GM-SMP-I网络行为监控系统用户使用手册.doc

gm-smp-igm-smp-i 网络行为监控系统网络行为监控系统 用户使用手册用户使用手册 目录目录 第一章第一章操作使用说明操作使用说明2 2 1.11.1 基本操作基本操作 2 2 1.21.2 关于记录导出关于记录导出 5 5 1.31.3 记录内容的查看记录内容的查看 5 5 1.41.4 记录的快速删除记录的快速删除 7 7 第一章第一章功能菜单和按钮使用介绍功能菜单和按钮使用介绍8 8 2.12.1 系统设置系统设置 8 8 .1 系统管理系统管理8 8 .2 引擎配置引擎配置1212 .3 封网设置封网设置1313 .4 qqqq聊天内容监控聊天内容监控1717 .5 设置监控点设置监控点2020 .6 远程用户查询分级权限设置远程用户查询分级权限设置2121 .7 引擎停止引擎停止/ /启动启动2222 .8 系统退出系统退出2222 2.22.2 主机设置主机设置 2222 .1 刷新主机刷新主机2222 .2 按按ipip查找远程主机查找远程主机2222 .3 扫描网络主机扫描网络主机2323 .4 修改主机名称修改主机名称2323 .5 导入导入/ /导出主机列表导出主机列表2424 2.32.3 数据管理数据管理 2424 .1 记录查询记录查询2424 .2 记录删除记录删除2525 .3 当前记录导出当前记录导出2626 .4 上网统计上网统计2626 .5 历史数据历史数据2626 .6 webweb资料（邮件）关键字分析资料（邮件）关键字分析2727 2.42.4 辅助工具辅助工具 2727 .1 交换机环境监控交换机环境监控2828 第1页 .2 无线网络环境监控无线网络环境监控2828 .3 现场观察现场观察2929 .4 流量察看流量察看3030 .5 数据库修复数据库修复3131 .6 磁盘可用空间查看磁盘可用空间查看3131 .7 网卡配置信息查看网卡配置信息查看3131 第二章第二章版权声明版权声明3232 第三章第三章用户需知用户需知3333 第一章第一章操作使用说明操作使用说明 本软件本着精巧、实用的原则，即使非专业计算机用户也很快能上手操作，界面设计简单、美观，非常适宜 对计算机操作不熟练的人员使用。 1.11.1 基本操作基本操作 系统安装成功后，首次运行后可根据客户的系统启动选项设置，可实现监控机开启时自动启动监控系统，或 双击桌面的信息安全网络监控系统图标，手工启动监控系统；系统根据用户的设置，也可同时自动启动 远程日志查看服务端程序，该程序会自动记录使用远程客户端程序查看数据记录的操作过程。 显示的主界面如下图所示： 第2页 当鼠标指向本地网络时，按鼠标右键跳出窗口： 系统中扫描主机列表功能是为了便于系统使用者能够将当前已联网但未进行互联网通信的计算机列入系统的 主机表列中开发的操作。请注意：采用该功能记录的主机并不能表明能够被监控，只有监控机的侦听点选取正确， 并被设置为被监控，才能对被监控机器实现监控。 主界面左边显示的是计算机列表， 非常直观的显示被监控各部门和各 台计算机的互联网通信记录分类和 记录信息条目数量，图中主机名前 图标上有红叉的表示该主机当前不 被监控。 即可非常方便的配置部门、人员名称等信息。 （1）能够自己添加、修改、删除公司的部门，如软件部，市 场部等等； （2）用户能够根据ip、mac地址自定义与机器对应的被监控微 机的名字，如：00-0b-5f-33-43-00对应张三，并且指定 此人所属的部门，如市场部门，并可灵活地进行删除修改； （3）可以将现有主机列表的部门主机进行导出或导入； （4）删除现有系统主机列表中记录的所有主机。 第3页 特别说明：特别说明： 1、系统正常运行情况下，若未先设定监控的主机，系统会自动检测出局域网内的上网通信计算机，并在授 权监控点数内自动记录。如果系统检测到网内有计算机上网通信，则点击“刷新主机”按钮后会自动显示其ip和 mac地址，用户第一次使用时候当然也可以鼠标右键点击“扫描网络获得主机列表”，这样可能扫描出被监控范围 网络内的计算机的名称（被扫描机器的防火墙关闭状态下）计算机的名称（被扫描机器的防火墙关闭状态下），并记入主机列表中。计算机名与mac地址或ip地址是 一一对应的。 如果机器多于授权点， 那么系统默认只能监控最多授权点的主机，对多出的机器则不监控。 这时候客户可 以在菜单“系统设置”中的“设置监控点”中设置哪些机器被监控，哪些不需监控。 对曾被监控的机器，后又设置为不监控，而且已经有记录，则该机器仍然会在主机列表中出现，其记录也仍 然存在；只有其对应的所有记录被删除，才能将该主机从主机列表中删除掉。 2、在基于网卡mac地址监控模式下，不论被监控计算机是否已做了名字命名，当该计算机的ip发生改变，该 计算机的被监控记录仍然会被自动归入系统确认的mac地址下，即仅对应于该计算机名字（即计算机名字与mac地 址被绑定），但记录中仍然会显示实时记录的ip地址。 3、“删除所有主机列表”只是删除这些主机名称，但没有删除这些主机上网时被监控记录的数据记录，除非 进行记录的删除操作。用户可以点击“刷新”按钮或者“扫描网络主机列表”重新获得这些主机名称（这时用户 定义的机器名会丢失，需重新定义），或可从原导出的主机列表文件导入，则可以保留原来定义的分组名、机器 名字。 当进行涉及主机删除有关操作时，务必对系统设置的监控点进行重新设置。 当鼠标指向部门或列表中的被监控计算机时，有上述类似的操作功能。 主界面右边显示的是监控系统实时记录被监控计算机进行互联网通信的信息记录。所列出的记录按记录类型、 时间、mac地址等顺序列出，点击每栏表头可实现该栏目的记录按升序或降序排列方式显示记录，并以分页形式提 供记录浏览或全部显示。 每条记录的信息内容包括： 1. 类类 型型：记录的信息类型；（参阅1.5节） 2. 时时 间间：该记录产生的日期、时间； 3. macmac地址：地址：该记录的被监控计算机网卡mac地址数据； 4. 源源ipip地址：地址：该记录的被监控计算机实时配置的ip地址数据； 5. 目标目标ipip地址：地址：该记录的被监控计算机所访问网站或网页的ip地址数据； 6. 内内 容：容：访问网站或通信内容记录提示； 第4页 7. 访问网页的地址：访问网页的地址：记录所访问网站或网页的域名和路径； 8. 用用 户户 名：名：记录被监控者使用邮件管理器、ftp登录等操作的登陆用户名； 进入监控状态后，若被监控范围网络中在授权点数内有未被记录的计算机上网进行互联网通信，监控系统会 自动将该机列入监控计算机列表中的其他主机其他主机分组中，并自动记录该机网络通信的信息。点击按钮，可观 察或更新被列入监控的计算机及其分类信息记录数量的统计数。若局域网络系统内的计算机数量超过系统授权监 控的点数，系统对超过授权点数的机器不记录。 界面底部为系统监控状态指示栏，分别显示系统引擎正在运行引擎正在运行或引擎停止引擎停止，实时显示目前监控记录的全部记全部记 录数录数统计数据，以及当前日期、新记录提示等信息。若显示引擎停止，则表明当前监控失效，可点击工具栏中启 动引擎重新启动引擎。 系统运行时，点击系统运行主界面右上角最小化按钮后，系统运行图标会隐藏在windows视窗桌面的右下角， 并显示系统现有的总记录数值。再次打开需要管理者密码。此时若监控系统的引擎停止，鼠标放在该图标上，会 出现提示（图）。 远程服务端程序启动后的小图表也隐置于windows视窗桌面的右下角（图）。 图 图 1.21.2 关于记录导出关于记录导出 当鼠标指向某一记录时，按右键可以选择删除该条记录或查看 该记录的内容，或将该条记录的详细内容单独保存，或将该记录 中的url记入过滤网页url地址的文件中在封网状态下进行访问过 滤以及记录汉字乱码的转换等操作。其中选择“标题显示为简体 中文（gb2312）”或“标题显示为繁体中文（big5）”时，界面 中所有记录标题栏内汉字均被转换为简体汉字或繁体汉字。 选择utf-8编码转为标准文字，则仅转换该记录标题内的文字并以 新开窗口显示。 第5页 1.31.3 记录内容的查看记录内容的查看 收发邮件记录的查看：用鼠标点击欲查看的收发邮件记录，系统会利用监控机自身的outlook express将记录 的邮件还原，供管理使用者阅读。 msn、yahoo通聊天记录的查看：在主界面上，用鼠标点击欲查看的记录，系统会将该记录对应被监控计算机 的全部聊天通信内容记录以web页的形式、按日期、时间顺序排列再现。 