- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
手册下载
H3C SecPath ACG1000日志分析与管理平台
用户FAQ
Copyright © 2025 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
在物理机上安装NMS系统时,出现docker安装失败,如何处理?
日志分析与管理平台和用户行为感知分析平台是否能安装在同一个服务器,安装顺序有什么要求?
配置模板里面,为什么地址对象中的private显示引用次数为1?
日志分析与管理平台下发的策略配置,能否被直接登录设备的管理员(或用户)引用或配置?
日志分析与管理平台和用户行为感知分析平台安装在同一个服务器上后,接收设备日志有什么不同?
在服务器上只安装日志分析与管理平台,接收设备日志有什么不同?
运维中心里面日志管理中的日志(在线日志、系统日志、操作日志)删除机制和数据中心中接收的设备发送来的日志,其删除机制有何不同?
网管和行为分析平台安装在同一个服务器上时,对恢复配置文件和数据文件有什么要求?
网管上入侵防御配置和设备不同,选择任意中事件集下发到设备都被识别成all?
Web管理2个设备,其中一个设备点击退出按钮退出,会影响另外一个正在使用的设备?
为什么ACG上已经有审计日志,可是网管平台的数据中心没有数据?
已配置邮箱服务器,并且在告警设置中进行了配置,为什么收不到告警邮件?
在生成报表时,有指定邮件地址,为什么报表生成成功,但是未收到报表邮件?
创建了用户,并且邮件地址、邮箱服务器设置都正确,为什么还是收不到告警邮件?
配置模板中,模板配置界面,不管是新建还是编辑同一时刻只能打开一个,后面打开的 会提示:正被其他人配置,请稍后再试?
如果开启双因子认证后,但是在未插入Ukey时,打开浏览器访问网管会提示:没有权限访问,后续再插入Ukey,在未关闭浏览器的情况下,再次访问网管时,还是提示“没有权限访问”?
开启了syslog发送日志,但是在数据中心还是未查询到日志?
修改服务器时间后,重启服务器,服务器可以ping通,但是登录不上?
创建系统升级计划任务,修改服务器时间,让服务器时间接近任务执行时间,等待到任务执行时间时,升级任务未执行?
网管系统是否支持在CentOS7.8 或者 CentOS8.1 上面安装?
在设备上配置ftp上传日志方式时,为什么网管上的数据中心无设备的操作日志和系统日志?
点击立即执行报表计划后,跳转至报表文件页面,报表文件页面为什么没有生成的报表文件?
入侵防御日志,更多条件查询选项中,事件类型这个下拉框在新装系统中为什么是空?
6611P13版本发送过来的IPv6控制策略流阻断日志,网管可以接收入库么?
报表中心生成的报表,为什么html格式的报表和pdf格式的报表样式会不同?
为什么网管配置模板中,名称不可编辑没有置灰,必选项没有加星号?
网管上新增设备,设备名称支持127个字符,超过127个字符也能新建成功?
数据分析,流量分析中,用户流量排行、应用流量排行上下线流量及总流量统计和设备本身统计相差近10倍;设备流量排行下线流量统计有问题,相比设备统计差距很大。
从日志分析与管理平台跳转到设备管理页面后,如果不操作设备,会提示“页面访问超时,请重新反向连接”?
审计日志导出后打开term_supplier和term_platform两列内容为空?
分别用不同操作系统(IOS版和Andriod版)终端使用pc开启的wifi进行无线上网,然后登录QQ客户端,在ACG的IM聊天软件日志里都识别为Iphone IOS 版?
NMS平台的硬件要求如下:
表1 NMS安装环境硬件要求
|
设备名称 |
设备型号 |
设备数量 |
推荐配置 |
|
设备 |
ACG1000 |
1台或多台 |
- |
|
服务器/虚拟机 |
Centos7.9 操作系统 |
1台或多台 |
具体的服务器配置参考服务器配置要求 |
|
服务器/虚拟机 |
Euler23.09操作系统 |
1台或多台 |
具体的服务器配置参考服务器配置要求 |
表2 NMS安装服务器配置要求
|
设备数量 |
用户数 |
每秒日志量 |
CPU |
内存 |
硬盘 |
|
≤5台 |
1000 |
每秒日志5千条 |
2路x8核,2.4Ghz及以上 |
≥16G内存 |
≥1TB(硬盘做RAID5) |
|
≤50台 |
5000 |
每秒日志1万条 |
2路x12核,2.4Ghz及以上 |
≥32G内存 |
≥2TB(硬盘做RAID5) |
|
≤100台 |
10000 |
每秒日志2万条 |
2路x12核,2.4Ghz及以上 |
≥64G内存 |
≥2TB(硬盘做RAID5) |
|
≤500台 |
20000 |
每秒日志3万条 |
2路x12核,2.4Ghz及以上 |
≥64G内存 |
≥5TB(硬盘做RAID5) |
|
≤1000台+ |
30000 |
每秒日志4万条 |
2路x24核,2.7Ghz及以上 |
≥128G内存 |
≥5TB(硬盘做RAID5) |
|
1000台+ |
50000 |
每秒日志5万条 |
2路x24核,2.7Ghz及以上 |
≥256G内存 |
≥10TB(硬盘做RAID5) |
暂不支持国产海思芯片的服务器,推荐使用Intel芯片的服务器。
客户端访问网管平台推荐分辨率:1920*1080,推荐浏览器:Chrome(79.0及以上版本)。
登录日志分析与管理平台,在导航栏中选择“运维中心>系统管理>系统信息”,在“系统信息”页面可以查看系统版本信息。
进入物理机的BIOS设置菜单,把安全启动“去使能”后保存设置,再重新安装NMS系统。
日志分析与管理平台和用户行为感知分析平台可以安装在同一个服务器上。
安装及卸载顺序如下:
安装时,必须先安装日志分析与管理平台,再安装用户行为分析平台。
卸载时,必须先卸载日志分析与管理平台,再卸载用户行为分析平台。
配置模板中策略的配置逻辑采用的是Docker技术。
Docker中运行的实际是设备代码,在设备的代码逻辑中,private默认会被用户管理里面的识别范围引用,所以private初始会显示默认引用次数为1。
日志分析与管理平台支持全局白名单配置的下发。目前此功能仅支持管理ACG R6616(P08及以上)版本和F6617(P03及以上)版本的设备使用。
日志分析与管理平台下发的策略配置是不建议被直接登录设备的管理员(或用户)引用或者配置的
平台下发的策略配置被引用或者配置后,会改变策略的拥有属性,导致网管再次下发配置时,配置下发失败。
两个平台安装到同一个服务器后,日志分析与管理平台只能使用syslog接收设备发送过来的日志,用户行为感知分析平台还是用默认的FTP方式接收设备发送过来的日志。
在服务器上只安装日志分析与管理平台,接收日志方式不变,即支持syslog方式,也支持通过FTP方式接收设备发送来的日志。
日志管理中的日志删除,其原理是:当系统存储的日志到达10w条时,内部有一个24小时的定时器,定时器触发系统启动删除机制,删除日志后,只保留最近的8w条日志。
数据中心中的日志删除,是有磁盘设置控制,达到阈值时,对日志进行删除,保留设定天数的日志,如果阈值还是不满足,还会一天一天的删除日志,直到满足阈值要求,删除机制由定时器触发,1小时检查一次。
不可以指定一个已经存在的非空目录,系统会提示目录为非空,不能继续安装,直到指定一个空目录为止
不可以指定一个携带特殊字符的目录,指定的目录推荐使用英文字符名称的目录,否则会导致安装失败和恢复数据功能不可用
推荐在安装完成网管后,进行网管的配置文件和数据文件的恢复操作,之后再安装行为分析平台
(1) 当设备上面的在线用户达到满规格时,会导致在线用户时长都不满足1分钟。
(2) 当用户在线时长不满足1分钟时,设备无法发送流量日志到网管。
(3) 避规方法:设置用户识别范围,让其不达到满规格;清除在线用户。
(1) 这是由于网管创建的排除策略id和设备上创建的排除策略id相同,导致网管下发的排除策略失败。
(2) 如果设备上没有创建排除策略时,网管下发的排除策略可以下发成功。
(1) 网管下发IPS模板,生成的命令为ips-profile enable、ips-profile event-set Common和6612以及6613都不相同,命令会下发失败,执行后被转换为默认命令,所有下发后都是all。
(2) 6612和6613版本模板名称已经变化。
(1) 反向管理设备时会将访问用户保存在cookie中以校验用户的资源权限,但是同时访问多个反向管理时其cookie保存的domain是相同的,导致退出反向管理时清理cookie,会将用户的cookie清理。
(2) 此时访问所有的反向管理无法获取用户cookie,此时关闭页面,需要重新点击反向管理才能继续使用。
(1) 检查网管服务器和设备之间网络是否能够互通。
(2) 检查网管上面添加的设备名称、密码是否和设备上面填写的设备注册名称、密码一致。
(3) 检查服务器的443端口是否放开。
ACG上的日志,如果是FTP方式上传是每间隔10分钟往网管平台同步一次,如果是syslog方式,在日志数量未达到1000条时,网管会5分钟入库一次。
(1) 检查网管服务器是否正确配置了DNS服务器地址。
(2) 检查邮箱服务器的相关信息是否填写。
(1) 检查邮箱是否配置正确;
(2) 检查是否创建用户,并且给用户配置的邮箱地址是否有效;
(3) 检查用户是否分配了该设备的管理权限。
网管平台检查设备状态,不是实时检查的,系统内部有一个定时器,每30s会检查一下设备在线状态。
(1) 检查是否有勾选设备。
(2) 检查设备是否有绑定配置模板。
(1) 检查系统设置中的邮箱是否设置正确,并且测试是否成功。
(2) 检查邮件地址是否填写正确。
(1) 检查创建用户的用户,是否有为其分配设备资源。
(2) 检查产生告警的设备,是否分配给了该用户。
如果管理的设备中出现以下两种情况之一,则系统判定为异常设备:
设备在一天内离线次数大于5次;
网管平台每隔30秒对管理的设备进行检查,如果CPU或内存的使用率连续5次都大于告警设置中设定的值。
网管平台日志查询是依赖服务器的本地时间,但是设备发送给网管平台的日志时间是标准时间,如果2者时间不一致,就会导致日志查询为空。
生成报表的时间是按照服务器修改后的时间来,但是浏览器查看时,它获取的是Windows系统的当前时间,如果2者差别很大,那么就会导致,在默认时间查看不到生成的报表文件。
由于IE浏览器本身性能的问题,浏览器反应很慢,容易出现卡顿情况,(推荐使用Chrome或者Firefox浏览器)。
用户被锁定后,需要等待15分钟才能自动解锁。
由于配置模板的策略配置界面,是利用docker技术,如果同时打开其实打开的是同一份,相互之间会有影响,为了避免相互影响,所以做了该限制。
可能出现这个问题的原因是:服务器时间和浏览器时间不一致导致,如果服务器时间比浏览器时间早(比如服务器时间是:2020-10-19号,但是浏览器时间是2020-10-18号),就会导致生成的证书还未生效,由于生效时间未到(2020-10-19),所以会出现该问题。
这是由于在浏览器未重启时,插入的Ukey还未生效,需要重启浏览器后,再次访问网管,即可弹出认证信息,并能够正常访问。
是由于syslog各类日志入库,需要等日志量达到1000条后,才会入库一次,所以如果日志量没有达到1000条时,在网管上面是无法看到设备上面产生的日志的,另外内部也有一个定时器,当日志量一直无法达到时,定时器5分钟会把收到的syslog日志进行一次入库操作。
MySQL所在的服务器的时间更改,MySQL的缓存的时间戳依据的是主机的时间;在我们手动向前修改时间,会出现MySQL退出时要求清空比生成时间“还早”的缓存而导致了锁死。在向前修改主机时间,MySQL停止时会出现hang,可能出现的大问题是数据入库时间会错乱。这个时候就会出现服务器可以ping通,但是无法登录,服务器重启恢复时间大概需要40分钟左右。不建议随便修改服务器时间。
打开的反向管理页面多少,是依赖于设备上“Web在线管理员”数量的配置,当打开过多反向管理页面可能就会把管理员用户占满,导致后续没法打开新的反向管理页面。
网管采用的是tornado框架,框架中使用的是tornado_apschduler这个调度器进行的定时任务操作,修改执行时间对于协程执行可能有影响,导致任务不能执行。但是如果不修改时间,等待到设定时间,定时任务是可以正确执行的。
网管不支持在CentOS7.8 或者 CentOS8.1 上面安装,在centos 7.8的环境下安装docker 报错,TIPC 模块加载不成功,内核版本:3.10, 导致配置模板不可用;在centos 8.1的环境下安装nms, mysql报错,系统不可用。推荐在CentOS7.9 上面安装网管系统。
当设备配置ftp上传日志方式时,设备未发送设备的操作日志和系统日志到网管上,所以网管的数据中心菜单中无设备的操作日志和系统日志。
报表文件生成需要一个时间,不能立即显示。可以手动刷新页面,或者等待报表文件页面自动刷新,报表文件页面30s自动刷新一次。
事件类型,这个查询条件是系统自动从网管数据库存储的日志中动态读取的,如果数据库中存储了该事件类型的日志,就添加上。由于新装的网管系统数据库为空,所以此处刚开始可选择信息为空。
0305P01版本,不支持接收6611P13版本,发送过来的IPv6 流阻断日志,该日志格式和IPv4格式不一致,导致无法入库。
1) 检查日志过滤中是否发送、全部级别的日志信息
2) 日志服务器中是否配置了网管地址,端口514
3) 6611P13版本,IPv4控制策略,行为是否为“拒绝”,是否勾选“日志”勾选框
4) 6612P02版本,控制策略中,是否勾选“日志”勾选框
这是由于PDF阅读器会分页面显示,会自动切分页面,一旦我们的数据超过一个页面的长度,会被PDF阅读器自动切分剩下的部分到第二个页面显示,所以就会看到数据会分成两页显示。
网管配置模板使用的是docker技术模拟设备端策略配置界面,为了向下兼容设备新版本,使用的样式比较老,所以存在名称不可编辑无置灰,必选项未加星号的情况。
登录NMS管理页面,进入“运维中心>系统管理>系统设置>磁盘设置”,根据实际需要配置不同的磁盘利用率和日志保存时间,默认配置是磁盘利用率80%,日志保存180天。
因为设备端和NMS的处理逻辑不同,NMS对于中文长度的判定遵循宽字符的规则。设备端的判定不支持宽字符规则,因此会出现设备侧一个中文占3个字符、NMS侧一个中文占1个字符的差异。
如果在未更新内核时,会出现安装过程中提示docker安装失败,或者出现在登录网管后,配置配置模板时,出现502错误。
处理方法如下:
(1) 卸载网管。
(2) 安装内核生效后,再次安装网管,不会出现如上问题。
设备端是根据内网口和外网口来统计上下行流量的。应用流量日志是根据会话的方向来统计上下行流量的。这两处没有对比性。
开启探针后,不支持和NMS对接。探针属于一款单独的产品,不支持外发系统和操作日志。
扩容根目录可能会导致系统崩溃。
日志分析与管理平台的token超时导致访问web管理提示“页面访问超时,请重新反向连接”。
(1) 首先检查应用审计策略是否正确;
(2) 查看应用审计日志是否记录;
(3) 查看应用审计与识别的细节信息,判断是否识别与审计成功;
(4) 通过查看首页应用流量排名统计来查看是否有误识别和漏识别情况;
(5) 查看特定IP地址的会话的AppName字段来确认是否为误识别,命令为:display ip connection protocol protocol-name ip source source-addr dest dest-addr;调试命令:debug app audit detail,debug application identify。
(1) 检查应用审计策略是否正确;
(2) 查看应用识别审计是否开启;
(3) 所访问网站是否符合包含content-type字段类型为text/html;
(4) 查看HTTP返回码是否为200;
(5) 查看网页标题长度是否大于128字符;
(6) 查看URL长度是否大于512。
QQ概率性审计不到退出,偶尔会出现退出跟登录和收发消息是同一条连接,获取不到结束退出的特征,此外有时登录QQ也会概率性审计不到登录日志。
微信审计不到退出、收发消息、语音视频,加密应用无法获取到这些行为特征。
阿里旺旺审计不到退出和收发消息,加密应用无法获取到这两种行为特征。
百度贴吧需要开启https解密才能够进行审计,https对象中需要包含BBS站点;对于百度贴吧应用的网页浏览日志是放在其他应用日志里面的,只有登录和发表时审计日志才会记录到社区日志,而且登录只能审计用账号密码登录的情况,使用手机验证码登录的方式数据单独加密无法进行审计,发布日志由于百度贴吧使用了新的加密方式,目前只能审计到内容,不支持审计账号。
审计内容的获取是会把部分格式的内容也审计下来,涉及的日志种类很多,由于基本没影响,改动又较大。下个大版本考虑统一做优化。
这两个字段现在没有实际用途,为了保证版本升级数据库兼容性所以保留下来(避免版本升级要清库导致日志丢失),UI做了屏蔽不会显示。
邮件日志外发时,附件个数规格限制为5个,最多发送5个附件。
由于设备审计邮件是做为整体来审计的,不判断附件个数和大小,在日志外发时再单个拆分附件并统计大小,比较繁琐,非常耗性能,再加上目前并无附件大小统计显示的需求,所以file_size按默认显示为0。
终端上下线日志是存在数据库中的,模式切换后只有新产生的终端上下线日志才会更新用户名,在线用户处用户名会改变,因为是从内存中保存的用户信息获取的。
操作系统类型是通过HTTP中的UA字段来识别的,用户第一次上网产生的流量携带了UA标识,如果后续流量未产生UA标识的情况下,会直接取上一次的UA标识的操作系统结果来产生日志,因此操作系统显示只能作为参考,不能保证百分之百正确。
目前HTTP文件下载支持的文件格式后缀如下:
.apk,mpeg,mpg,wma,wav,mp3,aac,compressed,zip,.rar,.gz,.bz2,.tgz,.tbz,.arj,.lzh,.tar,.ace,.uue,.jar,.iso,.7z,.bin,.zip,.txt,.hdr,.doc,.xls,.xlsx,.pacp,.pacpng,.cap,.img,.xz,.exe,.cmd,.bat,.msi,.dmg,.dll,.rpm,.ptada,.gpg,.pdf,.ps,.info,.cat,.cfg,.lss,.msg
支持
