- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
01-正文
本章节下载: 01-正文 (4.30 MB)
目 录
H3C SecPath EAA加密应用分析系统系列产品,面向流量加密场景下的企业级审计和管控。实现对高速网络环境下的SSL加密流量、加密隧道流量、私有协议流量、常规网络应用流量和精细化行为流量的实时分类。
为了方便用户更直观友好地查看设备对于加密应用流量的分析效果,新华三技术有限公司(以下简称H3C)的SecPath系列EAA设备支持通过HTTPS协议建立安全的Web连接实现业务可视化展示功能。同时EAA(Encrypted Application Analytics,加密应用分析)可视化管理界面还支持Web网管功能,网络或设备管理员可以通过Web界面更加便捷和高效地管理和维护EAA设备。
使用默认的管理信息登录Web界面(建议使用Chrome85+以上版本浏览器)。默认Web登录信息请参见下表
表1-1 默认Web登录信息表
|
登录信息项 |
默认配置 |
|
用户名 |
admin |
|
密码 |
admin |
|
描述 |
系统管理员 |
|
角色简介 |
日志查看、网络设置、软件许可、特征库更新、账户设置 |
WebUI:Web管理界面
从网页浏览器中打开界面,在界面中可以显示配置信息,以比较直观的形式来显示报告和日志。
可以使用默认设置连接Web管理界面,默认设置如下:
表2-1 Web管理界面连接设置
|
项目 |
描述 |
|
URL |
https://管理地址:39527 |
|
用户名 |
admin |
|
密码 |
默认为admin,如果已修改使用修改后的密码 |
连接Web管理界面的步骤如下:
在管理计算机中配置静态IP、掩码等信息,使用以太网电缆将管理计算机的以太网端口连接到EAA设备的默认管理口,保证可以正常通信。
在管理计算机中启动浏览器(建议使用Chrome85+以上版本浏览器),输入URL:https://管理地址:39527。
输入用户名和密码登录Web管理界面
注意:登录仅支持HTTPS,不支持HTTP,因此登录EAA管理端的URL必须以https://开头。
图2-1 登录窗口
图2-2 首次登录修改密码
首次登录时,系统默认会强制用户修改缺省的登录密码。
新的密码强度为:8-16位长度,同时包含大小写字母和数字。
可以使用默认设置通过SSH连接到CLI。
步骤1: 在终端输入ssh [email protected]
图2-3 SSH连接
步骤2:输入密码
图2-4 填写用户名和密码
步骤3:连接设备成功
表2-2 SSH连接设置
|
IP地址 |
用户管理口IP |
|
网络接口 |
eth0 |
|
SSH端口 |
22 |
|
用户名 |
admin |
|
密码 |
默认为admin,如果已修改使用修改后的密码 |
Web管理界面为用户提供了更直观的人机交互方式,用户通过Web管理系统实现对EAA加密应用分析系统的管理和配置。
本章介绍了Web管理系统的基本信息,具体包括以下内容。
表2-3 管理系统概述
|
功能 |
描述 |
|
登录系统 |
介绍登录系统Web页面的方法 |
|
系统用户 |
介绍系统用户的类型及权限 |
|
页面布局 |
介绍Web页面布局的情况 |
|
系统功能介绍 |
介绍系统每个模块的基本功能 |
|
系统常用操作 |
介绍系统常用的图标和按键含义 |
登录EAA的Web管理系统的步骤如下:
步骤1:确认客户端主机可以和EAA设备正常通讯(如果通过防火墙,请将443端口打开)
步骤2:打开火狐或谷歌浏览器,用HTTPS方式连接EAA的管理IP地址,例如https://192.168.0.1:39527.
步骤3:回车后弹出安全警报对话框,单击【是】,接受EAA许可证加密的通道。
步骤4:在如下所示的登录界面中,输入正确的用户名和密码(默认用户名admin,密码admin),单击<Login>,即可进入Web管理系统。
图2-5 EAA系统登录界面
图2-6 强制更改密码
登录系统注意事项:
1)建议使用谷歌浏览器和火狐浏览器,屏幕分辨率最好设置为1024 x 768及以上。
2)初次使用本系统时可用默认用户登录
3)登录失败的原因有可能是:用户名输入错误;密码输入错误;没区分大小写
4)登录本系统之前,请检查浏览器是否设置了禁止弹出窗口属性;如果是,请撤销此设置。
5)用户在“首次登录”系统时,系统会强制用户更改默认密码,密码强度要求:8-16位长度,同时包含大小写字母。
目前系统中的账户只有一类:超级管理员
预配置的账号和密码为:admin/admin,具有对该系统的所有操作权限,如:日志查看、网络设置、软件许可、特征库更新、账户设置等
图2-7 EAA界面页面布局
admin用户成功登录后,进入系统当前运行的页面。
Web管理界面中每个页面的基本结构相同,主要包含四个区域:
· 导航跳转区域:用户可以在任意页面的该区域,通过点击操作,实现到其它页面的快速跳转
¡ 目前导航跳转区域,共包含六个模块,对应EAA界面的六个子页面:首页、应用视图、用户视图、日志检索、流量概览、系统设置