qq、msn收发文件以及yahoo发送文件的查看：在主界面上，用鼠标点击欲查看的文件记录，系统会将该自动 打开，供管理者阅读。该文件也可由管理者进行删除或保存处理。（本系统支持qq2008iii（包括tm）、 msn6.0、yahoo通6.0以上目前所有版本的文件收发监控，若在传递过程中使用续传或网络断开，会影响监控记录 文件的完整性。另外如果在内网通过qq、msn、yahoo通发送文件，系统不能监控记录） 本系统目前对于qq、贸易通等聊天对话记录只能作在某一登录时间段内对话通信的次数统计记录，不能记录 和查看其通信对话内容。skype的通信仅记录登录，其原因在这些及时通信的聊天对话传输是经过加密处理的，为 保障本系统的监控效率，现未对对话通信进行记录和解密处理，敬请用户谅解。 web 邮件和web资料发送记录的查看：该两种类型记录的信息指被监控计算机操作者，在访问的web页面上输 入的信息记录，包括登录注册信息、bbs上写入的信息、用web mail发送的邮件及其附件，简单地说就是在web页 面写入全部信息内容都会被系统记录下来（包括所有文件），所记录的包括页面中非用户写入的内容。（其中部 分web mail的记录可能会归入web资料发送中） 由于这种信息的传送，往往是经过几个步骤进行，因此系统记录的一次通信信息不是一条单一的记录，而是 多条记录。在这些记录中，可能部分信息在查看时显得比较纷乱，不是一下能看出个究竟。但系统忠实记录了该 用户发出的信息。比如，web邮件发送，在记录发送邮件的相关记录中，有登录记录、内容正文记录、附件文件记 录等多条记录，其中有一条能够分辨看清用户在web页面写入的信息内容，若有附件则可能在另一条记录中。 为了方便用户灵活的对记录进行编辑、打印， 使用菜单栏中的“数据管理”“当前记录导出” 功能，可以非常方便地将主界面所显示的记录数据 导出，导出格式可以为excel格式或文本、html格式， 以便保存或制作需要的各种报表。 注意：所导出的数据仅为数据库中留存的信息， 而与记录对应的详细日志并未导出。 选择utf-8编码转为标准文字，则仅转换该记录标题 内的文字并以新开窗口显示。 第6页 造成上述情况原因在于，各个服务商所采用的网页编码和格式不同，甚至有加密。而我们不可能对每个服务 商的编码和格式进行一一解码还原，而且这样做也是不经济的。对此，系统仅做原始信息记录，其记录的内容需 要人为进行判读。 新版增加了这两类记录资料的关键字分析查询功能，可以根据设定的关键字等方便快捷地查找出有关记录文 件信息。 这部分内容的阅读，大家可以多试试就会很快明白，对记录的内容就比较辨别阅读了。 对于一些单位、企业自己设立的邮件服务系统，未采用标准端口通信，并且在本系统的端口设置中未添加该对于一些单位、企业自己设立的邮件服务系统，未采用标准端口通信，并且在本系统的端口设置中未添加该 端口，本监控系统可能会失效。端口，本监控系统可能会失效。 其他类型的记录查看比较简单，这里就不一一叙述。 记录查看窍门记录查看窍门: : 被监控机以web方式所发出的所有信息，都被记录在“web邮件发送”或“web资料发送信息类型中。可以通过 点击工具栏中的“记录查询”，打开查询记录窗口。选择相应的被监控机，将过滤条件中信息类型信息类型相应的关键词， 比如在webweb主页地址主页地址中填写关键词“bbs”，并选择恰当的日期段，然后点击“确定”。即可查看该主机在此时间 段内，通过web方式操作发出与bbs相关信息记录。 比如要查找通过新浪 webmail 发送的邮件或信息，则可以将过滤条件中信息类型信息类型设置为“web邮件发送”， webweb主页地址主页地址中填写关键词“sina”即可。 记录查询记录查询和记录删除记录删除功能界面中：web地址，标题，用户名，三个查询栏目都具有先进的模糊搜寻功能。 特别提示：特别提示：对qq、msn、yahoo通、skype、alibaba贸易通等聊天工具的监控只有在监控先启动，聊天工具 后运行或登录上线的情况下才有效，否则监控系统不能完全保证对这些聊天通信的监控记录。 本版本对qq、msn、yahoo通以tcp、udp通信方式的文件收发都能有效实现监控记录。 