5、事后调查取证
事后调查取证,主要是针对出现问题后,根据之前设定的事件或会话规则,开成报表等进行取证,以得到问题出现的原因及责任人(由谁在什么时间用使用什么样的方式做了什么事情,亦即所谓的4W1H)。
天玥的取证功能,属于报表子系统。可以针对文件、运维、用户及数据库的特性进行取证。本文只测试了用户及数据库相关的取证功能。
A、 用户取证:通过对源IP、用户、用户组的设定,可以得到规定时间内的操作次数。
▲图示 取证条件
▲图示 取证结果
在用户信息子功能下,也能通过条件查询得到规定时间操作的用户名称:
B、 数据库取证:根据数据库相关的设定属性(如命令、库名、响应时间等)进行取证。
首先,设定关键字对象,如下图所示:
其次,进行数据库取证条件(当然也可以直接进行数据库取证),如下图所示:
最后,得到取证结果,如果想查看更详细的结果,请单击数字。如下图所示: