告警网通代理服务器

i目录1配置·1-11.
1常规1-11.
1.
1引擎管理·1-11.
1.
2客户端工具名·1-11.
1.
3来访客户网络·1-21.
1.
4指定源IP审计·1-41.
1.
5IP过滤1-61.
1.
6报文过滤·1-71.
1.
7查询参数·1-81.
2告警1-101.
2.
1通知提醒·1-101.
2.
2发送配置·1-101.
2.
3发送情况·1-131.
2.
4邮件·1-141.
2.
5短信·1-151.
2.
6FTP1-191.
2.
7SYSLOG1-201.
2.
8SNMP1-221.
3关联配置·1-231.
3.
1堡垒主机·1-231.
3.
2三层关联·1-231.
3.
3IP关联信息1-251-11配置1.
1常规1.
1.
1引擎管理1.
功能简介管理审计引擎,启用或停止.
2.
配置引擎(1)进入[配置/常规/引擎管理],打开引擎管理页面进行配置.
如图1-1所示.
图1-1引擎管理表1-1引擎管理信息选项用途说明审计如果停止运行,则无法审计到数据,一般不建议用户停止运行审计引擎特征如果停止运行,则无法审计到特征数据,也不建议用户停止运行特征引擎审计外送如果停止运行,则无法将系统保存的审计记录通过SYSLOG实时发送给SYSLOG服务器,也不建议用户停止运行日志引擎1.
1.
2客户端工具名1.
功能简介管理客户端工具.
2.
配置客户端工具名(1)进入[配置/常规/客户端工具名],打开来访客户端工具名界面.
如表1-2所示.
1-2图1-2客户端工具名(2)点击,打开新增页面,输入客户端工具名称保存即可.
如图1-3所示.
图1-3新增客户端工具客户端工具名称可自动采集1.
1.
3来访客户网络1.
功能简介管理来访客户网络.
1-32.
配置来访客户网络(1)进入[配置/常规/来访客户网络],打开来访客户网络配置界面.
如图1-4所示.
图1-4来访客户网络(2)点击,打开新增页面.
如图1-5所示.
图1-5新增来访客户网络在点击,进入[新增来访客户网络]页面,此时只有"名称"输入框,输入名称后,点击后,才能看到添加IP的部分.
表1-2来访客户网络信息选项用途说明名称必选项.
输入后,点击后,才能看到添加IP部分IP必选项.
来访网络IP.
支持单个IP地址,如192.
168.
1.
10支持IP网段,如192.
168.
1.
*(只支持最末位设置为*类型的网段)IP地址段,如192.
168.
1.
1-192.
168.
1.
100已添加IP已添加成功的IP(3)点击,删除选中的来访客户网络.
如图1-6所示.
1-4图1-6删除来访客户网络删除也可以点击IP后面的,逐个进行删除.
(4)点击,修改来访客户网络.
如图1-7所示.
图1-7编辑来访客户网络1.
1.
4指定源IP审计1.
功能简介只针对指定的IP进行审计,其它源IP或业务系统的记录不再审计.
2.
配置指定源IP审计(1)进入[配置/常规/指定源IP审计],打开指定源IP审计配置界面.
如图1-8所示.
1-5图1-8指定源IP审计一旦配置并保持了IP,系统就只审计此列表中的源IP产生的数据.
(2)点击,打开新增页面.
如图1-9所示.
图1-9新增源IP表1-3指定源IP信息选项用途说明来源IP必选项.
支持单个IP地址,如192.
168.
1.
10支持IP网段,如192.
168.
1.
*(只支持最末位设置为*类型的网段)(3)点击,删除选中的源IP.
如图1-10所示.
图1-10删除源IP审计1-6删除也可以点击源IP对应的,逐个删除.
(4)点击,修改源IP.
如图1-10所示.
图1-11编辑源IP1.
1.
5IP过滤1.
功能简介该功能是对IP或IP所对应的业务系统发出的数据不再进行审计和记录.
2.
配置IP过滤(1)进入[配置/常规/IP过滤],打开IP过滤配置页面.
如图1-12所示.
图1-12IP过滤一旦配置并保持了IP,此IP将不审计.
(2)点击,打开新增页面.
如图1-13所示.
1-7图1-13配置IP过滤选项说明参见表1-4.
表1-4IP过滤信息选项用途说明不区分来源及目标新增IP作为源IP或目标IP都会被过滤.
同时满足来源及目标分别新增源IP和目标IP.
其中,源IP可以为单个IP、IP网段、IP地址段;目标IP只能填写单个IP,并且需要填写端口.
IP必填项.
支持单个IP地址,如192.
168.
1.
10支持IP网段,如192.
168.
1.
*(只支持最末位设置为*类型的网段)IP地址段,如192.
168.
1.
1-192.
168.
1.
100(3)点击,删除选中的IP.
如图1-14所示.
图1-14删除IP删除也可以点击IP对应的,逐个删除.
1.
1.
6报文过滤1.
功能简介主要是对报文过滤的模板进行管理维护.
1-82.
配置报文过滤(1)进入[配置/常规/报文过滤],打开报文过滤页面.
如图1-15所示.
图1-15报文过滤报文过滤选项说明见表1-5.
表1-5报文过滤信息选项用途说明详细查看报文过滤模板的详细信息.
删除删除对应的报文过滤模板.
1.
1.
7查询参数1.
功能简介对审计查询参数、查询结果显示列和查询结果显示视图进行设置.
2.
配置查询参数(1)进入[配置/常规/查询参数],打开查询参数配置界面.
如图1-16所示.
1-9图1-16查询参数(2)设置相应参数.
参见表1-6.
表1-6查询参数信息选项用途说明审计查询参数查询结果每页显示每页显示审计数据记录的条数.
可进行数值调整,最小值20条,最大值1000条.
默认值为20不建议选用太大,否则显示时间会比较长.
查询结果总记录数显示审计数据记录的条数.
可进行数值调整,最小值200条,最大值100000条.
默认值为600查询缺省时间范围缺省值300秒,显示审计数据记录.
可进行数值调整,最小值60秒,最大值86400秒查询结果导出最大记录数结果导出最大记录数为100000报文最大显示长度报文最大显示长度为10000审计查询结果设置显示列设置设置后,在审计查询结果列表中只显示选中列1-10视图设置设置后,在审计查询结果页面根据设置显示视图风险查询结果设置显示列设置设置后,在风险查询结果列表中只显示选中列1.
2告警1.
2.
1通知提醒1.
功能简介告警提醒是在发生告警的情况下,可以在浏览器的右下角以冒泡的形式自动弹出告警提示框.

2.
配置告警提醒(1)进入[配置/告警通知/告警提醒],打开告警提醒配置界面.
如图1-17所示.
图1-17告警提醒(2)选择是否弹出提示框、发出提示声音.
(3)点击,保存配置.
1.
2.
2发送配置1.
功能简介将告警通过邮件、短信、FTP、SYSLOG和SNMP方式,将告警信息发送给相关人员,以便相关人员及时处理告警.
2.
发送配置(1)进入[配置/告警通知/发送配置],打开发送配置界面.
如图1-18所示.
图1-18发送配置1-11(2)点击,打开[新增通知]页面.
如图1-19所示.
图1-19新增通知(3)选择业务主机群、告警级别、通知类型及与通知类型相关的配置.
见表1-7.
表1-7发送配置信息选项用途说明告警类型必选项.
默认为"风险告警"业务主机群必选项.
告警级别必选项.
默认为"高"通知类型邮件以邮件方式发送告警通知点击,修改收件人的邮件地址点击,配置邮件服务器.
参见1.
2.
4邮件短信以短信方式发送告警通知选择发送给谁点击,修改收件人的手机号码点击,配置短信接口.
参见1.
2.
5短信SNMP以SNMP方式发送告警通知点击,配置SNMP服务器.
参见1.
2.
8SNMPSYSLOG以SYSLOG方式发送告警通知选择SYSLOG类型,等级.
参见表1-8SYSLOG日志类型、表1-9SYSLOG等级类型点击,配置SYSLOG服务器.
参见1.
2.
7SYSLOGFTP以FTP方式发送告警通知点击,配置FTP服务器.
参见1.
2.
53.
FTP1-12表1-8SYSLOG日志类型选项用途说明kernelmessages内核日志消息user-levelmessages随机的用户日志消息mailsystem邮件系统日志消息systemdaemon系统守护进程日志消息security/authorizationmessages安全管理日志消息messagesgeneratedinternallybysyslogdsyslogd本身的日志消息lineprintersubsystem行打印机日志消息networknewssubsystem新闻服务日志消息UUCPsubsystemUUCP系统日志消息clockdaemonclock守护进程日志信息FTPdaemonFTP守护进程日志信息NTPsubsystemNTP日志信息logaudit日志审计logalert高优先级日志信息local0~local7保留为本地使用表1-9SYSLOG等级类型选项用途说明Emergency紧急情况,会导致系统不可用Alert高优先级故障,必须马上采取行动Critical严重错误Error错误事件Warning警告事件Notice普通但重要的事件Informational一般信息Debug调试信息(4)点击,保存配置.
点击,取消操作.
1-131.
2.
3发送情况1.
功能简介发送情况是告警信息发送情况统计.
内容主要包括:查询发送情况和重发告警信息.
显示发送情况统计信息和重发情况统计信息.
2.
查询(1)进入[配置/告警通知/发送情况],打开发送情况页面.