1.41.4 记录的快速删除记录的快速删除 在这两类记录的内容中，若因简繁体或utf-8码的编码出现了记 录内容中有乱码，则可点击鼠标右键： 选择转换后可正确显示为简体或繁体汉字。 第7页 系统提供了运用鼠标结合键盘的ctrl键和shift键、删除键del，可以实现对主界面中显示的多条记录一次选 定并删除。这里删除的记录，不包括记录对应下的详细日志文件。 1、连续范围内多条记录删除：首先用鼠标点击拟删除记录的起始记录，按住shift键、用鼠标点击拟删除记录 的终止记录，即选定了需要删除的一定范围内的记录，再按键盘中删除键del，并确认即可删除。 2、多条不连续记录的删除：用鼠标点击拟删除记录的其中一条记录，再将ctrl键按住不放、用鼠标点击拟删 除的其它各条记录，即选定了需要删除的多条记录，然后放开ctrl键，按键盘中删除键del，并确认即可删除。 3、也可以组合使用ctrl键和shift键进行连续、分离记录的删除。 第一章第一章功能菜单和按钮使用介绍功能菜单和按钮使用介绍 系统工具栏中功能按钮是菜单部分功能的直接使用方式。因此，下面仅介绍菜单中各个功能和使用操作方法。 2.12.1 系统设置系统设置 该菜单包含7个功能子项。主要用于系统设置、控制设置和被监控机器的选择和系统引擎的操作等。 .1 系统管理系统管理 本功能模块可以完成系统使用者的密码更改和启动选项、监控对象选择、端口设置、监控模式设置、数据备 份以及日志管理、事件查看等设置和系统运行事件查看。 第8页 密码修改密码修改：便于系统使用者随时更 改系统密码，保证被监控信息的不被随 意流传，保护个人隐私和公司的信息秘 密。系统安装后，首次运行的密码为空。 为保证系统的正常运行和记录信息的安 全，建议客户安装运行后更改该密码， 并备案该密码，一旦遗忘则只能重新安 装系统，请务必注意。 启动选项启动选项：提供了监控系统启动的 方式和远程日志查询服务端程序启动的 方式设置。 特别说明：监控机启用远程日志查 询服务端程序时，需要将监控机的 347、348端口开放，否则客户端远程查 看器不能正常连接、记录不能传送。 第9页 为保证系统的监控运行效率，系统默认不打开流量监控。若进行流量查看过去流量查看时，请在此设置。 如果没有打开流量监控，系统会给出提示。 监控对象监控对象：的选择，方便监控管理 者根据管理需要选择要进行监控网络通 信信息类型。系统默认为对全部信息类 型监控，流量监控除外。若要对某项监 控内容不实行监控，则需用鼠标点击该 项，去掉方框内的勾即可。 端口设置端口设置：客户可以根据需要添加 监控的通信端口。 例如：有些单位自己有放置在公网 上邮件服务器，并允许采用web方式访 问收发邮件，但自己定义了非80端口。 若在本监控系统中，将其自定义的端口 数值正确加入，则可以实现对其监控记 录。 第10页 监控模式监控模式设置：系统默认的监控模式为 “基于网卡mac地址监控”，这种模式的好 处在于，监控系统与被监控机器能够唯一确 定，防止被监控机器因人为的进行ip地址的 更换，给管理者带来麻烦。建议大多数用户 采用该监控模式。 对网络内部实行vlan或网内设置有路由器的 局域网系统，则应选择“基于ip地址地址监 控”的模式。该模式下，系统的监控记录仅 与被监控机器的ip地址对应。为便于管理， 建议用户不要使用dhcp进行局域网内的自动 分配ip方式，避免被监控机器ip的不确定， 便于监控记录信息与被监控机器的对应管理。 数据备份数据备份：可以将系统记录的数据进行 备份保存留挡。可以设定备份数据的起止日 期选择性备份。系统默认备份详细记录。 备份数据仅供备份数据分析查看器使用。 建议在备份数据后，将系统现有的记录和详 细日志清空、删除（即删除安装目录下log 文件内的所有文件，但需保留log文件夹）， 避免系统承载数据量过大，影响系统运行。 第11页 .2 引擎配置引擎配置 日志管理：日志管理：是提供系统管理者对系统记 录的数据信息进行自动备份的设置，便于系 统能在比较好的环境下运行。因为，若不对 系统记录的数据进行及时的处理，系统记录 的数据太大时（一般记录超过50万条）则系 统的监控效率会受到比较大的影响。 系统自动备份完毕后，自动清空系统数 据库。备份的数据可以使用数据管理中的历 史数据功能进行查看。 