iMC UBA采集DIG和SR66日志的配置和维护指导

1、iMC UBA的配置和维护指导iMC UBA的配置和维护指导1摘要1名词解释1准备工作：2组网方式3探针的UBA实现案例3和NAT设备配合进行用户行为审计案例9iMC UBA的维护：14日志收集16摘要iMC智能管理中心，是华三推出的下一代业务智能管理平台。它融合了当前多个产品，以统一的风格提供与网络相关的各类管理、控制、监控等功能；同时以全开放的、组件化的架构原型，向平台及其承载业务提供分布式、分级式交互管理特性；并为业务软件的下一代产品提供最可靠的、可扩展的、高性能的业务平台。iMC UBA用户行为审计组件是一套用户上网日志审计系统，能够处理包含NAT日志、FLOW日志、NetStream

2、 V5日志、DIG日志等多种日志类型；支持对用户上网行为进行查询和审计；当和DIG探针采集器配合时，可以基于URL和Web站点审计用户的上网行为，可以审计用户用FTP传输文件的行为，还可以审计用户的Email信息；用户还可以自定义日志审计任务，通过审计任务用户可以持续审计自己关注的上网行为。当UBA组件和iMC UAM（用户接入管理）组件一起安装时，UBA能够和iMC用户接入管理组件实现联动，实现基于用户名的审计，替代基于IP地址审计用户上网行为的方式。名词解释主服务器：部署iMC平台的服务器；从服务器：通过Web登录iMC配置台，将所选组件分步式部署在非主台服务器的服务器；用户行为审计：对用

3、户上网过程中以何地址、何端口访问了哪里等进行记录，如果是NAT日志可以审计到NAT前后的地址、端口，如果何DIG配合可以审计到网页，同时对应用FTP、HTTP、MAIL进行审计；流量分析：一般部署在网络出口，主要关注用户网络的实时带宽大小，同时涵盖了这些流量信息中的应用区分，为优化网络提供帮助，主要关注实时的信息多一些，报表丰富；数据库空间使用率：在iMC平台安装好以后，UBA或者NTA会自动创建数据库，在这个数据库中存放从设备或者探针发来经过分析处理后的日志文件，在此数据库空间中以存放的日志占用空间与目前数据库申请的空间的比值就是数据库空间使用率，其值会随着保存日志的增多而变大，当数据库空间

4、用完的时候，数据库会进行自动扩张，从而间接降低磁盘数据库空间使用率，用户存放新的日志数据；磁盘空间使用率：数据库所在磁盘已使用空间与总空间的比值，随着数据库空间的不断增长而变大，单纯的删除数据库空间的表不会降低磁盘空间使用率，只有将数据库中的表删除后，并进行数据库收缩才能够降低磁盘空间使用率；准备工作：概览：iMC平台包含了网管的功能，根据用户应用的需要可以将UAM、EAD、UBA、NTA等组件跟平台进行集中式部署，也可以分步式实现，即为了功能的明确和性能的要求，可以对部分组件采用分步式的方式来不属到其他的服务器上。例如UBA、NTA组件可以通过分步式部署来实现，这种分步式部署最多支持5台服务

5、器，部署方法是将用户行为审计组件或流量分析组件部署在主服务器上，即和iMC平台部署在一起，而将用户行为审计服务器组件或流量分析服务器组件部署到从服务器上，要求每台服务器只能部署一个用户行为审计或/和流量分析服务器组件；本案例以集中式部署为例进行说明，同时兼顾探针和SR66的NAT日志审计，默认平台和UBA都已部署完成，且能够自动启动。1、 硬件准备平台（以5000个用户的平台推荐配置，具体参考对应组件的版本说明书）：PC服务器-HP ML350G4p-2*Xeon 3.0GHz-2G-6*72G(10K) SCSI RAID5-软驱-CDR-集成网卡+100&1000M网卡-642 R

6、AID卡(192M)-15"-塔式-3年5*8服务-英文资料-725W-键/鼠探针服务器：要求探针服务器双网卡（具体参考对应组件的版本说明书），使用的操作系统为Linux ES3.0，2、 软件安装操作系统：iMC支持Windows 2000SP4 Server、Windows 2003SP1 Server及以上版本，数据库支持SQL Server 2000SP4、SQL Server 2005iMC版本：目前最新的版本为iMC PLAT 3.20-E2403、iMC UAM 3.20-E0401P05、iMC EAD 3.20-E0401P05、iMC-UBA-3.20-B0401

7、P01，如果是山西电力用户使用iMC UBA组件，还需要打上如下两个补丁：iMC UBA 3.20-B0401L02、iMC UBA 3.20-B0401L03；探针版本：操作系统为Linux ES3.0，版本为：iMCh3cprobeE0401，其中包括SingleCPU和MultipleCPU两种，分别表示工作在单核和多核系统下的探针采集器；组网方式1、 探针方式组网2、 和NAT设备配合组网探针的UBA实现案例1、 操作系统的安装安装方法参见Linux ES3.0的安装指导书；2、 探针采集器的安装对于iMCh3cprobeE0401探针的安装之前，要先确定所进Linux ES3.0系统

8、是多核还是单核，安装完Linux ES3.0默认所进系统为多核操作系统，其命名方式为：Redhat Enterprise Linux Es（2.4.21-*.Elsmp），单核系统的名称为：Redhat Enterprise Linux Es-up（2.4.21-*.El），以多核操作系统为例，登录用户权限为root，探针的安装方法如下：a、 首先在登录探针服务器的时候选择多核操作系统，登录权限为root，同时通过ifconfig的命令查看当前的网卡的名称，并规划好哪一个网卡作为采集口，连接镜像设备，哪一个网卡作为管理口连接iMC UBA服务器。本例以eth0作为采集口，eth1作为管理口（有

9、的服务器网卡命名为en0和en1等）；b、 将多核探针以binary的方式上传到探针服务器上，假设挂载的位置为：h3cprobeMultipleCPU，然后进入探针安装目录：#cd h3cprobeMultipleCPUh3cprobe目录下有探针采集器的安装文件probe.tar.gz和安装脚本probe_installer.sh；c、 执行probe_installer.sh脚本，提示信息如下：安装程序默认将采集器安装到/usr/local/目录下，直接回车即可进行安装。用户可以根据实际情况输入其他绝对路行进行安装。d、 选择采集器所在服务器的以太网卡名称，本例中选择采集网卡为eth0：输

10、入采集器网卡名称之后，系统会提示用户是否增加其他网卡作为采集器，本例不增加其他网卡，输入“n”后提示如下：注：在询问是否重起服务器的时候，输入“y”，必须重起服务器采集器才能正常工作。采集器会在服务器重起时自动运行，使用ps ax|grep probe命令查看probe进程是否存在，如果存在表示采集器已经启动。3、 iMC UBA服务器的配置默认iMC平台和UBA组件已经部署，并且能够正常启动，然后通过web界面登录iMC配置管理平台，登录方法是http:/localhost:8080/imc。a、 在iMC UBA服务器上开启FTP SERVER服务，或者安装类似Serv U的ftp软件，用

11、户接收从探针服务器发来的dig日志信息。不建议使用3CDaemon软件作为ftp接收软件，原因是该软件具有syslog接收功能，与iMC平台有端口冲突的问题；b、 增加采集器：进入如下位置，选择增加，并按照如下截图进行采集器配置：如果要只对某些内网网段进行采集，可以设置过滤，即增加内网信息。c、 服务配置：进入“业务 >> 流量分析与审计 >> 服务器管理”，输入FTP的目录、用户名、密码，注意目录需要输入绝对路径，同时选择该服务对应的采集器，点击确定，如下图所示：d、 下发配置：进入“业务 >> 流量分析与审计 >> 服务器管理”，在“服务器列

12、表”中选择配置下发，出现如下图示时表示下发成功：下发成功的截图如下：e、 配置常用审计模版：以审计web应用为例，配置模版如下：f、 点击web_audit的审计，结果输出如下：同理，还可以创建基于MAIL、FTP的应用审计任务，如下截图分别是基于MAIL应用和基于FTP应用的审计结果：和NAT设备配合进行用户行为审计案例设备侧配置：1、 配置设备snmp参数：snmp-agentsnmp-agent sys_info version allsnmp-agent community read publicsnmp-agent community write private2、配置发送日志的版本

13、、设备地址、接收服务器地址和端口：userlog flow export version 3 /配置发送日志版本userlog flow export source-ip /配置发送设备源地值，同添加iMC平台的设备地址一致userlog flow export slot 0 host 2 9020 /配置接收日志的iMC UBA服务器地址和端口userlog flow export slot 3 host 9020 /配置接收日志的iMC UBA服务器地址和端口3、配置日志生成机制：session log bytes-a

14、ctive 1 /配置输出会话日志的字节数流量阈值session log time-active 10 /配置输出会话日志的时间阈值4、 在外网NAT端口使能日志统计功能：session log enable inbound /使能入方向上的NAT日志统计session log enable outbound /使能出方向上的NAT日志统计iMC UBA侧配置：说明：由于iMC UBA组件默认不对二进制日志进行处理，所以需要修改配置文件，使能iMC UBA处理NAT日志，方法是：将文件$imcunbaconfsysreceiver.xml中的红色0修改为1，然后保存，并重起iMC服务即可： &

15、lt;!-二进制日志的处理方式，包括三个选项：0-不处理，1-处理成NAT1.0日志，2-处理成FLOW1.0日志 -> <!-缺省是0-不处理 -> <BinaryLogProcessMode>0</BinaryLogProcessMode>1、 添加NAT发送设备，添加设备的时候使用的SNMP模版要与设备侧配置一致：下图显示的是在iMC平台添加成功后的NAT日志设备列表：2、 在iMC UBA中增加该设备为NAT日志发送设备，如下图所示：3、 进行iMC UBA服务配置，即在用户行为审计服务中将NAT设备添加为该服务的日志发送设备：4、 下发配置。

16、在服务器管理中选中对应的服务，点击配置下发，截图如下：下发成功的截图如下：5、 创建NAT日志审计任务，用于审计刚才添加的NAT设备所发送的NAT日志，通常在下发配置后十分钟就能够在创建的审计任务中看到结果，创建审计任务的截图如下：6、 点击刚刚创建的NAT审计任务，输入如下审计结果：iMC UBA的维护：引子：iMC UBA&NTA对日志处理和最后的呈现及审计，日志也有最初的日志生成、发送、接收、处理、存储、显示这些过程，就象流水一样，可能会由于某一个环节的原因而被截流，呈现给用户的就是看不到想要看的日志或者流量信息报表，所以，在回溯原因的时候，我们也就使用这种环节定位的思路来分段检

17、查，直至定位最终的原因，并解决它。以下就iMC UBA看不到日志为起点，分探针和设备两种情况，以环节检查的思路来溯源定位：1、 探针方式实现iMC UBA而看不到日志的定位思路：第一环：日志是否生成查看probe进程是否运行，方法是通过命令：ps ef|grep probe如果探针进程没有运行，可能原因是安装探针不对，即单核系统安装了多核探针，或者多核系统安装了单核探针，也可能是安装探针后没有重新启动服务器；如果探针进程运行正常，那么看/data/目录下是否时刻有日志生成，如果没有可能原因是在iMC UBA服务配置中没有进行配置下发，请进行配置下发；第二环：iMC UBA服务器上能否看到探针发

18、来的日志查看方法是查看iMC UBA服务器上配置的ftp目录下是否实时有日志从探针服务器传过来；如果没有日志传过来，请检查ftp server是否启动，如果启动请检查ftp给探针服务器分配的用户是否具有写权限，中间是否有防火墙将日志给阻断了，简单方法是从探针服务器以ftp登录到iMC UBA服务器并上传文件检查一下，如果不成功以以上方法检查一下。如果OK则进入下一个环节；第三环：日志是否被处理检查方法是$imcdataprocessorData（新版本为：$imcdataprocessorData）目录下是否有日志不断更新，如果没有可能原因是iMC UBA的processor.exe进程没有起

19、来，检查iMC监控代理是否有没有起来的进程存在；第四环：日志是否被存储日志最终的归属地就是终于数据库，目前iMC UBA只支持SQL数据库，也就是查看SQL Server数据库中是否有对应地日志表生成。检查办法是登录SQL Server地企业管理器，选择unba_slave数据库，打开表，查看所有表中是否有如下格式地表生成：tbl_nets_08*（*代表当前日期）表生成，如果启用地摘要日志分析，还有如下格式地表生成：tbl_ftps_08*，tbl_mail_08*，tbl_web_08*；如果没有，可能是日志被丢弃或者数据库有问题，这是不可能的，因为之前的三个环节都OK：）外一环：以上四个

20、环节都OK，但是还不能审计日志如果这时还不能审计日志，可能是探针服务器的时间与iMC UBA服务器的时间不一致，请检查确认修改。经过以上五个环节后，用户按照自己的需求进行审计的时候，日志就会乖乖的出来了。建议处理问题的时候可以采用逆向的方式来排查。2、 设备直接向iMC UBA发送日志处理方式同探针，只是日志生成有设备自己来完成，不需要探针来实现，环节如下：第一环：日志是否生成查看方法是在设备侧display日志发送统计，看是否向iMC UBA服务器发送日志的统计，如果没有，请检查该设备的日志发送配置是否正确，如是否配置发送目的地址、端口，是否使能日志统计等；如果OK，进入下一环节；第二环：日

21、志是否被接收查看方法，检查iMC UBA服务器目录$imcdata recieverData下是否有日志更新，如果没有，日志可能是被阻塞或者丢弃，阻塞的可能是因为iMC UBA和日志生成设备之前有防火墙没有配置正确的acl，或者iMC UBA的9020、9021端口被占用，排除阻断可能，那就是丢弃了，这个原因可能就是添加设备的地址和设备发送日志的源地值不同，确认方法是抓包看一下发往iMC UBA服务器的源IP是否与添加设备的IP地址相同，如果不同删除设备重新添加，或者更改设备配置的日志发送地址；第三环：日志是否被处理检查方法是$imcdataprocessorData目录下是否有日志不断更新，如果没有可能原因是iMC UBA的processor.exe进程没有起来，检查iMC监控代理是否有没有起来的进程存在；第四环：日志是否被存储日志最终的归属地就是终于数据库，目前iMC UBA只支持SQL数