《ACG行为审计功能典型配置.docVIP

ACG行为审计功能配置指南及使用说明 当前ACG行为审计功能包括用户行为分析和用户行为审计。用户行为分析包括WEB网站综合分析、WEB网站应用分析、WEB应用行为分析和E-MAIL应用分析；用户行为审计包括WEB应用审计、FTP应用审计、E－mail应用审计。 产品 版本 配套Manager版本 是否支持审计功能 支持审计功能情况 ACG B13维护版本 ACGReporter V0001B0002 否 无 B17D003sp01 （Beta 6103p01） Sec Center V2.10－T0004 是 Web访问URL审计，FTP审计，邮件审计 ACG配置 安装好ACG版本后，首先开启HTTP服务，然后重启ACG设备使之生效。 开启HTTP 调整ACG的系统时区和时间与安装Reporter软件的PC机一致。如： A）PC机的时间和时区： 服务器日期和时间 服务器时区 B）PC机的时区为GMT+8， ACG必须在命令行下修改： H3Cclock timezone GMT+8 H3Cclock datetime 20:56:58 2008/07/1 注意保存，“系统管理”“配置维护”“配置保存”。 进入协议内容审计策略下的规则，确保POP3、HTTP、FTP、SMTP的状态为“使能”，缺省状态为使能。 查看规则 在通知动作列表中，添加SYSLOG主机的IP地址，这个IP地址就是Sec Center服务器的地址，端口号固定为514。 SYSLOG主机配置 在配置好安全区和段之后，将协议内容审计应用到段协议内容审计策略中去，方法和带宽管理策略应用带宽管理一样，保存后点击激活，至此，行为审计ACG方面的配置结束。 将策略应用到段 SecCenter安装 安装前的准备工作： A）确认安装PC的硬件和软件环境满足如下要求： 1、硬件要求：CPU P4 2.0以上，内存1.5G以上，硬盘：80G以上 2、操作系统要求：Windows 2003 Server 中文版（推荐）或Windows XP 中文版，且安装最新补丁；如果使用英文版操作系统，必须安装中文字库 3、浏览器要求：IE 6.0以上 B）由于reporter软件安装后要占用80端口，请确保当前PC没有开启WWW服务 C) 建议关闭Windows自带的防火墙 下一步开始安装配置Sec Center,运行Sec Center安装文件。 运行安装文件 默认选择中文，点击“OK” 点击OK 接受许可协议条款，按默认安装即可。 接受条款 安装完成后，需要重启系统。 重启 重启后，右下角有个服务器小图标，可以看到有三个服务器，检查确保数据库、web服务、接收器服务都已经启动，且数据库状态正常。 确认状态 用IE登陆web页面，地址栏中输入localhost即可，默认端口号是80，可以不写。以admin/admin1登陆。 登陆WEB 首先要填写注册信息，点击“确定”。 注册 点击“下载”生成注册文件保存到本地，此文件和服务器Mac地址绑定，只能用在本服务器PC上。将以.info后缀名的注册申请文件发到license@统一处理，说明将会用到的服务，一般只要带宽管理和行为审计即可，需要其他服务需要注明。会有专人处理,并回复生成的授权注册文件，一般以.lic为后缀名。 下载主机信息文件 进入license注册页面，选中分配的注册文件，点击“确定”。 上传License 弹出注册成功的对话框，“确定”，即可完成注册 确定 系统会显示之前填写的注册信息，并有带宽管理和行为审计页面。 成功显示界面 需要在系统管理中添加ACG设备，然后同步（注意HTTP服务要打开，并且已经重启ACG设备，否则不能同步ACG）。 同步 目前ACG行为审计可以支持URL、FTP（登陆、上传、下载）、EMAIL服务的审计功能，所有配置完成。 完成 Sec Center上行为审计模块的实现 Web应用审计，包括用户的IP、访问的网页和访问时间等。 Web应用审计 FTP应用审计，包括用户IP、服务器IP、登陆名和操作类型等。 FTP应用审计 E-Mail应用审计，包括用户IP、服务器IP、收/发件人、主题和附件名等。 E－Mail应用审计 即时通信/QQ/NAT日志审计暂时还不支持。 暂时不支持 注意事项 请先检查安装ACG reporter的PC上是否打开了www服务，如果是的话，请关闭。 关闭WWW服务 收件人地址过长，会显示不全。 例如收件人地址为 XXXXXX@XXXX.XX.XX，可能仅仅显示前面一段，后面会被截断不能显示。 某些中文主题会显示乱码。 例如邮件主题是“你好hello”，可能由于编码的原因显