如图1-20所示.
图1-20发送情况(2)点击,打开查询配置页面.
如图1-21所示.
图1-21发送情况查询(3)选择业务主机群、类型和发送时间.
参见表1-10.
表1-10发送情况查询信息选项用途说明业务主机群必选项类型必选项.
默认为"全部".
包括全部、邮件、短信、SNMP、SYSLOG和FTP发送时间选择发送的开始时间和结束时间(4)点击,查询发送情况;点击,重置查询条件;点击,取消操作.
3.
重发(1)进入[配置/告警通知/发送情况],打开发送情况页面(如图1-20).
(2)点击,打开重发页面.
如图1-22所示.
1-14图1-22重发(3)选择告警发生的开始时间和结束时间.
(4)点击,重新发送告警通知;点击,取消操作.
1.
2.
4邮件1.
功能简介在告警时,通过邮件服务器,可以将告警信息以邮件形式发送给相关人,供相关人处理告警信息.

2.
配置邮件(1)进入[配置/告警通知/邮件],打开邮件配置页面.
如图1-23所示.
图1-23邮件服务器(2)填写相关内容.
参见表1-11.
表1-11邮件信息选项用途说明发送邮件服务器必选项.
支持输入域名或IP地址点击,配置DNS服务器1-15不需要SMTP验证发送人邮箱必填项.
填写发送人的邮箱端口必填项.
发送邮件服务器的端口.
默认为25需要SMTP验证发送人邮箱必填项.
填写发送人的邮箱密码必填项.
发送人邮箱对应的密码加密类型选择加密类型.
默认为"不加密"端口必填项.
发送邮件服务器的端口选择"不加密",端口默认为25选择"TLS",端口默认为465选择"SSL",端口默认为587单封邮件最多显示前必填项.
发送时,每一封邮件内容显示的告警信息条数,当告警信息条数超过所设置的数值时,只显示统计信息,不显示单条告警信息.
默认值为100,可设置值范围:10~500发送统计信息必选项.
选择"是",将发送统计信息;选择"否",则不发送(3)点击,保存配置;点击,发送邮件测试配置是否正确.
1.
2.
5短信1.
功能简介在告警时,通过短信接口,可以将告警信息以短信形式发送给相关人,供相关人处理告警信息.

2.
配置数据库短信接口(1)进入[配置/告警通知/短信],打开短信配置页面,默认为不发送.
其中有两种发送方式,一种通过数据库接口,一种通过WEB接口.
如图1-24所示.
图1-24短信接口(2)选择"数据库接口",配置相关参数,保存即可.
配置信息参见表1-12.
1-16图1-25数据库接口配置表1-12数据库接口信息选项用途说明数据库类型支持Oracle、Sqlserver、Mysql数据库IP地址必填项.
填写数据库IP地址数据库连接端口必填项.
填写数据库端口1-17用户名必填项.
填写数据库用户名密码必填项.
填写数据库密码数据库名(SID)必填项.
填写数据库名或SID信息调用方式有两种方式:插入语句:直接通过SQL语句把告警信息插入到数据库中存储过程:通过调用存储过程把告警信息插入到数据库中插入SQL模板当调用方式为"插入语句"时,此项才会出来.
可使用两个参数(1.
手机号码,2.
短信内容),用表示,顺序可在"参数顺序"中设置.

例:insertintoMSG(count,phonenum,content,prionity)values(1,,,1)存储过程名称当调用方式为"存储过程"时,此项才会出来.
可使用两个参数(1.
手机号码,2.
短信内容),用表示,顺序可在"参数顺序"中设置.

例:MsgSend(1,,,1)参数顺序有两个选项:第一个参数为手机号码,第二个参数为短信内容第一个参数为短信内容,第二个参数为手机号码短信内容配置时,是使用参数指代告警记录的内容.
具体可用参数可单击该项后面的"点击查看所有可用参数"链接文字打开参数说明对话框查看参数内容.
字符编码有两种:UTF-8、GBK间隔发送最短时间每条告警发送的最短间隔时间每日发送最多条数每日最多发送条数,只能配置1-10000测试短信内容测试短信内容,可修改默认值.
测试号码输入测试号码后,点击按钮,即可把测试内容发送到测试号码上.
此测试号码单纯是测试配置使用,并非告警信息接收者.
3.
配置Web短信接口(1)进入[配置/告警通知/短信],打开短信配置页面,选择"Web接口",配置相关参数,保存即可.
配置信息参见表1-13.
1-18图1-26Web短信接口表1-13Web接口信息选项用途说明发送方式支持POST、GET、JSONURL短信调用URL.
当不同的发送方式不一样的配置:[POST]:直接输入调用的URL,例:http://www.
sms.
com/[GET]:可以使用[$PHONE]和[$SMSTEXT]两个参数,分别表示手机号码和短信内容.
