网康日志中心 2.4 用户手册.doc

网康日志中心用户手册网康科技日志中心Data CenterVersion 2.4用户手册北京网康科技有限公司2012年3月关于本手册版权声明北京网康科技有限公司2012版权所有，保留一切权力。本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属北京网康科技有限公司（以下简称网康科技）所有，受到有关产权及版权法保护。未经网康科技书面许可不得擅自拷贝、传播、复制、泄露或复写本文档的全部或部分内容。信息更新本文档仅用于为最终用户提供信息，并且随时可由网康科技更改或撤回。免责条款根据适用法律的许可范围，网康科技按“原样”提供本文档而不承担任何形式的担保，包括（但不限于）任何隐含的适销性、特殊目的适用性或无侵害性。在任何情况下，网康科技都不会对最终用户或任何第三方因根据说明文档使用DC造成的任何直接或间接损失或损坏负责，即使网康科技明确得知这些损失或损坏，这些损坏包括（但不限于）利润损失、业务中断、信誉或数据丢失。阅读对象本文的读者对象为企业IT决策人员、网康日志中心的使用用户、网康科技的合作伙伴。术语说明 NS-ICG: 网康科技互联网控制网关（Internet Control Gateway）的英文缩写。代指网康科技提供的互联网控制网关产品。 NS-DC: 网康科技日志中心（Data Center）的英文缩写。 LDAP：轻量级目录访问协议（Lightweight Directory Access Protocol）的英文缩写。该协议定义了一种在客户机/服务器模型中本地或远程访问和更新目录（数据库）中的信息的标准方法。 NTLM：微软公司提出的一种身份验证协议。 Console：控制台或控制台终端。 Post：HTTP协议提供的一种方法，经常用于在网页中提交表单数据。 IM：即时通信（Instant Messenger）的英文缩写。 Streaming Media：流媒体应用。 P2P：全称叫做Peer-to-Peer，即对等互联网络技术，或简称点对点网络技术。P2P使得用户可以直接连接到其它用户的计算机，进行文件共享与交换。 Session：会话类应用，是互联网络应用的一种类型。 Online Games：网络游戏，是互联网络应用的一种类型。 P2Pstreaming： 网络电视。目 录关于本手册2目 录41. 简介71-1 公司简介71-2 系统简介82. 系统基本操作92-1 登录系统92-2 认识工作窗口102-3 配置日志中心112-4 申请授权132-5 找回密码132-6 退出系统143. 系统管理153-1 系统状态153-2 设备管理173-3 权限配置193-4 系统配置233-4-1 基本设置233-4-1-1 日志服务233-4-1-2 界面超时时间233-4-1-3 URL过滤243-4-2 系统设置243-4-2-1 代理配置243-4-2-2 邮件服务器253-4-2-3 报警配置253-4-3 备份恢复263-4-3-1 配置信息263-4-3-2 数据导出283-4-3-3 数据导入293-4-3-4 归档303-4-4 授权与更新313-4-4-1 产品授权信息313-4-4-2 升级授权信息333-5 操作日志343-6 系统日志354. 上网行为日志分析374-1 监控374-1-1 网络活动374-1-2 活跃用户404-1-3 流量监控464-2 查询474-2-1 全文检索474-2-2 用户查询494-2-3 应用流量514-2-4 网站访问534-2-5 搜索引擎554-2-6 邮件收发574-2-7 在线聊天604-2-8 论坛发帖624-2-9 上线历史694-2-10 应用明细704-2-11 上网时长724-2-12 FTP审计754-2-13 TELNET审计764-2-14 HTTPS审计784-2-15 文件审计794-3 统计824-3-1 统计条件834-3-2 统计结果844-4 报告884-4-1 报告订阅中心884-4-2 历史报告管理914-4-3 用户活动摘要934-4-4 用户行为统计944-4-5 带宽资源使用974-4-6 上网时长统计985. 智能流量分析1005-1 监控1005-1-1 网络活动1005-1-2 流量监控1045-1-3 负载均衡1055-1-4 活跃用户1095-1-5 通道监控1155-1-6 连接监控1245-1-7 应用质量检测1255-2 查询1275-2-1 应用流量1275-3 统计1335-3-1 应用流量1345-3-2 用户流量1385-3-3 通道流量1395-3-4 应用引流1405-4 报告1425-4-1 流速趋势1425-4-2 流量对比1445-4-3 应用排名1465-4-4 用户排名1505-4-5 通道排名1505-4-6 报告订阅1515-5 常用报告1535-6 报警配置1555-6-1 报警对象配置1555-6-2 通道报警配置1576. 