iMC UBA管理NAT及FLOW日志故障排查.pdfVIP

iMC UBA管理NAT及FLOW日志故障排查 一、iMC UBA管理NAT/FLOW日志问题排查 版权所有:杭州华三通信技术有限公司 iMC UBA用户行为审记组件可以和设备的NAT/FLOW日志配合进行用户行为审 记。iMC UBA管理NAT/FLOW日志的问题排查思路主要分为两大部分： 1.设备侧是否将对应终端用户的访问流量转换生成NAT/FLOW日志并将 日志发送给iMC UBA服务器 2.iMC UBA服务器收到设备侧的NAT/FLOW日志，缓存在本地然后写入数据库并 最终展示出来。 本问题排查思路采用从结果向来源的思路编写。 1、UBA安装规范性检查 对照《智能管理中心（iMC）部署和硬件配置方案》对现场UBA服务器 的安装规范进行检查，排查现场的服务器硬件条件是否符合UBA服务器 的安装规范要求。重点检查如下几点： 1.UBA服务器是否专机专用，即除了安装iMC之外不安装其它类似的网 络管理类产品 2.服务器的硬件配置符合UBA的安装及运行要求，此项请重点关注服务 器的磁盘性能及空间的情况。 3.在大规模场景中，UBA服务器是否进行了合理的分布式部署。 2、OS/DB运行状态检查 UBA作为一个软件产品其运行依赖于底层操作系统及数据库的正常运行 ，这部分重点排查的内容有： 1.操作系统、数据库是否为正版软件 2.操作系统、数据库是否已打上所需的补丁（对照iMC PLAT、UBA的版本说明书） 版权所有:杭州华三通信技术有限公司 3.操作系统的系统时间配置正确 3、UBA运行状态检查 这部分重点排查的内容有： 1.iMC部署监控代理中各进程运行正常，无异常的进程 2.iMC UBA服务器的CPU、内存利用率正常 4、用户行为审记管理配置 用户行为审记分为通用审记、地址转换审记、Web访问审记、文件传输 审记、邮件审记几种，请注意NAT/FLOW日志情况下主要用于“地址转 换审记”。 请检查配置管理》用户行为审记管理中已经创建了对应的“地址转换 审记”任务并检查对应的配置是否正确。 6、UBA服务器配置 在配置管理》服务器管理》服务器配置中应有对应的服务器配置，同 时查看对应的服务器配置是否正确。 在服务器管理中可以点击“配置下发”测试服务器配置能否正常下发 到UBA接收器进程上，正常情况下会显示下发成功。 7、UBA设备配置 版权所有:杭州华三通信技术有限公司 在iMC UBA业务》配置管理》设备管理中应有对应的设备配置，同时检查设备 配置，是否正确。请注意SNMP团体字指设备上配置的SNMP读团体字。 8、UBA NAT/FLOW原始日志数据文件检查 UBA会将收到的NAT/FLOW日志先缓存到本地形成文件再逐一入库，该原 始日志数据文件的保存路径为UBA部署所在服务器安装目录的data/pro cessorData/data目录，正常情况下该目录应该有待入数据库的少量原 始日志文件。如果没有说明情况异常，多为配置类问题；如果有大量 的日志文件也是异常的，说明原始日志文件入数据库时存在积压的情 况，需要排查数据库性能、磁盘空间是否足够等方面的因素。 9、设备侧NAT/FLOW日志生成情况检查 检测设备侧是否成功的将NAT/FLOW日志发送给iMC UBA服务器,重点排查发送的目的IP地址、端口是否正确，是否有日志 报文发送出来。 版权所有:杭州华三通信技术有限公司 不同设备的命令行可能不太一样，但原理是相同的，下面以SR88设备 发送FLOW日志为例进行举例说明 命令：display userlog export slot slot-number [ | { begin | exclude | include } regular-expression ] 如下图中的1.2.3.6应该为UBA服务器的IP地址，对应的监听端口为902 0，同时已经成功的发送了91个FLOW日志报文。 10、设备与UBA服务器可达性检查 检查设备与UBA服务器是否可达，对应的NAT/FLOW日志发送的端口是否 被中间的防火墙过滤等。 11、设备侧NAT/FLOW配置检查 如果在前面的设备侧日志生成情况环节发现没有NAT/FLOW日志报文发 出，则需要进一步对照对应产品的配置手册排查设备版本是否正确、N AT/FLOW相关配置是否正确。 请拨打热线400-810-0504