H3C SecPath ACG1000 BA用户行为感知平台 用户FAQ(E6401)-5W100

手册下载

H3C SecPath ACG1000 BA用户行为感知平台

用户FAQ

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Copyright © 2020新华三技术有限公司 版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。

除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。

本文档中的信息可能变动,恕不另行通知。

 


 

1 部署方式FAQ·· 1

BA 平台所在虚拟机硬件配置要求?·· 1

客户端查看BA平台的分辨率和浏览器要求?·· 1

BA平台日志满了如何处理?·· 1

2 BA 平台FAQ·· 1

为什么ACG上已经有审计日志,可是BA平台的应用模块没有数据?·· 1

BA平台可以分析多台ACG设备?·· 1

BA平台事件挖掘模块中是否可以自定义关键字事件?·· 1

BA平台工作效率模块,白名单是否支持用户组的全选功能?·· 1

BA平台工作效率模块上网总人数是从哪里获取的?·· 2

BA平台工作效率模块中某一个用户的怠工时长是怎么计算出来的?·· 2

BA平台离职倾向分析模块,如何排除对特定用户的分析?·· 2

BA平台离职倾向分析模块,为什么没有站内搜索关键字的分析数据?·· 2

BA平台离职倾向分析模块,为什么没有站内申请职位的分析数据?·· 2

BA平台沉迷网络总人数为什么不是视频流媒体人数、游戏人数、微波论坛人数和访问网站人数之和?·· 2

BA平台网贷分析高风险人群分析出来的情况与实际不符合?·· 3

磁盘空间显示的不是全部硬盘的空间?·· 3

日志磁盘占比已经超过系统选项-日志选项里的审计日志磁盘预警百分比为什么配置的邮箱地址没有收到邮件?   4

BA平台离职倾向分析模块,求职网站禁用后,为什么站内搜索关键字和站内申请职位还有该网站的分析结果?   4

为什么BA平台漏洞扫描报告中有OpenSSH相关漏洞?·· 4

BA平台磁盘利用率是如何计算的?为什么WEBUI查看的磁盘利用率和命令行用df –h查出的利用率有些许出入?   4

BA平台中用户组设置中同步的用户为什么和应用中心>用户行为画像中的用户数不一致?·· 5

BA平台事件挖掘模块中编辑简述提交后,统计数据为0·· 5

BA平台与设备连接的原理·· 5

VM迁移等操作是否影响授权激活状态?·· 6

 


部署方式FAQ

BA 平台所在虚拟机硬件配置要求?

虚拟机硬件资源配置取决于用户规模。推荐如下表。

授权用户数

CPU

内存

存储

1000

2*2

4G

500G

5000

2*2

8G

1TB

10000

2*2

16G

2TB

30000

8

32G

2*2TB

30000+

8+

64G

4*2TB

 

客户端查看BA平台的分辨率和浏览器要求?

客户端浏览BA平台推荐分配率:1920*1080,推荐浏览器:Chrome

BA平台日志满了如何处理?

(1)     设置日志磁盘预警百分比,达到设置的百分比会给指定用户发送邮件。

(2)     启用自动删除最大保留天数。

BA 平台FAQ

为什么ACG上已经有审计日志,可是BA平台的应用模块没有数据?

ACG上的审计日志是每隔10分钟往BA平台同步一次,检查BA的系统管理里的用户组是否为“分析”,只有“分析”的用户组,BA应用中心的模块才会对其进行分析。

BA平台可以分析多台ACG设备?

(1)     BA平台可以同步分析多台ACG设备。

(2)     不同的ACG产品可以使用同一个同步策略名,也可以使用不同的同步策略名。

BA平台事件挖掘模块中是否可以自定义关键字事件?

BA平台事件挖掘模块分析的是邮件日志的主题,访问网页日志的标题,搜索引擎日志的内容以及社区日志的主题和内容,用户可以自定义事件的关键字,关键字格式为一行一个,在事件挖掘模块的首页点击“+”进行新增。

BA平台工作效率模块,白名单是否支持用户组的全选功能?

可以对特定的用户加入白名单列表,但是不能把某个用户组加入白名单列表。

BA平台工作效率模块上网总人数是从哪里获取的?

系统设置>用户组设置里面找到该用户组,双击该用户组获取该组上网总人数。

BA平台工作效率模块中某一个用户的怠工时长是怎么计算出来的?

工作效率模块分析的是日志中心的应用流量的日志,员工怠工时长并不是把各个应用的时长相加,因为不同应用的时长存在重合的情况,BA系统会对不同应用的时间进行去重,然后再叠加而得来的总时长,这个总时长会去和怠工标准时长做对比,如果大于等于怠工标准时长,才会在工作效率模块中展示。

BA平台离职倾向分析模块,如何排除对特定用户的分析?

离职倾向分析模块可以将特定用户加入用户白名单,该用户将不会进行分析,具体在离职倾向分析模块的“设置>员工白名单”中进行设置。

BA平台离职倾向分析模块,为什么没有站内搜索关键字的分析数据?

