|
|
楼主 |
发表于 2007-11-21 10:31:12
|
显示全部楼层
神州数码DCBI-NetLog可以与设备端口镜像功能相配合,通过对IP包的分析,实现用户访问日志记录、流量统计等功能,为网络提供全面的日志记录,并能与DCBI-3000结合,将访问日志映射为真实用户,便于网络访问行为的定位查找。并能对访问日志进行统计和分析,便于网络管理员及时了解网络的使用状况。DCBI-NetLog可以支持Syslog接口,记录来自防火墙或其他设备的日志,并进行分析和统计。
DCBI-NetLog分成三个模块:后台数据采集,数据库刷新模块,管理模块。后台数据采集模块对流过网络接口的IP包进行分析,并以文件形式记录访问日志;数据库刷新模块用于将文件形式访问日志写入数据,并可根据配置映射到DCBI-3000中的用户(包含与DCBI-3000的接口部分),数据库刷新可定时触发,也可手动触发;管理模块提供图形界面,供管理员查询统计管理访问日志用。
1.1.2. 产品特点
DCBI-NetLog后台数据采集运行在linux服务器上。
DCBI-NetLog的管理模块即可以在后台linux服务器上运行,也安装在远程MS windows操作上系统上运行。
1.1.3. 主要特性
 完成上网行为记录功能,可实现记录上网者访问过哪些网站、访问的URL、源/目的IP、源/目的端口、上网时间及流量等数据,从而提供了上网行为的安全审记数据源。
 能采集并记录网络出口流量包,并对访问url进行解析。
 对网络访问日志进行查询管理功能,用户可自定义查询条件。
 各种上网行为的统计功能,以图例的方式显示哪些网站是最近访问次数的Top-10、哪些用户最近发包次数的Top-10等。根据这些访问情况的统计结果,很容易发现网络上哪些节点或用户有异常行为。
 即使用用户通过代理上网(即:用户访问的目的IP是代理的IP),也能解析出用户访问的最终网站的URL。
 与DCBI-3000结合,将访问日志映射为真实用户名,便于网络问题的定位。
 管理子系统基于Java技术,系统稳定并且具有良好的跨平台特性
1.2. 技术指标
 协议与标准
 TCP/IP协议族
 性能
 支持最大日志容量:自带一块146G硬盘,可扩展到6块SCSI硬盘。
2. Netlog配置
2.1. 后台模块配置后台模块安装
2.1.1. 服务器硬件环境
 Intel双至强 2.8G处理器
 一块SCSI 146G硬盘,可扩展到6块
 1G内存
 两个10/100/1000M以太网口
 可外接键盘、鼠标、显示器
2.1.2. 服务器软件环境
 经过DCN优化的Linux Redhat + mysql3.23.54a + NetLog服务进程
 Linux操作系统用户root的密码初始为:digitalchina
2.1.3. 安装配置步骤
1) 将显示器、鼠标、键盘接到DCBI-NetLog(HIGH)嵌入式服务器上,并启动计算机,启动图形界面,以root用户登录,密码是 digitalchina。
备注:为兼容大多数显示器,DCBI-NetLog(HIGH)将图形界面显示方式缺省设为800*600,256色,用户可根据自己显示器具体情况通过命令redhat-config-xfree86进行设置。
2) 网络联接方法、
DCBI-NetLog(HIGH)自带两个网口,eth0为业务口,用于抓包,用于与交换机做了镜像的端口相联,收集上网行为日志。eth1为管理口,用于同DCBI-NetLog管理端、DCBI-3000联动等通信用。
3) 配置服务器IP地址
缺省已将eth0配置成192.168.0.1/255.255.255.0,eth1配置成192.168.1.1/255.255.255.0 可根据需要修改IP地址,配置方法如下:
a) 在shell下通过命令netlog shutdown 停掉DCBI-NetLog服务端程序。
