深信服行为管理操作文档-11.0-最新版本.ppt

数据中心 数据中心介绍 外置数据中心安装 SANGFORAC SG 外置数据中心使用 数据中心介绍 数据中心介绍 数据中心用于存储用户产生的网络行为日志 通过数据中心 可以查询用户任意时间的日志 或通过日志定位具体的责任人 另外 数据中心还有强大的报表分析功能 通过报表能够分析网络及人员整体情况 为网络和人员优化调整提供依据 数据中心分为内置数据中心和外置数据中心 内置数据中心每种型号设备默认自带 外置数据中心需要安装在windows服务器上 数据中心介绍 数据中心介绍 数据中心介绍 什么场景需要使用外置数据中心 内置数据中心和外置数据中心功能相当 当有三种需求时 推荐使用外置数据中心 1 客户需要长期保存日志时推荐使用外置数据中心 因为内置中心磁盘容量有限 无法长期保存日志 2 外置数据中心有附件内容索引功能 内置数据中心没有 当有此需求时推荐使用外置数据中心 数据中心介绍 3 当内置数据中心日志量很大时 此时可能影响设备性能 建议使用外置数据中心 内置数据中心和外置数据中心可以共存 但如果因日志量大而影响了设备性能 建议关闭内置数据中心 只使用外置数据中心 内置数据中心关闭方法如下 内置和外置工作原理介绍 数据中心介绍 外置数据中心安装 外置数据中心服务器安装环境最小配置 1 系统条件仅支持安装在windows2008 windows2012上的64位操作系统 2 硬件条件a 安装盘需要至少8GB的硬盘剩余空间 b 安装外置数据中心的电脑建议使用双核的CPU 内存2G以上 c 安装盘文件系统必须是NTFS 外置数据中心安装 外置数据中心服务器安装环境推荐选型根据实际客户需要保存日志天数及确保外置数据中心性能最佳状态 实施外置数据中心时 请按下表推荐选型配置采购服务器或参考文档SANGFOR AC SG v11 0 2016年度渠道初级认证培训08 数据中心 外置数据中心服务器选型推荐配置 xlsx 外置数据中心安装 外置数据中心安装外置数据中心安装包请打4006306430咨询客服获取 或登录社区 双击安装程序 点击安装 完成安装过程 请选择 打开日志中心 即可跳转到外置DC页面 默认账号密码adminadmin 注意 新版本DC都已采用https的安全登录方式 外置数据中心安装 进入 系统管理 系统配置 同步策略 页面 点击 新增 进行外置数据中心同步配置 外置数据中心同步策略 外置数据中心安装 进入 系统管理 系统配置 日志中心配置 页面 点击 新增 进行外置数据中心同步配置 AC同步策略 外置数据中心安装 同步策略注意事项 1 一个内置设备可以创建多个同步策略同步到多个外置 但是不允许一台内置设备创建两个同步策略同步到一个外置上 2 同步策略不能冲突 全局的设备名称也不能冲突 3 当修改外置的同步策略后 会提示 同步配置改变 请选择同步方案 弹出选项框 系统选项 新版本DC取消了配置端 所有的系统配置选项都在数据中心的 系统选项 中配置 查询日志最多支持导出100万条 外置数据中心安装 系统选项 这里可以看到同步的设备的情况 系统状态 外置数据中心安装 系统状态 磁盘空间页面 可以看到磁盘占用情况和每天的日志大小 系统状态 外置数据中心安装 系统日志提供给管理员查看数据中心系统的 告警 错误 以及 信息 日志 方便管理员及时发现系统问题 系统状态 外置数据中心安装 登陆外置数据中心查询页面 在浏览器输入安装外置数据中心服务器的IP地址以及所配置的端口 如图 外置数据中心安装 外置数据中心使用 日志查询 日志归类 简洁清晰 外置数据中心使用 查询模块 提供给管理员进行日志查询的功能 包含所有行为查询 访问网站查询 即时聊天日志查询 邮件 发帖 发微博等日志查询 能够追查到各种违反组织规定的行为 日志查询 日志查询 DC11 0优化了日志查询条件 查询速度以及显示页面 以下面网站访问日志查询为例 查询时间选择页面更加友好 支持自定义时间对象 可以手动在此处调节时间 也可以在 系统设置 自定义时间对象 中设置好后 在此处下拉菜单调用 此处可以根据需求来设定生效日期或排除日期 回到日志查询页面 此处即可调用配置好的自定义时间对象 新增搜索关键字 提供URL 含域名 网页标题方式检索 详细查询条件中 增加对源区域的 终端类型 位置 进行检索 新增 倒序 正序 的日志页面排序选择 日志详细信息会在下方完整呈现 新版本AC增加了记录源MAC和记录VLANID的选项 用户勾选后 可以在日志中心的日志详细中看到MAC以及VLANID信息 详细信息中会显示出源MAC信息 如果有相应的VLANID 也会在下方显示出来 日志查询 外置数据中心使用 统计分析 客户需求是想查看TOPN应用下的TOPN用户 我们可以在 统计选项 中选择应用排行 在 递进统计 中选择用户来实现 应用流量排行 各应用下的用户排行 统计分析主要满足客户的流量分析 时长分析 用户行为分析 合规性分析等需求 新版本DC支持二层深度的递进统计 可以一次将2个维度的递进结果展示出来 方便用户直接查看 生成报表 具体如下 外置数据中心使用 统计分析 外置数据中心使用 统计分析 用户做任何统计的时候 一次往往无法将所有信息获得完整 新版本DC通过下钻分析可以在多个不同的数据维度之间下钻分析 比如客户想分析某段时间内排名前10的应用有哪些 统计结果显示其中 访问网站 占用了很大的百分比 于是客户想知道 访问网站中排名前10的用户有哪些 并且这些用户都访问了哪些网站 那么具体操作如下 外置数据中心使用 单用户分析 很多客户需要针对某个用户 分析其流量 时长 访问网站等维度信息的需求 但是老版本的DC往往需要多次的统计才能搞定 新版本DC直接提供了单用户分析功能 具体实现方式如下 可以根据客户需求选择单一用户进行分析 分析内容可以选择多种统计分析 下拉菜单 可以看到更多的统计结果 外置数据中心使用 关键字订阅 用户可以将指定关键字的日志定时发送到指定邮箱 用户所配置的订阅策略都是以关键字组为单位 即将每个关键组中所有关键字出现的日志的总条数发送给相应的订阅人 若某个邮件地址订阅了多条策略 那么每天将收到多封订阅邮件 每条策略中 订阅邮箱 最多填5个地址 若某个邮件地址订阅了多条策略 那么会按时收到多封订阅邮件 报表中心 客户可订阅指定的报表内容 将订阅的内容上报到指定的邮箱进行审阅 满足客户流量时长分析 用户行为分析 合规性分析等需求 外置数据中心使用 报表收藏 为了方便收藏各个页面的常用统计条件 在统计页面提供一个收藏功能 对统计过滤条件进行收藏 方便客户第二次操作时不需要再重新选择过滤条件即可统计 同时收藏的报表也可被自定义报表的模版引用 达到方便快速重用一些常用的过滤条件 某客户平时只关注上班时间内公司用户的应用流量排行 域名流量排行两张统计报表的情况 每次打开DC后都要重新定义统计条件很麻烦 这里就可以用到报表收藏功能 具体操作如下 案例分析 外置数据中心使用 报表收藏 新增一个名称为日常报表的收藏夹 建好收藏夹后 我们返回统计页面 定义统计条件 并加入收藏夹 按照需求定义好统计的条件 然后点击右上角的 立即收藏 此时我们返回报表收藏页面 即可看到刚才收藏的 日常应用流量排行 报表 同理 我们也可以根据条件 把 域名流量排行 报表也添加进来 已加入到收藏夹的报表客户也可以随时编辑或删除 外置数据中心使用 报表订阅 客户往往需要根据自己的需求 按时生成一些特定的报表来做数据分析 报表订阅功能就可以满足此种需求 案例分析 客户需要将每个月的用户流量排行以及域名流量排行以报表形式定时发送到领导的邮箱 我们具体来看下新版本的DC如何操作 外置数据中心使用 报表订阅 此处选择 自定义报表 如果客户想使用我们内置的分析报表 也可以选择 内置分析报表 类型选项中可以选择 周期订阅 和 一次性报表 根据客户的需求来选择即可 新版本DC提供了三种报表选择方式 1 常规报表 包含了设备统计分析页面所有可选报表 2 收藏 客户自己收藏的报表 3 模板 系统内置的一些常用合规性报表 客户可根据自己的需求选择任意一种报表拖拽到右方空白处进行组合排列 此处我们将 应用流量排行报表 和 域名流量排行报表 拖拽到右方 点击右上角的笔形按钮 对选择的报表进行编辑 点击编辑后 自动跳转到统计分析页面进行条件编辑 如果想多个报表批量修改条件选项 新版本DC也可以满足 点击右上角的 批量编辑 勾选需要批量编辑的报表 修改过滤条件 编辑好后 我们可以点击右上角 预览 来查看最终的报表效果 已订阅的报表 可以在报表订阅页面的列表中看到 对已有报表管理员可以进行 编辑 启用 禁用 查看 立即生成 以及 删除 点击 立即生成 会立即生成当前报表 页面会显示生成进度条 生成完成后会显示 生成成功 点击历史报表的数字 可以跳转到历史报表页面 管理员可以查看历史报表 并下载 外置数据中心使用 查看磁盘空间使用情况 以及每天的日志库大小 可以查看到数据中心记录了哪些天的日志 同时可以按天选中需要删除的日志库 外置数据中心使用 练练手 请准备一台windows服务器 自己动手安装外置数据中心 并将AC内置数据中心日志同步至外置数据中心实现日志查询及生成报