日志分析范围1597. 附录1607-1 系统支持的网络应用1607-2 URL数据库分类表1601. 简介对公司及本系统进行简单介绍。1-1 公司简介网康科技有限公司（NetentSec,Inc.）成立于2004年，专注于研发、生产和销售互联网控制网关等系列产品及相关服务，网康科技在网络应用层内容识别与管理技术领域保持着领先的核心竞争力，是中国上网行为管理理念的缔造者，是互联网行为管理行业的领导品牌。产品与技术网康科技拥有雄厚的技术研发实力，多项自主知识产权和发明专利使网康科技成为世界最具技术创新和服务精神的企业之一。承担国家科技部、工信部、北京市科委的多项科研基金项目。网康科技拥有全球领先的“互联网内容研究实验室”，有国内先进的网络应用层产品测试中心。超过100台的云分析设备覆盖全国各省份，组成了中国最大的网页分析云平台。网康科技拥有全球最大的中文网页分类库，可识别2000万条URL，中文网页识别率达到99%。此外，网康科技拥有中国最大的流行应用协议库，可识别600多种网络应用协议，创新XAI特征技术，对加密的应用实现跨包、跨链接、跨应用的第三代应用识别技术，领跑流行应用协议识别。网康科技引领应用层商业智能分析技术，可提供100余种用户互联网行为分析报告。客户与服务网康科技拥有全球超过8000家用户，高端客户覆盖率广。在中国，网康科技的客户遍及政府、金融、能源、运营商、教育、制造等各行业，是众多世界500强、中国500强企业信赖的互联网应用层设备提供商。网康科技拥有完善的销售与服务网络，网康科技有限公司总部位于北京，在全国建立了以京津冀、华北、华东、华南、华中、东北、西北、西南等八大技术支持中心，29家直属办事处，在北美、日本、东南亚等地均有合作伙伴，可为广大用户提供专业、高效、快捷的服务。全国统一咨询服务热线：400-678-3600北京网康科技有限公司电话真址：北京市海淀区中关村东路66号，世纪科贸大厦A座3层 邮编：100190网址： 电子信箱： （市场部）， （服务部）1-2 系统简介日志中心主要有四大功能模块：系统管理系统管理模块主要提供查看日志中心系统的基本信息、添加或删除下属ICG/ITM设备、日志中心系统的各种权限配置、系统配置等，并可以查看日志中心系统的工作运行情况。上网行为日志分析上网行为日志分析模块主要提供对通过“系统管理”模块添加的ICG设备的监控、审计数据的监控、查询、统计和报告功能。智能流量分析智能流量分析模块主要提供对通过“系统管理”模块添加的ITM设备的查询、统计和报告功能。日志分析范围日志分析范围模块主要提供对通过“系统管理”模块添加的ICG/ITM设备的选择功能。只有首先指定了相关设备，在“上网行为日志分析”模块就会有该指定设备相关的监控、审计等数据，否则将显示为空。2. 系统基本操作2-1 登录系统安装并配置好日志中心后，就可以登录使用日志中心了。在IE浏览器的地址栏输入“https:/NS-DC日志中心的IP地址” （例如：00）后，进入登录提示页面（以IE为例，其他浏览器会有所不同）：图 21 登录提示页面请点击“继续浏览此网站（不推荐）”，即可打开NS-DC的登录界面，如下图所示：图 22登录输入正确的用户名和密码后，点击“登录”按钮即可进入管理界面。系统默认的管理员帐号是ns25000，密码是ns25000。提示：1.登录成功后请及时修改管理员的密码。2.及时配置邮件服务器，设置正确的邮箱地址以便在忘记密码时找回密码。3.如果累积五次输入用户名和密码错误，该 IP的用户15分钟内将不允许登录日志中心。2-2 认识工作窗口本节将介绍日志中心的页面构成。如下图所示：图 23认识工作窗口主模块日志中心主要分为四大模块，即系统管理、上网行为日志分析、智能流量分析和日志分析范围。子模块选择了主模块后，可以从子模块中继续选择查看详细内容。详细画面各子模块的详细显示页面。2-3 配置日志中心日志中心软件安装完毕后需要在两个地方进行配置才可以正常使用。首先是在NS-ICG或NS-ITM中进行配置，即建立设备端与日志中心的连接通道。其次是在日志中心中添加设备。配置完这两项后日志中心就可以正常运行了。NS-ICG端点击ICG的【系统管理】【日志中心】，进入如下图所示页面：图 24 日志中心勾选“启用日志中心”，配置日志中心IP地址，点击“确定”按钮即可。关于历史日志上传功能请参考【网康科技互联网控制网关用户手册】。NS-ITM端点击ITM的【系统管理】【日志中心】，进入如下图所示页面：图 25 日志中心勾选“启用日志中心”，配置日志中心IP地址，点击“确定”按钮即可。关于历史日志上传功能请参考【网康科技智能流量管理系统用户手册】。日志中心端第1步：点击日志中心的【系统管理】【设备管理】进入如下图所示页面：图 26设备管理第2步：点击“添加设备”按钮，弹出如下图所示窗口：图 27 添加设备第3步：根据设备的属性进行相关配置后，点击“确定”按钮。日志中心就会和设备尝试连接，如果配置正确、且网络畅通，就会成功连接。在NS-ICG或NS-ITM中新产生的日志就会记录在日志中心中。2-4 申请授权如果想正常使用日志中心，请先申请产品授权信息，否则您讲无权使用各种功能。关于如何申请授权，请参考【3-4-4 授权与更新】章节。2-5 找回密码如果忘记密码，请点击登录页面上的“忘记密码”链接，这时将会出现重置密码页面，如下图所示。输入您在注册该用户时设定的用户名及邮箱地址，并点击“提交”按钮后，系统将把该用户的密码发送到设定的Email邮箱中。图 28找回密码提示：请提前配置正确的邮件服务器，否则将无法接收到找回密码邮件。 2-6 退出系统在系统提供的Web方式的管理界面中的最右上角，提供了“退出”图标，点击并确认后即可成功退出系统，如下图：图 29 退出按钮提示：退出Web管理界面时建议点击“退出”按钮进行正常退出。3. 系统管理系统管理章节主要用于日志中心系统、旗下所管理设备、系统配置、故障辅助分析和诊断。系统管理包含如下图所示：图 31 系统管理系统状态显示当前系统资源、产品授权信息、旗下指定设备的日志分析范围、及系统时间等信息。设备管理为日志中心添加、管理旗下互联网控制网关或智能流量管理设备。权限配置配置日志中心的管理账户。系统配置配置日志中心的主要参数，如日志服务、邮件服务器、备份恢复、授权信息等。操作日志显示与日志中心相关的操作日志。系统日志显示与日志中心相关的报警日志。3-1 系统状态系统状态集中显示了系统运行状况信息，通过查看系统状态页面，管理员可以迅速了解到日志中心的运行状况。通过系统状态还可以了解到产品授权信息、所连接设备的日志分析范围和系统时间等信息。系统状态界面包括三个小模块，如下图所示：图 32 系统状态基本信息显示日志中心的设备资源占用情况、日志中心的系统版本、产品授权等相关信息。日志分析范围从大模块“日志分析范围”中指定设备后，点击“系统状态”，此处将显示该指定设备的相关信息，如设备类型、名称、同步时间等。系统时间显示系统当前时间、上次开机时间以及系统持续运行时间。以下是详细介绍：基本信息：图 33系统状态-基本信息 系统资源：显示日志中心的硬件运行信息。如CPU负载、内存、硬盘空间使用情况等； 其他信息：显示日志中心版本和引擎状态； 产品授权信息：显示日志中心产品详细授权信息，如授权序列号、授权级别、授权数据库类型、授权序列号、产品型号等。日志分析范围：从大模块“日志分析范围”中指定设备后，点击“系统状态”，此处将显示该指定设备的相关信息，如设备类型、名称、同步时间等。图 34系统状态-基本信息 设备类型：显示设备的类型，如互联网控制网关、或智能流量管理系统等。 设备名称：显示设备的名称。和【系统管理】【设备管理】中的设备名称相一致。 最后同步时间：指定设备最后一次和日志中心的日志同步时间。 最后成功同步时间：指定设备最后一次成功和日志中心的日志同步时间。系统时间：显示系统当前时间、上次开机时间和上次开机到当前的设备持续运行时间，如下图：图 35 系统状态-系统时间3-2 设备管理设备管理界面用于为日志中心添加、管理ICG/ITM设备并可对下属设备进行远程控制。提示：在执行本章节的操作之前，要求ICG/ITM设备已经安装并授权、配置完毕。下面以添加一台设备为例详细介绍操作方法：第1步：请访问互联网控制网关的【系统管理】【日志中心】中并输入日志中心的IP地址，并启用日志中心。第2步：点击日志中心的【系统管理】【设备管理】进入如下图所示页面：图 36设备管理 添加设备：添加与安装并授权、配置完毕的ICG/ITM设备之间的连接，从而能够监控、查询该设备的日志。 编辑属性：选择一台设备后，可以点击该按钮编辑所选设备的名称和描述。 删除设备：选择一台设备后，可以点击该按钮删除所选设备。但请注意，一旦删除设备后，将同时删除该设备的所有日志数据。 允许接入：选择一台设备后，可以点击该按钮允许该设备接入日志中心。在“管理状态”列可以查看设备的是否允许接入的状态。 禁止接入：选择一台设备后，可以点击该按钮禁止该设备接入日志中心。在“管理状态”列可以查看设备的是否允许接入的状态第3步：点击“添加设备”按钮，弹出如下图所示窗口：图 37 添加设备 给设备命名（必填项）：为所要添加的设备命名。 选择设备类型（必选项）：请选择所要添加的设备类型，ICG或ITM。 输入设备序列号（必填项）：请至相关的设备系统中查询其序列号，并输入。ICG/ITM的序列号在【系统管理】【系统状态】页面。 给设备添加描述：为了便于识别设备，可以为设备增加一些描述。第4步：配置完毕后，点击“确定”按钮，所添加的设备将显示在列表中。远程控制：在DC端可对下属设备进行远程控制，在设备管理列表中点击某设备的“远程控制”链接，浏览器在新标签页中打开该设备的系统登录界面，输入正确的用户名和密码后进入设备管理界面，即可对设备进行远程控制。图 38 远程控制3-3 权限配置权限配置模块用于配置日志中心的系统操作人员。日志中心内置了三种不同权限的系统操作人员。即：超级管理员、管理员和审计员。系统默认情况下已经创建了超级管理员，即ns25000。通过【系统管理】【权限配置】进入如下图所示页面：图 39 权限配置默认界面 添加：点击“添加”按钮，添加管理员或审计员 LDAP设置：设置LDAP服务器。下面以添加管理员为例，详细介绍操作方法：第1步：点击“添加”按钮，进入如下图所示页面：图 310 增加系统管理员 登录名：用于登录日志中心管理界面时使用。 类型描述：可以增加对管理员的描述信息； 用户姓名：管理员的姓名； 电子邮件：该管理员的电子邮件，用于邮件通知，如在丢失密码时需要通过邮件方式找回时使用。请正确配置该项； 用户组： 超级管理员：系统默认已经建立了ns25000用户，拥有最高权限，无法删除，可以使用全部功能。 管理员：- 由超级管理员建立账号、分配权限。- 最多可以拥有“系统管理”模块（除了“用户管理”）的管理权限。可以创建审计员账号，并为其分配权限和可管控的用户组和用户。 审计员：- 由超级管理员或管理员建立账号、分配权限、分配可管控的用户组和用户。- 最多可以拥有【上网行为日志分析】模块的管理权限。 通过LDAP服务器验证：勾选此项，则通过LDAP服务器进行用户验证。LDAP设置请参考本节后续介绍。 输入密码/确认密码：为分配的用户设置密码。提示：管理员和审计员之间不存在上下级关系。第2步：填写并确定所创建的用户的权限级别后，点击“确定”按钮，添加成功。如下图所示：图 311 管理员列表 权限列表：点击“设置权限”链接，在弹出的权限分配窗口中为管理员或审计员分配权限。 管控用户范围：点击“设置管控用户”，在弹出的选择用户窗口中为管理员或审计员分配可以管理的用户组或用户。 管控设备：点击“设置管控设备”，在弹出的窗口中为管理员或审计员分配可以管理的设备。 删除：点击该链接，删除对应的管理员或审计员。提示：1. ns25000是系统内建的管理员帐号，不可以被删除。2. 在新建管理员时，密码不允许为空；在更新用户时，如果密码项为空，系统会保留用户原有密码。3.登录成功后请及时修改管理员的密码。4.请及时配置邮件服务器，设置正确的邮箱地址以便在忘记密码时找回密码。5. 如果累积五次输入用户名和密码错误，该 IP的用户15分钟内将不允许登录日志中心。 下面介绍LDAP设置,在权限设置主界面，点击“LDAP设置”，进入如下页面：图 312 LDAP设置 服务器IP：填写LDAP服务器IP地址，必填。 服务器端口：LDAP服务器端口，默认389 账号全路径：LDAP服务器管理员帐号在LDAP服务器中的全路径。例如LDAP服务器中，管理员administrator所管辖域为eng.qa2000，并且该帐号保存在users组中，则管理员全路径就应填写为：cn=administrator,cn=users,dc=eng,dc=qa2000。在ADLDAP服务器中，也支持administratoreng.qa2000的写法。 入口（BaseDN）：确定导入用户数据的导入点，由域名和用户组名组成。格式为： ou= 2级用户组，ou=1级用户组，dc=N级域名，dc=2级域名，dc=1级域名。例如：LDAP服务器所管辖域eng.qa2000的1级用户组为“netentsec”，（即 eng.qa2000 netentsec），如果您想将“netentsec”下的所有组及用户都导入NS-DC组织管理中的根目录。需要填导入入口为：ou= netentsec,dc=eng,dc=qa2000。（若想导入域eng.qa2000下面的所用户组和用户的数据，则填写导入入口为：dc= eng,dc= qa2000）； 用户属性（可选）：用户的属性，如：cn、uid，当填写过滤条件时，该参数无效； 过滤条件：如果用户数据存在多个组中时，需要填写该参数，以保证入口下的所有用户都能够正确认证，格式为“用户属性=%s”；- AD域的LDAP服务器默认填为：sAMAccountName=%s- sun的LDAP服务器默认填为：uid=%s- novell edirectory的LDAP服务器默认填为：uid=%s- openldap的LDAP服务器默认填为：cn=%s提示：用户属性可以不填写。如果填写，请和过滤条件保持一致，并去掉%s。例如：用户属性中填写sAMAccountName，则过滤条件中必须填写为sAMAccountName=%s。 账号密码/确认密码：LDAP服务器管理员帐号的密码； 采用TLS：连接LDAP服务器时是否需要采用TLS加密方式，由服务器配置决定是否需要； LDAP版本：选择所使用的LDAP的版本，如版本2、版本3； 保存：配置完毕后，点击按钮，保存所作配置。 测试：点击“测试”按钮，检查服务器配置是否正确，是否能和服务器正常连接。LDAP测试窗口如下图 313 LDAP测试- 测试：输入用户名和原密码后点击该按钮，可以验证LDAP认证服务器的配置及用户名密码是否正确；3-4 系统配置系统配置包含基本设置、系统设置、备份恢复、授权与更新四个大类，每个大类下又包含若干小类，其中，基本设置和系统设置需要用户在首次使用的时候优先进行配置。3-4-1 基本设置3-4-1-1 日志服务用于启动或停止日志引擎。只有引擎启动后，日志中心的各项服务才能正常进行，如查询、统计各设备的日志信息等。方法是点击“日志服务”的链接后，会弹出如下图所示页面，根据需要点击“开启”或“关闭”即可。图 314 日志服务提示：关闭日志引擎后，ICG与日志中心的连接将被断开，在【系统管理】【设备管理】的“当前状态”中显示为“等待认证：日志服务未开启”。3-4-1-2 界面超时时间设置登录管理界面后一段时间内，如果该管理员的未活动时间超过所设置的时间，则浏览器自动退出日志中心的WEB管理界面。如果管理员想继续访问，需要重新登录。方法是在【系统管理】【系统配置】中点击“界面超时时间”的链接后，会弹出如下图所示页面，根据需要设置相应的时间后，点击“确定”按钮即可。图 315 界面超时时间3-4-1-3 URL过滤开启或关闭网站访问排名信息中对非网页浏览内容（如图片、广告、脚本等）的统计功能。默认关闭URL过滤功能。图 316 URL过滤3-4-2 系统设置3-4-2-1 代理配置本功能用于提供测试代理服务器是否可用，以及在代理情况下升级日志中心系统的功能。方法如下：第1步：在【系统管理】【系统配置】中点击“代理配置”链接，进入如下图所示页面：图 317 升级代理配置 启用代理配置：开启代理配置，只有选择该项，以下的各项方可使用； 代理类型：支持HTTP和SOCKS5两种代理方式。在HTTP代理模式下支持无认证、BASIC认证、NTLM认证。SOCKS5代理模式下不支持认证。代理服务器地址和代理服务器端口是必填项； 测试：该按钮用于测试代理服务器是否正常工作或连接。第2步：输入相关信息后点击“确定”按钮即可。3-4-2-2 邮件服务器正确配置邮件服务器，是确保日志中心邮件通知功能可以正确运行。例如：忘记登录密码时需要发送邮件取回密码等都需要首先正确的配置邮件服务器。方法是：第1步：在【系统管理】【系统设置】中点击“邮件服务器”链接进入如下图所示页面：图 318 系统设置-邮件服务器 发件人信息：发送信件时使用的电子邮件地址，即发件人。该信息可以任意填写。 服务器信息：输入邮件服务器的域名或IP地址，以及端口号。端口号默认为25。 登陆信息： 要求使用密码验证进行登陆：如果smtp服务器需要用户认证时就勾选该项； 邮箱帐号：正确的邮箱帐号，用于用户认证，不需要认证时可以不填。 密码：对应上面帐号的密码第2步：设置并保存后，可以发送测试邮件来测试是否正确配置了邮件服务器、邮件服务器是否能正常工作。收信地址中，填写正确的邮件地址，之后点击“测试邮件设置”按钮，系统将发送测试邮件到填写的邮箱。提示：配置密码认证后日志中心可以向与“服务器信息”中所填写的不同的邮件服务器发送邮件，否则不可以。3-4-2-3 报警配置为了便于管理员及时了解DC系统运行状态，DC支持对磁盘、数据库、系统服务、日志引擎等的自动监控，当以上状态发生异常时触发报警，并以邮件形式通知管理员，以便管理员做出应急处理。同时可在系统日志中查看报警信息，下面详细介绍：第1步，通过【系统管理】-【系统配置】-【报警设置】进入如下图所示页面：图 319 系统监控报警设置 开启报警：勾选则开启系统状态监控的报警功能； 报警级别：设置报警邮件的发送级别，有一/二/三级，一级为最高级，严重程度为最高，设置为一级，则只发送一级报警信息，若设置为二级，则发送一级和二级报警信息，若设置为三级，则一、二、三级报警信息全部发送。 邮箱地址：必填项，输入报警邮件的目的邮箱地址，多个地址以半角“;”分隔。提示：1、开启报警后，可在“系统日志”页面查看系统状态监控的报警信息。2、若发送报警邮件，请先设置邮件服务器，详情参考【3-4-2-2 邮件服务器】。3-4-3 备份恢复3-4-3-1 配置信息（一）备份备份系统的配置信息，包括【系统管理】中的【设备管理】和【权限配置】信息。详细方法是：第1步：在【系统管理】【系统配置】中点击标签页【备份恢复】的“配置信息”，进入如下图所示页面：图 320默认界面第2步：点击“备份”，并选择备份文件存储方式： 存储在系统中：将备份文件存在日志中心系统中上。选择“存储在系统中”后，并在下方的“备份说明”中添加说明，点击“确定”按钮，配置信息将被存储在系统中，并在恢复数据下方以列表形式显示，包含备份时间、备份版本、备份说明。点击“恢复”后，可以删除指定的备份。 下载：将备份文件保存到指定位置。选择“下载”后，并在下方的“备份说明”中添加说明，点击“确定”按钮，将弹出指定保存位置窗口，指定位置后，即可将配置信息下载到本地指定位置。（二）恢复恢复系统的配置信息，包括【系统管理】中的【设备管理】和【权限配置】信息。详细方法是：第1步：在【系统管理】【系统配置】中点击标签页【备份恢复】的“恢复”，如下图：图 321恢复 上传：将本地保存的配置信息上传至系统中，直接使用这些配置信息。点击“上传”并通过“浏览”找到本地保存的配置信息，点击“确认”按钮即可。 使用存储在系统中的备份文件：选择已保存在系统的备份文件，点击“确定”按钮即可将保存在系统中的备份文件中的配置信息。提示：为了避免不同版本备份文件的兼容性问题，仅支持对同一版本和补丁备份出的文件进行恢复。3-4-3-2 数据导出通过USB存储设备导出指定设备中对指定应用的监控数据。详细方法如下：第1步：把USB存储设备连接到日志中心的USB端口上。第2步：点击【系统管理】【系统配置】中的“数据导出”链接，进入如下图所示页面：图 322数据导出 备份目标：显示USB存储设备的详细信息，如果有多个分区，则显示多条信息。 设备：请点击“设置”按钮选择要导出的是哪台设备的数据。 应用：请点击“设置”按钮选择要导出的是何种应用的数据。 时间：请选择或输入所要查询的是哪段时间的数据。 “查询”按钮：配置好以上几种条件后，点击该按钮，将进行查询。 查询结果：点击“查询”按钮，将在此处显示查询结果。 导出列表：在“查询结果”中点击某项查询结果后，点击“=”按钮，在导出列表中显示了要导出的查询结果第3步：在“备份目标”中选择分区。第4步：设置“设备”、“应用”、“时间”条件。这些条件都是必选条件。配置完毕后，点击“查询”按钮。第5步：在“查询结果”中将显示对应的结果，查询结果按照设备、应用、天为单位显示。提示：选择某一条数据后可以点击“删除”按钮，删除对应的数据。但该删除并不是永久删除，只是为了方便查看，从查询结果中删除不需要显示的数据而已。第6步：从查询结果中选择需要导出的数据，点击“=”按钮，该查询结果将显示右边的“导出列表”中。第7步：点击“导出”按钮，即可将“导出列表”中的数据导出到外接存储设备的指定分区中。3-4-3-3 数据导入从外接USB存储设备将数据导入到日志中心系统中。操作方法如下：第1步：把USB存储设备连接到日志中心的USB端口上。第2步：点击【系统管理】【系统配置】中的“数据导入”链接，进入如下图所示页面：图 323 数据导入 导入源：显示USB存储设备的详细信息，如果有多个分区，则显示多条信息。 查询结果：选择导入源后，显示该存储设备中的可导入数据。 导出列表：在“查询结果”中点击某项查询结果后，点击“=”按钮，即选择了要导入的数据。第3步：在“导入源”中选择分区。第4步：在“查询结果”中选择要导入的数据后，点击“=”按钮，该查询结果将显示在右边的“导出列表”中。提示：选择某一条数据后可以点击“删除”按钮，删除对应的数据。但该删除并不是永久删除，只是为了方便查看，从查询结果中删除不需要显示的数据而已。第5步：点击“导入”按钮，即可将外接存储设备中的“导入列表”中的数据导入到日志中心系统，并根据所导入的数据的属性自动选择导入路径。例如导入的是“网站访问”，则自动导入到【上网行为日志分析】【网站访问】中，如果有相同的日期的数据，将被导入的数据所覆盖。3-4-3-4 归档设置历史数据保留的最大期限。在【系统管理】【系统配置】中点击“归档”链接，进入如下图所示页面：图 324 归档提示：1.历史归档数据不包括当天的数据，当天的数据在其后的第二天凌晨5点进行归档。2.当系统中保存的历史数据的天数超过设置值时，最老的数据会被自动删除。3. 默认的保留天数为30天，且用户输入的天数必须大于等于10天、小于等于3650天。3-4-4 授权与更新3-4-4-1 产品授权信息系统在运行时会自动检测产品授权信息。如果没有检测到产品授权信息、或者发现授权信息已经过期，则不会加载协议分析模块，导致所有的数据包都不会被识别，直接导致策略无法正常使用。因此，请确保您的产品授权有效。操作方法如下：第1步：在【系统管理】【系统配置】中点击“产品授权信息”链接，进入如下图所示页面：图 325 产品授权信息第2步：点击“获取硬件信息”，弹出文件下载窗口，保存该“request_license”文件，并将其发送给网康客户服务人员。网康据此生成产品授权信息并发送给您。第3步：收到产品授权信息后，需要将其上传到日志中心中。如上图所示，有两种方法：上传或直接粘贴。（一）上传产品授权信息点击“浏览”按钮，找到产品授权信息后，点击“立即更新”按钮，确认提示信息后，上传成功。根据产品授权的权限分为试用授权和正式授权，界面基本相同。不同在于试用授权限制了有效期，正式授权有效期是永久有效。如下图所示：图 326 产品授权信息-正式授权（二）直接粘贴用记事本打开收到的产品授权信息后复制内容。界面中选择“方式二”，并粘贴至文本框中，点击“立即更新”按钮确认提示信息即可完成上传。提示：1. 两种上传方式效果相同；2. 请务必确保所上传的授权信息的真实性。不要进行私自修改，一切改动都会导致认证失败。3-4-4-2 升级授权信息日志中心提供网站数据库在线更新功能和软件补丁更新功能，使日志中心访问控制的功能获得实时增强。但只有经过授权，并正确设置后，日志中心才有可能启动数据库自动更新功能，以及提供软件补丁升级功能。方法是：第1步：在【系统管理】【系统配置】中点击“升级授权信息”链接，进入如下图所示页面：图 327 升级授权信息第2步：更新授权。方法有两种：即上传或者直接粘贴。详细请参考上一节。提示：请务必保证上传授权的真实性。不要进行私自修改,一切改动都会认证失败。3-5 操作日志操作日志功能为网康技术支持人员所用，主要用于跟踪系统运行状态、查看策略变更情况、查看系统的操作行为等。通过【系统管理】【操作日志】进入如下图所示页面：图 328 系统操作日志 时段：设置过滤时间段； 从中：设置过滤对象，可以指定过滤是从用户列还是描述列； 查找：设置查找关键字； ：搜索按钮。 导出：点击该按钮可以将当前页面的所有日志都导出到excel格式的文件中。设置好相关查找条件后，点击搜索按钮即可。如果日志数量比较多，点击画面下方的按钮可以进行翻页，点击按钮，可以刷新当前画面。3-6 系统日志系统报警日志是对本机系统运行状况及下属ITM的通道运行状况进行检测并在页面报警。通过【系统管理】【系统日志】进入如下图所示页面：图 329 系统报警日志系统会自动对本机的网络情况、引擎情况、系统负载等服务进行检测，并在本页面记录相关的报警信息，如果在【智能流量分析】-【报警配置】模块对下属各ITM设备建立了报警对象并设置了通道报警，则在系统日志页面可以查看到下属各ITM设备的报警日志并可以输入关键字从描述中查找需要的报警信息。系统报警日志分为三级报警，即红色1级、橙色2级和蓝色3级。1级是最高级别报警。当系统某服务的状态检测超过符合系统内设的错误参数级别时，显示相应级别的报警信息，同时会在短时间内进行4次检测，并产生相应的报警信息。如果在下次检测时该服务状态依然不正常的情况下，将不再进行报警。当系统某服务的状态在最近的一次检测中，某服务恢复正常，会产生提示该服务正常运行的信息，图标为绿色“ok”。可以设置查询日期或关键字后点击按钮从描述中快速查找。提示：大多数的服务的检测时间为5分钟（如数据库、系统服务、日志引擎等，磁盘检测间隔为1小时），这样能够更快的发现系统服务的错误。如果检测到错误会继续检测，当错误4次后，不再进行相同的检测（除非正确）。4. 上网行为日志分析写在前面：1. 请注意，在查看本模块的内容之前，请首先在【系统管理】【设备管理】中增加ICG设备，并在【日志分析范围】中指定ICG设备，然后再点击查看本模块。否则本模块数据将显示为空。2. 如果在【日志分析范围】中已经指定设备，而【上网行为日志分析】中仍然没有ICG实时数据，请到【系统管理】【设备管理】中检查“当前状态”是否为“认证通过：数据传输中”，如果不是，请检查ICG设备与日志中心的连接。3. 如果以上两个问题都已检查，但【上网行为日志分析】【监控】中仍然没有数据，请确认ICG与日志中心的时间是否保持一致。4-1 监控4-1-1 网络活动网络活动页面使用图表方式集中显示当前用户网络活动、网络应用的使用情况、以及带宽资源使用的概况，使得管理员可以方便的掌握所管理用户的网络活动状况，如下图所示：图 41 网络活动以下是详细介绍：（一）本日用户计数：本日统计处主要显示系统网络活动的一些管理员比较关心的统计信息，如下图：图 42 网络活动-本日统计 5分钟内活跃用户：显示指定设备最近5分钟内有网络流量的内网用户数量。关于活跃用户的详细信息请进入【监控】【活跃用户】中查看。（二）本日应用排名以饼状图默认显示当日流量前五位的网络应用排名，每种应用使用不同的颜色表示，并注明了应用的名称，如下图：图 43 网络活动-本日应用排名 图形说明：以饼状图显示当日流量排名前若干位的应用。右边说明了不同的颜色所代表的应用。 右上角按钮：点击该按钮，可以在弹出的窗口中配置页面刷新间隔、以及显示的应用数。 右上角按钮：点击该按钮，可以立即刷新该页面。（三）本日活跃用户默认显示当日流量最大的前10位用户排名，如下图：图 44 网络活动-本日活跃用户 用户：显示用户的组织关系及其用户名。 排名数量：从画面下方参数设置部分，可以手动设置显示本日活跃用户的排名数量，如10个、20个或50个。默认显示排名前10个活跃用户。 右上角按钮：点击该按钮，可以在弹出的窗口中配置页面刷新间隔、以及显示的用户数。 右上角按钮：点击该按钮，可以立即刷新该页面。（四）本日活跃站点显示当日访问次数最多的站点排名，表格各列分别为排名、域名、站点URL分类和请求数，如下图：图 45 网络活动-本日活跃站点 右上角按钮：点击该按钮，可以在弹出的窗口中配置页面刷新间隔、以及显示的用户数。 右上角按钮：点击该按钮，可以立即刷新该页面。提示： 其中域名该列指的是完整的站点域名，如，，虽然都是的子域名，但是在此处为不同的域名。4-1-2 活跃用户活跃用户界面用来显示当前内网用户中有网络流量的用户及其相关信息。当活跃用户较多时，可以设置过滤条件迅速定位。活跃用户界面如下图：图 46 活跃用户监控结果 监控结果显示系统所有有网络流量的用户及详细信息。 设置过滤条件设置过滤条件从监控结果中进行过滤，方便迅速查看到所想查询的结果； 翻页及显示翻页，并设置监控结果的页面显示属性等。以下是详细介绍：监控结果刚进入活跃用户界面时，此时系统采用的是“默认过滤条件”。该条件是系统内建条件，默认选择所有用户，且不可以被更改和删除。如果设置了过滤条件，则对应显示该过滤条件的名称。以下是监控结果的各项详细说明： 时间：在监控时间段内有流量的用户使用网络的起始时间和结束时间； 用户：显示用户的组织关系。如果在组织管理中没有事先建立其组织关系，则显示其对应的IP地址。 IP：显示用户的IP地址信息； 上传流量：以KB为单位显示用户在监控时间段内的上传流量； 下载流量：以KB为单位显示用户在监控时间段内的下载流量； 流量（KB）：以KB为单位显示用户在监控时间段内的上传和下载流量之和；设置过滤条件配置过滤条件从监控结果中快速查找到相关监控结果。下面是详细介绍：图 47默认过滤条件 选择操作： 设置过滤条件：新建一条过滤条件。 保存过滤条件：保存过滤条件。 清空过滤条件：清空当前正在使用的过滤条件，并显示当天的所有监控结果。 编辑过滤条件：编辑或删除已保存的过滤条件。 选择已有过滤条件：点击该选项右边的三角按钮，显示所有已经保存的过滤条件。选择某个过滤条件后，监控结果将根据所选择的过滤条件显示对应的监控结果。（一）创建过滤条件详细操作方法如下：第1步：点击“选择操作”下方的“设置过滤条件”，进入下图：图 48 活跃用户监控条件 用户设置： 选择用户：从组织结构中选择某用户并将其作为过滤条件； 时间范围设置：可以设置最近5分钟以内、10分钟以内、30分钟以内、60分钟以内作为过滤条件，显示对应时间段内有流量的用户。 开始监控：配置好过滤条件后，点击该按钮会关闭当前窗口，并依据所设置的条件从所有监控结果中进行过滤并显示过滤结果； 清空：清空已经设置的过滤条件，恢复为默认过滤条件。 取消：取消所做的设置，并关闭当前窗口。第2步：点击用户设置中的“选择”按钮，进入下图：图 49选择用户 用户组织结构：从组织结构中选择过滤对象。 选择用户：方法有如下几种： 鼠标单击：在左部组织结构中点击选择用户或用户组。已选的用户或用户组会在页面右部以列表方式显示，方便用户查看。 搜索框：在页面右上角的搜索框中输入用户名或登录名进行搜索。支持正则表达式。有关正则表达式请参考附录。 IP选择用户：如果需要添加不包含在用户组织结构中的IP，可以在右下方中输入需要添加的IP地址。 取消选择用户：单击已选的用户(组)或使用CTRL、SHIFT组合键多选用户(组)，并点击“取消选择”按钮，可以取消选择选中的用户(组)。第3步：选择用户后，点击“确定”按钮，关闭当前窗口并返回到过滤条件设置页面。此时用户已经选择完毕，“选择”按钮已经更新为“重新选择”，点击该按钮可以重新选择用户。点击“开始监控”，则新建了一条过滤条件。界面显示为“未保存的过滤条件”。（二）保存过滤条件如果经常使用某些过滤条件，日志中心支持将这些过滤条件保存下来，方便再次使用。如果设置了过滤条件并进行监控后，如上所述，界面会显示为“未保存的过滤条件”。从“选择操作”中选择并点击“保存过滤条件”，弹出如下图所示窗口：图 410保存过滤条件填写过滤条件名后点击“确定”按钮，即可保存该过滤条件。（三）编辑或删除过滤条件对已保存的过滤条件可以对其编辑或删除。方法是从“选择操作”中选择并点击“编辑过滤条件”，弹出如下图所示窗口：图 411编辑过滤条件 如果需要编辑某过滤条件，直接点击其链接进入编辑界面进行更改并保存即可； 如果需要删除某过滤条件，选择该过滤条件后点击右上角的“删除”按钮，并确认提示信息