日志分析管理用户使用手册范本

1、日志分析管理系统使用手册矩阵软件工程2013 年 12 月1.系统登录 32系统首页 33日志查询 44配置管理 74.1 日志对象管理 74.2 事件库管理 124.3 模板库管理 144.4 过滤规则管理 144.5 报警规则管理 164.6 用户管理 184.7 负责人员组 194.8 参数管理 204.9 数据库备份管理 214.10 服务管理 225 报表统计 221. 系统登录系统登录默认URL为：地址：端口 /LAMS例如：192.168.1.10:8000/LAMS默认用户名：001默认密码：admi n,登录页面如下所示:2系统首页登录成功，进入系统首页，系统首页主要是对系统

2、收集的日志进 行概括性质的展示，在首页你可以做一下工作：1. 查看每个日志设备接收的日志系统，进入每个设备，按进程 名字，日志等级，查看日志详细信息。2. 使用系统常用快捷的统计功能，进行常用查看。3. 使用系统常用报表功能，查看统计报表。4. 查看常用统计图，直观了解系统日志接收情况。5.查看系统实时日志信息。日志分析管理系统W qma V k««h> 1 Jo-bnm断说* 3-E TlftHeT.jPh 七“酊申 忱播QStoph 3|ifo-hh ® RtWfTQPH © 日ifaHWTjPh Ml B£Hr- Thwas hi&

3、gt; m-taiiiri nrex击三尿血m-琳-甘 石*直i 一- £<_>J _=.1i*1RS: '主f?弟三 I17JX171髯iLCWHlI他丄:LEiSFiE- I：EiG IltSllfll)Ml刊：LT.'J.ilb-評閒fin聖= w«-iil7.LLl=5lH0鬧葫軒科左侧为快捷查询，简易报表展示，点击相应的按钮展示相应的报表或者查询。如下图所示H 户(!72 户可 1*师翻蠱m*A- S-誉斷皿叭峻酋v>SP«T *!； 时酚胡T円| gk»3$T网 Q wn OEjkMitwgV=lJjf1?T

4、I=1lI3 日志查询iJWFIlMTfUirtCrilwilIlWw«r»p14MiHi5it1<QV443*曲9*5$u通归艇曲LH.Qi卜J! iQ54?血au-ci-aAA.JA U1ITSO'对111也2U2电金&i£b血J： 11-12-25BQ金1iJi01邓口舁勺2n001n UP309<1 日志查询功能为用户提供简洁的查询功能，用户通过查询功能可以查询全部的日志信息，主机设备的日志信息，网络设备的日志信息，告警日志信息，未关联事件的日志信息，用户登录日志信息，用户变更日志信息等，模块页面如下：系统左半部分为功能菜单，右

5、边界面为系统便捷展示，主要为接收日志T0P1（展示，报警日志T0P1（展示，用户登录统计，登录失败统计, 超级用户登录统计。由于查询页面功能大体相似，以综合日志查询功能菜单为例，介绍查l.tkn询功能使用:日志分析管理系统-2014-C.-LJ沪性.：如:5"* fiiW gn2CM43.-LJ *辛1 口I:It*上述界面为综合日志查询界面: 开始日期：日志接收的时间大于该日期。 结束日期：日志接收的时间小于该日期。 严重性：选择日志的级别。查询对象：选择查询的日志主机设备（多选） 解析类型：选择日志设备类型。主机IP :日志产生的设备地址。进程：产生日志的进程，支持模糊查询。 信

6、息：日志包含的信息，支持模糊查询。 查询结果页面如下所示：日志分析管理系统U=9-H-rfwEV .K££r产性.tLdvflLwEHX14-C1-W*磚PR匚VSKO>U ffK 日 TWiEjcic-nz 趣加U7.DLEL1hl理B-dfcE-lW匸空1LJ aUiiS -rL£Kip 二ilfi 产帕diiimon Notice1*<Aon*业1 “冋L LQQ 绅A怜m WE'JMiiWlMtoAr 应 *#>4“聲乩 VtW A; 5 £ 科 KhK AM 1948 MQL KOfWW* £d>Mf

