- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
手册下载
使用U-Center 2.0监控安全威胁发现与运营管理平台
配置举例
资料版本:5W114-20230927
Copyright © 2023 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
目 录
安全威胁发现与运营管理平台是以安全大数据为基础,对能引起网络态势发生变化的要素进行获取、理解、评估和呈现,并对未来发展趋势预测;从全局视角对安全威胁进行发现识别、理解分析、响应处置;通过智能分析和联动响应,结合机器学习和人工智能,实现“安全大脑”的闭环决策,安全能力的落地实践。U-Center 2.0支持对安全威胁发现与运营管理平台进行纳管和监控。
本文将介绍U-Center 2.0监控安全威胁发现与运营管理平台、查看其监控报表及阈值告警的配置过程。
本文适用于在U-Center 2.0下对安全威胁发现与运营管理平台进行纳管监控的场景。
· 安全威胁发现与运营管理平台配置、部署和启动正常。
· U-Center 2.0安装和部署完成,并且能够和安全威胁发现与运营管理平台之间正常通信。
· 安全威胁发现与运营管理平台适配的版本为E1145P04、E1147。
某公司数据中心有一台安装了安全威胁发现与运营管理平台的设备,为企业提供业务需求,组网图如图1所示。管理员现在要使用U-Center 2.0对安全威胁发现与运营管理平台进行纳管监控,组网明细如表1所示。
|
主机名 |
IP地址 |
应用 |
|
Server(U-Center 2.0) |
192.167.27.13 |
U-Center IOM 2.0(E0715) |
|
Host A |
10.123.57.137 |
安全威胁发现与运营管理平台(E1147) |
(1) 从管理员处获取登录安全威胁发现与运营管理平台端admin用户的对应密码。
(2) 验证用户名和密码是否能登录安全威胁发现与运营管理平台,如图2所示。
(3) 登录成功后,在控制台能够查看安全威胁发现与运营管理平台的综合概览信息,如图3所示。
(4) 在U-Center 2.0中监控安全威胁发现与运营管理平台时,其访问参数的监控端口号应和安全威胁发现与运营管理平台的业务端口号对应,端口默认为“8999”。一般不支持修改,如不可用请联系管理员。
配置和监控安全威胁发现与运营管理平台的第一步,需要将其先增加到U-Center 2.0中。
(1) 登录U-Center 2.0。
(2) 单击“监控”页签。
(3) 在左导航树中单击[基础监控>其他资源]菜单项,进入其他资源页面,如图4所示。
(4) 在其他资源页面,单击<增加>按钮。
(5) 单击“服务监视”分类下的“安全威胁发现与运营管理平台”,进入增加安全威胁发现与运营管理平台页面,如图5所示。
(6) 配置基本信息:设置IP地址、名称和描述,如图6所示。
¡ IP地址:输入安全威胁发现与运营管理平台的IP地址,本例采用“10.123.57.137”。
¡ 名称:输入安全威胁发现与运营管理平台的名称,本例采用U-Center 2.0自动生成的名称“安全威胁发现与运营管理平台_10.123.57.137”。
¡ 描述:按需填写应用的描述信息。本例采用不填写。
(7) 配置监控参数:设置监控模板或手工配置监控参数,如图7所示。
¡ 是否加入监控:增加资源对象时是否加入监控。监控和配置轮询至少需加入一个。
¡ 监控模板:默认使用U-Center 2.0预定义的“安全威胁发现与运营管理平台”模板,本例采用默认。可以单击<设置>按钮,重新选择监控模板或修改监控模板设置。修改监控模板的相关操作,请参见3.2.3 配置安全威胁发现与运营管理平台监控模板。
¡ 是否加入配置轮询:默认加入配置轮询。本例采用默认选项,即当前增加成功的安全威胁发现与运营管理平台在监控页签和资源页签下均可见,并启动周期性采集数据。