· 时间选择区域:与后端数据库联动,用于选择页面中数据展示的时间范围,时间选择结果会同时作用于其它页面。
¡ 支持自定义时间范围
¡ 最小支持“最近30分钟”的快捷选择
¡ EAA可视化管理界面单次查询只支持最大2天的时间区间
· 业务展示区域:用于实时展示EAA系统对于加密应用流量的分析结果。
· Logo区域:用户通过点击该logo,可以实现到“授权管理”、“更改密码”、“退出登录”功能的快速选择。
管理系统提供了首页、应用视图、用户视图、日志检索、流量概览、系统设置等功能,具体的功能如下表所示。
表2-4 系统功能介绍
|
菜单 |
功能 |
|
|
首页 |
应用流量占比 |
支持通过单击图例名称选择是否统计某一应用的流量占比 |
|
应用用户量占比 |
支持通过单击图例的名称选择是否统计某一应用的用户量占比 |
|
|
应用实时流速 应用实时包速 应用实时新连接数 |
支持统计应用的实时流速、包速和新建连接速 支持选择刷新间隔,刷新所有应用的统计情况 支持自定义时间范围,统计一段时间内的所有应用的信息 支持查看所有应用的实时流速、实时包速、实时新连接数的最大值、最小值、平均值和当前值 支持应用实时流速、实时包速、实时新连接数,区域缩放、堆叠、平铺模式展示数据 支持下载应用流量、应用用户量、应用实时流速、应用实时包速、应用实时新连接数的统计图 |
|
|
应用统计信息汇总 |
支持表格形式统计应用的详细信息,包括:应用名称、业务类型、连接数、包数、包速、字节数、流速 支持应用统计信息按照应用名称进行筛选 支持应用统计信息按照应用名称、业务类型、连接数、包数、平均包速、字节数、平均流速排序 支持选择刷新间隔,刷新所有应用的统计情况 支持自定义时间范围,统计一段时间内的所有应用的信息 支持查看所有应用的实时流速、实时包速、实时新连接数的最大值、最小值、平均值 |
|
|
应用视图 |
应用每分钟客户端/服务端数量 应用每小时客户端/服务端数量 应用每天客户端/服务端数量 |
支持输入应用名称,自定义时间范围下自动刷新功能默认关闭 在非自定义时间范围下,支持选择是否开启刷新功能,并提供可供选择的刷新间隔 支持根据应用名称统计应用每分钟/每小时/每天的客户端/服务端数量 支持曲线图单击图例仅展示该图例的统计信息 支持下载应用每分钟/每小时/每天的客户端/服务端数量的统计图 支持从应用日志跳转到日志检索,显示该应用当前条件下的详细日志信息 |
|
应用访问信息统计表 |
支持表格形式展示使用该应用的所有客户端的详细信息,包括客户端IP、连接数、包数、平均包速、字节数、平均流速 支持单击表格内客户端IP跳转到用户视图 支持根据客户端IP、连接数、包数、平均包速、字节数、平均流速进行排序 |
|
|
用户视图 |
用户访问应用实时流速 用户访问应用实时包速 用户访问应用实时新连接速 |
支持输入用户IP进行检索,自定义时间范围,自定义时间自动刷新功能关闭 在非自定义时间范围下,支持选择是否开启刷新功能,并提供可供选择的刷新间隔 支持根据用户IP统计用户访问应用的实时流速、实时包速、实时新连接数 支持下载用户访问应用的实时流速、实时包速、实时新连接数的统计图 支持显示用户访问的实时流速、实时包速、实时新连接数的最小值、最大值、平均值 支持鼠标悬停在曲线图展示应用当前时刻的的实时流速、实时包速、实时新连接数 支持单击曲线图的图例名称仅仅展示该图例的实时流速、实时包速、实时新连接数 支持单击用户日志跳转到日志检索,显示当前条件下用户日志的详细信息 |
|
用户访问应用信息统计表 |
支持表格形式展示使用该应用的所有客户端的详细信息,包括客户端IP、连接数、包数、平均包速、字节数、平均流速 支持单击表格内客户端IP跳转到用户视图 支持根据客户端IP、连接数、包数、平均包速、字节数、平均流速进行排序 |
|
|
日志检索 |
时间检索 |
支持选择时间范围 支持根据时间检索 |
|
高级检索 |
支持高级检索,可按照时间范围、源IP地址、目的IP地址、传输层协议、业务类型、应用名称、域名、虚拟账号等条件检索,条件之间是与的关系 |
|
|
字段展示 |
支持用户自主选择要展示的日志字段 支持一键还原默认展示的字段内容 |
|
|
访问日志 |
支持访问日志和日志统计信息 |
|
|
日志导出 |
支持自定义导出/打印文件的名称、保存类型、要导出的数据、要导出的字段、导出选项 导出日志支持导出选择的数据或者导出当前页,每页内容最多显示1000条日志 支持导出4种常见格式报表的能力,包括:CSV、HTML、XML、TXT |
|
|
流量概览 |
平均流速 |
支持平均流速的展示,包含TCP、UDP、IPv4、IPv6四个字段 |
|
平均连接速 |
支持平均连接速的展示,包含新建TCP会话、删除TCP会话、C2S单向流、S2C单向流四个字段 |
|
|
Ethernet/IPv4/IPv6流速统计 |
支持对一段时间内的实时流速展示,包含Ethernet、IPv4、IPv6三个字段 |
|
|
Ethernet/IPv4/IPv6包速/丢包率 |
支持对一段时间内的实时包速和系统丢包率展示,包含Ethernet、IPv4、IPv6、丢包率四个字段 |
|
|
TCP/UDP流速 |
支持对一段时间内TCP、UDP实时流速展示 |
|
|
TCP/UDP包速 |
支持对一段时间内TCP、UDP实时包速展示 |
|
|
TCP新建/删除/单/双向连接数 |
支持对一段时间内每秒连接数展示,新建、删除、S2C单向流、C2S单向流展示 |
|
|
系统设置 |
网卡设置 |
支持修改管理网卡的IP地址、子网掩码、默认网关 |
|
网卡状态 |
支持查看网卡的连线状态 支持修改网卡的工作模式 |
|
|
系统时间 |
支持校对系统时间 |
|
|
关机重启 |
支持关机、重启操作 |
|
|
许可信息 |
支持查看当前系统的许可状态、许可有效期、特征库有效期 |
|
|
许可安装 |
支持安装许可文件 |
|
|
设备信息 |
支持下载设备指纹文件 |
|
|
软件更新 |
支持软件更新 |
|
|
特征库更新 |
支持在线/离线方式特征库更新 |
|
|
修改密码 |
支持修改界面密码 |
|
|
终端密码 |
支持修改终端系统密码 |
|
登录系统后默认进入首页的加密应用流量统计信息展示。
本章主要包含对首页各个展示模块的介绍。
表3-1 首页信息介绍
|
功能 |
描述 |
|
应用流量/用户量饼图 |
展示在一段时间内,当前网络环境下,加密应用的平均流速占比和平均用户量占比 |
|
应用实时流速/包速/新连接速折线图 |
展示在一段时间内,当前网络环境下,加密应用的实时流速、包速和新连接速 |
|
应用统计信息汇总 |
展示在一段时间内,当前网络环境下,加密应用的统计信息,包括应用名称、业务名称、连接数、包数、平均包速(pps)、字节数、平均流速(bps) |
图3-1 应用流量饼图概览
应用流量饼图,用于展示在一段时间内,当前网络环境下,加密应用的平均流速占比。
图3-2 单击取消统计
当用户单击饼图右侧的应用名称时会取消对该应用进行流量占比统计,如点击AppStore时,应用名称AppStore变灰,该色块会自动从饼图中消去,不再计入统计,
图3-3 饼图保存到本地
用户可通过点击图例上方的“下载”标志,将应用流量饼图保存到本地
图3-4 应用用户量饼图概览
应用用户量饼图,用于展示在一段时间内,当前网络环境下,加密应用的平均用户量占比。
图3-5 应用实时流速折线图概览
应用实时流速折线图,用于展示在一段时间内,当前网络环境下加密应用的实时流速。为了加快页面渲染刷新速度,EAA可视化管理界面默认将应用实时流速/包速/新连接数三个折线图中,比最大值低50倍的应用统计折线进行隐藏。表现在图例上,这些应用是“灰色显示”的。
图3-6 按照最小值排序
应用实时流速折线图的图例主要包含四列:应用名称、最小值(min)、最大值(max)、平均值(avg)。这里的最小值、最大值、平均值均是指在当前选择查询的时间范围下各个字段的最值,具体数值有可能随着时间范围的更改而发生改变。用户可选择其中任意一列进行排序,按照最小值降序排列。
图3-7 单击应用名称只显示单个应用的折线
用户可通过点击右侧图例中的应用名称,选择只显示某个应用的统计折线。可将鼠标放在折线的单个统计点上查询该时间点的统计数据。当用户再次点击该应用的名称时,取消选择该应用折线的同时,所有应用的折线均会复现,自动取消“灰色隐藏显示”。
图3-8 折线图的展示功能拓展
应用实时流速折线图的右上方为“展示功能拓展区域”,由左至右的标志的功能分别为:区域缩放、区域还原、堆叠图、还原、下载
图3-9 区域缩放展示
用户可通过点击右上方的“区域缩放”按钮,通过鼠标在折线图中按住后拖拽,在当前时间范围下选择显示小块时间区域的统计曲线。可通过点击“区域还原”按钮,回溯到先前展示状态。
图3-10 堆叠图展示
用户可通过点击右上方的“堆叠图”按钮,查询所有应用曲线按照数值大小依次堆叠后的显示效果。堆叠后,同一个时间点下的数据不再是水平依次排列,而是依次从上到下堆叠在一起。用户可通过点击右上方的“还原”按钮,回溯到先前展示状态。可通过点击右上方的“下载”按钮将当前折线图保存到本地。
图3-11 应用实时包速折线图概览
应用实时包速折线图,用于展示在一段时间内,当前网络环境下加密应用的实时包速。
图3-12 应用实时新连接数折线图概览
应用实时新连接数折线图,用于展示在一段时间内,当前网络环境下加密应用的实时连接数。
图3-13 应用统计汇总表概览
应用统计信息汇总表展示在一段时间内,当前网络环境下,加密应用的统计信息,包括应用名称、业务名称、连接数、包数、平均包速(pps)、字节数、平均流速(bps)。支持根据任意一列进行排序。
点击“应用名称”右边的过滤图标,支持根据关键词,对显示的应用进行筛选。该筛选支持模糊匹配,键入“vpn”,会过滤出当前表格中应用名称包含vpn字样的应用信息统计行。
图3-14 右键跳转功能
直接点击表格中的应用名称,支持以该应用作为过滤条件,跳转到应用视图。
将鼠标放置在目标应用上,右键,支持以该应用作为过滤条件,跳转到应用视图、日志视图。
为了加快页面渲染刷新速度,EAA可视化管理界面默认将首页应用实时流速/包速/新连接数折线图中,数值比最大值低50倍的应用折线进行隐藏。表现在图例上,这些应用是“灰色显示”的。
图4-1 应用视图概览
应用视图,聚焦单个目标应用,支持查询一段时间内,当前网络环境下用户使用该目标应用的流量统计信息。
本章主要包含对应用视图各个展示模块的介绍。
表4-1 应用视图页面信息介绍
|
功能 |
描述 |
|
应用每分钟/每小时/每天的客户端/服务端数量 |
用于展示在一段时间内,当前网络环境下,分别按照每分钟/每小时/每天统计的目标应用的客户端数量/服务端数量 |
|
应用访问信息统计表 |
用于展示在一段时间内,当前网络环境下,使用了目标应用的用户(客户端IP)的应用访问信息 |
图4-2 应用每分钟客户端/服务端数量折线图概览
应用每分钟客户端/服务端折线图,在分钟粒度下,展示当前网络中目标应用流量的客户端、服务端数量的统计信息。
1)数据展示间隔为5分钟。
2)该折线图展示时间范围与页面上方的时间复选框联动。
3)用户可通过点击折线图下方的图例,显示或隐藏某条统计曲线。
4)用户可通过点击折线图右上方的“下载”按钮,保存图像到本地。
图4-3 客户端数量展示
图4-4 应用每小时客户端/服务端数量折线图
应用每小时客户端/服务端折线图,在小时粒度下,展示当前网络中目标应用流量的客户端、服务端数量的统计信息。
1)数据展示间隔为1小时
2)该折线图展示时间范围固定为24小时,不与页面上方的时间复选框联动。
3)用户可通过点击折线图下方的图例,显示或隐藏某条统计曲线。
4)用户可通过点击折线图右上方的“下载”按钮,保存图像到本地
图4-5 应用每天客户端/服务端数量折线图概览
应用每天客户端/服务端折线图,在24h粒度下,展示当前网络中目标应用流量的客户端、服务端数量的统计信息。
1)数据展示间隔为24小时
2)该折线图展示时间范围固定为7天,不与页面上方的时间复选框联动
3)用户可通过点击折线图下方的图例,显示或隐藏某条统计曲线。
4)用户可通过点击折线图右上方的“下载”按钮,保存图像到本地
图4-6 应用访问信息汇总表概览
应用访问信息汇总表,支持显示当前网络环境下,指定时段中,使用了该应用的用户(客户端IP)的应用访问信息。包括客户端IP、连接数、包数、平均包速(pps)、字节数、平均流速(bps)。支持根据任意一列进行排序。
1)直接点击客户端IP,支持以该IP作为过滤条件,跳转到用户视图。聚焦该用户过去一段时间的应用访问情况。
2)将鼠标放置在目标IP上,右键,支持以该IP作为过滤条件,查看用户视图、查看该用户的应用访问日志,查看该用户访问当前应用的具体日志。
图4-7 右键跳转功能
3)用户也可以通过点击该页面“时间选择区域”旁的“应用日志”按钮,支持以该目标应用作为检索条件,快速跳转到日志检索页面,显示当前网络下,指定时间范围内,该目标应用的流量日志。
图4-8 应用日志快速跳转
由于应用视图中三个折线图在展示时间粒度上的不同,默认应用每小时/每天统计图表固定展示过去24h/7天的统计数据,不与时间范围复选框中的参数进行联动
图5-1 用户视图概览
用户视图,聚焦单个用户,支持查询一段时间内,当前网络环境下目标用户访问应用的流量统计信息。
本章主要包含对用户视图各个展示模块的介绍。
表5-1 用户视图页面信息介绍
|
功能 |
描述 |
|
用户访问应用实时流速/包速/新连接速 |
用于展示在一段时间内,当前网络环境下,用户访问应用情况的实时统计信息,包括实时流速、包速、新连接速 |
|
用户访问应用信息汇总表 |
用于展示在一段时间内,当前网络环境下,目标用户访问应用的流量统计信息 |
图5-2 用户访问应用实时流速折线图概览
用户访问应用实时流速折线图,用于展示目标用户在当前网络环境下,一段时间范围内访问应用的流速信息。单位:bps
1)数据展示间隔为5分钟
2)该折线图展示时间范围与页面上方的时间复选框联动。
图5-3 AppStore流速统计
3)用户可通过点击折线图下方的图例,显示或隐藏某条统计曲线。
4)用户可通过点击折线图右上方的“下载”按钮,保存图像到本地
图5-4 用户访问应用实时包速折线图概览
用户访问应用实时包速折线图,用于展示目标用户在当前网络环境下,一段时间范围内访问应用的包信息。单位:pps
1)数据展示间隔为:5分钟
2)该折线图展示时间范围与页面上方的时间复选框联动
3)用户可通过点击折线图下方的图例,显示或隐藏某条统计曲线
4)用户可通过点击折线图右上方的“下载”按钮,保存图像到本地
图5-5 用户访问应用实时新连接速折线图概览
用户访问应用实时新连接速折线图,用于展示目标用户在当前网络环境下,一段时间范围内访问应用的新建连接数信息。单位:links/s
1)数据展示间隔为:5分钟
2)该折线图展示时间范围与页面上方的时间复选框联动
3)用户可通过点击折线图下方的图例,显示或隐藏某条统计曲线
4)用户可通过点击折线图右上方“下载”按钮,保存图像到本地
图5-6 用户访问应用信息汇总表概览
用户访问应用信息汇总表,支持显示当前网络环境下,指定时段中,目标用户应用访问情况的流量统计信息。包括:应用名称、连接数、包数、平均包速(pps)、字节数、平均流速(bps)。支持根据任意一列进行排序。
1)直接点击应用名称,支持以该应用名称作为过滤条件,跳转到应用视图,聚焦该应用过去一段时间有哪些用户访问。
2)将鼠标放置在目标应用上,右键,支持以该应用作为过滤条件,查看应用视图、查看该应用的用户访问日志、查看当前页面检索用户访问该应用的具体流量日志。
图5-7 右键跳转功能
3)用户也可以通过点击该页面“时间选择区域”旁的“用户日志”按钮,支持以该目标用户作为检索条件,跳转到日志检索页面,显示当前网络下,指定时间范围内,该目标用户的应用访问日志。
图5-8 用户日志跳转
图6-1 日志检索
日志检索页面用于展示加密应用分析系统的流量日志,支持显示应用名称、业务类型、应用行为、四层协议域名等40个字段,界面默认显示其中部分重要字段,用户也可以通过筛选添加/去除页面中展示的字段。日志检索页面支持自定义展示字段、高级检索、日志详情展示、日志下载等操作。
本章主要包含对日志检索各个功能模块的介绍。
表6-1 用户视图页面信息介绍
|
功能 |
描述 |
|
日志查看 |
支持日志的查看、排序 |
|
自定义展示字段 |
支持自定义展示或隐藏日志字段 |
|
日志详情 |
支持快速查看某条日志的详情 |
|
日志下载 |
支持以多种格式进行日志下载 |
用户可以通过点击该页面右上方“拓展按钮”,弹出复选框,勾选您想要在该页面显示的字段。
图6-2 勾选流发现时间
图6-3 增加展示流发现时间
用户可以通过点击该页面上方“高级检索”按钮,弹出复选框,键入您的筛选条件。该功能支持多个条件的组合筛选,比如用户想要筛选当前网络中,该时间段下,172.16.30.135访问YinXiangNotes服务的流量日志。
图6-4 在高级检索复选框中键入筛选条件
如果用户在浏览某条日志时,想要在不更改该页面显示字段数量的情况下,即时查看某条日志的详细信息,可以将光标指向该行日志的任意位置,右键,调出选择框,选择“查看详情”,即可调出该条日志的详情页。
用户同时可以在该选择框中通过“筛选”按钮,快速筛选或取消对目标字段的筛选。同样,用户在每次产生“筛选”动作后,都可以通过点击上方的“清除筛选条件”选项,即时清除所有筛选参数。
图6-5 查看详情
用户可以在日志检索页面,通过点击该页面右上角的“下载按钮”,调出复选框,选择导出参数:
· 文件名:支持自定义导出文件名称。
· 保存类型:支持CSV、HTML、XML、TXT四种导出格式。
· 要导出的数据:当前数据(导出当前页面展示的所有数据)、选中数据(只导出当前页面中选中的数据)。
· 要导出的字段:支持导出目标行日志(第一个空白字段为序号列,用于标记某行日志选中与否True/Flase)。
· 导出选项:表头(是否包含字段名称)、表尾、源数据(用于导出数据库中的原始数据,忽略数据展示时做的字段转换)。
图6-6 在日志导出复选框中筛选导出条件
图6-7 导出日志一览
日志检索页面,单页最大可显示1000条日志。用户在进行日志导出时,默认只支持导出“本页日志”。即用户单次可导出最多1000条日志。建议用户配合“高级筛选”功能,进行日志筛选后导出检索结果。
EAA界面-“日志检索”页面,默认显示了部分字段的信息,如应用名称、源/目的IP等,支持点击右上角的“拓展字段”在当前页面中进行显示。拓展字段中部分预留字段的识别能力还在不断开发中,会随着系统的升级陆续开放给用户。在开放之前,这部分字段会表现为始终无数据。此处对日志检索页面中罗列的日志字段进行说明。
表6-2 日志字段说明
|
字段名称 |
说明 |
|
日志类型 |
日志类型,如通联日志、动作日志;(此字段暂不支持) |
|
捕包机IP地址 |
捕包机IP地址,点分十进制,如:"172.16.30.149" |
|
入站接口 |
流量接入网络适配器;(此字段暂不支持) |
|
出站接口 |
流量出口网络适配器;(此字段暂不支持) |
|
流发现时间 |
UTC格式,如: "2019-09-16 15:27:08" |
|
流结束时间 |
UTC格式,如: "2019-09-16 15:27:08" |
|
持续时间 |
流持续时间,单位为秒 |
|
流状态 |
流状态,字符串,取值如下: · start,首次识别 · end,流结束 · data,传输过程中 |
|
会话ID |
每个会话的内部唯一标识符;(此字段暂不支持) |
|
流创建方法 |
流创建方法,字符串,取值如下: · SYN_ACK:通过syn,syn+ack建流 · TCP_DATA:通过TCP data建流 · UDP:UDP建流 · SIP_DIP_PROTO:按照:SIP+DIP+非UDP和TCP的协议号建流 |
|
会话终止原因 |
会话终止原因;(此字段暂不支持) |
|
动作策略 |
流量动作策略的ID |
|
流量动作 |
流量动作策略的动作,字符串 动作可以为:监视、落包、阻断、限流,取值如下: · monit:监视动作 · block:阻断动作 · limit:限速动作 · dump_pcap:落包动作 |
|
IP类型 |
IP类型,字符串,取值:IPv4,IPv6 |
|
传输层协议 |
传输层协议类型,字符串,取值:ICMP、TCP、UDP |
|
源Mac地址 |
源MAC地址 |
|
目的Mac地址 |
目的MAC地址 |
|
源IP |
客户端IP,支持IPv4和IPv6 |
|
源端口 |
客户端端口,主机序 |
|
目的IP |
服务器IP,支持IPv4和IPv6 |
|
目的端口 |
服务器端口,整型,主机序 |