客户设置自动导出记录和定时删除日志 时，请注意设置的自动导出记录数量与定时 删除日志的关系，否则会造成混乱。 事件查看事件查看：是提供有关系统运行的情况 记录，便于系统管理员了解系统的运行情况。 第12页 一般情况下，系统会自动进行引擎的网卡识别和配置。若引擎配置的网卡信息丢失，请重新启动引擎或重新 启动监控系统。 点击确定后，必须重启引擎才能生效。（可以在界面先点击停止引擎，然后点击启动引擎） 提示：对某些机器系统，本系统需要winpcap3.1才能支持监控正常运行。 .3 封网设置封网设置 本监控系统一个非常重要的特色是可以利用局域网内任意一台机器（不一定是在网关），在实施网络通信实 时监控的同时，实现对局域网内被监控微机互联网通信的控制封杀，限制用户上网或某项上网功能，可以起到防 火墙的作用。 本软件可以针对某一台具体的被监控微机进行互联网访问控制配置，也可以按某个部门一起配置，方便用户 进行控制配置。每次配置完毕后，都需要重启引擎重启引擎才能生效。 特别提示：特别提示：若要开启系统的网络通信控制功能，需将监控计算机自身的防火墙停止退出，否则控制封网功能 不能实现。 如果监控系统的计算机上有2块以上网卡， 可能需要手工配置引擎所绑定的网卡。若监 控系统安装在网关上，则一定要指定监控系 统的引擎绑定在局域网内网的网卡上，否则 不能实现对全网的监控。 对于施行基于ip监控模式的系统，建议最好 能将欲监控的各个ip地址段进行设置，便于 系统进行有效的监控，减少不必要的无效主 机纪录，方便对主机、记录的管理。 正确选定监控系统所需要的工作网卡。 第13页 本版新增添的“网关封杀模式”，是应用于非旁路监控情况下对网络通信实施封堵。本功能地封堵效率更好、 更准确。使用时请务必小心，一定要清楚目前的监控是旁路还网关（有些资料介绍也称为网桥模式）方式。 提示：提示：“强制封杀模式”仅用于旁路封杀，“网关封杀模式”效果更好。 （1 1） 封杀封杀qqqq聊天聊天 封杀qq需要注意的是，qq可以使用udp和tcp两种通信协议。如果您的网络内没有防火墙，那么就要把两 种协议都要封堵才能彻底封杀qq。封杀qq udp协议时候，一定要正确配置被监控机器的网关ip地址，切断它 和网关之间的通信，从而封杀qq的 udp、tcp通信。单击“网关设置”如图所示： （2 2） 封杀封杀msnmsn聊天聊天 这个选项打勾表示封杀msn聊天。 特别提示特别提示：只有监控系统先启动，qq或msn后开启或后登录才能实施封堵，否则不能封堵qq或msn的通信。 （3 3） 过滤目的过滤目的ipip地址地址 一般情况下，互联网上公网ip地址的分配都有一定的规律，也就是说：ip地址带有一定的区域性，根据 这个特点，用户可以对被监控机器进行地区性过滤，比如，你可以设置一个范围，让用户不能访问位于美国 的因特网服务器。 使用强制封杀模式，可以很好的限制 qq、p2p下载等各种网络通讯，特别是采 用udp方式的通信，其副作用是会使被监 控机的上网通信造成影响。若被监控机一 旦停止qq通信或p2p下载操作，则被监控 机的网络其他通信会在适当延时后自动恢 复正常。这个选项对欲对被监控机完全限 制使用qq通信是很有必要的。 第14页 （4 4） 封杀端口封杀端口 用户不需要防火墙之类的设备或专用软件就可以旁路端口封堵形式，封堵网络游戏、聊天、远程登录、 ftp文件传输等通信，非常方便，并且不影响网速。一般对tcp通讯连接方式的封堵效果非常好，但对于udp通 讯包的封堵难度大，必须有专门的封堵程序来实现，如本系统对腾讯qq的封堵就是这样。点击“配置允许端 口”打开如下图所示窗口，可以编辑欲封杀的端口或是允许通信的端口。 点击“配置目的地址”按钮可 以打开如下窗口，编辑用于封杀ip 地址。 - - 表示上面两个ip地址段被禁止上网！ 第15页 如上图所示端口过滤设置中所列出的过滤访问端口，在黑名单状态下表示封杀列出的端口；而在白名 单状态下则表示只允许访问所列出的端口。 有关本系统控制的常用端口，请参阅本说明书的附表：互联网通信常用端口说明。 （5 5） 过滤网页过滤网页urlurl地址地址 点击“配置过滤网址”可以打开如下图所示窗口，编辑用于过滤网页域名。 