(1)     站内搜索关键字分析的是搜索引擎日志里招聘网站的搜索引擎,请先在日志中心> 审计日志>搜索引擎日志里面,搜索是否有符合的日志;

(2)     如果没有,请检查在ACG1000上是否配置了https解密

BA平台离职倾向分析模块,为什么没有站内申请职位的分析数据?

(1)     站内申请职位分析的是应用控制日志里招聘网站的日志,行为为申请职位,请先在日志中心> 应用日志>应用控制日志里面,搜索是否有符合的日志;

(2)     如果没有,请检查在ACG1000上是否配置了https解密

BA平台沉迷网络总人数为什么不是视频流媒体人数、游戏人数、微波论坛人数和访问网站人数之和?

沉迷网络总人数分析的是4个应用时长的总和大于沉迷时长的人群,应用的时长是从应用的角度分析,两者之间是没有关系的。

如下图所示,沉迷网络总人数是31人,视频媒体9人,微博论坛9人,访问网站30人,游戏0。为正常情况。

 

BA平台网贷分析高风险人群分析出来的情况与实际不符合?

网贷分析中的高风险人群的特征:

(1)     邮件日志中的主题包含账单或者还款关键字的视为高风险人群。

(2)     传输日志中的附件名、邮件日志的主题或附件名包含关键字合同,并且存在网贷行为的用户视为高风险人群。

符合以上条件的视为高风险人群。

如下图所示,邮件日志中收到信用卡账单的记录被视为高风险人群

 

磁盘空间显示的不是全部硬盘的空间?

在安装服务器的时候,用户可能会自行对磁盘进行分区,而系统安装后执行BA安装的相关命令时,BA会直接安装在根分区的目录下,统计磁盘分区:挂载的分区是/dev/mapper/centos-root

。分区的时候建议/boot 分配1024M swap为服务器内存的2倍,其余空间都分配给根分区,这样统计磁盘分区的空间会较大。

日志磁盘占比已经超过“系统选项-日志选项里的审计日志磁盘预警百分比为什么配置的邮箱地址没有收到邮件?

(1)     只支持邮箱加密收发。

(2)     只开启“审计日志磁盘预警百分比”时,当日志磁盘占比超过百分比就会发送邮件;当同时开启启用自动删除最大保留天数的时候,当超过“审计日志磁盘预警百分比”时会进行删除,如果删除过后日志磁盘占比还高于审计日志磁盘预警百分比才会发送邮件。

(3)     发邮件和删除日志都是在整点进行的。如下图所示:

BA平台离职倾向分析模块,求职网站禁用后,为什么站内搜索关键字和站内申请职位还有该网站的分析结果?

(1)     求职网站禁用是针对访问招聘网站模块的。

为什么BA平台漏洞扫描报告中有OpenSSH相关漏洞?

(1)     漏洞不属于BA平台,因为BA目前是安装在centos7.6系统上,OpenSSH相关漏洞属于操作系统自身。可根据漏扫报告中的修复建议升级OpenSSH版本。

BA平台磁盘利用率是如何计算的?为什么WEBUI查看的磁盘利用率和命令行用df –h查出的利用率有些许出入?

BA的磁盘总空间计算的是挂载/dev/mapper/centos-root 这个分区的大小;df -h 结果是Linux计算出来的,WEBUI结果是python自带的库计算出来的,精度不同,虽有出入,但基本一致。如下图所示:

 

 

BA平台中用户组设置中同步的用户为什么和应用中心>用户行为画像中的用户数不一致?

用户画像这个模块是从各类审计日志里面去找用户的,用户组设置中同步的用户是按照流量日志里的用户。从设备侧同步过来的用户,有一部分是有流量日志,但是没有审计日志的,比如TCP协议,部分网页浏览没有审计日志,这部分用户就不会出现在用户行为画像中。

BA平台事件挖掘模块中编辑简述提交后,统计数据为0

BA平台事件挖掘模块编辑简述提交时,后台会根据部署时间重新分析,大约10分钟后生成新的统计数据。

BA平台与设备连接的原理

(1)     ACG设备和BA之间的连接认证是通过HTTPS方式,日志上传是通过FTPS方式。

(2)     ACG设备启动后,如果BA配置了IP、同步策略等,会立即去获取一下同步策略。

(3)     ACG设备正常运行时,会每隔5分钟获取一下同步策略,以防止BA端同步策略修改。

(4)     获取同步策略时,设备将同步策略名称和接入密钥发给BA平台,平台根据名称查找策略并校验密钥,如果校验成功,则将同步策略发回给设备。

(5)     设备收到返回信息,如果校验成功,则将日志上传状态置1,并从消息中取出同步策略配置并存储,用于判断需要上传哪些日志,如果校验失败,则将日志上传状态置0,不再上传日志。

(6)     如果校验成功,同时会向BA发送注册消息,将设备的名称、序列号发送给BA平台进行注册。

(7)     正常运行时,设备也会每隔3分钟向BA注册一次。

VM迁移等操作是否影响授权激活状态?

(1)     虚拟机迁移不会影响授权激活状态。

联系我们