例:http://www.
sms.
com/Uid=username&key=password&Mobil=[$PHONE]&Text=[$SMSTEXT][JSON]:直接输入调用的URL,例:http://www.
sms.
com/POST参数当发送方式为"POST"时,此项才会出来.
可以使用[$PHONE]和[$SMSTEXT]两个参数,分别表示手机号码和短信内容.
1-19例:Uid=username&key=password&Mobil=[$PHONE]&Text=[$SMSTEXT]请求内容当发送方式为"JSON"时,此项才会出来.
可以使用[$PHONE]和[$SMSTEXT]两个参数,分别表示手机号码和短信内容.
例:{"moble":"[$PHONE]","content":"[$SMSTEXT]","account":"aaa","password":"123"}请求头请求头信息,点击可以输入对应的请求头名称和请求头值,可添加多个请求头信息短信内容配置时,是使用参数指代告警记录的内容.
具体可用参数可单击该项后面的"点击查看所有可用参数"链接文字打开参数说明对话框查看参数内容.
字符编码有两种:UTF-8、GBK间隔发送最短时间每条告警发送的最短间隔时间每日发送最多条数每日最多发送条数,只能配置1-10000测试短信内容测试短信内容,可修改默认值.
测试号码输入测试号码后,点击按钮,即可把测试内容发送到测试号码上.
此测试号码单纯是测试配置使用,并非告警信息接收者.
1.
2.
6FTP1.
功能简介在告警时,通过FTP,可以将告警信息以文件上传形式上传到FTP,供相关人查看和处理告警信息.
2.
配置FTP(1)进入[配置/告警通知/FTP],打开FTP配置页面.
如图1-27所示.
图1-27配置FTP服务器(2)填写相关内容.
参见表1-14.
表1-14FTP信息选项用途说明状态必选项.
默认为"启用"1-20IP必填项.
填写服务器IP端口必填项.
填写端口.
默认为21用户名必填项.
访问FTP服务器的用户名密码必填项.
用户名对应的密码上传目录必填项.
告警信息文件上传到服务器的目录单个文件最多显示前发送时,每一次发送的文件内容显示的告警信息条数,当告警信息条数超过所设置的数值,只显示统计信息,不显示单条告警信息.
默认值为100,可设置值范围:10~500发送统计信息必选项.
选择是否发送统计信息1.
2.
7SYSLOG1.
功能简介在告警时,通过SYSLOG服务器,可以将告警信息以SYSLOG日志形式保存到SYSLOG服务器,供相关人查看和处理告警信息.
2.
配置SYSLOG(1)进入[配置/告警通知/SYSLOG],打开SYSLOG配置页面.
如图1-28所示.
图1-28配置SYSLOGSyslog选项参见表1-15.
表1-15配置Syslog选项用途说明新增Syslog服务器添加新的Syslog服务器代理服务器配置配置代理服务器发送类型必选项.
发送统计信息或发送单条.
默认选择"发送统计信息",在周期内发送的告警信息,接收端接收后,是以统计方式显示信息;若需要在接收端显示每条告警信息,可选择"发送单条"(2)点击,打开新增Syslog服务器页面.
如图1-29所示.
1-21图1-29新增Syslog服务器Syslog服务端选项参见表1-16.
表1-16Syslog服务端信息选项用途说明状态必选项.
默认为"启用"IP必填项.
填写服务器IP端口必填项.
填写端口.
默认为514发送者必填项.
填写发送者.
默认为"sender"(3)点击,打开代理服务器配置页面.
如图1-30所示.
图1-30配置代理服务器Syslog代理服务器选项参见表1-17.
1-22表1-17代理服务器信息选项用途说明状态必选项.
默认为"启用"类型默认为"SOCKS5"IP必填项.
填写服务器IP端口必填项.
填写端口用户名必填项.
填写代理服务器的用户名密码必填项.
填写用户名对应的密码1.
2.
8SNMP1.
功能简介在告警时,通过SNMP服务器,可以将告警信息发送到SNMP接收端,供相关人查看和处理告警信息.
2.
配置SNMP(1)进入[配置/告警通知/SNMP],打开SNMP配置页面.
如图1-31所示.
图1-31SNMP配置(2)填写相关内容.
参见表1-18.
表1-18SNMP信息选项用途说明状态必选项.
默认为"启用".
服务器IP必填项.
输入SNMP服务器IP.
端口必填项.
输入端口.
默认为162.
OID系统默认值.
默认值为"public".
1-23MIB使用系统默认值.
发送类型必选项.
默认选择"发送单条",在周期内发送的告警信息,接收端接收后,显示每条告警信息;若需要在接收端显示告警统计信息,可选择"发送统计信息".