如上图所示网页过滤设置中所列出的过滤网址163.com和，在黑名单状态下表示禁止访问 163.com和；而在白名单状态下则表示只允许访问163.com和。 特别说明：特别说明：上述过滤目的过滤目的ipip地址、封杀端口、过滤网页地址、封杀端口、过滤网页urlurl地址地址三个配置文件内容在网内对各个机器只能 设置为一个配置内容，但可以对不同的机器实施。 （6 6） 禁止使用禁止使用ipip地址访问网页地址访问网页 这个配置是对网页过滤的补充，虽然禁止用户上如：的网站，但是被监控机仍然可以使用ip 地址的形式：如http:/ 3的方式直接访问上面的网站。通过这个配置，可以阻止被监控机器 使用ip地址直接浏览网站或网页。 特别说明：特别说明：上述过滤目的过滤目的ipip地址、封杀端口、过滤网页地址、封杀端口、过滤网页urlurl地址和禁止使用地址和禁止使用ipip地址访问地址访问功能的使用，在网 络通信状况很好的情况下，可能会出现被限制通信仍然可以，但不是很顺畅、完整的现象，其原因在于通信 第16页 数据包收发速度太快，系统未能有效地解析信息数据时，通信已完成。监控系统将其记录仍然归入了“违规 访问”中。 （7 7） 限制上网时间限制上网时间 （8 8） 封杀封杀p2pp2p下载下载 这个选项打勾表示封杀使用比较流行数种p2p下载软件的通信。（应保证在“系统管理”“监控对象” 中将p2p下载是设置为被监控的对象）。一般情况下，需要启动强制封堵，否则封堵效果不会非常有效。 特别提示特别提示：只有监控系统先启动，p2p下载后开启才能实施封堵，否则不能有效地封堵p2p下载的通信。 .4 qqqq聊天内容监控聊天内容监控 （1 1） qqqq聊天内容监控原理聊天内容监控原理 qq通信中的加密解密基本原理：qq登录时，腾讯服务器使用该qq密码产生通信数据包的加密密钥，从而 实现通信数据包的加密和解密。也就是说，如果能够获取qq登录的通信密钥，就可以完全不在被监控机 安装任何软件，即可实现监控qq聊天内容。 软件实现监控的基本过程： 1.当监控系统检测到qq通信并不能解密时，监控系统将强制被监控的登录qq离线（过程最多2分钟）。 2.qq再次登录的时候，强制要求qq用户到腾讯激活中心/ 进行“激活号码”。 可以配置局域网内被监控机一天24 小时中禁止上网的时间段 ，打勾表示打勾表示 禁止上网的时间段禁止上网的时间段，以半小时为单位。 如下图配置，表示上午 8：0012：00，下午14:0018:00不能 上网。 提示：使用该功能可能产生大量记 录，占用大量监控机存储空间。 第17页 3.腾讯激活中心/要求qq用户输入qq号码和密码进行验证，如果用户输入qq号码和密 码均正确，则激活成功。此时监控系统就能够成功实现对通信内容的监控记录。 4.当qq再次登录通信时，其通信内容就得被监控记录。 （2 2）设置设置qqqq监控的步骤监控的步骤 测试的时候，尽量暂时关闭防火墙和安全软件，以免防火墙等影响测试效果。测试成功后，再开启安全 软件。 （2）点击主界面“qq监控”按钮，出现下图所示的主机列表界面，在要监控qq聊天内容的左边 主机列表打勾（试用版本最多只能选择试用版本最多只能选择8 8台主机台主机）。右下正确选择监控模式，然后点击“更新按钮”即可。 （3）成功更新配置后，上面步骤选择主机上的qq就不能发送消息，如果其发送消息，大约最多大约最多2 2分钟后就会自动分钟后就会自动 离线，然后上线离线，然后上线。 这个时候，监控系统会强制要求登录qq进行激活，如下图所示。 第18页 被监控电脑点击“激活”按钮后，会访问/腾讯qq激活中心网站，如下图所示。 要求用户输入要求用户输入qqqq号码、密码和验证码，点击号码、密码和验证码，点击“下一步下一步”，如果输入的qq号码和密码以及验证码正确，则会返回成 功激活界面。 第19页 如果输入的qq号码和密码或验证码不正确，则会返回错误提示界面，要求用户继续激活。 如果用户不进行如果用户不进行qqqq激活或者错误输入激活或者错误输入qqqq号和密码，下一次号和密码，下一次qqqq登录的时候仍然提示他要激活才能使用登录的时候仍然提示他要激活才能使用qqqq。 特别说明：如果个别员工知道了本系统功能可以截获密钥，可能不会去激活处理。特别说明：如果个别员工知道了本系统功能可以截获密钥，可能不会去激活处理。 对于我们监控系统强制qq弹出的激活界面，根据我们统计，qq用户在不知道被监控的情况下，绝大部分会对这 是腾讯在要求他激活深信不疑，所以基本都会输入正确密码，（软件试用测试人员当然知道我们系统功能了，所 以想法就不一样了。比如尝试假密码等等）。 用户输入正确的密码和用户输入正确的密码和qqqq号激活后，只要用户不更改密码，监控系统不会再要求用户去激活号激活后，只要用户不更改密码，监控系统不会再要求用户去激活qqqq了，实际监控中，了，实际监控中， 很少有用户改很少有用户改qqqq密码，相当于对大部分用户，一次激活处理，系统就永久监控其密码，相当于对大部分用户，一次激活处理，系统就永久监控其qqqq了。了。 第20页 .5 设置监控点设置监控点 .6 远程用户查询分级权限设置远程用户查询分级权限设置 第21页 数据。使用远程查看，需要监控机和网络系统防火墙开放347、348端口。 .7 引擎停止引擎停止/ /启动启动 该功能是操作者在使用系统中，由于配置系统时需要暂时停止监控引擎时使用。若发现系统状态显示引擎停 止，也可点击工具栏中的停止停止/ /停启动停启动按钮停止/启动监控引擎。（一般情况下，系统会自动启动引擎） .8 系统退出系统退出 当点击退出时，系统会给出提示： 若选择no则监控系统在后台继续运行，桌面上没有任何显示，远程日志查看服务端程序也仍然保持。这样可 以保证监控系统运行的隐秘性，当再次点击桌面的，输入管理员密码，监控系统界面重新出现。 系统支持远程客户端分级查询记录。各个 授权分级用户，需要在此进行授权用户名、口 令、允许查看部门的设置。 在上述设置框中可以分别设定远程查看者 的用户名、密码以及赋予查看的分组名（即部 门名称，它与在系统中设定的分组名对应）。 一个分组的记录，可以赋予多个不同用户名的 查看者登录查看。 其中系统管理者的用户名：admin，不可 更改。使用该用户名登录，可以查看所有记录。 使用远程客户端查看记录，都须正确填写监 控主机的ip地址、用户名、密码，登录后方能 查看到记录，包括分组的历史数据、备份 。 第22页 若选择yes，则系统停止并退出，同时远程日志查看服务端程序也随之推出。 直接点击对话框的系统默认为后台运行，远程日志查看服务端程序仍然保持。 2.22.2 主机设置主机设置 该菜单包含5个功能子项。主要用于刷新主机、按ip查找远程主机、扫描网络主机、修改主机名 和导入/导出主机列表等操作。 .1 刷新主机刷新主机 刷新系统记录的主机列表和各个被监控计算机各项监控记录的统计数，与系统监控的记录和记录内容无关。 当系统监控的主机和记录比较多时，请勿频繁使用该功能。 .2 按按ipip查找远程主机查找远程主机 .3 扫描网络主机扫描网络主机 使用该功能，可以方便使用者查找系统未 被记录的机器，并可以将其记录到主机列表中。 配合设置监控点功能实施对网内机器的监控设 置。查询监控机本机时无效。 第23页 .4 修改主机名称修改主机名称 .5 导入导入/ /导出主机列表导出主机列表 该功能是将系统记录的主机列表内容导出便于留存，或将以前导出的主机列表导入系统中。 该功能是为了便于系统使用者能够将当前 已联网但未进行互联网通信的计算机列入系统 的主机表列中开发的操作，或查找系统未被监 控的网内主机。请注意：采用该功能记录的主 机并不能表明能够被监控，只有监控机的侦听 点正确，并被设置为监控，才能对该被监控机 器实行监控。 系统自动记录的被监控机器是以ip 地址/mac地址形式显示的，为便于用户使 用和辨别各个主机使用者，可以将其命名 为简明的名字。命名的形式可以为：名字 /ip地址/mac地址，或名字、ip、mac等几 种组合方式。 第24页 2.32.3 数据管理数据管理 该菜单包含5个功能子项。主要用于记录查询、记录删除、当前记录导出、上网统计和历史数据 查看、web资料（邮件）关键字分析等操作。 .1 记录查询记录查询 .2 记录删除记录删除 用户使用该菜单功能或点击工具栏中的“记录查 询”按钮，可以非常灵活设置查询条件，并支持模 糊智能查询。如指定查记录类型、记录时间段、被 监控主机、监控ip地址等。如果查询条件设置为空， 表示查询全部记录全部记录。查询出的记录均在主界面上显 示，可以使用主界面上的数据导出数据导出，将查询数据导 出。 在查询条件中，web主页地址、标题和用户名栏中 系统具有模糊查询功能，即只要输入一个关键词即 可查询出相关记录。如web主页中输入sina可查找出 域名包含有sina的所有访问记录；在标题栏中输入 game，则可查询出记录的标题中包含有 game 词的 所有记录。 所有的查询都与记录的起止日期有关。要正确设 定查询的开始和结束日期。 第25页 在恢复备份数据时，建议先将现有的系统数据包括详细内容清空、删除，否则可能会导致系统的数据量过大或统 计数据错误。 .3 当前记录导出当前记录导出 将当前主界面显示的记录导出，包括使用查询功能显示的记录数据。 为便于客户对记录数据进行加工、制作报表，用户可以将显示于主界面的记录导出成excel、html、txt等格 式文件，应用其他工具灵活进行数据加工和报表制作。 导出的记录不包括对应记录的详细记录文件。 .4 上网统计上网统计 用户使用该菜单功能或点击工具栏中的 “记录删除”按钮，可以非常灵活设置删除条件， 如果删除条件设置为空，表示删除全部记录。使 用方法与查询记录相似，也具有模糊删除功能。 要特别注意起止日期的设定。 特别说明：特别说明：记录删除功能仅将系统数据库中 的对应记录实现了删除，该记录对应的详细内容 并未删除。若要删除记录的详细内容，请点击在 本窗口底部的两个选项，并注意提示。删除记录 详细内容的另一种方式，在本系统的安装目录下 log文件夹内各个对应记录类型文件夹内的内容， 用手工方式直接删除手工方式直接删除。 第26页 .5 历史数据历史数据 这里可以查看系统根据设置自动备份的历史数据记录。远程查看也具有同样功能。 如果要查看历史数据，点击“启动历史数据库查看器”即可。注意历史数据和当前数据的记录的详细日志都 保存在安装目录的log文件夹下面。 .6 webweb资料（邮件）关键字分析资料（邮件）关键字分析 可以按照时间、指定被监控微机获得 监控记录的数据统计，并可以导出数据 （execl、文本、html格式可选）便于保存 或形成所需要的报表，为管理者提供管理分 析基础信息。点击每栏表头可实现各个栏目 数据按升序或降序排列显示记录。 第27页 2.42.4 辅助工具辅助工具 该菜单包含7个功能子项。主要交换机环境监控、无线网络环境监控、用于现场观察、流量察看、数据库修复 以及磁盘存储空间和配置的网卡信息查看等操作。 .1 交换机环境监控交换机环境监控 本功能模块不是系统必须使用的。该功能适宜于客户使用非智能交换机连接各个计算机，而应用本监控系统不希 望在路由和交换机之间串接hub，并且内网的计算机数量少于30台的情况下使用。有关使用方法，请参阅2.1节中 安装方案（3）中的相关说明。 当开启交换机功能后，可以点击下图中“退出”按钮将该功能的监视窗口关闭，要停止使用本功能则要点击 “结束监控”按钮。 本功能提供系统所记录的“web资料 发送”和“web发送邮件”各个记录内 容，依据使用者设定的关键字进行分析 查询，更加方便使用者对记录信息资料 的快捷、准确查找。 第28页 使用本功能，须将监控机本机的防火墙关闭，否则该功能失效。该功能的使用会对网络的通信速度有一些影 响，并且不能使用本系统的封网功能。 可使用选项：自动开启交换机环境监控。在该选项打勾后点击保存配置，下次监控系统启动时生效。 .2 无线网络环境监控无线网络环境监控 本功能模块提供了对采用无线接入方式局域网进行互联网通信的监控，监控机本机直接与ap连接。实际应用 时应认真按照各窗口提示操作，并仔细阅读有关提示。 第29页 注意：网关一定要设置正确，被监控的各个计算机ip要处在同一个c段内，同时监控机的防火墙也须关闭，并且不 能使用本系统的封网功能。 .3 现场观察现场观察 本功能模块为监控系统使用者提供实时观察网内被监控计算机的实时上网通信情况和信息记录，方便管理者 实时观察监控网内计算机网络通信的内容和跟踪。 在实施现场观察时，不能查看监控系统所记录的有关记录详细信息。 第30页 也可以点击左边主机中任意一台指定主机进行现场实时观察网络通信情况。 .4 流量察看流量察看 本功能提供系统被监控微