer

1. Удалите текущую версию Traffic Monitor Server (см. п. 5.4 на стр. 73).

2. Установите новую версию Traffic Monitor Server. Рекоменда-ции по установке зависят от схемы развертывания Системы:

Перехват копии SMTP-трафика (работа с почтовым relay-сервером) (п. 2.1.1 на стр. 10).

Перехват HTTP-трафика, передаваемого по протоколу ICAP (п. 2.1.3 на стр. 16).

Прием объектов, перехваченных InfoWatch Device Monitor (п. 2.1.4 на стр. 19).

Прием объектов от DeviceLock (п. 2.1.5 на стр. 21).

64 InfoWatch Traffic Monitor Enterprise 3.5

Схема перехвата трафика Порядок обновления серверной части

Перехват трафика выпол-няется через Sniffer

Если Sniffer и Traffic Monitor Server установлены на разных компью-терах:

1. Удалите текущую версию Sniffer (п. 5.5 на стр. 74) и Traffic Monitor Server (см. п. 5.4 на стр. 73).

2. Установите новую версию Sniffer (при этом обязательно уста-новите новое ядро Linux). Порядок установки описан в п. 3.3 на стр. 59.

3. Установите новую версию Traffic Monitor Server.

Если Sniffer и Traffic Monitor Server установлены на одном компью-тере:

1. Удалите текущую версию Traffic Monitor Server (см. п. 5.4 на стр. 73) и Sniffer (см. п. 5.5 на стр. 74).

2. Установите новую версию Sniffer с Traffic Monitor Server. При этом обязательно установите новое ядро Linux. Порядок ус-тановки описан в п. 3.3 на стр. 59.

4. Удаление текущей версии Management Console (см. п. 5.6 на стр. 74) и установка новой версии (см. п. 3.4.1 на стр. 60).

Важная информация!

Не используйте старую версию Management Console для работы с обновленной базой данных.

После установки новой версии Management Console загрузите конфигурацию на Traffic Monitor Server (см. документ «InfoWatch Traffic Monitor. Руководство пользователя»).

В процессе обновления прием объектов не ведется. По завершении обновления Система работает в штатном режиме.

4.2. Загрузка очередей объектов

Чтобы обеспечить загрузку имеющихся очередей объектов:

1. Остановите процессы Traffic Monitor Server:

service iw-trafmon stop

2. Для процессов перехватчиков iw_proxy, iw_smtpd и iw_expressd отключите автозапуск в файле

/usr/local/infowatch/tm3/etc/tm.conf, секция [AUTO_RESTART]:

autorestart = Off

3. Запустите процессы Traffic Monitor Server

service iw-trafmon start

4. Дождитесь, пока будут обработаны все объекты в файловой очереди. Для этого можно просле-дить содержимое каталогов с очередями (о расположении этих каталогов см. Руководство адми-нистратора, п. 3.2.6 «Секция [QUEUE]»).

Примечание:

По окончании обновления Системы убедитесь, что перехватчики запущены, и в конфигурационном файле включен автозапуск процессов.

Обновление системы 65

4.3. Схема базы данных

В этом разделе:

Подготовка к обновлению схемы базы данных (п. 4.3.1 на стр. 65).

Обновление схемы базы данных (п. 4.3.2 на стр. 67).

Подготовка схемы базы данных к работе (п. 4.3.3 на стр. 69).

4.3.1. Подготовка к обновлению схемы базы данных

Проверьте версию установленной у вас схемы базы данных. Для этого выполните запрос от имени вла-дельца схемы БД:

SELECT vers.get_schema_version

FROM dual

Убедитесь, что выполнены условия необходимые для корректного обновления схемы базы данных:

запущен сервер СУБД Oracle;

на сервере СУБД Oracle параметр recyclebin имеет значение off либо не имеет значения. Что-

бы проверить значение параметра:

1. При работе в консоли выполните команду:

sqlplus [email protected]<SID> as sysdba

(где <SID> — имя базы данных), затем введите пароль.

2. От имени пользователя SYS выполните запрос:

select name, value

from v$parameter p

where lower(p.NAME) = ‘recyclebin’

Если параметр recyclebin включен (имеет значение on), то отключите его перед обновлением

схемы БД. Для этого выполните следующие действия:

1. От имени пользователя SYS выполните оператор:

alter system set RECYCLEBIN=’off’ scope=spfile

2. От имени пользователя oracle перезапустите базу данных.

Остановите БД:

lsnrctl stop

dbshut

затем запустите еѐ снова:

lsnrctl start

dbstart

3. Повторно убедитесь, что параметр recyclebin имеет значение off.

на компьютере, с которого будет запущен инсталлятор схемы базы данных, установлен и настроен клиент СУБД Oracle версии 11g R2 (11.2.0.1.0), тип установки клиента – Администратор. Для это-го проверьте, что в директории клиента существует файл:

[X]:app[Текущий пользователь]product11.2.0client_1BINsqlldr.exe

где:

­ [X] – диск, на котором установлен клиент Oracle;

­ [Текущий пользователь] – пользователь, от имени которого осуществлен вход на клиент-

ский компьютер.

Рекомендации по установке и настройке клиента СУБД Oracle см. в приложении A.2.1 на стр. 83.

66 InfoWatch Traffic Monitor Enterprise 3.5

Уточните имя и пароль учетной записи, обладающей правами SYSDBA (как правило, это пользователь SYS);

Важная информация!

Убедитесь, что пароль соответствует следующим требованиям:

Пароль может состоять из латинских букв, цифр и символов:

, ; . : ! ~ ` # $ % ^ * ( ) — _ + < ‘ [ ] { } | > ?

Может начинаться с буквы, цифры или символа. Максимальная длина пароля составляет 15 символов.

Если пароль не соответствует этим требованиям, то измените его перед обновлением схемы БД. При необходимости вы можете вернуть старый пароль после того, как схема БД будет обновлена.

Убедитесь, что в конфигурации отсутствуют теги, названия которых различаются между собой только ре-гистром символов. Если такие теги есть, их следует переименовать.

Примечание:

Если в конфигурации присутствуют теги, названия которых различаются между собой только регист-ром символов, то после обновления схемы базы данных к названиям таких тегов будет добавлен их код.

Так например, если в конфигурации есть теги с названиями Example (код EX1) и EXAMPLE (код EX2), то

после обновления их названия изменятся на Example_EX1 и EXAMPLE_EX2 соответственно.

Перед запуском инсталлятора схемы базы данных, выполните следующие действия:

1. Закройте все экземпляры Management Console. Убедитесь, что отсутствуют соединения с обнов-ляемой схемой из других программ. При необходимости отключите все соединения.

2. Остановите задания IWADDPARTS, IWTM_SYNC_INDEXES и IWDROP (если ранее была создана процедура для удаления табличных пространств), выполнив сценарий:

BEGIN

dbms_scheduler.disable(‘IWDROP’,true);

dbms_scheduler.disable(‘IWADDPARTS’,true);

dbms_scheduler.disable(‘IWTM_SYNC_INDEXES’,true);

COMMIT;

END;

3. Убедитесь, что ни одно задание не выполняется. Проверить состояние заданий можно по таблице user_scheduler_jobs, выполнив запрос:

SELECT job_name,next_run_date,last_run_duration

FROM user_scheduler_jobs

В соответствии с этим запросом будут выведены столбцы:

job_name – имя задания.

next_run_date – дата и время следующего старта.

last_run_duration – длительность, с которой задание выполнялось при последнем запуске. Зна-чение null имеют задания, выполняющиеся в текущий момент.

