iMC UBA的配置和维护指导
iMC UBA的配置和维护指导 ......................................................................................... 1 摘要 ................................................................................................................................... 1 名词解释 ........................................................................................................................... 1 准备工作: ....................................................................................................................... 2 组网方式 ........................................................................................................................... 3 探针的UBA实现案例 .................................................................................................... 3 和NAT设备配合进行用户行为审计案例 ..................................................................... 9 iMC UBA的维护: ....................................................................................................... 14 日志收集 ......................................................................................................................... 16
摘要
iMC智能管理中心,是华三推出的下一代业务智能管理平台。它融合了当前
多个产品,以统一的风格提供与网络相关的各类管理、控制、监控等功能;同时以全开放的、组件化的架构原型,向平台及其承载业务提供分布式、分级式交互管理特性;并为业务软件的下一代产品提供最可靠的、可扩展的、高性能的业务平台。
iMC UBA用户行为审计组件是一套用户上网日志审计系统,能够处理包含NAT日志、FLOW日志、NetStream V5日志、DIG日志等多种日志类型;支持对用户上网行为进行查询和审计;当和DIG探针采集器配合时,可以基于URL和Web站点审计用户的上网行为,可以审计用户用FTP传输文件的行为,还可以审计用户的Email信息;用户还可以自定义日志审计任务,通过审计任务用户可以持续审计自己关注的上网行为。当UBA组件和iMC UAM(用户接入管理)组件一起安装时,UBA能够和iMC用户接入管理组件实现联动,实现基于用户名的审计,替代基于IP地址审计用户上网行为的方式。
名词解释
主服务器:部署iMC平台的服务器;
从服务器:通过Web登录iMC配置台,将所选组件分步式部署在非主台服务器的服务器;
用户行为审计:对用户上网过程中以何地址、何端口访问了哪里等进行记录,如果是NAT日志可以审计到NAT前后的地址、端口,如果何DIG配合可以审计到网页,同时对应用FTP、HTTP、MAIL进行审计;
流量分析:一般部署在网络出口,主要关注用户网络的实时带宽大小,同时涵盖了这些流量信息中的应用区分,为优化网络提供帮助,主要关注实时的信息
多一些,报表丰富;
数据库空间使用率:在iMC平台安装好以后,UBA或者NTA会自动创建数据库,在这个数据库中存放从设备或者探针发来经过分析处理后的日志文件,在此数据库空间中以存放的日志占用空间与目前数据库申请的空间的比值就是数据库空间使用率,其值会随着保存日志的增多而变大,当数据库空间用完的时候,数据库会进行自动扩张,从而间接降低磁盘数据库空间使用率,用户存放新的日志数据;
磁盘空间使用率:数据库所在磁盘已使用空间与总空间的比值,随着数据库空间的不断增长而变大,单纯的删除数据库空间的表不会降低磁盘空间使用率,只有将数据库中的表删除后,并进行数据库收缩才能够降低磁盘空间使用率;
准备工作:
概览:iMC平台包含了网管的功能,根据用户应用的需要可以将UAM、EAD、UBA、NTA等组件跟平台进行集中式部署,也可以分步式实现,即为了功能的明确和性能的要求,可以对部分组件采用分步式的方式来不属到其他的服务器上。例如UBA、NTA组件可以通过分步式部署来实现,这种分步式部署最多支持5台服务器,部署方法是将用户行为审计组件或流量分析组件部署在主服务器上,即和iMC平台部署在一起,而将用户行为审计服务器组件或流量分析服务器组件部署到从服务器上,要求每台服务器只能部署一个用户行为审计或/和流量分析服务器组件;
本案例以集中式部署为例进行说明,同时兼顾探针和SR66的NAT日志审计,默认平台和UBA都已部署完成,且能够自动启动。 1、 硬件准备
平台(以5000个用户的平台推荐配置,具体参考对应组件的版本说明书): PC服务器-HP ML350G4p-2*Xeon 3.0GHz-2G-6*72G(10K) SCSI RAID5-软驱-CDR-集成网卡+100&1000M网卡-642 RAID卡(192M)-15\塔式-3年5*8服务-英文资料-725W-键/鼠 探针服务器:
要求探针服务器双网卡(具体参考对应组件的版本说明书),使用的操作系统为Linux ES3.0, 2、 软件安装
操作系统:iMC支持Windows 2000SP4 Server、Windows 2003SP1 Server及以上版本,数据库支持SQL Server 2000SP4、SQL Server 2005
iMC版本:目前最新的版本为iMC PLAT 3.20-E2403、iMC UAM 3.20-E0401P05、iMC EAD 3.20-E0401P05、iMC-UBA-3.20-B0401P01,如果是山西电力用户使用iMC UBA组件,还需要打上如下两个补丁:iMC UBA 3.20-B0401L02、iMC UBA 3.20-B0401L03;
探针版本:操作系统为Linux ES3.0,版本为:iMCh3cprobeE0401,其中包括SingleCPU和MultipleCPU两种,分别表示工作在单核和多核系统下的探针采集器;
组网方式
1、探针方式组网
2、和NAT设备配合组网
探针的UBA实现案例
1、操作系统的安装
安装方法参见Linux ES3.0的安装指导书; 2、探针采集器的安装
对于iMCh3cprobeE0401探针的安装之前,要先确定所进Linux ES3.0系统是多核还是单核,安装完Linux ES3.0默认所进系统为多核操作系统,其命名方式为:Redhat Enterprise Linux Es(2.4.21-**.Elsmp),单核系统的名称为:Redhat Enterprise Linux Es-up(2.4.21-**.El),以多核操作系统为例,登录用户权限为root,探针的安装方法如下:
a、 首先在登录探针服务器的时候选择多核操作系统,登录权限为root,同
时通过ifconfig的命令查看当前的网卡的名称,并规划好哪一个网卡作为采集口,连接镜像设备,哪一个网卡作为管理口连接iMC UBA服务器。本例以eth0作为采集口,eth1作为管理口(有的服务器网卡命名为
en0和en1等);
b、将多核探针以binary的方式上传到探针服务器上,假设挂载的位置为:
\\h3cprobe\\MultipleCPU,然后进入探针安装目录: #cd \\h3cprobe\\MultipleCPU\\h3cprobe
目录下有探针采集器的安装文件probe.tar.gz 和安装脚本probe_installer.sh; c、 执行probe_installer.sh脚本,提示信息如下:
安装程序默认将采集器安装到/usr/local/目录下,直接回车即可进行安装。用户可以根据实际情况输入其他绝对路行进行安装。
d、选择采集器所在服务器的以太网卡名称,本例中选择采集网卡为eth0:
输入采集器网卡名称之后,系统会提示用户是否增加其他网卡作为采集器,本例不增加其他网卡,输入“n”后提示如下:
注:在询问是否重起服务器的时候,输入“y”,必须重起服务器采集器才能正常工作。采集器会在服务器重起时自动运行,使用ps –ax|grep probe命令查看probe进程是否存在,如果存在表示采集器已经启动。 3、iMC UBA服务器的配置
默认iMC平台和UBA组件已经部署,并且能够正常启动,然后通过web界面登录iMC配置管理平台,登录方法是http://localhost:8080/imc。
a、 在iMC UBA服务器上开启FTP SERVER服务,或者安装类似Serv U的
ftp软件,用户接收从探针服务器发来的dig日志信息。不建议使用
3CDaemon软件作为ftp接收软件,原因是该软件具有syslog接收功能,与iMC平台有端口冲突的问题;
b、增加采集器:进入如下位置,选择增加,并按照如下截图进行采集器配
置:
如果要只对某些内网网段进行采集,可以设置过滤,即增加内网信息。
c、 服务配置:进入“业务 >> 流量分析与审计 >> 服务器管理”,输入FTP
的目录、用户名、密码,注意目录需要输入绝对路径,同时选择该服务对应的采集器,点击确定,如下图所示: