java版日志处理器-java版客户登录-液晶屏使用说明

1、第1章 NetST? 日志处理器1.1概述NetST? 防火墙日志处理器是Java管理控制台的配套产品，它的功能是能够从防火墙端下载日志， 并且可以根据用户的要求对日志进行各网口的流量分析统计、 各站点流量的分析统计、在线用户的统计、可对日志进行不同类型的审计，目前分为安全日志、管理日志、内核日志、其它四大类， 各大类下又有更具体的子类，同时也可对日志进行查询。它最好与 Java管理控制台安装于同一台工作站上，但可以脱离Java管理控制台单独使用。1.2日志处理器的启动点击开始菜单中的“程序 ->NetST-> 日志处理器”可以启动 NetST? 日志处理器，当第一次启动的时候，需

2、要对 NetST? 日志处理器进行相应的配置，才能下载多台防火墙的日志记录。1.3添加防火墙点击工具栏中的 图标将弹出“设置防火墙信息”对话框，在此对话框中可以对防火墙进行添加、修改、与删除等操作。注意：只对“防火墙信息”树中选定的防火墙进行下载动作。1.4日志下载日志下载可分为手动下载和自动下载两种。日志下载设置NetST? 防火墙日志处理器可以按照用户的要求设置日志下载的位置和自动下载的时间间隔，设置方法如下：在主界面菜单条中选“日志”菜单，在下拉菜单中选中“配置”菜单项，弹出如下对话框：图 1-1设置日志的存放位置：在对话框中点击“选择目录”按钮，会弹出一个文件对话框，在此对话框中可以选

3、择日志文件的存放位置。如图：图 1-2 日志文件存储设置注意上面的对话框中只能选择文件夹。选中日志文件想要存放的文件夹后，点击“打开”按钮，日志文件的存放目录的全路径就显示在“打开”按钮的左侧。日志文件：日志文件名由日志处理器自动生成，规律是“netST”加上当前日期，后缀是“ .log”，如“ netST2001713.log”。日志文件每天生成一个。所以用户不应该经常改变日志文件的存放位置，这样不便于将来的管理。同时日志也可以按文件长度进行分隔。日志自动下载的时间间隔设置：在“日志文件配置”对话框中拉动“下载间隔”右端的滑标，“下载间隔”右侧的数字就会随着滑标的滑动而变化，这个数字就表示用

4、户希望的日志下载时间间隔，单位是分钟。注意下载的时间间隔应该按照防火墙中日志文件的增长速度来确定， 如果日志文件增长的速度较快，相应的时间间隔就应减小，反之，应增大。如果不太清楚防火墙中日志文件的增长速度，安全的做法是把时间间隔设为最小，以防由于防火墙中日志文件的增长速度过快，而没有及时下载，而导致防火墙自动停止运行。自动下载按照用户设定的时间间隔定时自动下载防火墙上的日志文件，并将其存放到用户指定位置。启动日志自动下载有两种方法可以启动日志自动下载：在主界面中直接点击自动下载按钮；在主界面菜单中选择“日志”>“下载” >“自动下载”。暂停日志自动下载有两种方法可以暂停日志自动下载

5、：在主界面中直接点击暂停按钮；在主界面菜单中选择“日志”>“下载” >“暂停”。停止日志自动下载有两种方法可以停止日志自动下载：在主界面中直接点击停止按钮；在主界面菜单中选择“日志”>“下载” >“停止”。手动下载用户可以随时以手动方式下载日志文件。操作：在主界面菜单中选择“日志” >“下载” >“手动下载”。利用手动下载，用户可以随时下载查看当前的日志信息。注意在日志下载处最好选择“自动下载”，这样就不用时刻关心防火墙中的日志是否会溢出，同时生成的日志文件名也与日期相同，这样更有利于审计。1.5刷新日志处理器与防火墙之间的连接当用户登录防火墙进行日志下载处

6、理时，日志处理器将与防火墙建立通讯连接，同时也将记住认证用的用户名和密码，点击工具栏中的“ ”图标可以删除所有己建立的防火墙连接。当用户输入了错误的用户名和密码时， 可以用此功能清除连接后再重新输入认证信息。1.6日志审记防火墙日志处理器可以审计已经下载的日志，它能对日志进行各网口的流量分析统计、各站点流量的分析统计、 在线用户的统计、 也可对日志进行不同类型的审计， 目前为安全日志、管理日志、内核日志、其它四大类，各大类下又有更具体的子类，还也可对日志进行查询等。操作：在主界面菜单中选择“日志”>“审计”。说明：如在日志下载中选择的是自动下载， 会弹出如图表的日志审计主界面， 如出现下

7、载意外终止或改变了配置文件的路径而出现找不到当天生成的日志文件时将弹出图 1-3的提示对话框，单击“确定”，将出现日志文件选择对话框，如图 1-4，选择要审计的日志文件，单击“打开”即可，此时将得到图 1-3的日志审计主界面。日志审计主界面由四部分组成，上面是操作菜单，左面是日志类别目录树，右面是对应的日志记录内容，最下面是状态栏，它指示当前日志的路径和文件名。图 1-3 日志审计主界面图 1-4 提示对话框日志类型审记在日志审计主界面的目录树中列出了可审计的日志类别， 通过单击相应大类下的具体子类，可得到该类别下的日志。各类别的详细描述如下：z 安全日志安全日志记录安全事件，如授权用户的登录

8、退出，有效和无效的登录尝试，以及DOS攻击等。它包括登录退出日志、口令请求日志、登录尝试日志、攻击日志。1.登录注销日志： 指管理员登录和退出防火墙时产生的成功和失败记录的日志，日志内容包括日期、时间、防火墙名称、来源、用户、类型、结果、描述。2.口令请求日志： 指合法用户和非法用户对鉴别数据的请求（包括查看、 修改和删除）所产生的成功和失败信息的日志，它的日志内容包括日期、时间、防火墙名称、来源、描述。显示界面及相关描述与安全日志中的登录注销日志类似。3. 登录尝试日志：指用户试图登录防火墙失败的次数超出系统设定值产生的日志，它的日志内容包括日期、时间、防火墙名称、来源、用户名、类型、结果、

9、描述。显示界面及相关描述与安全日志中的登录注销日志类似。4.攻击日志：包括SYN Flooding、 LAND 攻击、 Ping Flooding 、 Ping of Death、Teardrop/New Tear 、IP碎片等多种外来恶意攻击所产生的日志， 它的日志内容包括日期、时间、防火墙名称、来源、攻击类型、源 IP、目的 IP、协议、包长度、描述。显示界面及相关描述与安全日志中的登录注销日志类似。z 管理日志记录管理员对系统的操作，像规则的配置和变更，防火墙的启动、关闭等。它包括策略变更日志、防火墙启停日志、授权用户操作日志。1. 策略变更日志指管理员对防火墙安全规则、 策略的配置、

10、添加、修改和删除等动作所产生的日志，但不包括显示、查看、检查等而没有变动的情况，它的日志内容包括日期、时间、防火墙名称、来源、用户、类型、结果、描述。显示界面及相关描述与安全日志中的登录注销日志类似。2. 防火墙开机、重启的信息，它的日志内容包括日期、时间、防火墙名称、来源、描述。显示界面及相关描述与安全日志中的登录注销日志类似。3. 管理员登录防火墙成功后使用它的身份所进行的一切活动，包括对防火墙的查看、配置、修改、添加、删除、启动、停止等，它的日志内容包括日期、时间、防火墙名称、来源、用户名、返回结果、描述。显示界面及相关描述与安全日志中的登录注销日志类似。z 内核日志由防火墙内核自身产生

11、的日志，像TCP日志、 UDP日志、 ICMP 日志、内容过滤日志等。1. TCP日志指使用 TCP协议的日志记录，它的日志内容主要包括日期、时间、防火墙名称、来源、结果、源 IP、目的 IP、协议、包长度、描述。显示界面及相关描述与安全日志中的登录注销日志类似。2. UDP日志指使用 UDP协议的日志记录， 它的日志内容主要包括日期、 时间、防火墙名称、来源、结果、源 IP、目的 IP、协议、包长度、描述。显示界面及相关描述与安全日志中的登录注销日志类似。3. ICMP 日志指使用 ICMP 协议的日志记录，它的日志内容主要包括日期、时间、防火墙名称、来源、结果、源 IP、目的 IP、协议、

12、包长度、描述。显示界面及相关描述与安全日志中的登录注销日志类似。4. 内容过滤日志指使用应用层 WWW 协议浏览网页的 URL 记录，它的日志内容主要包括日期、时间、防火墙名称、来源、 URL 、源 IP、目的 IP、协议、包长度、描述。显示界面及相关描述与安全日志中的登录注销日志类似。5. 其它协议日志指使用除以上三种协议外的其它协议的日志记录， 它的日志内容主要包括日期、时间、防火墙名称、来源、描述。显示界面及相关描述与安全日志中的登录注销日志类似。z 其它日志均不属于以上三种情况的日志，像流量日志等。1.流量日志指记录防火墙内网卡、外网卡、DMZ 网卡、 ADMIN 网卡流入和流出的流量

13、的情况， 它的日志内容主要包括日期、时间、防火墙名称、 来源、内网流入流出、外网流入流出、 DMZ 流入流出、 ADMIN 流入流出、描述。显示界面及相关描述与安全日志中的登录注销日志类似。2. 其它指以上所有情况，包括安全日志部分、管理日志部分、内核日志部分、流量日志以外的其它日志。注意在得到具体类别的日志内容后，可保存它们的结果，保存请选择“文件”菜单中的“保存”，在保存对话框中选择路径和文件名即可。每次选择“保存”时，它不会覆盖以前保存的文件，都将弹出保存对话框供选择路径和文件名。流量分析指分析流量日志中各网卡24 小时的流量情况并用长方形图显示，它分为内网流入、内网流出、外网流入、外网

14、流出、DMZ流入、 DMZ流出、 ADMIN 流入、 ADMIN 流出。方法如下：在日志审计主界面菜单条中选“日志分析”菜单下的“流量分析”，再选择要分析的对象即可。如下图1-5 中内网流入，操作方法为：日志审计主界面菜单条中选“日志分析”“流量分析”“内网流入”。在图 1-5 内网流入分析中，纵坐标为流量的大小，横坐标为小时，即每小时产生一个长方形图， 我们在该图中移动鼠标可得到该小时的流量大小和所占的百分比。在图中， 可以看到17 时的流量大小为259682.0bps,占当天的百分比为59.0% 。其它网卡的操作及流量图与“内网流入”类似。图 1-5 内网流量图站点分析如果在防火墙的配置中

15、选择了记录 URL日志的情况， 此处就可对访问各站点的流量进行分析，如未记录 URL该项将没有意义。 在进行站点分析时， 先要初始化即配置要分析的站点，然后再进行站点分析。站点配置选择菜单“配置”下的“站点配置”，将得到“站点配置”对话框。在该对话框中，可添加、删除、移动各站点。添加站点请点击“添加”按钮，将弹出添加站点对话框，按要求分别输入的站点域名和名称确定后，新添加的站点就会出现在站点配置对话框的最后面。最多只能添加10 各站点。要改变站点的先后顺序（这主要反映在站点分析图中的顺序），选定要移动的站点，单击“移动”按钮即可。删除站点请选定要删除的站点，单击“删除”按钮即可，此时该站点将从

16、“站点配置”删除。不能将所有的站点全部删除，最少要有一个。注意在添加、移动、删除站点时，要使其真正生效，请单击“站点配置” 中的“确定” 按钮，同时要想放弃单击“取消”即可。站点分析图站点分析图操作：在日志审计主界面菜单中选择“日志分析”“站点分析”，会得到图1-6 所示的站点流量图。在图 1-6 中，纵坐标为流量的大小，横坐标为站点（来源于站点配置中），即每个站点一个长方形图，本图中共有5 个站点，您可动态改变和添加要分析的站点，参见站点配置。在图中可移动鼠标得到该站点的流量大小和所占的百分比，可以看到站点sina的流量大小为454055.0bps,占当天的百分比为 96.0% 。图 1-6

17、 站点流量图在线用户如果在防火墙的TOG中选择了 AUTH，即需要用户登录到防火墙，此处就可得到各在线用户每次的流量情况，如未在TOG中选择 AUTH该项将没有意义。操作：在日志审计主界面菜单中选择“日志分析”“用户分析”，会得到“在线用户流量一览”在该图中记录了每次用户登录到退出的流量，它包括用户名、 流入量、 流出量以及总流量。日志查询可对日志进行各种查询，包括多关键字匹配查询、日期时间、源、目的的IP 和端口查询等。操作：在日志审计主界面菜单中选择“日志分析”“日志查询”，会得到“日志查询窗口”。从“日志查询窗口”对话框中可以看出，对日志文件的查询可以按照“源IP”、“源端口”、“目的I

18、P”、“目的端口”、“日期”和“时间”以及多关键字匹配进行查询。重载文件通过重载文件可对其它的日志文件进行审计， 重载文件后您将在日志审计主界面的状态栏中看到该文件。操作：在日志审计主界面菜单中选择“文件” “重载文件”，在选择对话框中选择要审计的文件即可。1.7退出有两种退出程序的方法：在主界面菜单中选择“文件”>“退出”。直接点击主界面右上角的关闭按钮。每次日志下载， 在主界面的中央空白处都会有一条记录，说明在什么时间，下载了多少条记录， 当程序退出时会提醒用户保存这些记录， 保存这些记录有利于用户将来查询日志的下载情况。另外，用户还可以随时主动的保存日志下载记录。操作：在主界面菜单

19、中选择“文件”>“保存”。第 2 章客户登录程序一般用户可以安装客户登录程序，此程序用于登录防火墙。其运行界面如下所示：图 2-1 客户登录界面输入正解的服务器 IP、用户、和密码后，点击相应的按钮可以进行相应的操作。如果操作失败，将提示用户错误信息。第二次启动后，客户登录界面将简化为以下界面，如果用户想得到详细信息可以点击 ” 展开 ”接钮恢复到图 2-1 所示。图2-2 简化后的界面第三章 液晶显示说明1密码说明：在进入主菜单前，需要先输入密码。首次进入时液晶的密码为随机值，用户需在终端命令行进行初始化设置（使用命令“ set admin lcd 密码”，密码只能为小于 10 位的数

20、字）。以后若再想修改密码也可以在液晶菜单上进行修改，需要输入当前密码和新密码，新密码即为下次进入时要输入的密码。2主菜单说明：在主菜单1 2 3 4 5 6 处，键入 Enter 键可以到自己的下一级菜单或直接显示信息；键入esc 键退出到输入密码处，键入上下键在各菜单之间来回显示。3修改地址说明：所有菜单中，只有各网卡地址和网关地址可以修改，其他信息都只能显示。要注意的是：在修改网卡地址前，需在命令行停止防火墙，否则无法修改。可以修改的菜单与其他菜单的不同之处在于，在输入值并检查了合法性以后，按Enter 键进行修改，按esc 键取消修改，按其他键不响应。不能修改的菜单中，按Enter键显示信息，按esc键退回上一级菜单，按其他键不响应。4错误处理：在防火墙正在adsl 拨号或其他忙碌的情况下，液晶给出：正在进行ADSL 拨号，请稍候再试；或者系统忙，请稍候再试