神码上网行为审计管理系统用户手册-DCBI-NetLog上网行为日志系统

1、/丿神州数码digital china神州数码网络产品使用手册dcbi-netlog上网行为日志系统version 1.0神州数码网络（北京）有限公司dcbt-netlog核心功能为日志收集和管理，通过对网络上多种li志进行收集、分析和汇 总等方式，便于网络管理员了解网络使丿ij状况，并及时对网络进行优化和配置及控制。叮 通过数据采集模块与设备端口镜像功能相配合，通过对ip包的分析，实现用户访问日志记 录、流量统计等功能，为网络捉供全面的访问口志记录，并能与dcbt-3000结合，将访问 fi志映射为真实用户，便于网络访问行为的定位查找。同时还可支持标准syslog接口，接 收其他数据采集源捉

2、供的fi志，并对这些fi志进行分析、汇总等。如果上述产品有软、硬件升级和变更,导致本使用手册内容需进行相应更新,恕不能 事先通知。如需查询产品信息、更新产品软件和使用手册，请访问 的相应产品目录或咨询800-810-9119客户服务热线。木使用手册版权和著作权属于神州数码网络（北京）冇限公司，未经书面许町任何个人或团体组织不得将木使用手册内容的局部或全部以任何形式转载使用或出版销代:。版权所有，侵权必究！另外，由于版本更新，可能您的设备比本手册实现的功能有更新，有微小差别，请以 设备的实际版木为准。目录目录31. 产品介绍 51.1. 产品简介51.1.1概述51.1.2. 产品特点51丄3主

3、要特性51.2. 技术指标62. netlog软件安装 72.1. 后台模块安装72.1.1. 服务器硬件环境72.1.2. 服务器软件环境72.1.3. 安装配置步骤72.2. 管理客户端安装83. netlog网络日志管理子系统 123.1. 启动、登录和主界面介绍123.1.1启动界面123.1.2登录界面123.1.3主界面133.2. 操作模块管理163.2.1. 操作员组管理163.2.2. 操作员管理173.2.3. 操作日志管理183.3. 系统管理203.3.1系统配置203.3.2. 主界面统计图参数配置213.3.3要特别注意的关机方法：远程设备关机223.4. 上网日志

4、管理223.4.1上网日志査询233.4.2上网日志维护243.5. 上网统计263.5.1.上网次数统计263.5.2上网流量统计273.5.3. top_n源ip地址站点统计283.5.4. top_n目的ip地址站点统计293.5.5. top_n目的url站点统计303.6. 访问级别管理303.6.1定义敏感站点3031 站点访问级别管理込1.产品介绍产品简介概述神州数码dcbi-netlog可以与设备端口镜像功能相配合，通过对ip包的分析，实现用户 访问口志记录、流量统计等功能，为网络捉供全面的口志记录，并能与dcbi-3000结合，将 访问fi志映射为真实用户，便于网络访问行为的

5、定位査找。并能对访问日志进行统计和分 析，便于网络管理员及吋了解网络的使用状况。dcbi-netlog可以支持syslog接口，记录來 h防火墙或其他设备的h志，并进行分析和统计。dcbi-netlog分成三个模块：后台数据采集，数据库刷新模块，管理模块。后台数据 采集模块对流过网络接口的ip包进行分析，并以文件形式记录访问fi志；数据库刷新模块 用于将文件形式访问口志写入数据，并可根据配置映射到dcbi-3000屮的用户（包含与 dcbi-3000的接口部分），数据库刷新口j定时触发，也可手动触发；管理模块捉供图形界面, 供管理员查询统计管理访问日志用。1/12产品特点dcbi-netlog

6、后台数据采集运行在linux服务器上。dcbi-netlog的管理模块即可以在后台linux服务器上运行，也安装在远程ms windows操作上系统上运彳亍。dcbi-netlog（en）本身已经提供服务器硬件，服务器硬件是专门为dcbi-netlog 而开发，达到产品的最优性能。1.1.3.主要特性> 完成上网行为记录功能，可实现记录上网者访问过哪些网站、访问的url、源/冃 的ip、源/冃的端口、上网时间及流量等数据，从而提供了上网行为的安全审记数 据源。> 能采集并记录网络出口流量包，并对访问url进行解析。> 对网络访问口志进行杳询管理功能，用户可自定义杳询条件。&g