|
隧道类型 |
隧道类型,其取值如下: · NON · IPv6OVERIPv4 · IPv4OVERIPv6 · GRE · IP_IN_IP · PPTP · L2TP · TEREDO · GPRS_TUNNEL 支持以上几种隧道的同时存在,用管道符分割 |
|
嵌套地址 |
嵌套通信地址的字符串化表示 格式:最内层地址类型<客户端端口-服务器端口-客户端IP-服务器IP>|中间嵌套地址类型<嵌套地址>|最外层地址类型<最外层地址> 例如: "IPv4_TCP<58476-10050-10.10.130.201-10.223.26.70>|GRE<NULL>|IPv4<36.7.72.49-119.147.211.194>|MAC<80fb06db947d-70f96dda95e8>" 备注:从最外层到最内层地址都严格按照最内层地址的客户端、服务器认定进行翻转 |
|
父会话ID |
会话的父会话ID,针对隧道内的流量;(此字段暂不支持) |
|
父会话创建时间 |
父会话创建时间,UTC格式,如:"2019-09-16 15:27:08";无隧道时,默认为NA;(此字段暂不支持) |
|
NAT内客户端IP |
NAT内客户端IP,支持IPv4和IPv6,默认为NA;(此字段暂不支持) |
|
NAT内客户端端口 |
NAT内客户端端口,主机序,默认为0;(此字段暂不支持) |
|
NAT内服务端IP |
NAT内服务端IP,支持IPv4和IPv6,默认为NA;(此字段暂不支持) |
|
NAT内服务端端口 |
NAT内服务端端口,主机序,默认为0;(此字段暂不支持) |
|
方向 |
流的方向,取值: · C2S:单向流 · S2C:单向流 · double:双向流 |
|
S2C包数 |
S2C方向包数 |
|
C2S包数 |
C2S方向包数 |
|
S2C字节数 |
S2C方向字节数 |
|
C2S字节数 |
C2S方向字节数 |
|
客户端运营商 |
客户端运营商;(此字段暂不支持) |
|
服务端运营商 |
服务端运营商;(此字段暂不支持) |
|
客户端是否在域内 |
客户端是否在域内,1在域内,0在域外 |
|
服务端是否在域内 |
服务端是否在域内,1在域内,0在域外 |
|
客户端AS |
客户端的AS域 |
|
服务端AS |
服务器的AS域 |
|
客户端经度 |
客户端经度 |
|
客户端纬度 |
客户端纬度 |
|
服务器经度 |
服务器经度 |
|
服务器纬度 |
服务器纬度 |
|
客户端信息 |
客户端信息描述,包括国家/地区、公司、组织等信息 |
|
服务端信息 |
服务器信息描述,包括国家/地区、公司、组织等信息 |
|
协议类型ID |
协议类型内部ID |
|
业务类型ID |
业务类型内部ID |
|
应用ID |
应用内部ID |
|
应用行为ID |
应用行为内部ID(此字段暂不支持) |
|
操作系统类型ID |
操作系统类型内部ID(此字段暂不支持) |
|
浏览器类型ID |
浏览器类型内部ID(此字段暂不支持) |
|
协议名称 |
协议名称 |
|
协议版本 |
协议版本;(此字段暂不支持) |
|
业务类型 |
应用所属业务类型 |
|
应用名称 |
应用名称 |
|
应用行为 |
应用行为;(此字段暂不支持) |
|
置信度 |
置信度;(此字段暂不支持) |
|
操作系统名称 |
操作系统名称;(此字段暂不支持) |
|
浏览器名称 |
浏览器名称;(此字段暂不支持) |
|
协议类型来源 |
协议类型来源,数值,用于开发人员排查流量识别结果 |
|
应用类型来源 |
应用类型来源,数值,用于开发人员排查流量识别结果 |
|
行为类型来源 |
行为类型来源,数值,用于开发人员排查流量识别结果 |
|
操作系统类型来源 |
操作系统类型来源;(此字段暂不支持) |
|
所属类别 |
所属类别;(此字段暂不支持) |
|
技术类型 |
技术类型;(此字段暂不支持) |
|
风险等级 |
风险等级;(此字段暂不支持) |
|
账号类别 |
虚拟账号类别;(此字段暂不支持) |
|
虚拟账号 |
虚拟账号,目前支持:微信虚拟ID、QQ账号、邮箱账号 |
|
账号密码 |
账号密码;(此字段暂不支持) |
|
域名 |
域名信息,可以为:HTTP的Host、TLS和QUIC的SNI、DNS的请求域名 |
该页面用于展示EAA系统当前网络环境下的流量信息。
表7-1 流量概览页面信息介绍
|
功能 |
描述 |
|
平均流速 |
支持平均流速的展示,包含TCP、UDP、IPv4、IPv6四个字段 |
|
平均连接速 |
支持平均连接速的展示,包含新建TCP会话、删除TCP会话、C2S单向流、S2C单向流四个字段 |
|
Ethernet/IPv4/IPv6流速 |
支持对一段时间内的实时流速展示,包含Ethernet、IPv4、IPv6三个字段 |
|
Ethernet/IPv4/IPv6包速/丢包率 |
支持对一段时间内的实时包速和系统丢包率展示,包含Ethernet、IPv4、IPv6、丢包率四个字段 |
|
TCP/UDP流速 |
支持对一段时间内TCP、UDP实时流速展示 |
|
TCP/UDP包速 |