Если какое-либо задание выполняется, дождитесь его окончания.

4. Остановите процессы Traffic Monitor Server:

service iw-trafmon stop

Обновление системы 67

4.3.2. Обновление схемы базы данных

При обновлении схемы базы данных создается индекс для таблиц с данными. Поэтому время обновле-ния будет зависеть от объема данных (при большом объеме – до 1 часа).

Важная информация!

В базе данных не должны выполняться никакие работы во время обновления схемы базы данных (т.е. от момента нажатия кнопки Старт и до появления сообщения Операция завершена успешно).

Примечания:

1. Перед тем как приступить к обновлению схемы базы данных, выполните подготовительные дейст-вия (см. п. 4.3.1 на стр. 65).

2. Часть параметров, которые нужно указать при обновлении схемы базы данных, отмечены симво-лом «*». Такие параметры заполняются в обязательном порядке.

Шаг 1. Запуск инсталлятора схемы базы данных

На диске с дистрибутивом Системы откройте каталог CreateSchemaWizard. В этом каталоге найдите и

запустите файл Setup.exe.

Вы также можете скопировать инсталлятор в папку, расположенную на жестком диске, и запускать ин-сталлятор из этой папки.

Важная информация!

Инсталлятор схемы базы данных не может быть запущен из сетевой папки.

После этого на экран будет выведено окно Мастер работы с БД.

Шаг 2. Выбор типа установки

В окне Мастер работы с БД выберите вариант Обновление существующей схемы БД и нажмите на кнопку OK.

После этого на экран будет выведено окно мастера обновления схемы БД. В открывшемся окне нажмите кнопку Вперед.

Шаг 3. Настройка параметров соединения с сервером базы данных

В окне мастера обновления схемы БД (см. рис. 23) укажите параметры соединения с сервером базы дан-ных:

База данных. Псевдоним сервера, на котором установлена обновляемая база данных (псевдоним

выбирают из перечисленных в файле tnsnames.ora).

Имя пользователя с ролью SYSDBA. Имя учетной записи, обладающей правами SYSDBA (на-пример, SYS).

Пароль пользователя с ролью SYSDBA. Пароль учетной записи SYSDBA.

68 InfoWatch Traffic Monitor Enterprise 3.5

Рисунок 23. Параметры соединения с сервером базы данных

Нажмите кнопку Вперед.

Шаг 4. Настройка параметров учетной записи владельца схемы базы данных

Укажите параметры учетной записи владельца обновляемой схемы базы данных (см. рис. 24):

Владелец схемы БД. Имя учетной записи владельца схемы базы данных.

Пароль владельца схемы БД. Пароль учетной записи.

Рисунок 24. Параметры владельца обновляемой схемы базы данных

Нажмите кнопку Старт. После этого начнется процесс обновления схемы базы данных.

Примечание:

Если процесс обновления завершается ошибкой, обратитесь в службу технической поддержки.

Обновление системы 69

4.3.3. Подготовка схемы базы данных к работе

После обновления схемы базы данных выполните следующие действия:

1. Проверьте соединение с сервером базы данных:

sqlplus db_login/[email protected]_name

Здесь db_login и db_password – имя и пароль владельца схемы базы данных, а tns_name –

имя службы TNS.

Если проверка пройдена успешно, то в ответ на выполнение команды будет выведено приглаше-ние SQL *Plus:

SQL>

2. Запустите процессы Traffic Monitor Server:

service iw-trafmon start

3. Проверьте системный журнал на наличие ошибок. Путь к файлу журнала:

/var/log/messages

Если в системном журнале содержится информация об ошибках, то обратитесь в службу поддерж-ки компании InfoWatch.

4. Запустите задания IWADDPARTS, IWTM_SYNC_INDEXES, IWDROP (если ранее была создана процедура для удаления табличных пространств):

BEGIN

dbms_scheduler.enable(‘IWDROP’);

dbms_scheduler.enable(‘IWADDPARTS’);

dbms_scheduler.enable(‘IWTM_SYNC_INDEXES’);

COMMIT;

END;

ГЛАВА 5. УДАЛЕНИЕ СИСТЕМЫ

В этой главе:

Схема базы данных (п. 5.1 на стр. 70).

Модуль взаимодействия с удаленной базой данных (п. 5.2 на стр. 72).

Модуль IW ICAP (п. 5.3 на стр. 72).

Traffic Monitor Server (п. 5.4 на стр. 73).

Sniffer (п. 5.5 на стр. 74).

Management Console (п. 5.6 на стр. 74).

5.1. Схема базы данных

В этом разделе:

Подготовка к удалению (п. 5.1.1 на стр. 70).

Удаление схемы базы данных (п. 5.1.2 на стр. 71).

5.1.1. Подготовка к удалению

Убедитесь, что выполнены условия необходимые для корректного удаления схемы базы данных:

запущен сервер СУБД Oracle;

на компьютере, с которого будет запущен инсталлятор схемы базы данных, установлен и настроен клиент СУБД Oracle версии 11g R2 (11.2.0.1.0), тип установки клиента – Администратор. Реко-мендации по установке и настройке клиента СУБД Oracle см. в A.2.1 на стр. 83.

известно имя и пароль учетной записи, обладающей правами SYSDBA (требуются при установке);

Удаление схемы базы данных, имеющей определенную версию, должно выполняться при помощи ин-сталлятора той же версии.

Чтобы посмотреть версию установленной у вас схемы базы данных:

Выполните запрос к базе данных от имени владельца схемы базы данных:

SELECT vers.get_schema_version

FROM dual

Перед запуском Traffic Monitor Create Schema Wizard необходимо:

остановить все процессы Traffic Monitor Server:

service iw-trafmon stop

закрыть все экземпляры Management Console;

прекратить все соединения c удаляемой схемой базы данных, осуществляемые из других про-грамм.

Удаление системы 71

5.1.2. Удаление схемы базы данных

Важная информация!

Не удаляйте схему базы данных, от которой для архивирования были отключены ежедневные ТП. Иначе вы не сможете восстановить данные из этих табличных пространств.

Примечание:

Перед удалением схемы базы данных выполните подготовительные действия (см. п. 5.1.1 на стр. 70).

Часть параметров, которые нужно указать при удалении схемы базы данных, отмечены символом «*». Такие параметры заполняются в обязательном порядке.

Шаг 1. Запуск инсталлятора схемы базы данных

На диске с дистрибутивом Системы откройте каталог CreateSchemaWizard. В каталоге найдите и запус-

тите файл Setup.exe.

Вы также можете скопировать инсталлятор в папку, расположенную на жестком диске, и запускать ин-сталлятор из этой папки.

Важная информация!

Инсталлятор схемы базы данных не может быть запущен из сетевой папки.

После этого на экран будет выведено окно Мастер работы с БД.

Шаг 2. Выбор типа установки

В окне Мастер работы с БД выберите вариант Удаление существующей схемы БД и нажмите на кноп-ку OK.

После этого на экран будет выведено окно мастера удаления схемы БД. В открывшемся окне нажмите кнопку Вперед.

Шаг 3. Настройка параметров соединения с сервером базы данных

В окне мастера удаления схемы БД (данное окно аналогично тому, которое показано на рис. 23) укажите параметры соединения с сервером базы данных:

База данных. Псевдоним сервера, на котором установлена база данных (псевдоним выбирают из

перечисленных в файле tnsnames.ora).

Имя пользователя с ролью SYSDBA. Имя учетной записи, обладающей правами SYSDBA (на-пример, SYS).

Пароль пользователя с ролью SYSDBA. Пароль учетной записи SYSDBA.

Нажмите кнопку Вперед.

Шаг 4. Настройка параметров удаления схемы БД

Укажите имя учетной записи владельца удаляемой схемы базы данных (см. рис. 25):

Обязательно установите флажок в поле Я действительно хочу удалить эту схему. Если данный фла-жок не установлен, то схема базы данных не будет удалена.

72 InfoWatch Traffic Monitor Enterprise 3.5

Рисунок 25. Параметры владельца удаляемой схемы базы данных

Нажмите кнопку Старт. После этого начнется процесс удаления схемы базы данных. По завершении процесса на экран будет выведено соответствующее уведомление.

5.2. Модуль взаимодействия с удаленной

базой данных

Чтобы удалить модуль взаимодействия с удаленной базой данных:

1. Выполните команду:

rpm -e iwtm_qmover

Если конфигурационный файл (qmover.conf) в процессе работы был изменен, то после удаления

он будет сохранен на компьютере как qmover.conf.rpmsave.

2. На стороне клиента (перехватчика объектов) удалите из cron настройки, изменяющие ширину про-пускания для канала передачи данных (пример настроек см. в п. 3.2.7.1 на стр. 52, шаг 2).

5.3. Модуль IW ICAP

Если перехват HTTP-запросов по протоколу ICAP не требуется, отключите модуль IW_ICAP.

Чтобы отключить модуль IW_ICAP:

1. Остановите процессы Traffic Monitor Server:

service iw-trafmon stop

2. Отключите автозапуск процесса iw_icap в файле /usr/local/infowatch/tm3/etc/tm.conf,

секция [AUTO_RESTART]:

iw_icap:

autorestart = Off

3. Запустите процессы Traffic Monitor Server:

service iw-trafmon start

4. Проверьте состояние процессов Traffic Monitor Server:

service iw-trafmon status

Если автозапуск iw_icap отключен, то вывод status не должен содержать информации об iw_icap.

Удаление системы 73

5. Верните исходные настройки прокси-сервера (пример смены настроек см. в п. 3.2.8 на стр. 55, шаг 2).

При необходимости вы можете удалить rpm-пакет iwtm_icap.

Чтобы удалить rpm-пакет модуля IW ICAP:

выполните команду:

rpm -e iwtm_icap

Если конфигурационный файл (icap.conf) в процессе работы был изменен, то после удаления

он будет сохранен на компьютере как icap.conf.rpmsave.

5.4. Traffic Monitor Server

Перед тем как удалять Traffic Monitor Server, удалите:

Модуль взаимодействия с удаленной базой данных (п. 5.2 на стр. 72). Если Traffic Monitor Server использовался для загрузки объектов в удаленную базу данных (как клиент или сервер).

Модуль IW ICAP (п. 5.3 на стр. 72). Если перехват HTTP-трафика выполнялся путем интеграции с ICAP-сервером.

InfoWatch DeviceLock Adapter. Если Traffic Monitor Server использовался для приема объектов от DeviceLock. Рекомендации по удалению см. в документе «InfoWatch DeviceLock Adapter. Руково-дство по установке и конфигурированию».

Чтобы удалить Traffic Monitor Server,

1. Выполните команды:

rpm -e iwtm_gpl_components

rpm -e iwtm

2. Перенастройте подсистемы перехвата трафика, работавшие через Traffic Monitor Server.

Схема перехвата трафика в InfoWatch Traffic Monitor

Необходимые действия после удаления InfoWatch Traffic Moni-tor

Перехват копии SMTP-трафика (работа с почто-вым relay-сервером)

Убедитесь, что параметры Postfix возвращены в исходное состоя-ние (т.е. параметры имеют значение, которое было до установки Системы). Об изменениях в параметрах Postfix см. п. 3.2.5 на стр. 49

Перехват и фильтрация SMTP-трафика выполнялся Системой (интеграция с Postfix)

Убедитесь, что параметры Postfix возвращены в исходное состоя-ние (т.е. параметры имеют значение, которое было до установки Системы). Об изменениях в параметрах Postfix см. п. 3.2.5 на стр. 49.

Настройте доставку SMTP-писем через корпоративный почтовый сервер, минуя InfoWatch Traffic Monitor

После удаления на компьютере остаются только:

Конфигурационные файлы, в которые были внесены изменения (tm.conf, detector.conf,

qmover.conf, icap.conf).

Измененным файлам присваивается суффикс .rpmsave (например, tm.conf.rpmsave). Файлы,

которые не изменялись, будут удалены.

Очередь объектов.

База контентной фильтрации.

Файл лицензии.

Учетная запись пользователя – владельца InfoWatch Traffic Monitor и группа, в состав которой вхо-дил этот пользователь.

74 InfoWatch Traffic Monitor Enterprise 3.5

Если выполнялась интеграция с Postfix, то в процессе удаления происходит возврат к исходным настрой-кам. Об изменениях, выполняемых при интеграции Traffic Monitor Server с Postfix, рассказывается в п. 3.2.5 на стр. 49.

5.5. Sniffer

Если Sniffer и Traffic Monitor Server установлены на одном компьютере, Sniffer будет удален вместе с Traf-fic Monitor Server (см. п. 5.4 на стр. 73). Дополнительная процедура удаления в этом случае не требуется.

Чтобы удалить Sniffer, установленный отдельно от Traffic Monitor Server:

выполните команду:

rpm -e iwtm

После удаления на компьютере остаются только:

Конфигурационный файл, tm.conf, если он был изменен в процессе работы. Файл будет сохра-

нен как tm.conf.rpmsave (например, tm.conf.rpmsave). Файлы, которые не изменялись, будут

удалены.

Учетная запись пользователя – владельца InfoWatch Traffic Monitor и группа, в состав которой вхо-дил этот пользователь.

5.6. Management Console

Чтобы удалить Management Console:

1. Откройте компонент Установка и удаление программ. Для этого в меню Пуск выберите пункт Настройка ► Панель управления. В окне Панели управления выберите компонент Установка или удаление программ.

2. В окне Установка и удаление программ выделите пункт InfoWatch Traffic Monitor Management Console и нажмите кнопку Удалить.

ПРИЛОЖЕНИЕ A. РЕКОМЕНДАЦИИ ПО

УСТАНОВКЕ СУБД ORACLE

В настоящем приложении даются рекомендации по развертыванию СУБД Oracle для обеспечения рабо-ты системы InfoWatch Traffic Monitor.