7、t; 各种上网行为的统计功能，以图例的方式显示哪些网站是最近访问次数的top-10. 哪些用户最近发包次数的top-10等。根据这些访问情况的统计结果，很容易发现 网络上哪些节点或用户有异常行为。a 即使用用八通过代理上网（即：用户访问的目的ip是代理的ip），也能解析出用 户访问的最终网站的url。> 与dcbi-3000结合，将访问li志映射为真实用户名，便于网络问题的定位。> 管理了系统基于java技术，系统稳定并h具有良好的跨平台特性12技术指标协议与标准> tcp/ip协议族性能> 支持最大h志容量:150g2. netlog软件安装2/1后台模块安装2/m

8、服务器硬件环境> intel p4 2.8g 处理器> 160g锁盘> 1024m内存> 两个 10/100/1000m 以a网口> 可外接键盘、鼠标、显示器2.1.2. 服务器软件环境> 经过 dcn 优化的 linux redhat as3 + mysql3.23.54a + netlog 服务进程> linux操作系统用户root的密码初始为：digitalchina2.1.3. 安装配置步骤1) 将显示器、鼠标、键盘接到dcbi-netlog (en)恢入式服务器匕 并启动计算 机,启动图形界面,以root用户登录,密码是digitalchin

9、ao备注：为兼容大多数显示器，dcbi-netlog (en)将图形界面显示方式缺省设 为800*600 , 256色，用户可根据自己显示器具体情况通过命令 redhat-config-xfree86 进行设置。2) 网络联接方法、dcbi-ne也og (en)自带两个网口，etho用于与交换机做了镜像的端口相联， 收集上网行为口志。eth1用与dcbi-netlog管理端、dcbi-3000联动等通信用。3) 配置服务器ip地址缺省已将eth1配置成/可根据需要修改ip地址，配置 方法如下：a) 在shell下通过命令netlog shutdo

10、wn停掉dcbi-netlog服务端程序。b) 在shel 1下通过命令redhat-config-network修改ethl ip为用户实现联网环境 的ip地址，并激活。(注意：etho的ip不用配置)c) 在shell下运行netlog start以启动netlog服务端程序。4）开机后一分钟内系统会自动启动dcbi netlog服务端软件；若没启动，可新建 终端，在shell t*运行netlog start命令启动dcbinetlog。注意事项：> 服务程序安装冃录为/usr/local/sbin/netlog卜。> dcbi-netlog下的mysql数据库服务缺省开机自

11、启动的，若没有启动，需要在 x-window终端下通过redhat-config-services命令后在服务配置窗口中将mysql 数据库服务器配置为白启动方式，如图3.1所示。图3.1 linux平台服务配置2.2 管理客户端安装第一步，启动安装向导进到光盘小的netlog管理端的安装文件夹，运行安装程序，出现下面的界面:笫二步，接受软件许口j协议笫三步，指定安装路径笫四步，指定快捷方式所在位置第五步，安装拷贝笫六步，安装完成第七步，启动管理端3. netlog网络日志管理子系统3.1.启动、登录和主界面介绍311启动界面在linux系统下用户安装了 dcbi_netlog后，在linux

12、系统的命令行终端下，输入命 令 netlogclient。在windows平台下管理客户端是标准的windows程序，只要在开始中运行“神州数 码”刁"dcbi-netlog管理程序”即可。快婕方式 styfesbeet serv-u32.exe designer程序文枚0设毀5)舉助(u)运行®关机(u)阳件microsoft wordborland jbuider 8 enterprise金山词窮2002snffer prorational software 神州数码unkmanager £ ft!版accvew 6.02_ ¥砂用w ；nu.亦.q

13、tu即c.|hu|也中|也体| *o| gd代醴翌h3i刍16:57endows uwate设定程序访问和默认値腾讯qqkirexptorersecurecrt 3.4打开*文档訴建offee文档ch rzqre flayerhucl.td娥子眺鬲曲xmlspy网上邻圧wnamp鶴历 aas.doc设書费件玮 分ifi程如beyond cc<npare2|£|®金 q 7一buojssgld ooozsmo|xj；m 一宿画dcb1 netto.netlog首理 程序e6.1 dcbi-netlog管理客户端windows平台川动3.1.2.登录界面图表1图62系统登

14、录窗口服务器：netlog服务程序的服务器主机名称或ip地址。用户名和密码：操作员的工号和密码。系统按照后缺省有一个超级用户，用户名为 admin,密码为admin,拥有所有权限。登录成功后可以修改该用户的密码。如果服务器ip输入冇错误或网络连接不可用，登录失败，会冇下面提示：图6.3登录错误捉示网络故障 可能的错误原因为：1）服务器ip输入错误2）和服务器的网络连接断开3）服务器上的后台服务程序没有启动或出现界常而不可用3.1.3-主界面图表2图6.4主界面主界面分为三个部分，上方是快捷工具栏，左方是树形操作菜单，主题是访问数前十 名的ip地址和url,即top10柱状图。请注意，当打开主界

15、而时，系统会刷新top10柱状图，这可能会花较长时间，此时点 击快捷工具栏或树形操作菜单的按钮，相应的界面会经过一段时间才能正常显示出來。快捷工具栏共包括14个按钮，分别是口志查询、口志维护、上网次数、上网流量、 topn源ip、topn目的ip、topn目的url、敏感站点、访问级别、系统配置、统计图 参数、统计图刷新、关于、退出。工具栏上下列按钮任何操作员都口j以使用：统计图刷新：刷新top10柱状图；因为可能有多个操作员同时操作数据库，刷新功能 可以使界而和数据库保持一致。关于：显示系统基本信息，公司名，软件版木等图表3图65版本说明退出：首先请用户确认是否真正退出:图6.6确认信息如果

16、确认退出，系统会保存设备拓扑图当前位置，并退出系统。如果后台服务不可用, 也会给出提示非正常退出，即不能保存设备图的最终位置信息。其他按钮和树形菜单里的项对应，并根据操作员的权限改变状态，不可用的按钮颜色 变灰。菜单项也根据操作员权限变化，不可用的操作项不在树形菜单显示。管理客户端与服务器存在保活机制，如果服务器连接因异常断掉或者数据库服务器出 现界常，系统会给出提示并退岀，界血如下：图6.7异常退岀提不窗口32操作模块管理操作模块管理包括操作员组管理，操作员管理，操作日忐管理等。3.2.1.操作员组管理操作员组也可以称为权限组，系统共分11个权限，每个操作员组可以指定拥有的权 限，每个操作员

17、必须属于某个组从而获得相应权限。系统缺省有一个系统组名为admin, 该组拥有所有权限并且不能修改。图表4图6.8操作员组的权限管理一一admin组对操作员组的操作包括修改、增加、删除。修改：初始界面中所冇权限都是不能修改的。如果要修改某个操作员组的权限，先在 左方列表屮选屮，然后点击修改按钮才能对各个权限进行选择。打勾表示选中，即该纟r拥 有此权限。选择相应权限后，点击保存按钮，系统提示是否保存成功。增加：点击增加按钮，组名称的编辑框和各个权限框都清空并处于可编辑状态，保存 按钮也变为可用状态。组名必须输入，选择相应权限麻，点击保存按钮，系统提示是否保 存成功。删除：在左方列表中选择要删除的

18、组，然后点击删除按钮，系统提示是否删除成功。编辑状态的界面如下：图表5图6.9操作员组的权限管理一一编辑权限3.2.2.操作员管理操作员管理窗口负责操作员的增加、修改、删除等管理。初始界面如下:图表6图6.10操作员管理一一操作员列表列表中显示所有操作员的信息，可以进行增加、修改、删除操作。增加：点击增加按钮，出现操作员信息维护窗口：图表7图6/11操作员管理添加操作员在窗口中输入相应数据并选择权限组即操作员组，这样该操作员便拥有所选权限组的 权限。点击保存，系统给出保存是否成功的提示信息。修改：从表屮选择要修改的操作员，点击修改按钮，弹出操作员信息维护窗i（同上）。 此时密码框处于不能编辑状

19、态，因为密码一般应该由操作员自己设定和修改，所以不建议 在此修改操作员的密码。如果操作员确实忘记口己的密码，可以在此窗口重新设置密码。 点击设置密码，密码编辑框恢复为可用状态。修改相应信息示，点击保存，系统给岀保存 是否成功的提示。删除：从表中选择要修改的操作员，点击删除按钮，系统耍求确认是否删除。图6.12操作员管理一一删除确认点击否，退出删除操作；点击是，执行删除操作，并给出删除是否成功的提示。3.2.3.操作日志管理操作口志维护主要管理操作员的的上网记录。可以在此查找操作员的操作日志，将操作 fi志导出到文本文件，将操作日志从数据库彻底删除。主界而如下：51 j1 2005-09-01

20、142 2005-09-01 143 2005-09-01 144 2005-09-01 145 2005-09-01 146 2005-09-01 137 2005-09-01 118 2005-09-01 119 2005-09-01 1110 2005-09-01 1011 2005-09-01 1012 2005-09-01 1013 2005-09-01 1014 2005-09-01 1015 2005-09-01 1016 2005-09-01 1017 2005-09-01 0918 2005-09-01 0919 2005-09-01 0920 2005-09-01 0921

21、 2005-09-01 0922 2005-09-019232005-09-01 09操作时间11111020io4809030046393333200800595951353531,284317382303463313433917461353403931063048213633操隹员号 admin admin admin admin admin adminadmin操作内容本页结果数：75检索结果数：75导岀文件:删除截止日期：图表8adminadminadminadminadminadminadmin admin adminadminadminadminadminadminadminadm

22、inadmin操作对象：访问级别明细表(accessgrade)；操作内爼 操作对象：访问级别明细表(accessgrade)；操作内宅 操作对象：访问级别明细表(accessgrade)；操作内老 操作对象：访问级别明细表(accessgrade)；操作内爼 操作对象：用户访问级别表grade)；操作内容1修邸 登录系统操作员退岀系统操作对象：权限组(opgroup)；操作内容：修改(opgri 操作对象：访问级别明细表(accessgrade)；操作内爼 登录系统操作员退出系统操作对象：访问级别明细表(accessgrade)；操作内圣 操作对象：上网日志表(accessllg1 (net

23、log)；操竹 操作对象：访问级别明细表(accessgrade)；操作内至 操作对象：上网日志表(accesssg2 (netlog)；操fl 操作对象 土网日志表(accesssg2 (netlog)；操作i 操作对象1上网日志表(accessddg1 (netlog2)j操11 操作对象：上阿日志表(accessu3g1 (netlog2)；操fl 登录系统操作员退出系统登录系统操作员退出系统操作对象：上网日志表(access3g1 (netlog)；*,1 1浏览an%导出懸回页码:1/1数据导hh在导出文件框中输入文件路径和文件名，或点击浏览从标准文件选择窗口文 件。如下图：操作口志

24、导出然后点击导出按钮，系统将表格中数据导出到选定的文本文件。删除：对于f1志的删除只能按日期删除，输入删除截止h期，点击删除，系统经操作员再次确认后删除相应操作口志。截止日期当天的口志不删除。前一页，下一页：由于操作口志可能非常多，所以将检索结果进行了分页。33 系统管理系统管理主要包插系统配直和主界面统计图参数配査等。3.3/1系统配置系统配置显示服务器的一些基本配置信息：数据库服务器的地址（名称）、数据库端口 和数据库的名字、数据库登录名、数据库登录密码、数据库目录和数据库容量等。可根据需要指定系统初始线程数、最大线程数、最小空闲线程数和最大空闲线程数。亦可根据需要指定dcbi ip地址，

25、dcbi端口号，刷新时间，是否选择dcbi接i i是否 选用混杂模式等。系统按层次把网络常用协议一一列出，如tcp、udp、icmp、igmp等协议，操作员 可根据需要进行筛选。为了更好的查看有效用户上网记录，系统还提供了是否只捕获tcp开始包、是否对图 片进行过滤、捕获udp数据包的冃标端口号、是否捕获广播包、捕获tcp数据包的冃标 端口号、图片过滤字符串等特色功能。站点配置界而如下：图613 站点配置管理站点配置的界而中部分参数是不可编辑的，如來要修改参数，请于动修改服务器上的配置文件netlog.con仁3.3.2.主界面统计图参数配置设置主界而统计图时间间隔，单位为小时。界面如下：图表

26、93.3.3.要特别注意的关机方法：远程设备关机特别注意：对于本设备的关机，一定不要直接通过将电源直接关闭的方法关机，否则 会造成数据的丢失。一定要通过远程管理端的本菜单将设备通过远程关机。主界面如下：图表10然后再将设备的物理电源关掉。34上网日志管理上网口志管理包括上网口志杳询和上网口志维护。3.4.1. ±网日志查询上网口志杳询主要对用户上网记录进行按条件模糊匹配杳询并进行分页显示。 查询条件说明如下：起始时间：指定查询上网记录的最早时间。精确到时分秒，年月fi时分秒分别通过下 拉框进行选择。截止时i'可：指定查询上网记录的最晩时间。格式同“起始时间”。源ip地址：ip

27、包的源ip地址。要符合ip地址格式，eg： 0o目的ip地址：ip包的目的ip地址。格式同“目的ip地址”。url：即用户访问的网址，eg： 访问级别：分为无级别，最高级，次一级和最低级，划分的详细说明详见访问级别管 理。用户名：上网用户的用户帐号。检索的结果町以进行表格预览，表格打印和单条预览，单条打印。查询的结果可以通过分页显示，并且可以随意跳转。下拉框中的表项的格式是：表名（数据库名）+开始吋间+截至吋间。例如，accesslog1 （netlog）就表示该表是在数据库netlog中的accesslog1表。点击“杳看所有”按钮可刷新下拉框中的所有表项。界面如下：图

28、表11dcbinetlog上网行为日志系统用户使用手册打印预览界而如下:2d园打印口用户上网日志查询结果报表页码：m打e卩日期：2005-06-16 ;操作员：admin行号淋p地址目标ip地址沥第口目标斓口访问时间采用协议访问url ftp telnet smtp本次访问级别用戶名流量15054418232005-06-1610:40:57tcp0 null482200.101 0 150200 101 0 654418232005-06-1610:40:56tcp0null483505441823200

29、5-06-1610:40:56tcp0null4845054398232005-06-1610:38:24tcp0null4855054398232005-06-1610:38:23tcp0null4865054398232005-06-1610:38:23tcp0null4875054394232005-06-1610:37:54tcp0null488200.101 0.150200.101.0 65439423200

30、5-06-1610:37:53tcp0null489505439423200&06-1610:37:53tcp0null4810302913232005-06-16 09:34:05tcp0null4011200 101 0.23200 101 0 902913232005-06-16 09:34:05tcp0null4012302913232005-06-16 09:34:05tcp0null411330291

31、3232005-06-16 09:34:04tcpv0null4114302913232005-06-16 09:34:04tcp0null4015302913232005-06-16 09:34:04tcpn0null4116200.101.0,23200.101.0 902913232005-06-16 09:34:04tcpe0null4117302913232005-06-16 09:33:48tcp0null40183200.101

32、.0.902913232005-06-16 09:33:48tcp0null40193200 101.0 902913232005-06-16 09:33:48tcp0null412030291323200&06-16 09:33:48tcp0null4021302913232005-06-16 09:33:48tcpv0null4122200,101.0.23200 101.0 902913232005-06-16 09:33:47tcp0null4023200.101.0.

33、2302913232005-06-16 09:33:47tcpn0null41切横向|上一页|下一页| _返回|图表123.4.2.上网日志维护上网口志维护主要管理用户的上网记录。可以在此查找用户的上网口志，将用户上网日 志导出到文本文件，将上网fi志从数据库彻底删除。主界面如下：图表13查询上网口志：输入用户名或用户名的开头部分字母，输入川户登录时间的范围、源ip 地址和目的ip地址、url,选择访问级别，点击检索，在表格屮显示杳询结果。数据导出：在导出文件框中输入文件路径和文件名，或点击浏览从标准文件选择窗口文 件。如下图：图6.14上网日志导出然后点击导出按钮，系统将表格中数据导出到选定的文本文件。 删除：可用鼠标多选进行指定记录删除。