iMCUBA采集DIG和SR66日志的配置和维护指导教程解析.docVIP

iMC UBA的配置和维护指导 iMC UBA的配置和维护指导 1 摘要 1 名词解释 1 准备工作： 2 组网方式 3 探针的UBA实现案例 3 和NAT设备配合进行用户行为审计案例 9 iMC UBA的维护： 14 日志收集 16 摘要 iMC智能管理中心，是华推出的下一代业务智能管理平台。它融合了当前多个产品，以统一的风格提供与网络相关的各类管理、控制、监控等功能；同时以全开放的、组件化的架构原型，向平台及其承载业务提供分布式、分级式交互管理特性；并为业务软件的下一代产品提供最可靠的、可扩展的、高性能的业务平台。mail信息；用户还可以自定义日志审计任务，通过审计任务用户可以持续审计自己关注的上网行为。当UBA组件和iMC UAM（用户接入管理）组件一起安装时，UBA能够和iMC用户接入管理组件实现联动，实现基于用户名的审计，替代基于IP地址审计用户上网行为的方式。 名词解释 主服务器：部署iMC平台的服务器； 从服务器：通过Web登录iMC配置台，将所选组件分步式部署在非主台服务器的服务器； 用户行为审计：对用户上网过程中以何地址、何端口访问了哪里等进行记录，如果是NAT日志可以审计到NAT前后的地址、端口，如果何DIG配合可以审计到网页，同时对应用FTP、HTTP、MAIL进行审计； 流量分析：一般部署在网络出口，主要关注用户网络的实时带宽大小，同时涵盖了这些流量信息中的应用区分，为优化网络提供帮助，主要关注实时的信息多一些，报表丰富； 数据库空间使用率：在iMC平台安装好以后，UBA或者NTA会自动创建数据库，在这个数据库中存放从设备或者探针发来经过分析处理后的日志文件，在此数据库空间中以存放的日志占用空间与目前数据库申请的空间的比值就是数据库空间使用率，其值会随着保存日志的增多而变大，当数据库空间用完的时候，数据库会进行自动扩张，从而间接降低磁盘数据库空间使用率，用户存放新的日志数据； 磁盘空间使用率：数据库所在磁盘已使用空间与总空间的比值，随着数据库空间的不断增长而变大，单纯的删除数据库空间的表不会降低磁盘空间使用率，只有将数据库中的表删除后，并进行数据库收缩才能够降低磁盘空间使用率； 准备工作： 概览：iMC平台包含了网管的功能，根据用户应用的需要可以将UAM、EAD、UBA、NTA等组件跟平台进行集中式部署，也可以分步式实现，即为了功能的明确和性能的要求，可以对部分组件采用分步式的方式来不属到其他的服务器上。例如UBA、NTA组件可以通过分步式部署来实现，这种分步式部署最多支持5台服务器，部署方法是将用户行为审计组件或流量分析组件部署在主服务器上，即和iMC平台部署在一起，而将用户行为审计服务器组件或流量分析服务器组件部署到从服务器上，要求每台服务器只能部署一个用户行为审计或/和流量分析服务器组件； 本案例以集中式部署为例进行说明，同时兼顾探针和SR66的NAT日志审计，默认平台和UBA都已部署完成，且能够自动启动。 硬件准备 平台（以5000个用户的平台推荐配置，具体参考对应组件的版本说明书）： PC服务器-HP ML350G4p-2*Xeon 3.0GHz-2G-6*72G(10K) SCSI RAID5-软驱-CDR-集成网卡+1001000M网卡-642 RAID卡(192M)-15-塔式-3年5*8服务-英文资料-725W-键/鼠 探针服务器： 要求探针服务器双网卡（具体参考对应组件的版本说明书），使用的操作系统为Linux ES3.0， 软件安装 操作系统：iMC支持Windows 2000SP4 Server、Windows 2003SP1 Server及以上版本，数据库支持SQL Server 2000SP4、SQL Server 2005 iMC版本：目前最新的版本为iMC PLAT 3.20-E2403、iMC UAM 3.20-E0401P05、iMC EAD 3.20-E0401P05、iMC-UBA-3.20-B0401P01，如果是山西电力用户使用iMC UBA组件，还需要打上如下两个补丁：iMC UBA 3.20-B0401L02、iMC UBA 3.20-B0401L03； 探针版本：操作系统为Linux ES3.0，版本为：iMCh3cprobeE0401，其中包括SingleCPU和MultipleCPU两种，分别表示工作在单核和多核系统下的探针采集器； 组网方式 探针方式组网 和NAT设备配合组网 探针的UBA实现案例 操作系统的安装 安装方法参见Linux ES3.0的安装指导书； 探针采集器的安装 对于iMCh3cprobeE0401探针的安装之前，要先确定所进Linux ES3.0系统是多核还是单核，安装完Linux ES3.0默认所进系统为多核操作系统，其命名方