b) 在shell下通过命令redhat-config-network修改eth1 IP为用户实现联网环境的IP地址,并激活。(注意:eth0的IP不用配置)
c) 在shell下运行netlog start 以启动NETLOG服务端程序。
4) 开机后一分钟内系统会自动启动DCBI-NetLog服务端软件;若没启动,可新建终端,在shell下运行 netlog start 命令启动DCBI-NetLog。
注意事项:
 服务程序安装目录为/usr/local/sbin/netlog下。
 DCBI-NetLog下的Mysql 数据库服务缺省开机自启动的,若没有启动,需要在X-window终端下通过redhat-config-services命令后在服务配置窗口中将Mysql数据库服务器配置为自启动方式,如图3.1所示。
图3.1Linux平台服务配置
注意事项:
1. 若更改抓包网口,需修改配置文件/usr/local/sbin/netlog/conf/netlog.conf中listen_dev字段,缺省设定listen_dev = eth0,即使用网口eth0。
2. license相关信息:设备本身已经有license, 文件名为netlog_license.dat 位于目录/usr/local/sbin/netlog/conf/下,重新申请license时需要用getid命令返回字符串,提供给厂家。
2.2. 如何进行硬盘扩展
本产品自带一块SCSI 146G硬盘,可方便进行扩展,通过热插拔增加多块硬盘,下面以给设备增加二块硬盘为例:
第一步:将硬盘插入空余的插槽内,先使用df命令查看本设备已经挂载的硬盘,下图中表示已经挂载了1块SCSI硬盘,叫做sda。
第二步:之后使用dmesg|grep sda*命令,查看本设备bios识别出多少SCSI硬盘,下图显示,除了已经挂载的硬盘外,还识别出了2块SCSI硬盘:sdb和sdc。
第三步:之后将识别出的两块硬盘分别格式化为ext3文件系统,使用命令mkfs –t ext3 /dev/sdb和命令mkfs –t ext3 /dev/sdc,如下面两图所示:
第四步:之后用命令mkdir /var/lib/mysql/netlog1和命令mkdir /var/lib/mysql/netlog2新建数据库目录(扩展数据库的目录名必须为/var/lib/mysql/netlog1,/var/lib/mysql/netlog2,/var/lib/mysql/netlog3, ... ),如下两图所示:
第五步:并把新格式化后的硬盘用命令mount –O charset=gb2312 /dev/sdb /var/lib/mysql/netlog1和命令mount –O charset=gb2312 /dev/sdc /var/lib/mysql/netlog2挂载到相应的目录上,如下面两图显示:
第六步:为了使重新开机后新增加的硬盘可以自动挂载到系统中,必须在/etc/fstab中增加以下两行(使用vi /etc/fstab,按a或i进行编辑,按 ESC键 后再按 :qw 存盘退出):
/dev/sdb /var/lib/mysql/netlog1 ext3 defaults 0 0
/dev/sdc /var/lib/mysql/netlog2 ext3 defaults 0 0
如下图所示:
第七步:之后进入解压缩包后的安装目录/root/install_netlog,用编辑器打开安装数据库初始化文件installdb,增加下面脚本中蓝色加粗字部分(使用vi /root/install_netlog,按a或i进行编辑,按 ESC键 后再按 :qw 存盘退出):
会看到如下内容,增加下面脚本中蓝色加粗字部分:
/root/install_netlog/installdb
#!/bin/sh
echo "initialize netlog database ......................"
service mysqld stop
rm -rf /netlog
mkdir -p /netlog
chown -R mysql.mysql /netlog
cd /var/lib/mysql
ln -s /netlog netlog
chown mysql.mysql netlog
rm -rf /netlog1
mkdir -p /netlog1
chown -R mysql.mysql /netlog1
cd /var/lib/mysql
ln -s /netlog1 netlog1
chown mysql.mysql netlog1
rm -rf /netlog2
mkdir -p /netlog2
chown -R mysql.mysql /netlog2
cd /var/lib/mysql
ln -s /netlog2 netlog2
chown mysql.mysql netlog2
service mysqld start
mysql -uroot netlog < /usr/local/sbin/netlog/script/netlog.sql
echo "initialize netlog database ok"
第八步:同样用上面的vi 编辑器打开/usr/local/sbin/netlog/script/netlog.sql
在其后附加两条语句:
insert into AC_DATADESC values(1,300,1,400,1,0,'/var/lib/mysql /netlog1’);
insert into AC_DATADESC values(1,300,1,400,2,0,'/var/lib/mysql /netlog2’);
以上的含义是:
insert into AC_DATADESC values(1, 所增加数据库中表的总个数, 1, 400, 数据库的序号, 0, 数据库的路径 )
其中:
1) 所增加数据库中表的总个数:上例中为300个表。计算方法为:该值=硬盘剩余空间/500Mb,单位是Mb,本系统中每个表所占空间约为500Mb。
2) 数据库的序号:所增加的数据库的序号,系统自带的序号为0,所以后增的序号为1,2,3,…。
3) 数据库的路径:是新增硬盘的挂载目录名。
4) 其它值:按上面的值固定填写。
2.3. 管理客户端安装(用户测试版本不提供windows的远程管理功能)
第一步,启动安装向导
第二步,接受软件许可协议
第三步,指定安装路径
第四步,指定快捷方式所在位置
第五步,安装拷贝
第六步,安装完成
第七步,启动管理端
3. NetLog网络日志管理子系统
3.1. 启动、登录和主界面介绍
3.1.1. 启动界面
在Linux系统下用户安装了DCBI_NetLog后,在Linux系统的命令行终端下,输入命令 netlogclient 。
在Windows平台下管理客户端是标准的Windows程序,只要在开始中运行“神州数码”“DCBI-Netlog管理程序”即可。
图6.1 DCBI-NetLog管理客户端Windows平台启动
3.1.2. 登录界面
图表 1
图6.2 系统登录窗口
服务器:NetLog服务程序的服务器主机名称或IP地址。
用户名和密码:操作员的工号和密码。系统按照后缺省有一个超级用户,用户名为admin,密码为admin,拥有所有权限。登录成功后可以修改该用户的密码。
如果输入有错误或网络连接不可用,登录失败,会有下面提示:
图6.3 登录错误提示
可能的错误原因为:
1) 用户名或密码输入错误
2) 服务器IP输入错误
3) 和服务器的网络连接断开
4) 服务器上的后台服务程序没有启动或出现异常而不可用
3.1.3. 主界面
图表 2
图6.4 主界面
主界面分为三个部分,上方是快捷工具栏,左方是树形操作菜单,主题是访问数前十名的IP地址和URL,即Top10柱状图。
快捷工具栏共包括13个按钮,分别是用户维护、在线用户、开户、卡开户、模拟结账、月结账、账务明细、用户查询、账单查询、刷新、修改密码、关于、退出。
工具栏上下列按钮任何操作员都可以使用:
刷新:刷新Top10柱状图;因为可能有多个操作员同时操作数据库,刷新功能可以使界面和数据库保持一致。
修改密码:操作员修改自己的密码,界面如下:
图6.5 操作员密码修改
操作员必须输入自己原来的密码和两次新密码,只有原来密码正确,新密码一致才能修改成功。
