- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
手册下载
40-使用U-Center 2.0监控NDR配置举例-整本手册.pdf (1.32 MB)
使用U-Center 2.0监控NDR
配置举例
资料版本:5W100-20240603
Copyright © 2024 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
目 录
NDR(Network Detection and Response)是H3C提供的一种先进的网络安全解决方案。NDR通过镜像网络流量,实现对关键路径上的数据流进行深度分析,包括已知威胁检测(基于百万级URL特征库、IPS特征库、AV特征库和应用特征库)、未知威胁检测(基于软件虚拟运行、沙箱逃逸对抗等技术)和高级威胁分析与溯源能力(基于威胁情报联动、全包存储回溯和专家推理分析)。
此外,该系统实现了对关键业务中的威胁事件和网络行为异常的实时发现、关键威胁事件全过程回溯分析和自动响应,通过数据存储、安全检测、安全可视化分析和安全设备联动响应,为客户提供一体化的高级威胁检测、溯源分析和响应处置系统。从而提升了网络系统和业务系统的安全保障和事件响应效率,深度保障了网络安全。
本文将介绍U-Center 2.0监控NDR、查看其监控报表及阈值告警的配置过程。
本文适用于在U-Center 2.0下对NDR进行纳管监控的场景。
· NDR平台配置、部署和启动正常,且适配版本为E1105。
· U-Center 2.0服务器安装和部署完成,并且能够和NDR平台正常通信。
某公司数据中心采用NDR平台,用于承载企业中的各项业务,组网图如图1所示。服务器管理员现在要使用U-Center 2.0对NDR进行纳管监控,组网明细如表1所示。
|
主机名 |
IP地址 |
应用 |
|
Server(U-Center 2.0) |
192.167.27.88 |
U-Center IOM 2.0(E0721) |
|
Host A |
10.123.53.179 |
NDR(E1105) |
配置和监控NDR的第一步,需要将其先增加到U-Center 2.0中。
(1) 登录U-Center 2.0。
(2) 单击“监控”页签。
(3) 在左导航树中单击[基础监控/其他资源]菜单项,进入其他资源页面,如图2所示。
(4) 在其他资源页面,单击<增加>按钮。
(5) 单击“服务监视”分类下的“NDR”,进入增加其他资源NDR页面,如图3所示。
图3 增加NDR页面
(6) 配置基本信息:设置IP地址、名称和描述等信息,如图4所示。
¡ IP地址:输入NDR的IP地址,本例采用“10.123.53.179”。
¡ 名称:输入NDR的名称,本例采用U-Center 2.0自动生成的名称“NDR_10.123.53.179”。
¡ 描述:按需填写应用的描述信息。本例不填写。
¡ 管理站:指定监控的管理站,默认为“local”。本例采用默认选项,选择本地管理站。
¡ 所属资源分组:设置监控对象所属资源分组,便于资源管理,仅在增加监控时可以选择。本例暂不设置。
¡ 配置业务场景:选择该资源的业务场景,包括“监控”和“配置轮询”。本例保持默认。
基本信息参数说明:
· 配置轮询业务场景:需购买CMDB产品的相关License获取数量授权和功能授权,否则页面上将不显示该业务场景。
· 管理站:若为proxy场景,需使用proxy进行应用纳管,即指定监控的管理站为proxy。若为region场景,需使用region进行应用纳管,即指定监控的管理站为region。region下级环境同步的资源,在region上级环境仅有查看及导出权限。执行其他操作时将跳过操作。
(7) 配置监控/配置轮询参数:设置监控参数、访问参数和其他参数,如图5所示。
¡ 监控参数
- 监控模板:默认使用U-Center 2.0预定义的“NDR”模板,本例采用默认。可以单击<设置>按钮,重新选择监控模板或修改监控模板设置。修改监控模板的相关操作,请参见3.2.2 配置NDR监控模板。
¡ 访问参数
- 监控协议:默认勾选“NDR”。单击右侧的<设置>按钮,可以在弹出的窗口中增加或者选择系统中已有的访问参数模板。此处以不选择访问参数模板为例。
- 监控端口:NDR当前使用的端口号。本例采用默认端口值“8999”。
- 连接超时时间(s):本例保持默认设置。
- 查询超时时间(s):本例保持默认设置。
¡ 其他
- 是否探测:默认为是。本例保持默认。