支持对一段时间内TCP、UDP实时包速展示 |
|
TCP/新建/删除/单向连接速 |
支持对一段时间内每秒连接数展示,新建、删除、S2C单向流、 |
图7-1 平均流速仪表概览
平均流速仪表,用于展示当前网络环境,一段时间范围下平均的流量速度。与该页面上方的时间复选框联动。包含四个字段:TCP平均流速、UDP平均流速、IPv4平均流速、IPv6平均流速。
图7-2 平均连接速仪表概览
表7-2 平均连接速仪表,用于展示当前网络环境,一段时间范围下平均的连接新建/删除速度。与该页面上方的时间复选框联动。包含四个字段:新建TCP会话、删除TCP会话、C2S单向流新建会话、S2C单向流新建会话。
图7-3 Ethernet/IPv4/IPv6流速折线图概览
Ethernet/IPv4/IPv6流速折线图,支持显示当前网络环境下的实时流速,包含三个字段:Ethernet流速、IPv4流速、IPv6流速。单位:bps
l 数据展示间隔为1分钟
l 该折线图展示时间范围与页面上方的时间复选框联动
l 用户可通过点击折线图下方的图例,显示或隐藏某条统计曲线
l 用户可通过点击折线图右上方的“下载”按钮,保存图像到本地
l 折线图右上方的”功能拓展选项“中,与首页折线图相比(见4.4章节),增加了”柱形图展示“的功能。用户可通过点击“柱形图”按钮和“还原“按钮,更改当前统计图标的展示样式。
图7-4 柱形图展示
图7-5 Ethernet/IPv4/IPv6/丢包率折线图概览
Ethernet/IPv4/IPv6包速/丢包率折线图,支持显示当前网络环境下的实时包速,包含三个字段:Ethernet包速、IPv4包速、IPv6包速、丢包率。单位:pps
l 数据展示间隔为1分钟
l 该折线图展示时间范围与页面上方的时间复选框联动
l 用户可通过点击折线图下方的图例,显示或隐藏某条统计曲线
l 用户可通过点击折线图右上方“下载”按钮,保存图像到本地
l 折线图右上方的”功能拓展选项“中,与首页折线图相比(见4.4章节),增加了”柱形图展示“的功能。用户可通过点击“柱形图”按钮和“还原“按钮,更改当前统计图标的展示样式。
l 该折线图中额外增加了对于EAA系统在高速流量处理的情况下,系统丢包率的统计。
图7-6 丢包率曲线图
图7-7 TCP/UDP流速折线图概览
TCP/UDP流速折线图,支持显示当前网络环境下的实时流速,包含两个字段:TCP流速、UDP流速。单位:bps
l 数据展示间隔为1分钟
l 该折线图展示时间范围与页面上方的时间复选框联动
l 用户可通过点击折线图下方的图例,显示或隐藏某条统计曲线
l 用户可通过点击折线图右上方“下载”按钮,保存图像到本地
l 折线图右上方的”功能拓展选项“中,与首页折线图相比(见4.4章节),增加了”柱形图展示“的功能。用户可通过点击“柱形图”按钮和“还原“按钮,更改当前统计图标的展示样式。
图7-8 TCP/UDP包速折线图概览
TCP/UDP包速折线图概览,支持显示当前网络环境下的实时包速,包含三个字段:TCP包速、UDP包速。单位:pps
l 数据展示间隔为1分钟
l 该折线图展示时间范围与页面上方的时间复选框联动
l 用户可通过点击折线图下方的图例,显示或隐藏某条统计曲线
l 用户可通过点击折线图右上方“下载”按钮,保存图像到本地
l 折线图右上方的”功能拓展选项“中,与首页折线图相比(见4.4章节),增加了”柱形图展示“的功能。用户可通过点击“柱形图”按钮和“还原“按钮,更改当前统计图标的展示样式。
图7-9 TCP新建/删除/单向连接速折线图概览
TCP新建/删除/单向连接速折线图概览,支持显示当前网络环境下的实时新建/删除连接速,包含四个字段:TCP每秒新建连接数、TCP每秒删除连接数、TCP S2C单向流每秒新建连接数、TCP C2S单向流每秒新建连接数。单位:link/s
l 数据展示间隔为1分钟
l 该折线图展示时间范围与页面上方的时间复选框联动
l 用户可通过点击折线图下方的图例,显示或隐藏某条统计曲线
l 用户可通过点击折线图右上方“下载”按钮,保存图像到本地
l 折线图右上方的”功能拓展选项“中,与首页折线图相比(见4.4章节),增加了”柱形图展示“的功能。用户可通过点击“柱形图”按钮和“还原“按钮,更改当前统计图标的展示样式。
本章介绍系统设置的常见操作内容和方法,具体内容如下。
表8-1 系统设置常用操作
|
功能 |
描述 |
|
网卡设置 |
支持修改管理网卡的IP地址、子网掩码、默认网关 |
|
网卡状态 |
支持查看网卡的连线状态 支持修改网卡的工作模式 |
|
系统时间 |
支持校对系统时间 |
|
关机重启 |
支持关机、重启操作 |
|
许可信息 |
支持查看当前系统的许可状态、许可有效期、特征库有效期 |
|
许可安装 |
支持安装许可文件 |
|
设备信息 |
支持下载设备指纹文件 |
|
软件更新 |
支持软件更新 |
|
特征库更新 |
支持在线/离线方式特征库更新 |
|
修改密码 |
支持修改界面密码 |
|
终端密码 |
支持修改后台终端系统密码 |
图8-1 网卡设置概览
网卡设置,支持在线更改EAA系统管理地址的网卡信息:IP地址、子网掩码、默认网关,配置相应信息点击提交即可。
网卡地址更改后,当前界面访问会中断,需要用户重新打开浏览器页面,使用新配置的网卡地址登录界面。
图8-2 网卡状态概览
网卡状态,支持用户查看和配置非管理网口以外的其它网口的连线信息和工作模式(是否设置为捕包模式)。用户可参照如下步骤,将网口设置为“捕包模式”
l 点击修改捕包网卡,并选择需要用于捕包的网卡,如选择eth1网口
图8-3 选择需要用于捕包的网卡
l 保存设置修改并重启
图8-4 保存设置并重启系统
l 重启后生效
图8-5 系统重启后网口捕包模式生效
EAA把系统识别到的所有网口区分为三类:管理口、业务口、普通口
1)管理口:默认名称为eth0。用于用户对设备的管理通信。
2)业务口:用于测试/监控流量注入的网口。
3)普通口:管理口和业务口以外其它网口。
用户可通过登录EAA可视化管理界面——系统设置——网卡状态,查看当前系统下所有网口的连线情况和捕包信息。可通过对某个网口进行“是否捕包”设置,将该网口调整为“普通口”或“业务口”。网口只有在正常连线并且被配置为“业务口”(捕包模式)情况下,该网口接收到的流量,才会被EAA系统接收和处理。
选择“系统设置->系统时间“,进入系统时间管理页面,可以选择时间配置方式:时间服务器配置和手工配置。
NTP协议全称网络时间协议(Network Time Protocol)。NTP的目的是在国际互联网上传递统一、标准的时间。具体的实现方案是在网络上指定若干时钟源网站,为用户提供授时服务,并且这些网站间应该能够相互比对,提高准确度。NTP最早是由美国Delaware大学的Mills教授设计实现的,从1982年最初提出到现在已发展了37年,2001年最新的NTPv4精确度已经达到了200毫秒。对于实际应用,又有确保秒级精度的SNTP(简单的网络时间协议)。本项目使用网上时间传递格式NTPv3公布于1992年,当前几乎所有的授时网站都是基于NTPv3的。
图8-6 配置时间服务器
时间服务器配置步骤如下:
l 选择“系统设置->系统时间->NTP服务器”
l 配置NTP服务器参数
l 点击[提交]按钮保存配置
手工配置时间的详细步骤如下:
l 选择“系统设置->系统时间->系统时间”
l 输入具体日期和时间
l 点击[提交]按钮保存配置
手工配置时间的时候,需要先将NTP信息清空。
在做某些配置或者安装硬件的时候,我们需要重启EAA系统才能生效;执行关机命令,可以将EAA系统关闭;执行重启命令,可以将EAA系统进行重启。
关机:选择“系统设置->关机重启->关机”进入关机页面,点击【提交】关闭EAA系统。
图8-7 关机
重启:选择“系统设置->关机重启->重启”进入重启页面,点击【提交】重启EAA系统。
图8-8 重启
License是版权拥有者对产品使用者行为的一种约束和规定,一般定义了用户使用该产品的条件,License绑定了EAA系统的硬件信息。如果License所绑定的硬件信息与当前系统的序列号不匹配,则该License是不合法的,不可被使用。只有当本系统被上载License之后,用户才能对EAA系统进行配置。只有管理员才能进行License配置。
首次登录EAA系统的管理界面,点击“系统设置->软件许可->许可信息”,可查看到当前许可证状态,如果无许可证信息,需要申请License导入才能使用:
图8-9 许可信息查看
用户在进行License申请之前需要需要在“系统设置->软件许可->设备信息”获取EAA系统设备的信息文件,用以License文件的申请。
图8-10 设备信息文件下载
支持EAA系统前后端软件的升级更新。通过本地导入软件更新包的方式进行系统升级。具体步骤如下:
l 进入“系统设置->软件更新”
图8-11 软件更新
l 本地选择更新包上传
图8-12 本地上传更新包
l 点击安装,提示更新状态
图8-13 提示更新进度
l 更新成功
图8-14 更新成功提示
支持对EAA加密应用分析系统特征库文件的升级和更新。通过在线升级或离线导入的方式进行特征库升级。具体步骤如下:
l 进入“系统设置->特征库更新”
图8-15 特征库更新
l 选择“在线”更新,点击升级,选择确定
图8-16 在线更新
l 也可以选择“离线”更新,从本地选择特征库上传
图8-17 离线更新
l 提示用户更新状态
图8-18 显示更新状态
l 更新成功
图8-19 更新成功
支持修改界面admin用户的密码。需要使用当前密码做校验。步骤如下。
l 进入“系统设置->账户设置”
图8-20 进入账户设置
l 进行密码修改
图8-21 进行密码校验和修改
l 点击提交、修改成功
图8-22 修改成功
支持后台终端密码的找回和修改,需要用当前EAA系统密码(界面密码)作为校验依据。
图8-23 修改终端密码
支持找回EAA界面系统的密码,需要用当前终端密码作为校验,步骤如下:
l 进入EAA可视化管理系统的登录界面
图8-24 EAA可视化管理界面
l 点击“忘记密码”
图8-25 忘记密码
l 输入终端密码,以终端密码为校验依据,找回可视化管理系统的登录密码
图8-26 使用终端密码进行校验
l 验证成功,设置新密码
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