7、i輩LI ZrwirF rmar-nafior pw Help JT# SyCWt :JfibWr k Htpi' !W» E嗣!Cd"EQJQU-DL-SJ昭J：Cort/aldaamnhfOtCbRAWLfr.AELlMriqi如职-寸叮-*FOU-DL-M 2卅谄事LJ7.DLQ4UpWdMunNailfi住気窣一"匪二叮卜因314-02 逊泗3UZDlOINg士 tmcinNadiiG<1S2flJ*-DL-&i Zl；31LZt.ftftldismcnNwfce1EE2flU-QL-y游3LZT.DlO：!tPM<* Ca*v

8、cil>3itf»*cnNdfct坯上#£2H44L-* 站雨rSMLZT.aiwra-Nofc«疋m.uE迦0L-A Z3-J5r3iLZT.aniMfSQLdlE"*Dn无泊*是 ¥Wi»r*国MADL-拙裁邮朋smsiNSJcf在查询结果中，依次展示日志的接收时间，日志设备IP，进程名字,产生模块，严重升级，事件描述。单击可以查看日志的详细信息，单击可以查看日志事件的详细描述。 如果该条信息没有描述，说明该条日志信息在系统事件库中没有匹配 到，在该条日志最后单击可以将该条信息根据关键字匹配加入到日志事件库中，如下图所示:在

9、事件库管理窗口中，单击，填写该条信息的“关键字”字段，“日-CL-s-fil-U 帥略舖1X1* ±iJ志描述”字段后，单击按钮，即可添加如事件库，以后接收到的此条信息，可以显示添加的日志描述。4 配置管理4.1日志对象管理日志对象管理，在添加新的日志接收设备时使用，下面以添加主 机设备192.168.0.1为例，说用日志对象管理的使用，系统操作界面 如下：PTL笛仇）盘RAVTMHHS-Hti-riiHIMA 111增加日志源2.在增加的日志源的基础上增力口日-績o SS列姦+. S丄却绽:S添加一个日志主机，需要进行两步操作:志模块，界面如下*18加日创XU 岭 ±&#

10、177; r QL mJL -E运出I叫诳型 分组 主要对日志源进行分类，可以根据设备类别进行创建 日志源，即一个主机设备，日志来源日志模块，主机下的日志，日志可以有多种，系统日志 syslog只 是其中一种。1.在选定的日志分组上右键单击，选择“增加日志源”，在右边界面填写，日志源的对象编码，对象名称，顺序，IP地址，负责人员组，展示界面如下:对象编码：设备的编码，依习惯而定对象名称：一般为主机系统名称。展示顺寻：排序使用。IP地址：设备的IP地址。负责人员组：选择负责人员组，可不选，即默认。填写完毕后，单击按钮完成日志源的添加，提示信息如下:2. 添加日志模块，在添加后的日志源上单击右键，

11、选择“添加日志模块”展示页面如下：r 雜；h时昨匚* y l王叭总 :2网点点总巴1二 1 RSanfiEE利曲云世百T善亍拆LE iL町 IE D 1AUJikETiUfiKASfiT 漑 n J > 険i- c 违# -因【丰门茴幣I- td «尹杏铮帘'21 Sf- J sS:诂匸迄性锂 出盍人杲生.T千3f 仲 n ,JOC 、对象编码：设备的编码对象名称：由于只有一个日志模块，一般与日志源的名字相同IP地址：继承自日志源，不用填写。解析类型：选择设备的类型。过滤规则：选择该模块的过滤规则，不选即采用默认规则。 填写完毕后，单击按钮完成日志模块的添加，提示信息如

12、下:W O f筍币再* bJ 1圭忙觀二kJ 2同妲唆省- i.i日衣阖rd击活二i,i戸志鬲獅储3fjEW1強_±冈I1辽越塔和 唐*I号i二怎$黑狀认述£抠剤娄鬆洌恵讦阴上述说明即为一个设备的添加过程，多个设备依次添加即可。注意：添加完毕后，必须重新启动系统的“日志收集”服务，操作在“日志收集”服务，单击完“停止”后，单击“启动”按钮即可4.2事件库管理事件库是用来对单条日志进行匹配， 对该条日志的容进行进一步 说明，若有提醒方案，对用户进行提醒并且提供处理措施的一个数据 汇总。如用户在使用过程中发现库中没有的事件， 可以在事件库管理 板块对事件库进行添加。该模块并且提

13、供事件库的编辑与删除功能可 对事件库进行维护。1 添加事件的时候先选中解析类型，选择需要添加的系统类型唱卜Tii LllJUX*E壬曲产竺昶9sErr用戸倉或旦如7匹M£=c勺WarningZ7T«®9gbe di 7TIEL 与'比1 VSilPTWH-S!勺.7 J.H -1HGI. - *从号詁腑 iMeuPW朋 ipTgWimingkKdl?n*r'：eiuaxSWWMdlVIKAMmPltl出刊丹诳IF叫阿啲=-IkliaUr#I«al7雷护tMn*已丽曰沪仲奁黒寳富S3厲朋砂吒呼壬配承;如；卞圧呼川声卩吓肛【0咒Strrbe&

14、quot;田航刖=農旳*二麗眄号CHIP亂Sfrrbed?朋仁5V11 4PP齐査我唇PHCHSi喬白与耳白輒ava appletjwa.it=Errheal 7亡鼻哇未!C的略：屈叶潜倚JUDb5Warningki柑了花卜会话之迁卷施总 k 亀WarninggjFA?E*£&.?J!ME尹婭ZTMK壬七丸.昙邙冈牌hiC+MLSSVvtrnrtg她T占总牛.瞰CrAXr4ZTlWEOUT*Wanif u； .- :r.* 4息尢fCM#和 EWAH¥Wirnbg鈕TCFAX=<i*i tfaCRWC 现 LOGsErrikKtfr*不：时 FC-血 讥=幻第

15、宅“平訂冋：L K.12点击添加按钮之后弹出添加的弹出框，填写当中的容。其中关键字在Windows系统中为日志的编号为数字，在其他系统中为能唯 一识别日志信息的字符串。可用性为是否可用，日志查询为是否可提 供查询，日志级别选择当前日志的级别，模板库选择当前的模板库， 日志描述填写对该日志的描述信息。Pri填写当前日志syslog发送的pri数值。填写完毕之后点击添加完成添加新事件。r*” 畑X pvrG怜畫二LlhUX和"5巳辞到杏ErienasgErwgWS哲Erwg100fi3EteJEm.q1Q0QEm呵10Q1Em旳1002；_.Ee%1003Eme<g吉EmefgKI

16、CSJH 占Ejti 由 g37 rSEniiirqSEffflrrgixeEiWiJ100$£Emei-Q1A1aEjrneg3选中某条事件之后可以对事件进行编辑和删除操作，编辑弹出的界面跟添加时的界面一样rftan»制：y *iz為st?Em亡吉诞L弟=iEm&rg1Em 皀fg10,sEjnldrg1»Eirg1CWuEmeri刚55Einerg1MU呂 rtt =h Si-鬧£trnerg1OT4zEmerg10«fiEmerg100&Emerg1刚AaEmsrgim百EXwg1CH»事£旳e<

17、g1D1Emefj4删除为选择成功后点击删除，弹出提示框，点击“是”便可删除 该条事件匚3Mv耳1CW1閃1ICOJu10ftS100610471.彌iMrt121曰琢W*SJ£自1聊如伺屯啊缚kernellw测kwnvlEn*如祁可啤哼Mi凸卑心卅甘±fflerQkernelLnierakff-ne加胡饲朝k#r個trficng fniaraher nd ksmdEsnisrgkamd二SHlEII.菲中不HII,穴巴三I至不厅在畀母苕 空占三吾去壬养匚4.3模板库管理模板库为日志发送协议提供的一系列模板，当天系统存放的是标准的syslog协议提供的模板库，每条syslo

18、g日志对应一个相应的模 板，这里一般不需要配置。如需要添加修改删除，则需要参考相应的 协议。示图如下图所示，点击添加即可添加一条新的模板。#odl"I材盒9YS4CK奇蹩-kan-goJfl<2.2 unr*02 3 心住丁出 dpennon"IP一卷卫4 aijlh一卷工"ETkig-护7 Ipr召工當nn«vv一住H.P ULKpQ2. IQ tran油泅如一空 7.1 女 hTD ubcyEtsirnibag audi:玄沾 bg jiert-盘Nil甘 dock da-Arnin一37 2AD-2.16 IccjII-2.14 hcjlj&

19、#39;bnrnFl4.4过滤规则管理过滤规则管理主要是添加日志信息的过滤规则， 在添加日志模块是选 择对应的过滤规则，以便于过滤掉不需要，或不必要接收的日志信息， 系统界面如下：添加一条过滤规则的操作如下，选择按钮，弹出的界面如下:过滤名称：该规则的名称。信息规则：对下面的于信息，进程两个条件是匹配其一，还是全部匹 配，即以逗号区分的各个字符串之间的关系是信息中包含其中一个， 还是包含所有。信息：对于日志消息体匹配到字符串的日志即过滤。进程：对于日志进程名字匹配到字符串的日志即过滤。Syslog :没有选中的事件模块，事件重要度即过滤，选中的即接收。 Window日志事件的ID，多个以逗号隔

20、开，匹配到即过滤。填写完毕后，选择按钮，添加过滤规则。添加完毕该条规则后，在日志对象管理界面，可以选择该条规则使用 在某个日志模块上，如下图所示：-i 7&克 i © 1主1ns螢 二fcj z如色汇昏匸踐a =在生乍工語眉*”亠匚三吉严:乂 r-ssL = a-4.5报警规则管理报警规则管理主要是添加日志信息的报警规则， 将该条报警规则应用O£«l嶺斟西t Fl I总険 h rlv览讨1；慌liEirS51.1FG1"Lil" dll =lil.ng.uaHnL-.l =勺“灌IfiliiSLU插口Lj.iesrftiiy.O.U.7

21、MOLi.11Q1.U7Miu VflBMMME 墜ITJ.LliiLHLt.l行林兰覽1?A2U67ill 亡i.1:Cu 科l17J.L1-52H1 i二特亡毘匕片書士之曲询k101.220Mrllftl目也绅在护r g.121hLLL-1小二业审龙養忧idi.iiiM11-121畀£二昼雪巨豆吐P-5.122k1JLS.二月匚巨话崖追廉咗LZ'Q.L口L7.H.1-24k口1-15.1 IW互窃审芦声IQ1.Z34h口14419=41175,1-73h口氏口二Z咋洼亜gim.MhHAM匚hl? J DC-fE>.&UQ.14I与主机设备，系统界面如下:添加

22、一条报警规则的操作如下，选择按钮，弹出的界面如下:告警名称：该规则的名称。是否启动：如果启动，选择是单关键字：多个以逗号隔开，即匹配任意一个即报警。多关键字：即配皮所有才报警。信息：对于日志消息体匹配到字符串的日志即报警。进程：对于日志进程名字匹配到字符串的日志即报警。选中的事件模块 事件重要度即报警。填写完毕后，选择按钮，添加报警规则。添加完毕改天规则后，可以选择将该条规则关联到那些设备，如图:口iLi 单1.U乍否隹兰ijPLii0*iWima捞sm；孔'fS恣m _> ibd二i.r別过促性 -j x-叮氏段=工自IffiEWSi# 出4 寿srrnr' 手- ai

23、.fi口 八孟筈曼十前方方不叽* 口 旺1-6哥户足驾梅知ffl库皮1 x 口匚S" M二哩环廿卄费妬卓到 上口止边呼畳适祐胖占4 w i.Zl d Lk!_：r.2J £3)112 wtltrff 音旦环 4i i.:.a： ne 冃電曹翌 4F k 區-U j iM隔倍互甑up"五變八丄5 1耳手二叽L - - J/JiC-wA：7.gj3选择按钮选择关联主机，同时，也选择取消关联的设备4.6用户管理用户管理为提供方便管理登陆用户的版块， 方便系统管理员对使 用的用户进行维护管理1 点击添加按钮后弹出提示框，按照相应的提示填写完毕后，点击 “确定”即可完成该用

24、户的添加。当选择某一用户后，点击“编辑”按钮弹出同样的对话框，修改相应的数据后点击“添加”可以完成该用户的修改003 9S* * A鼻宣兰2 选择某一用户之后点击“删除”按钮，弹出提示框之后选择“是” 则完成该用户的删除操作匚沁-血列19曲*0DE 1*；.一:LM丄丄001I0W-1H1 12：» 11|畑 | Mw: 朋赶若=14.7负责人员组负责人员组对用户进行分组，集中管理。1 点击“添加”按钮弹出对话框填写负责人员组的名称和相关说明T扌範>L期岭九县心3匕r0012 点击“增加用户”按钮弹出对话框，选择相应的用户之后点击“确 定”按钮完成该负责人员组的添加操作。3 选

25、中某一人员组点击“修改”按钮，弹出对话框跟“添加”操作 相同，修改相应的信息之后完成对负责人员组的修改。选择某一人员组之后点击“删除”按钮，弹出对话框中点击“是”则 完成对该人员组的删除操作。m - “护JMnt 走畳務*本去詔笙？4.8参数管理参数管理提供系统需要的各种各样的参数，部分参数可以根据系统的需要进行相应的更改。该模块只允许修改不允许删除。并且只允许修改【参数值】选项。下图对各个参数进行一一描述4.9数据库备份管理该模块可以对数据库进行备份还原操作选择“备份当前数据库”可以对当前数据进行备份。选择备份的日期，点击“确定”可以完成对备份文件的还原，也可以 将数据库备份文件删除4.10

26、服务管理系统提供三个服务，点击“停止”按钮可以将相应的服务停止， 点击“启动”按钮可以将相应的服务启动，启动类型可以修改为系统 启动自动运行或者手动运行。其中【日志收集】服务为系统收集主机的日志服务，停止该服务系统 将停止收集日志，配置完日志对象需要重启该服务。【日志下载】为系统自动下载日志文件的服务，停止该服务系统将不 会自动下载配置的日志文件。5报表统计报表统计功能主要是查询各种历史数据展示， 方便用户导出数据，以供备份或查阅，系统主界面如下：miMte -iM Alii日志分析管理系统Ji* VIBUrWMHFln>!9Ailnirm再2!*u也1呂vd=sT.J£FlA

27、L-lE.-*E«1=it严匚雄兰n耳七电燥分应盘*. sc»-!5=Sttr1M1XAbt'YcStfcfl-.ZK = rtTdFiHHlllA：E=n=*dliiSW*#5i£ rSSJtn砂乎W甲|fUfllK.-XMK.U£lfl耳*M里y啊寵NXMS9ISA:阳予匕M Wft亂虫 BX«1£ 三w*w* S « * =nGifeH-r«r=K =1<ldratRvHHR«4«*"WHWH0 malg和曲自星H gini«!fi9*io B RHKHK匚偏沖传iiQ 9san.*»dr*1uJilg 主 iiT：sa.»2iau.t»iLUU?4«LaM.ET3175