关于:显示系统基本信息,公司名,软件版本等
图表 3
图6.6 版本说明
退出:首先请用户确认是否真正退出:
图6.7 确认信息
如果确认退出,系统会保存设备拓扑图当前位置,并退出系统。如果后台服务不可用,也会给出提示非正常退出,即不能保存设备图的最终位置信息。
其他按钮和树形菜单里的项对应,并根据操作员的权限改变状态,不可用的按钮颜色变灰。菜单项也根据操作员权限变化,不可用的操作项不在树形菜单显示。
管理客户端与服务器存在保活机制,如果服务器连接因异常断掉或者数据库服务器出现异常,系统会给出提示并退出,界面如下:
图6.8 异常退出提示窗口
3.2. 操作模块管理
操作模块管理包括操作员组管理,操作员管理,操作日志管理等。
3.2.1. 操作员组管理
操作员组也可以称为权限组,系统共分11个权限,每个操作员组可以指定拥有的权限,每个操作员必须属于某个组从而获得相应权限。系统缺省有一个系统组名为admin,该组拥有所有权限并且不能修改。
图表 4
图6.9 操作员组的权限管理--admin组
对操作员组的操作包括修改、增加、删除。
修改:初始界面中所有权限都是不能修改的。如果要修改某个操作员组的权限,先在左方列表中选中,然后点击修改按钮才能对各个权限进行选择。打勾表示选中,即该组拥有此权限。选择相应权限后,点击保存按钮,系统提示是否保存成功。
增加:点击增加按钮,组名称的编辑框和各个权限框都清空并处于可编辑状态,保存按钮也变为可用状态。组名必须输入,选择相应权限后,点击保存按钮,系统提示是否保存成功。
删除:在左方列表中选择要删除的组,然后点击删除按钮,系统提示是否删除成功。
编辑状态的界面如下:
图表 5
图6.10 操作员组的权限管理--编辑权限
3.2.2. 操作员管理
操作员管理窗口负责操作员的增加、修改、删除等管理。初始界面如下:
图表 6
图6.11 操作员管理--操作员列表
列表中显示所有操作员的信息,可以进行增加、修改、删除操作。
增加:点击增加按钮,出现操作员信息维护窗口:
图表 7
图6.12 操作员管理--添加操作员
在窗口中输入相应数据并选择权限组即操作员组,这样该操作员便拥有所选权限组的权限。点击保存,系统给出保存是否成功的提示信息。
修改:从表中选择要修改的操作员,点击修改按钮,弹出操作员信息维护窗口(同上)。此时密码框处于不能编辑状态,因为密码一般应该由操作员自己设定和修改,所以不建议在此修改操作员的密码。如果操作员确实忘记自己的密码,可以在此窗口重新设置密码。点击设置密码,密码编辑框恢复为可用状态。修改相应信息后,点击保存,系统给出保存是否成功的提示。
删除:从表中选择要修改的操作员,点击删除按钮,系统要求确认是否删除。
图6.13 操作员管理--删除确认
点击否,退出删除操作;点击是,执行删除操作,并给出删除是否成功的提示。
3.2.3. 操作日志管理
操作日志维护主要管理操作员的的上网记录。可以在此查找操作员的操作日志,将操作日志导出到文本文件,将操作日志从数据库彻底删除。
主界面如下:
图表 8
数据导出:在导出文件框中输入文件路径和文件名,或点击浏览从标准文件选择窗口文件。如下图:
操作日志导出
然后点击导出按钮,系统将表格中数据导出到选定的文本文件。
删除:对于日志的删除只能按日期删除,输入删除截止日期,点击删除,系统经操作员再次确认后删除相应操作日志。截止日期当天的日志不删除。
前一页,下一页:由于操作日志可能非常多,所以将检索结果进行了分页。
3.3. 系统管理
系统管理主要包括系统配置和主界面统计图参数配置等。
3.3.1. 系统配置
系统配置显示服务器的一些基本配置信息:数据库服务器的地址(名称)、数据库端口和数据库的名字、数据库登录名、数据库登录密码、数据库目录和数据库容量等。
可根据需要指定系统初始线程数、最大线程数、最小空闲线程数和最大空闲线程数。
亦可根据需要指定DCBI IP地址,DCBI端口号,刷新时间,是否选择DCBI接口是否选用混杂模式等。
系统按层次把网络常用协议一一列出,如TCP、UDP、ICMP、IGMP等协议,操作员可根据需要进行筛选。
为了更好的查看有效用户上网记录,系统还提供了是否只捕获TCP开始包、是否对图片进行过滤、捕获UDP数据包的目标端口号、是否捕获广播包、捕获TCP数据包的目标端口号、图片过滤字符串等特色功能。
站点配置界面如下:
图6.14 站点配置管理
站点配置的界面中部分参数是不可编辑的,如果要修改参数,请手动修改服务器上的配置文件netlog.conf。
3.3.2. 主界面统计图参数配置
设置主界面统计图时间间隔,单位为小时。
界面如下:
图表 9
3.3.3. 远程设备关机
远程设备关机是用来以对远端设备进行安全关机。用户必须使用安全关机,否则会造成数据的丢失。
主界面如下:
图表 10
然后再将设备的物理电源关掉。
3.4. 上网日志管理
上网日志管理包括上网日志查询和上网日志维护。
3.4.1. 上网日志查询
上网日志查询主要对用户上网记录进行按条件模糊匹配查询并进行分页显示。
查询条件说明如下:
起始时间:指定查询上网记录的最早时间。精确到时分秒,年月日时分秒分别通过下拉框进行选择。
截止时间:指定查询上网记录的最晚时间。格式同“起始时间”。
源IP地址:IP包的源IP地址。要符合IP地址格式,eg:220.101.0.90。
目的IP地址:IP包的目的IP地址。格式同“目的IP地址”。
URL:即用户访问的网址,eg:www.sina.com.cn
访问级别:分为无级别,最高级,次一级和最低级,划分的详细说明详见访问级别管理。
用户名:上网用户的用户帐号。
检索的结果可以进行表格预览,表格打印和单条预览,单条打印。
查询的结果可以通过分页显示,并且可以随意跳转。
ACCESSLOG1(netlog)表示netlog数据库中的第1个日志表,多数据库的话,可能为ACCESSLOGm(netlogn)表示netlogn数据库中的第m个日志表,
界面如下:
图表 11
打印预览界面如下:
图表 12
3.4.2. 上网日志维护
上网日志维护主要管理用户的上网记录。可以在此查找用户的上网日志,将用户上网日志导出到文本文件,将上网日志从数据库彻底删除。
主界面如下:
图表 13
查询上网日志:输入用户名或用户名的开头部分字母,输入用户登录时间的范围、源IP地址和目的IP地址、URL,选择访问级别,点击检索,在表格中显示查询结果。
数据导出:在导出文件框中输入文件路径和文件名,或点击浏览从标准文件选择窗口文件。如下图:
图6.15 上网日志导出
然后点击导出按钮,系统将表格中数据导出到选定的文本文件。
删除:可用鼠标多选进行指定记录删除。
删除至:对于日志的删除只能按日期删除,输入删除截止日期,点击删除,系统经操作员再次确认后删除相应上网日志。截止日期当天的日志不删除。
前一页,下一页:由于上网日志可能非常多,所以将检索结果进行了分页。
检索的结果可以根据需要进行表格预览,表格打印。
3.5. 上网统计
上网统计是系统对用户记录进行统计处理。内容包括上网次数统计、上网流量统计和Top10统计。
3.5.1. 上网次数统计
首先用户须选择一种查询方式。系统提供了如下查询方式:用户名和目标IP,用户名和访问级别,用户名和URL。然后输入查询时间范围和选择的查询方式对应的查询项,点击“检索“。
前一页,下一页:由于上网日志可能非常多,所以将检索结果进行了分页。
。
上网次数统计的窗口界面如下:
图表 14
3.5.2. 上网流量统计
首先用户须先选择一种查询方式。系统提供了如下查询方式:用户名和目标IP,用户名和访问级别,用户名和URL,用户名和协议。然后输入用户名、起始时间、截止时间并按选择的查询方式输入对应查询项,点击“开始查询“。
前一页,下一页:由于上网日志可能非常多,所以将检索结果进行了分页。
检索的结果可以进行表格预览,表格打印和单条预览,单条打印。
上网流量统计界面如图所示:
图表 15
3.5.3. Top_N源IP地址站点统计
统计指定时间范围内用户访问次数最多的IP地址和URL。缺省前十名,可根据需要在“Top站点选择”中输入想要查看的数字,再输入起始时间和截止时间点击“Top n IP地址”或“Top n URL”即可。
Top10统计窗口界面如下:
图表 16
3.5.4. Top_N 目的IP地址站点统计 |
|
|Archiver|手机版|小黑屋|软路由
( 渝ICP备15001194号-1|
渝公网安备 50011602500124号 )
IP卡
狗仔卡
发表于 2007-11-21 10:28:19
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
发表于 2007-12-21 17:00:45