В этом приложении:

Сервер СУБД Oracle (прил. A.1 на стр. 75).

Клиент СУБД Oracle (прил. A.2 на стр. 82).

A.1. Сервер СУБД Oracle

В этом разделе:

Рекомендации по установке (прил. A.1.1 на стр. 75).

Подготовка к установке (прил. A.1.2 на стр. 75).

Установка сервера базы данных (прил. A.1.3 на стр. 77).

A.1.1. Рекомендации по установке

Для обеспечения приемлемой производительности Системы под управлением сервера должна нахо-диться только одна пользовательская база данных – InfoWatch Traffic Monitor.

Сервер СУБД Oracle и Traffic Monitor Server должны быть установлены на разных компьютерах.

На компьютере, исполняющем роль сервера СУБД Oracle, не рекомендуется: устанавливать и запускать приложения (особенно серверные), использовать этот компьютер в качестве файл-сервера.

По окончании установки, рекомендуется назначить неограниченный срок истечения пароля в профиле пользователя по умолчанию, в том случае, если это не противоречит регламенту компании.

A.1.2. Подготовка к установке

Перед тем как приступить к установке сервера СУБД Oracle, необходимо выполнить ряд подготовитель-ных действий.

Шаг 1. Проверка аппаратного и программного обеспечения

Убедитесь, что аппаратное и программное обеспечение компьютера, на который будет установлен сер-вер СУБД Oracle, соответствует требованиям, приведенным в п. 2.2.5 на стр. 26.

Шаг 2. Регистрация от имени пользователя root

Зарегистрируйтесь в системе от имени учетной записи пользователя root. Для этого выполните коман-

ду:

su – root

Шаг 3. Настройка файла /etc/hosts

В файле /etc/hosts укажите статический IP-адрес, полное доменное имя и псевдоним компьютера, на

который будет установлен сервер СУБД Oracle:

IP-адрес полное_доменное_имя псевдоним

76 InfoWatch Traffic Monitor Enterprise 3.5

Например:

10.1.10.120 oracle.company.com oracle

Шаг 4. Создание новых групп и учетных записей пользователей

Создайте группы пользователей oinstall и dba:

/usr/sbin/groupadd oinstall

/usr/sbin/groupadd dba

Создайте учетную запись для пользователя oracle:

/usr/sbin/useradd -g oinstall -G dba oracle

Задайте пароль для этой учетной записи:

passwd oracle

Шаг 5. Создание каталога для установки

Создайте каталог, в который будет установлен сервер СУБД Oracle и каталог для хранения файлов:

mkdir -p /u01/app/oracle/data

chown -R oracle:oinstall /u01/app/oracle/data

chmod -R 775 /u01/app/oracle/data

Шаг 6. Настройка параметров ядра

Добавьте в файл /etc/sysctl.conf следующие строки:

kernel.sem = 250 32000 100 128

kernel.shmall = 2097152

kernel.shmmax = минимум из двух величин: половина оперативной памяти (в байтах) и

4294967295

kernel.shmmni = 4096

net.ipv4.ip_local_port_range = 9000 65000

net.core.rmem_default = 262144

net.core.rmem_max = 4194304

net.core.wmem_default = 262144

net.core.wmem_max = 1048576

fs.aio-max-nr = 1048576

fs.file-max = 6815744

Важная информация!

Указанные значения параметров kernel.shmall и kernel.shmmax являются минимальными; для

улучшения производительности следует учитывать рекомендации в документации операционной сис-

темы. Если для каких-либо параметров в файле /etc/sysctl.conf заданы значения больше приве-

дѐнных выше, то такие значения менять не следует.

Чтобы применить изменения, выполните команду:

/sbin/sysctl –p

Шаг 7. Настройка файла /etc/security/limits.conf

Добавьте в файл /etc/security/limits.conf следующие строки:

oracle soft nproc 2047

oracle hard nproc 16384

oracle soft nofile 1024

oracle hard nofile 65536

Шаг 8. Настройка файла /etc/pam.d/login

Добавьте в файл /etc/pam.d/login строку (если данная строка не была добавлена ранее):

session required pam_limits.so

Приложение A 77

Шаг 9. Настройка файла /etc/profile

Добавьте в конец файла /etc/profile строки:

if [ $USER = «oracle» ]; then

if [ $SHELL = «/bin/ksh» ]; then

ulimit -p 16384

ulimit -n 65536

else

ulimit -u 16384

ulimit -n 65536

fi

umask 022

fi

Шаг 10. Настройка файла /home/oracle/.bash_profile

Добавьте в конец файла /home/oracle/.bash_profile следующие строки:

ORACLE_BASE=/u01/app/oracle

export ORACLE_BASE

ORACLE_SID=iwtm

export ORACLE_SID

ORACLE_HOME=/u01/app/oracle/product/11.2.0/db_1

export ORACLE_HOME

PATH=$ORACLE_HOME/bin:$PATH

export PATH

Шаг 11. Настройка файла /etc/fstab

Чтобы исключить ошибку с недостатком памяти, в файле /etc/fstab измените строку по умолчанию:

tmpfs /dev/shm tmpfs defaults 0 0

Замените defaults на size=X. Здесь X должно составлять не менее 80% от объема оперативной па-

мяти. Так например, при оперативной памяти 4 Гб эта строка будет иметь вид:

tmpfs /dev/shm tmpfs size=4g 0 0

Перезагрузите операционную систему:

reboot

A.1.3. Установка сервера базы данных

После того как все необходимые настройки будут выполнены, можно приступить к установке и настройке сервера базы данных.

Шаг 1. Регистрация от имени пользователя oracle

Зарегистрируйтесь в системе от имени учетной записи пользователя oracle. Для этого выполните коман-ду:

su – oracle

Шаг 2. Запуск инсталлятора

Запустите Oracle Database Installer, выполнив команду:

/directory_path/runInstaller

где directory_path – путь к каталогу, в котором находится дистрибутив. По умолчанию Oracle Database

Installer располагается в каталоге /Disk1.

78 InfoWatch Traffic Monitor Enterprise 3.5

Шаг 3. Настройка параметров установки

После того как будет запущен инсталлятор Oracle, настройте параметры установки:

1. В окне Configure Security Updates (см. рис. 26), при необходимости, укажите параметры обеспе-чения техподдержки с помощью портала My Oracle Support: e-mail, необходимость получения об-новлений с помощью My Oracle Support и пароль учѐтной записи.

Рисунок 26. Установка и настройка базы данных (шаг 1 из 20)

2. В окне Select Installation Options выберите вариант Create and configure a database.

3. В окне System Class выберите вариант Server Class.

4. В окне Grid Options выберите вариант Single instance database installation.

5. В окне Select Install Type выберите вариант Advanced install.

6. В окне Select Product Languages (см. рис. 27) выберите языки, которые должна поддерживать ба-за данных.

Приложение A 79

Рисунок 27. Установка и настройка базы данных (шаг 6 из 20)

7. В окне Database Edition (см. рис. 28) выберите вариант Enterprise Edition. После этого нажмите кнопку Select Options и убедитесь, что выбраны следующие компоненты:

Oracle Partitioning

Oracle Label Security.

Рисунок 28. Установка и настройка базы данных (шаг 7 из 20)

80 InfoWatch Traffic Monitor Enterprise 3.5

8. В окне Database Edition укажите пути к папкам, куда будет производиться установка:

Oracle base – оставьте путь к директории установки базы данных (Oracle base), заданный по умолчанию, или укажите свой;

Software location – оставьте путь к директории установки компонентов (Oracle home), заданный по умолчанию, или укажите свой.

9. В окне Select Configuration Type выберите вариант General Purpose / Transaction Processing.

10. В окне Specify Database Identifiers задайте параметры идентификации базы данных:

Global database name – укажите имя базы данных.

Oracle Service Identifier – значение SID должно совпадать со значением переменной

ORACLE_SID в файле /home/oracle/.bash_profile. (см. Приложение A.1.2 на стр. 75,

Шаг 10).

11. Задайте параметры инициализации базы данных в окне Specify Configuration Options:

На вкладке Memory установите флажок Enable Automatic Memory Management и укажите объем оперативной памяти, выделяемой для СУБД Oracle, равным 80% от всей оперативной памяти.

На вкладке Character Sets выберите вариант Use Unicode (AL32UTF8).

Примечание:

Выбор кодировки AL32UTF8 при создании базы данных является обязательным условием для корректной работы InfoWatch Traffic Monitor.

На вкладке Security снимите флажок Assert all new security settings.

12. В окне Specify Management Options убедитесь, что отмечен вариант Use Database Control for database management, и, при необходимости получать письменные уведомления, установите флажок Enable mail notifications и укажите параметры почты.

13. В окне Specify Database Storage Options выберите механизм хранения данных. При отсутствии специальных навыков администрирования СУБД Oracle, рекомендуется выбрать вариант File System (создание базы данных на файловой системе). В поле Specify database file locations ука-жите путь к каталогу, созданному на шаге 1.

14. В окне Specify Recovery Options выберите Do not enable automated backups.

15. В окне Specify Schema Passwords выберите вариант Use the same password for all accounts и в полях Administrative password, Confirm password укажите и подтвердите пароль для админист-ративных учетных записей Oracle.

Пароль может состоять из букв латинского алфавита, цифр и символов:

, ; . : ! ~ ` # $ % ^ * ( ) — _ + < ‘ [ ] { } | > ?

Может начинаться с буквы, цифры или символа. Oracle по умолчанию чувствителен к регистру символов. Максимальная длина пароля составляет 15 символов.

Примечание:

Подробные рекомендации по составлению паролей пользователей приводятся в приложении B на стр. 86.

16. В окне Operating System Groups задайте группы из числа ранее созданных (см. Приложение A.1.2 на стр. 75, Шаг 4):

В качестве Database Administrator (OSDBA) Group выберите dba.

В качестве Database Operator (OSOPER) Group выберите oinstall.

17. В окне Perform Prerequizite Checks будут отображены результаты проверки выполнения условий, необходимых для установки.

Приложение A 81

Рисунок 29. Установка и настройка базы данных (шаг 17 из 20)

18. В окне Summary отображаются параметры установки. Вы можете вернуться к предыдущим шагам, если хотите изменить эти параметры, или нажать Finish для начала установки.

19. В окне Install Product будет отображаться прогресс установки. Когда на экране появится предло-

жение выполнить сценарии от имени пользователя root, ответьте утвердительно.

20. Следуйте дальнейшим инструкциям конфигуратора базы данных для завершения процесса созда-ния базы данных.

После того, как процесс установки сервера СУБД Oracle будет завершен, переходите к настройке базы данных.

A.1.4. Настройка сервера базы данных

Шаг 1. Настройка файла /etc/oratab

По завершении установки отредактируйте файл /etc/oratab. Укажите флаг Y (вместо N) для установ-

ленного экземпляра базы данных:

iwtm:/u01/app/oracle/product/11.2.0/db_1:Y

Здесь iwtm – это SID созданной базы данных (см. Приложение A.1.2 на стр. 75, Шаг 10).

Шаг 2. Регистрация Oracle Label Security

Запустите утилиту Database Configuration Assistant от имени пользователя oracle, выполнив команду:

$ dbca

При помощи данной утилиты настройте параметры создаваемой базы данных:

1. В окне Operations выберите вариант Configure Database Options.

2. В окне Database из списка выберите имя БД, куда вы установили Oracle Label Security (см. При-ложение A.1.3 на стр. 77, Шаг 3, п. 8: в окне Software location — Oracle home).

3. В окне Database Content выберите Oracle Label Security.

4. В окне Connection Mode выберите Dedicated Server Mode.

82 InfoWatch Traffic Monitor Enterprise 3.5

5. Следуйте дальнейшим инструкциям конфигуратора базы данных для завершения процесса на-стройки. Когда на экране появится предложение перезапустить базу данных, ответьте утверди-тельно.

6. По окончании процесса настройки базы данных вам будет предложено выполнить другие опера-ции. Нажмите No, чтобы завершить работу с Database Configuration Assistant.

Шаг 3. Настройка пользователя LBACSYS

Чтобы разблокировать пользователя LBACSYS и задать для него пароль:

1. Запустите утилиту Database Control от имени пользователя SYSTEM.

2. Откройте закладку Schema.

3. В области Users and privileges нажмите Users.

4. В окне Users выберите LBACSYS и нажмите Edit.

5. В окне Edit User измените значение поля Status на Unlocked.

6. В поле Enter Password укажите пароль пользователя LBACSYS и подтвердите его в поле Con-firm Password.

7. Откройте закладку System Privileges.

8. Выберите системную привилегию SELECT ANY DICTIONARY.

9. Нажмите Apply.

Шаг 4. Настройка параметров инициализации

В PL/SQL от имени sys выполните следующие настройки:

alter system set db_keep_cache_size=’200M’ scope=spfile

alter system set db_files=5000 scope=spfile

alter system set RECYCLEBIN=’off’ scope=spfile

alter system set nls_territory = russia scope = spfile

alter system set nls_language = russian scope = spfile

alter system set audit_trail=’none’ scope=spfile

alter system set processes = 1000 scope=spfile

Шаг 5. Перезагрузка базы данных

От имени пользователя oracle перезапустите базу данных.

1. Остановите базу данных:

lsnrctl stop

dbshut

2. Затем запустите базу данных снова:

lsnrctl start

dbstart

A.2. Клиент СУБД Oracle

В данном разделе приводятся рекомендации по установке клиента СУБД Oracle версии 11g R2 (11.2.0.1.0). Раздел содержит следующие сведения:

Рекомендации по установке клиента СУБД Oracle на платформу Linux (прил. A.2.1 на стр. 83).

Настройка параметров соединения с сервером СУБД Oracle (прил. A.2.2 на стр. 85).

Проверка взаимодействия между клиентом и сервером СУБД Oracle (прил. A.2.3 на стр. 85).

Приложение A 83

A.2.1. Рекомендации по установке клиента СУБД Oracle

на платформу Linux

Клиент СУБД Oracle устанавливается на тот же компьютер, на который будет выполнена установка Traffic Monitor Server. В данном подразделе рассматривается установка клиента СУБД Oracle на компьютер, ра-ботающий под управлением операционной системы Red Hat Enterprise Linux Server 5.5 x86-32.

В этом подразделе:

Подготовка к установке (прил. A.2.1.1 на стр. 83).

Установка клиента (прил. A.2.1.2 на стр. 84).

A.2.1.1. Подготовка к установке

Шаг 1. Регистрация от имени пользователя root

Зарегистрируйтесь в системе от имени учетной записи пользователя root. Для этого выполните коман-

ду:

su – root

Шаг 2. Настройка файла /etc/hosts

В файле /etc/hosts укажите IP-адрес, полное доменное имя и псевдоним того компьютера, на который

будет выполняться установка клиента СУБД Oracle:

IP-адрес полное_доменное_имя псевдоним

Шаг 3. Создание новых групп и учетных записей пользователей

Создайте группы пользователей oinstall и dba:

/usr/sbin/groupadd oinstall

/usr/sbin/groupadd dba

Создайте учетную запись для пользователя oracle:

/usr/sbin/useradd -g oinstall -G dba oracle

Задайте пароль для этой учетной записи:

passwd oracle

Шаг 4. Создание каталога для установки

Создайте каталог, в который будет установлен клиент СУБД Oracle (рекомендуется создать каталог

/u01):

mkdir -p /u01/app

chown -R oracle:oinstall /u01/app

chmod -R 775 /u01/app/

Шаг 5. Настройка файла /etc/profile

Добавьте в конец файла /etc/profile следующие строки:

ORACLE_BASE=/u01/app/oracle

export ORACLE_BASE

ORACLE_SID=iwtm

export ORACLE_SID

ORACLE_HOME=/u01/app/oracle/product/11.2.0/client_1

export ORACLE_HOME

PATH=$ORACLE_HOME/bin:$PATH

export PATH

84 InfoWatch Traffic Monitor Enterprise 3.5

NLS_LANG=RUSSIAN_RUSSIA.AL32UTF8

export NLS_LANG

Шаг 6. Запуск системы X Window

Установка клиента выполняется в графическом режиме. Поэтому перед началом установки запустите систему X Window. Например:

startx

Если установка выполняется удаленно, то выполните следующие действия:

1. Чтобы иметь возможность управлять работой инсталлятора Oracle с локального X сервера, введите команду:

xhost IP-адрес_удаленного_компьютера

например:

xhost 10.60.0.159

2. Задайте переменную окружения DISPLAY:

DISPLAY=имя_локального_X_сервера:0.0; export DISPLAY

например:

DISPLAY=myhost.xzy.com:0.0; export DISPLAY

A.2.1.2. Установка клиента

После того как все необходимые настройки будут выполнены, можно приступить к установке клиента СУБД Oracle.

Шаг 1. Вход от имени пользователя oracle

Войдите в систему от имени учетной записи пользователя oracle. Для этого выполните команду:

su – oracle

Шаг 2. Запуск инсталлятора

Запустите Oracle Universal Installer, выполнив команду:

/directory_path/runInstaller

где directory_path – путь к каталогу, в котором находится дистрибутив клиента СУБД Oracle. По

умолчанию Oracle Universal Installer располагается в каталоге /Disk1.

Шаг 3. Настройка параметров установки

После запуска инсталлятора Oracle настройте параметры установки:

1. Выберите тип установки Administrator.

2. Укажите имя и путь к каталогу ORACLE_HOME (путь задан в файле /etc/profile).

Продолжайте следовать указаниям инсталлятора Oracle, чтобы завершить установку. Когда на экране

появится предложение выполнить несколько сценариев от имени пользователя root, ответьте утверди-

тельно.

Шаг 4. Настройка после установки

По завершении установки выполните следующие настройки:

1. Для корректного соединения с сервером СУБД Oracle настройте параметры соединения в файле

tnsnames.ora (см. п. A.2.2 на стр. 85).

2. Проверьте взаимодействие между клиентом и сервером СУБД Oracle (см. п. A.2.3 на стр. 85).

Приложение A 85

A.2.2. Настройка параметров соединения с сервером

СУБД Oracle

Для корректного соединения с сервером СУБД Oracle на каждом компьютере, на котором установлен

клиент СУБД Oracle, необходимо настроить параметры соединения в файле tnsnames.ora.

Примечание:

По умолчанию файл tnsnames.ora расположен в каталоге /ORACLE_HOME/network/admin (здесь

/ORACLE_HOME – это путь к каталогу, в который установлен клиент СУБД Oracle).

При настройке параметров файла tnsnames.ora необходимо указать значения для всех параметров,

перечисленных в следующем примере:

IWTM =

(DESCRIPTION =

(ADDRESS_LIST =

(ADDRESS = (PROTOCOL = TCP)(HOST = iwtm)(PORT = 1521))

)

(CONNECT_DATA =

(SERVER = DEDICATED)

(SERVICE_NAME = iwtm)

)

)

Здесь HOST – сетевое имя сервера СУБД Oracle. А SERVICE_NAME – имя сервиса базы данных.

A.2.3. Проверка взаимодействия между клиентом и

сервером СУБД Oracle

Перед началом эксплуатации СУБД Oracle, на каждом компьютере, на котором установлен клиент СУБД Oracle, необходимо выполнить ряд проверок:

Проверить работоспособность и доступность СУБД Oracle. Для выполнения проверки введите ко-манду:

sqlplus db_login/[email protected]_name

где db_login и db_password – имя и пароль владельца схемы базы данных, а tns_name –

псевдоним сервера, на котором установлена база данных (псевдоним выбирают из перечисленных

в файле tnsnames.ora).

Если проверка пройдена успешно, то в ответ на выполнение указанной команды будет выведено приглашение SQL *Plus:

SQL>

Убедиться, что в файле NETWORK/ADMIN/sqlnet.ora строка sqlnet.ora начинается символом

«#»:

# sqlnet.ora Network Configuration File: C:Oracleproduct11.2.0Client_1network

adminsqlnet.ora

ПРИЛОЖЕНИЕ B. РЕКОМЕНДАЦИИ ПО

СОСТАВЛЕНИЮ ИМЕН И ПАРОЛЕЙ

Общие рекомендации

Длина имени пользователя может составлять от 1 до 10 символов. Имя пользователя может состоять из букв латинского алфавита, цифр и символа подчеркивания «_». Должно начинаться с буквы.

Пароли составляются по следующим правилам:

Пароль пользователя может состоять из латинских букв, цифр и символов:

( ) , ; . : ! ~ ` # $ % ^ * — _ + ‘ [ ] { } | ? < >

Может начинаться с буквы, цифры или символа. Максимальная длина пароля составляет 30 символов.

Не рекомендуется начинать имена и пароли пользователей с последовательностей: SYS_ и ORA_.

В составе имени и пароля не рекомендуется использовать зарезервированные слова СУБД Oracle:

ACCESS IDENTIFIED PUBLIC

ADD IMMEDIATE RAW

ALL IN RENAME

ALTER INCREMENT RESOURCE

AND INDEX REVOKE

ANY INITIAL ROW

AS INSERT ROWID

ASC INTEGER ROWNUM

AUDITBETWEEN INTERSECT ROWS

BY INTO SELECT

CHAR IS SESSION

CHECK LEVEL SET

CLUSTER LIKE SHARE

COLUMN LOCK SIZE

COMMENT LONG SMALLINT

COMPRESS MAXEXTENTS START

CONNECT MINUS SUCCESSFUL

CREATE MLSLABEL SYNONYM

CURRENT MODE SYSDATE

DATE MODIFY TABLE

Приложение B 87

DECIMAL NOAUDIT THEN

DEFAULT NOCOMPRESS TO

DELETE NOT TRIGGER

DESC NOWAIT UID

DISTINCT NULL UNION

DROP NUMBER UNIQUE

ELSE OF UPDATE

EXCLUSIVE OFFLINE USER

EXISTS ON VALIDATE

FILE ONLINE VALUES

FLOAT OPTION VARCHAR

FOR OR VARCHAR2

FROM ORDER VIEW

GRANT PCTFREE WHENEVER

GROUP PRIOR WHERE

HAVING PRIVILEGES WITH

Рекомендации по составлению надежных паролей

Рекомендуемая длина пароля: от 10 до 30 символов.

Пароль должен представлять собой смешанный набор букв, цифр и символов.

Не рекомендуется:

включать в состав пароля слова и словосочетания;

включать в состав пароля имя пользователя (в т.ч. записанное наоборот);

включать в состав пароля несколько идущих подряд одинаковых символов;

начинать и заканчивать пароль одним и тем же символом;

создавать новый пароль, путем добавления символов к текущему паролю.

ПРИЛОЖЕНИЕ C. РАЗРЕШЕНИЕ ПРОБЛЕМ

В этом приложении:

Проблемы со схемой базы данных (прил. C.1 на стр. 88).

Проблемы с Traffic Monitor Server (прил. C.2 на стр. 92).

C.1. Проблемы со схемой базы данных

В настоящем приложении описываются проблемы, которые могут возникать при создании, обновлении или удалении схемы базы данных.

При запуске Traffic Monitor Create Schema Wizard выдается сообщение о нехватке прав доступа

Инсталлятор был запущен из сетевой папки. В этом случае будет выдано сообщение, подобное тому, которое показано на рисунке:

Решение

Скопируйте инсталлятор схемы базы данных в папку на локальном диске. Затем запустите ин-сталлятор из локальной папки.

При запуске Traffic Monitor Create Schema Wizard выдается сообщение об отсутствии SQLPlus

На компьютере не установлен клиент СУБД Oracle. В результате на экран будет выведено уве-домление об ошибке:

Решение

Установите клиент СУБД Oracle как описано в приложении A.2 на стр. 82.

При нажатии кнопки Старт появляется сообщение об ошибке ORA-12154

При настройке параметров создания (обновления/удаления) схемы базы данных неверно указано имя сервера базы данных. В результате на экран будет выведено уведомление об ошибке:

Решение

Запустите повторно процесс создания (обновления/удаления) схемы базы данных и при настройке параметров соединения введите корректное имя сервера базы данных.

Настройка параметров соединения с сервером описывается в следующих разделах:

Создание схемы базы данных (п. 3.1.2 на стр. 30).

Обновление схемы базы данных (п. 4.3.2 на стр. 67).

Удаление схемы базы данных (п. 5.1.2 на стр. 71).

Приложение C 89

При нажатии кнопки Старт появляется сообщение об ошибке ORA-01017

При настройке параметров обновления/удаления схемы базы данных неверно указано имя и/или пароль владельца схемы базы данных. В результате на экран будет выведено уведомление об ошибке:

Решение

Запустите повторно процесс обновления/удаления схемы базы данных и при настройке парамет-ров учетной записи введите корректное имя владельца схемы базы данных.

Настройка параметров учетной записи владельца схемы базы данных описывается в следующих разделах:

Обновление схемы базы данных (п. 4.3.2 на стр. 67).

Удаление схемы базы данных (п. 5.1.2 на стр. 71).

90 InfoWatch Traffic Monitor Enterprise 3.5

При нажатии кнопки Старт появляется сообщение об ошибке ORA-12560 или ошибка SQL*Plus

При настройке параметров создания (обновления/удаления) схемы базы данных неверно указан один или несколько следующих параметров: имя сервера базы данных, имя и/или пароль вла-дельца схемы базы данных. В результате на экран будет выведено уведомление об ошибке ORA-12560:

или сообщение SQL*Plus:

Решение

Запустите повторно процесс создания (обновления/удаления) схемы базы данных и при настройке параметров соединения введите корректное имя сервера базы данных. При обновлении/удалении схемы базы данных укажите корректные имя и пароль владельца обновляемой/удаляемой схемы базы данных.

Приложение C 91

В частности, корректные значения параметров не должны содержать служебные символы (пробе-лы, тире и пр.).

Настройка параметров схемы базы данных описывается в следующих разделах:

Создание схемы базы данных (п. 3.1.2 на стр. 30).

Обновление схемы базы данных (п. 4.3.2 на стр. 67).

Удаление схемы базы данных (п. 5.1.2 на стр. 71).

При нажатии кнопки Старт появляется сообщение об ошибках ORA-20000 и ORA-06512

Ошибка возникает в следующих случаях:

схема базы данных уже обновлена до выбранной версии;

версия текущей схемы базы данных, отличается от версии, указанной при выборе варианта об-новления.

В результате на экран будет выведено уведомление об ошибке:

Решение

Проверьте версию текущей схемы базы данных (запрос выполняется от имени владельца схемы базы данных):

SELECT vers.get_schema_version

FROM dual

Выберите вариант обновления, подходящий для вашей текущей схемы безопасности.

Примечание:

Версия, до которой будет обновлена схема базы данных, отображается в заголовке окна мас-тера обновления схемы (см. рисунок 24).

Удаление схемы завершается ошибкой

Если во время попытки удаления схемы базы данных происходит работа заданий индексации, то эта попытка завершится ошибкой. В результате на экран будет выведено следующее уведомле-ние:

Решение

Повторите попытку удаления схемы базы данных по окончании работы заданий индексации.

Подготовка к удалению схемы базы данных описана в п. 5.1.1 на стр. 70.

92 InfoWatch Traffic Monitor Enterprise 3.5

C.2. Проблемы с Traffic Monitor Server

При запуске процессов iw_messed, iw_deliverd выдается сообщение о том, что не найдены дина-мические библиотеки СУБД Oracle

В скрипте автозапуска iw-trafmon неверно задана переменная окружения ORACLE_HOME.

Решение

Откройте скрипт автозапуска серверной части:

/usr/local/infowatch/tm3/bin/scripts/iw-autorestart.sh

Проверьте значение переменной окружения ORACLE_HOME. Это значение должно совпадать со

значением ORACLE_HOME, заданным при установке сервера СУБД Oracle.

При запуске процессов iw_messed, iw_deliverd выдается сообщение о том, что нет прав на загруз-ку динамических библиотек СУБД Oracle

Некорректно выполнена установка Traffic Monitor Server.

Решение

Необходимо включить пользователя – владельца Traffic Monitor Server (от имени которого запус-

каются процессы Traffic Monitor Server) – в группу oinstall (группа владельца инсталляции кли-

ента СУБД Oracle) (см. п. 3.2.1 на стр. 40).

Учетная запись пользователя Linux части заблокирована

При установке Traffic Monitor Server был указан неверный пароль пользователя Linux части.

Решение

Для того чтобы разблокировать учетную запись пользователя Linux части, необходимо выполнить следующие действия:

1. Остановить все процессы Traffic Monitor Server, выполнив команду:

service iw-trafmon stop

2. В файле /usr/local/infowatch/tm3/etc/tm.conf указать корректные имя и пароль поль-

зователя Linux части (секция [ORACLE], параметры Username и Password, соответственно).

3. Разблокировать учетную запись пользователя Linux части, выполнив в SQL *Plus команду:

ALTER USER имя_пользователя_Linux_части ACCOUNT UNLOCK

4. Запустить все процессы Traffic Monitor Server, выполнив команду:

service iw-trafmon start

ПРИЛОЖЕНИЕ D. ЛИЦЕНЗИИ ТРЕТЬИХ

СТОРОН

При создании Системы были использованы разработки третьих сторон, распространяемые на условиях лицензии MIT (http://www.opensource.org/licenses/mit-license.html):

Lua – http://www.lua.org/license.html

LuaBind – http://www.rasterbar.com/products/luabind.html

libxml2 – http://www.xmlsoft.org/

Также использовалось программное обеспечение:

распространяемое на условиях лицензий BSD (http://www.opensource.org/licenses/bsd-license.php):

­ Stringencoders – http://code.google.com/p/stringencoders/

распространяемое на условиях GNU GENERAL PUBLIC LICENSE (http://www.gnu.org/licenses/gpl-2.0.html):

­ Pdftotext http://www.foolabs.com/xpdf/

­ Tnef http://sourceforge.net/projects/tnef/

­ Unzip http://www.info-zip.org/UnZip.html

­ libcole.so [email protected]; [email protected]

­ libhtmltree.so [email protected]

ГЛОССАРИЙ

HTTP-запрос

Запрос, удовлетворяющий требованиям протокола HTTP (POST-запрос, GET-запрос и т. д.).

ICQ-сообщение

Сообщение, передаваемое по протоколу ICQ.

InfoWatch Device Monitor

Система, предназначенная для контроля за доступом пользователей к периферийным устройст-вам и мониторинга операций по созданию файлов на съемных устройствах.

InfoWatch Traffic Monitor Management Console

Графический интерфейс пользователя. Предназначен для управления системой InfoWatch Traffic Monitor (администрирование Системы, настройка конфигурации, анализ объектов и т. п.).

Management Console

См.: InfoWatch Traffic Monitor Management Console

SMTP-письмо

Письмо, удовлетворяющее требованиям протокола SMTP.

SPAN

Switched Port Analyzer. Функция, позволяющая принимать копию трафика, проходящего через ком-мутаторы CISCO

Switched Port Analyzer

См. SPAN порт

Traffic Monitor Server

Компонент InfoWatch Traffic Monitor, включающий в себя несколько подсистем, предназначенных для выполнения задач контроля и анализа объектов.

XML-контекст

Содержимое (текст, заголовки, архивы, вложения и т.п.), извлекаемое из объекта при обработке на Traffic Monitor Server.

Кластер

Группа серверов, использующихся как единый ресурс. В рамках InfoWatch Traffic Monitor кластер организуется из нескольких экземпляров Traffic Monitor Server.

Режим копии

Один из транспортных режимов системы InfoWatch Traffic Monitor. В этом режиме реальный трафик не проходит через Систему. Анализу подвергается копия трафика. В данном режиме невозможна фильтрация трафика средствами Системы

См. также: Транспортный режим

Нормальный транспортный режим

Режим, в котором выполняется анализ и фильтрация проходящего трафика.

См. также: Транспортный режим

Глоссарий 95

Подсистема анализа и принятия решений

Выполняет общий анализ объектов. На основании данных общего и контентного анализа принима-ет решения по дальнейшим действиям над объектами.

Почтовый агент

В системе электронной почты – агент для пересылки почтовых сообщений (Mail Transfer Agent).

Прозрачный транспортный режим

Режим, в котором трафик передается через Систему без фильтрации. Задачей Системы является только анализ перехваченного трафика

См. также: Транспортный режим

Сервер контентного анализа

Принимает тексты от подсистемы анализа и принятия решений. Контентный анализ позволяет вы-явить текст, содержание которого нарушает корпоративную политику безопасности.

СУБД

Система управления базами данных.

Теневая копия файла

Копия файла, создаваемого на съемном устройстве. Создается только при успешном завершении операции сохранения файла на съемное устройство. Анализ теневых копий файлов выполняется в системе InfoWatch Traffic Monitor.

Транспортный режим

Определяет степень контроля за доставкой объектов получателям. Обязательный атрибут объек-та. Назначается в процессе анализа объекта на DAE и впоследствии не может быть изменен. В сочетании с атрибутом Вердикт определяет возможность дальнейшей транспортировки объекта (атрибут Состояние доставки). Обязательный атрибут объекта.

См. также: Режим копии, Нормальный транспортный режим, Прозрачный транспортный режим

УКАЗАТЕЛЬ

I

InfoWatch Traffic Monitor ………………………………….. 8

iw_lickey ……………………………………………………….. 45

P

Postfix …………………………………………………….. 42, 43

А

Администратор пользователей ……………….. 33, 34

В

Входящая почта

настройка IP-адреса …………………………………. 41

настройка порта ……………………………………….. 42

И

Исходящая почта

доменное имя компьютера ……………………….. 42

порт компьютера ………………………………………. 42

К

Клиент СУБД Oracle ……………………………………… 42

Л

Лицензионный ключ

iw_customer.dat …………………………………… 45, 47

iw_licence.dat ………………………………………. 45, 47

Лицензирование

iw_lickey …………………………………………………… 45

П

Пользователь

root ………………………………………………………….. 41

владелец Traffic Monitor Server………………….. 41

владелец инсталляции клиента Oracle ……… 41

Пользователь Linux части ……………………………..35

Почтовый агент …………………………………………….42

Р

Рапорт

дополнительная настройка ………………………..61

С

Сервер СУБД Oracle

установка и конфигурация базы данных (Linux) …………………………………………………..77

СУБД Oracle

tnsnames.ora ……………………………………………..43

параметры соединения ……………………………..42

Схема базы данных

параметры обновления ……………………………..67

параметры удаления …………………………………71

параметры установки ………………………………..31

подготовка к обновлению …………………………..65

подготовка к созданию ………………………………30

подготовка к удалению ………………………………70

рекомендации по созданию ……………………….28

Т

Табличное пространство

ежедневное ……………………………………….. 28, 37

основное …………………………………………………..28

Ф

Файл данных ………………………………………….. 29, 36

Ц

Циклическая файловая система ……………… 29, 38