iMC NTAUBA管理NetStream日志故障排查.pdfVIP

iMC NTAUBA管理NetStream日志故障排查 一、开始 iMC NTA、UBA两个组件均有管理Netstream日志的功能，其中NTA面向网络 版权所有:杭州华三通信技术有限公司 流量分析，UBA面向用户行为审计。iMC NTA/UBA管理NetStream的问题排查思路主要分为两大部分： 1.设备侧是否将对应流量转换生成NetStream日志并将日志发送给iMC NTA/UBA服务器。 2.iMC NTA/UBA服务器是否收到设备侧的Netstream日志，是否能够缓存在本 地然后写入数据库并最终展示出来。 1、NTA/UBA安装规范性检查 对照《智能管理中心（iMC）部署和硬件配置方案》对现场NTA/UBA服 务器的安装规范进行检查，排查现场的服务器硬件条件是否符合NTA/U BA服务器的安装规范要求。重点检查如下几点： (1)NTA/UBA服务器是否专机专用，即除了安装iMC之外不能安装其它类 似的网络管理产品。 (2)服务器的硬件配置是否符合NTA/UBA的安装及运行要求，重点关注 服务器的磁盘性能、空间的情况。 (3)在大规模应用场景中，NTA/UBA服务器是否进行了合理的分布式部 署。 2、OS/DB运行状态检查 NTA/UBA作为软件产品其运行依赖于底层操作系统及数据库的正常运行 ，这部分重点排查的内容有： (1)操作系统、数据库是否为正版软件。 (2)操作系统、数据库是否已打上所需的补丁（对照iMC PLAT/NTA/UBA的版本说明书）。 (3)操作系统的系统时间配置正确。 版权所有:杭州华三通信技术有限公司 3、NTA/UBA运行状态检查 这部分重点排查的内容有： (1)iMC部署监控代理中各进程运行正常，无异常的进程。 (2)iMC NTA/UBA服务器的CPU、内存利用率正常。 4、NTA流量分析任务配置 NTA的流量分析任务分为接口、VLAN、采集器、应用、主机、VPN、业 务间七种，请注意NetStream日志情况下NTA不能进行采集器流量分析 。 在配置管理流量分析任务管理中可以查看到这些流量分析任务并可以 点击进入详细页面检查对应的配置是否正确。 5、用户行为审计管理配置 用户行为审计分为通用审计、地址转换审计、Web访问审计、文件传输 审计、邮件审计几种，请注意NetStream日志情况下UBA仅能进行通用 审计。 用户行为审计可以在“配置管理”“用户行为审计管理”中进行查 看并检查对应的配置是否正确。 6、NTA/UBA服务器配置 在配置管理》服务器管理》服务器配置中可以查看对应的服务器配置 是否正确。 在服务器管理中可以点击“配置下发”测试服务器配置能否正常下发 到NTA/UBA接收器进程上，正常情况下会显示下发成功。 版权所有:杭州华三通信技术有限公司 7、NTA/UBA设备配置 可以在iMC NTA/UBA业务》配置管理》设备管理中检查设备配置，请注意SNMP团体 字对应设备上配置的SNMP读团体字。 8、NTA/UBA NetStream原始日志数据文件检查 版权所有:杭州华三通信技术有限公司 NTA/UBA会将收到的NetStream日志先缓存到本地形成文件再逐一入库 ，该原始日志数据文件的保存路径为NTA/UBA部署所在服务器安装目录 的data/processorData/data目录，正常情况下该目录应该有待入数据 库的少量原始日志文件。如果没有说明情况异常，多为配置类问题； 如果有大量的日志文件也是异常的，说明原始日志文件入数据库时存 在积压的情况，需要排查数据库性能、磁盘空间是否足够等方面的因 素。 9、设备侧NetStream日志生成情况检查 检查设备侧是否成功的将NetStream日志发送给iMC NTA/UBA服务器,重点关注发送的目的IP地址、端口是否正确，是否有 日志报文发送出来。 命令：display ip netstream export 如下图中的172.8.99.176应该为NTA/UBA服务器的IP地址，对应的监听 端口为9020，同时已经成功的发送了3292个Netstream V5版本的日志报文。 版权所有:杭州华三通信技术有限公司 10、设备与NTA/UBA服务器可达性检查 检查设备与NTA/UBA服务器是否可达，对应的端口（如上图中的902