¡ 管理站:指定监控的管理站,默认为“local”。本例采用默认选项,选择本地管理站。
监控参数说明:
· 配置轮询功能:需购买CMDB产品的相关License获取数量授权和功能授权,否则页面上将不显示该字段。
· 管理站:若为proxy场景,需使用proxy进行应用纳管,即指定监控的管理站为proxy。若为region场景,需使用region进行应用纳管,即指定监控的管理站为region。region下级环境同步的资源,在region上级环境仅有查看及导出权限。执行其他操作时将跳过操作。
(8) 配置访问参数:选择监控协议、设置访问参数模板或手工配置访问参数,如图8所示。
¡ 监控协议:本例采用选择默认的监控协议“安全威胁发现与运营管理平台”。
¡ 访问参数模板名称:访问参数模板的具体名称。单击<设置>按钮,弹出[选择监控模板]窗口。在列表中选择访问参数模板,或单击<增加>按钮新增访问参数模板。本例采用选择访问参数模板“安全威胁发现与运营管理平台”。
¡ 协议:选择使用的协议,支持HTTP和HTTPS协议,本例采用默认协议“HTTP”。
¡ 监控端口:安全威胁发现与运营管理平台的业务端口,其中HTTP协议端口默认为“8999”,HTTPS协议端口默认为“9777”,不支持修改。本例采用默认端口值“8999”。
¡ 版本:安全威胁发现与运营管理平台的版本,监控资源时需选择对应条件的版本。本例监控的平台版本为“安全威胁发现与运营管理平台(E1147)”,则对应采用“E1146及之后版本”。
¡ 连接超时时间(s):设置连接超时时间,与被监控安全威胁发现与运营管理平台建立连接的超时时间,本例采用默认“20”。
¡ 查询超时时间(s):设置查询超时时间,采集被监控安全威胁发现与运营管理平台数据的超时时间,本例采用默认“60”。
(9) 配置资源分组:设置监控对象所属资源分组,便于资源管理,仅在增加监控时可以选择。本例暂不设置。如图9所示。
(10) 配置其他信息:设置是否探测。若开启,则增加时会校验与监控对象的连通性,但会影响增加监控的速度。本例采用默认,如图10所示。
(11) 单击<测试连通性>按钮,验证配置参数是否正确。
测试连通性说明:若因连接时间过长,导致测试连通性失败,可在访问参数模板中对连接超时时间进行延长调整。
(12) 验证成功后,单击<确定>按钮,提示增加成功,如图11所示。
U-Center 2.0通过监控模板控制采集指标及其阈值,系统已预设大量可直接使用的监控模板。用户也可根据实际需求修改监控模板,从而实现个性化监控。
即对关注的指标设置阈值,通过监控资源的告警状态,及时了解应用运行状态。常用操作如下:
· 进入安全威胁发现与运营管理平台监控模板,请参见3.2.3 1. 进入安全威胁发现与运营管理平台监控模板。
· 选择指标配置中已有指标组,修改该指标组的采集间隔,请参见3.2.3 2. 修改指标组的采集间隔。
· 选择指标配置中已有指标,增加该指标阈值配置,请参见3.2.3 3. 增加指标阈值配置。
· 修改已有指标的阈值配置,请参见3.2.3 4. 修改指标阈值配置。
(1) 单击“监控”页签。
(2) 在左导航树中单击[监控选项>监控模板]菜单项,进入监控模板页面。
(3) 在选择模板类型区域内,依次单击“其他资源>服务监视>安全威胁发现与运营管理平台”,查看安全威胁发现与运营管理平台的监控模板,如图12所示。操作列提供如下功能:
¡ 单击操作列的
按钮,进入复制监控模板页面。举例,复制监控模板“安全威胁发现与运营管理平台”,将生成监控模板“安全威胁发现与运营管理平台_copy”,用户可在复制监控模板页面对新模板信息进行修改和保存。
¡ 单击操作列的
按钮,进入修改对应监控模板页面,用户可对已有监控模板进行基本信息的修改以及指标阈值的配置。
¡ 单击操作列的
按钮,进入修改监控模板页面的阈值配置页签。
(4) 单击操作列的
按钮,进入修改监控模板页面。
修改监控模板说明:当涉及多项参数增加或修改时,推荐先复制监控模板,并在复制模板中增加或修改参数,再为应用配置修改后的监控模板。
(5) 配置监控模板的基本信息,本例均不作修改,如图13所示。若修改,在监控模板修改成功后,下个采集周期将自动应用修改后的监控模板。
替换资源的监控模板有以下两种方式:
· 单独替换:在该资源所属的监控列表页面,单击操作列的
按钮,进入修改页面,可单独为该资源替换监控模板。
· 批量替换:在该资源所属的监控列表页面,勾选多个相同资源类型的资源后,单击<更多操作>按钮,在下拉菜单中单击[更换监控模板]菜单项,在弹出的[监控模板]窗口中替换监控模板,即可实现批量替换监控模板。
此处以修改“系统监控数据”指标组的采集间隔为例进行介绍。
(1) 勾选指标配置页签下的“系统监控数据”指标组。
(2) 单击<修改采集间隔>按钮,在弹出的[修改采集间隔]窗口中,修改采集间隔。本例修改为“10分钟”,如图14所示。
(3) 单击<确定>按钮,完成“系统监控数据”指标组采集间隔的修改,如图15所示。监控模板修改成功后,下个采集周期将自动应用修改后的监控模板。
此处以增加“内存使用率”指标的阈值为例进行介绍。
(1) 展开指标配置页签下的“系统监控数据”指标组,如图16所示。
(2) 单击“内存使用率”指标对应操作列的
按钮,进入阈值配置页签。
(3) 单击<增加>按钮,弹出[增加配置]窗口,如图17所示。
¡ 阈值类型:U-Center 2.0包含普通阈值、复合阈值、规则阈值以及实例丢失阈值类型,不同阈值类型所需配置不同。请按需选择阈值类型,设置判断符并选择阈值等级。部分指标的阈值类型已在U-Center 2.0中预定义,不可修改。此处以“普通阈值”为例。
¡ 适用时间:包含全部时间和自定义时间。本例采用选择“全部时间”。
¡ 阈值配置:对“内存使用率”指标,此处以“通知”为例,并设置阈值和触发次数,判断符使用“大于等于”。即当系统监控数据中内存使用率大于等于85%,并达到连续3次出现时,将产生“通知”级别告警。
适用时间说明:
· 全部时间:完成阈值配置后的全部时间段。
· 自定义时间:支持周一至周日的任意时间段设置。
(4) 单击<确定>按钮,完成增加“内存使用率”指标阈值配置,如图18所示。
(5) 如不再需要修改监控模板中的其它参数,需再单击页面底部的<确定>按钮,保存修改内容。监控模板修改成功后,下个采集周期将自动应用修改后的监控模板。
此处仍以配置“内存使用率”指标的阈值为例进行介绍。
(1) 展开指标配置页签下的“系统监控数据”指标组。
(2) 单击“内存使用率”指标对应操作列的
按钮,进入阈值配置页签。
(3) 单击操作列的
按钮,弹出[修改配置]窗口,如图19所示。
图19 修改配置
¡ 阈值类型:已设置为“普通阈值”,无法修改。
¡ 适用时间:包含全部时间和自定义时间。本例不作修改。
¡ 阈值配置:本例采用仅修改触发次数,即当系统监控数据中内存使用率大于等于85%,并达到连续1次出现时,将产生“通知”级别告警。
设置适用时间的方法有:
· 在修改某个指标阈值配置时,进行适用时间的设置。
· 在列表中勾选某个指标阈值配置,单击<设置时间>按钮,进行适用时间的设置。
(4) 单击<确定>按钮,完成修改“内存使用率”指标阈值配置,如图20所示。
(5) 如不再需要修改监控模板中的其它参数,需再单击页面底部的<确定>按钮,保存修改内容。监控模板修改成功后,下个采集周期将自动应用修改后的监控模板。
(1) 单击“监控”页签。
(2) 在左导航树中单击[基础监控>其他资源]菜单项,进入其他资源页面。
(3) 在其他资源页面,查看其他资源监控列表。经过一段采集时间,此时告警状态已发生变化,如图21所示。
(4) 单击“安全威胁发现与运营管理平台_10.123.57.137”链接,在弹出的[资源详情]窗口中查看监控报表,如图22所示。
监控报表说明:
· 如果指标值超出了对应阈值,则监控报表中的该值的底色变为U-Center 2.0中对应告警级别的颜色。
· 如果同一应用有不同级别的告警被触发,则告警状态中将展示已触发的最高级别告警。
· U-Center 2.0对同一指标提供了多种时长的数据展示,包含“1小时”
、“6小时”
、“1天”
、“7天”
、“30天”
以及“自定义”
。用户单击表格右上方对应按钮即可进行切换展示。
查看监控概览中的今日可用性区段,如图23所示。
· 饼图:应用今日各可用性状态的百分比。用户将鼠标移至饼图的分片上可以看到相应分片的百分比数据。
· 当前可用性:当前应用的可用性。
¡ 正常运行:从今日00:00开始,应用的累计正常运行时长。
¡ Ping不可达:从今日00:00开始,应用的累计Ping不可达时长。
¡ 协议连接失败:从今日00:00开始,应用的累计协议连接失败时长。
¡ 停止采集:从用户手动关闭设备的监控采集状态开始,应用的累计停止采集时长。
· 对于新增加的应用监控,“正常运行”、“Ping不可达”、“协议连接失败”以及“停止采集”从当日应用监控增加成功开始计时,并且时长为0的可用性状态统计数据不显示。
· 7天历史:单击<7天历史>按钮,查看应用最近7天的可用性。7天历史以小时为单位统计应用的可用性,如图24所示。用户将鼠标移至相应时段可以查看安全威胁发现与运营管理平台各可用性状态百分比。
图24 7天历史
· 30天历史:单击<30天历史>按钮,查看应用最近30天的可用性。30天历史以天为单位统计应用的可用性。用户将鼠标移至相应时段可以查看安全威胁发现与运营管理平台各可用性状态百分比,如图25所示。
图25 30天历史
查看监控概览中的CPU数据区段,如图26所示。
图26 CPU数据
· CPU使用率:该安全威胁发现与运营管理平台的CPU使用率。
· CPU总频:该安全威胁发现与运营管理平台CPU各核心频率的总和。
查看监控概览中的内存数据区段,如图27所示。
· 内存使用率:该安全威胁发现与运营管理平台的内存使用率。
· 内存总容量:该安全威胁发现与运营管理平台的内存总容量。
查看监控概览中的磁盘数据区段,如图28所示。
· 数据盘使用率:该安全威胁发现与运营管理平台的内存使用率。
· 数据盘总容量:该安全威胁发现与运营管理平台的内存总容量。
· 系统盘使用率:该安全威胁发现与运营管理平台的系统盘使用率。
· 系统盘总容量:该安全威胁发现与运营管理平台的系统盘总容量。
· 系统状态:该安全威胁发现与运营管理平台的系统状态,包括“健康”和“故障”。
(1) 在安全威胁发现与运营管理平台资源详情窗口,监控概览页签的表头,会展示监控应用的名称,类型、告警状态以及挂牌状态。如果同一应用有不同级别的告警被触发,则告警状态中将展示已触发的最高级别告警。单击告警状态信息链接或单击“告警信息”页签,进入告警信息页面,如图29所示。
(2) 将鼠标悬浮在告警信息链接可查看详细信息,或单击告警信息链接直接查看告警详细信息,如图30所示。
图30 悬浮展示通知-告警详细信息
(3) 用户收到内存使用率产生的“其他资源阈值告警”,确认相关信息无误后,可单击确认状态中的“未确认”链接确认告警,如图31所示。
图31 其他资源阈值告警-确认告警
(4) 修复完环境中存在的问题或重设阈值后,可单击恢复状态列下的“未恢复”链接,恢复告警状态,如图32所示。
图32 其他资源阈值告警-恢复告警
自动恢复并确认告警状态:
· U-Center 2.0对应用监控是周期性的,如果在下个周期采集到指标值已不满足阈值条件,将自动恢复告警状态并记录新的指标值。
· 用户查看相关信息后,单击确认状态列下的“未确认”链接,确认告警状态。
(5) 当所有告警状态恢复后,安全威胁发现与运营管理平台的告警状态也会恢复为正常,如图33所示。
支持