图5 配置监控/配置轮询参数
(8) 单击<测试连通性>按钮,验证配置参数是否正确。
(9) 验证成功后,单击<确定>按钮,提示增加成功,
(10) 在其他资源监视列表中将显示增加完成的NDR监视信息,如图6所示。
U-Center 2.0通过监控模板控制采集指标及其阈值,系统已预设大量可直接使用的监控模板。用户也可根据实际需求修改监控模板,从而实现个性化监控。
即对关注的指标设置阈值,通过监控资源的告警状态,及时了解应用运行状态。常用操作如下:
· 进入NDR监控模板,请参见3.2.2 1. 进入NDR监控模板。
· 选择指标配置中已有指标组,修改该指标组的采集间隔,请参见3.2.2 2. 修改指标组的采集间隔。
· 选择指标配置中已有指标,增加该指标阈值配置,请参见3.2.2 3. 增加指标阈值配置。
· 修改已有指标的阈值配置,请参见3.2.2 4. 修改指标阈值配置。
(2) 在左导航树中单击[监控选项/监控模板]菜单项,进入监控模板页面。
(3) 在选择模板类型区域内,依次单击“其他资源>服务监视>NDR”,查看NDR的监控模板,如图7所示。操作列提供如下功能:
¡ 单击操作列的
图标,进入复制监控模板页面。举例,复制监控模板“NDR”,将生成监控模板“NDR_copy”,用户可在复制监控模板页面对新模板信息进行修改和保存。
¡ 单击操作列的
图标,进入修改对应监控模板页面,用户可对已有监控模板进行基本信息的修改以及指标阈值的配置。
¡ 单击操作列的
图标,进入修改监控模板页面的阈值配置页签。
图7 NDR监控模板
(4) 单击操作列的
图标,进入修改监控模板页面。
修改监控模板说明:当涉及多项参数增加或修改时,推荐先复制监控模板,并在复制模板中增加或修改参数,再为应用配置修改后的监控模板。
(5) 配置监控模板的基本信息,本例均不作修改,如图8所示。若修改,在监控模板修改成功后,下个采集周期将自动应用修改后的监控模板。
替换资源的监控模板有以下两种方式:
· 单独替换:在该资源所属的监控列表页面,单击操作列的
图标,进入修改页面,可单独为该资源替换监控模板。
· 批量替换:在该资源所属的监控列表页面,勾选多个相同资源类型的资源后,单击<更多>按钮,在下拉菜单中单击[更换监控模板]菜单项,在弹出的监控模板窗口中替换监控模板,即可实现批量替换监控模板。
此处以修改“系统监控数据”指标组的采集间隔为例进行介绍。
(1) 在修改监控模板页面,勾选指标配置页签下的“系统监控数据”指标组。
(2) 单击<修改采集间隔>按钮或单击“系统监控数据”指标组操作列的
图标,在弹出的窗口中修改采集间隔。本例修改为“10分钟”,如图9所示。
(3) 单击<确定>按钮,完成“系统监控数据”指标组采集间隔的修改,如图10所示。监控模板修改成功后,下个采集周期将自动应用修改后的监控模板。
此处以增加“内存使用率”指标的阈值为例进行介绍。
(1) 展开指标配置页签下的“系统监控数据”指标组,如图11所示。
(2) 单击“内存使用率”指标对应操作列的
图标,弹出增加配置窗口,如图12所示。
¡ 阈值类型:U-Center 2.0包含普通阈值、复合阈值、规则阈值以及实例丢失阈值类型,不同阈值类型所需配置不同。请按需选择阈值类型,设置判断符并选择阈值等级。部分指标的阈值类型已在U-Center 2.0中预定义,不可修改。此处以“普通阈值”为例。
¡ 适用时间:包含全部时间和自定义时间。本例采用选择“全部时间”。
- 全部时间:完成阈值配置后的全部时间段。
- 自定义时间:支持周一至周日的任意时间段设置。
¡ 阈值配置:对“内存使用率”指标,此处以“警告”为例,并分别设置阈值和触发次数,判断符使用“大于”。即当系统监控数据中内存使用率大于60%,并达到连续3次出现时,将产生“警告”级别告警。
(3) 单击<确定>按钮,在“阈值配置”页签下查看增加的“内存使用率”指标阈值,如图13所示。
(4) 如不再需要修改监控模板中的其它参数,需再单击页面底部的<确定>按钮,保存修改内容。监控模板修改成功后,下个采集周期将自动应用修改后的监控模板。
此处仍以配置“内存使用率”指标的阈值为例进行介绍。
(1) 在修改监控模板页面,展开指标配置页签下的“系统监控数据”指标组。
(2) 单击“内存使用率”指标对应操作列的
图标,进入“阈值配置”页签。
(3) 单击阈值操作列的
图标,弹出修改配置窗口,如图14所示。
图14 修改阈值配置
¡ 阈值类型:已设置为“普通阈值”,无法修改。
¡ 适用时间:包含全部时间和自定义时间。本例不作修改。
¡ 阈值配置:本例采用仅修改触发次数,即当系统监控数据中内存使用率大于60%,并达到连续1次出现时,将产生“警告”级别告警。
设置适用时间的方法有:
· 在修改某个指标阈值配置时,进行适用时间的设置。
· 在“阈值配置”页签下勾选某个指标阈值配置,单击<设置时间>按钮,进行适用时间的设置。
(4) 单击<确定>按钮,完成修改“内存使用率”指标阈值配置,如图15所示。
(5) 如不再需要修改监控模板中的其它参数,需再单击页面底部的<确定>按钮,保存修改内容。监控模板修改成功后,下个采集周期将自动应用修改后的监控模板。
(2) 在左导航树中单击[基础监控/其他资源]菜单项,进入其他资源页面。
(3) 在其他资源页面,查看其他资源监控列表。经过一段采集时间,此时告警状态已发生变化,如图16所示。
(4) 单击“NDR_10.123.53.179”链接,进入NDR资源监控详情页面,如图17所示。
图17 NDR监控报表(部分)
监控报表说明:
· 如果指标值超出了对应阈值,则监控报表中的该值的底色变为U-Center 2.0中对应告警级别的颜色。
· 如果同一应用有不同级别的告警被触发,则告警状态中将展示已触发的最高级别告警。
· U-Center 2.0对同一指标提供了多种时长的数据展示,包含“1小时”/
、“6小时”/
、“1天”/
、“7天”/
、“30天”/
以及“自定义”/
。用户单击指标值右侧的
图标,在弹出的窗口中选择对应时长按钮可进行切换展示,或单击表格右上方对应时长图标进行切换展示。
查看监控概览中的今日可用性区段,如图18所示。
· 饼图:应用今日各可用性状态的百分比。用户将鼠标移至饼图的分片上可以看到相应分片的百分比数据。
· 当前可用性:当前应用的可用性。
¡ 正常运行:从今日00:00开始,应用的累计正常运行时长。
¡ Ping不可达:从今日00:00开始,应用的累计Ping不可达时长。
¡ 协议连接失败:从今日00:00开始,应用的累计协议连接失败时长。
¡ 停止采集:从用户手动关闭设备的监控采集状态开始,应用的累计停止采集时长。
· 对于新增加的应用监控,“正常运行”、“Ping不可达”、“协议连接失败”以及“停止采集”从当日应用监控增加成功开始计时,并且时长为0的可用性状态统计数据不显示。
· 7天历史:单击<7天历史>按钮,查看应用最近7天的可用性。7天历史以小时为单位统计应用的可用性,如图19所示。用户将鼠标移至相应时段可以查看NDR各可用性状态百分比。
图19 7天历史
· 30天历史:单击<30天历史>按钮,查看应用最近30天的可用性。30天历史以天为单位统计应用的可用性。用户将鼠标移至相应时段可以查看NDR各可用性状态百分比,如图20所示。
图20 30天历史
查看监控概览中的CPU数据区段,如图21所示。
图21 CPU数据
· CPU使用率:NDR系统的CPU使用率。
· CPU总频:NDR系统的CPU总体时钟频率。
查看监控概览中的内存数据区段,如图22所示。
图22 内存数据
· 内存使用率:NDR系统的内存使用率。
· 内存总容量:NDR系统的内存总大小。
查看监控概览中的磁盘数据区段,如图23所示。
图23 磁盘数据
· 磁盘使用率:NDR系统的磁盘使用率。
· 数据盘总容量:NDR系统的数据盘总大小。
· 系统盘使用率:NDR系统的系统盘使用率。
· 系统盘总容量:NDR系统的系统盘总大小。
· 系统状态:NDR系统的整体运行状态,此例为“健康”状态。
(1) 在NDR资源详情窗口,监控概览页签的表头,会展示监控应用的名称,类型、告警状态以及挂牌状态。如果同一应用有不同级别的告警被触发,则告警状态中将展示已触发的最高级别告警。单击告警状态信息链接或单击“告警信息”页签,进入告警信息页面,如图24所示。
(2) 将鼠标悬浮在告警信息链接上可查看详细信息,如图25所示,或单击告警信息链接进入告警详细信息页面查看,如图26所示。
(3) 用户收到内存使用率产生的“其他资源阈值告警”,确认相关信息无误后,可单击确认状态中的“未确认”链接确认告警,如图27所示。
图27 其他资源阈值告警-确认告警
(4) 修复完环境中存在的问题或重设阈值后,可单击恢复状态列下的“未恢复”链接,恢复告警状态,如图28所示。
图28 其他资源阈值告警-恢复告警
自动恢复并确认告警状态:
· U-Center 2.0对应用监控是周期性的,如果在下个周期采集到指标值已不满足阈值条件,将自动恢复告警状态并记录新的指标值。
· 用户查看相关信息后,单击确认状态列下的“未确认”链接,确认告警状态。
(5) 当所有告警状态恢复后,NDR的告警状态也会恢复为正常,如图29所示。
支持
