SANGFORAC外置数据中心安装和使用案例背景介绍客户需求:1、实现各种上网行为审计,包括邮件的附件等。2、进行报表统计,可通过关键字搜索日志3、审计日志需要保存至少60天以上需求分析:通过审计环境测试观察,大概一天内置数据中心硬盘使用量增加1.5G,如保存60天则至少需要90G的硬盘,但客户设备内置数据中心只有80G空间,同时为实现海量日志关键字检索功能,建议客户安装外置数据中心。外置数据中心的安装及使用外置数据中心的安装及使用我们以如下四个部分内容来阐述如何配置实现客户的需求:1、安装环境2、外置数据中心的安装3、外置数据中心及AC设备的同步配置4、外置数据中心的使用4.1行为日志查询(上网行为,访问网站,外发文件,WebBBS发帖)4.2统计日志查询4.3自定义报表及查询4.4内容搜索索引的建立1、安装环境(1)系统条件建议安装在windows2000server、windows2003server系统上,较稳定。XP系统对数据中心支持得不是很好,不建议安装。注:所有64位系统都不支持安装(2)硬件条件a、安装盘需要至少4GB的硬盘空间(在本案例中要保存60天以上日志,则磁盘空间要至少预留90G)。b、安装盘磁盘格式必须是NTFS格式。外置数据中心的安装及使用2、外置数据中心的安装外置数据中心的安装及使用双击安装程序,点击下一步外置数据中心的安装及使用3、外置数据中心及AC设备的同步配置-客户端配置双击打开SangforAC数据中心配置端默认登录密码为空,点击登录选择附件存放目录,点击应用保存点击数据同步账号点击新建点击新建数据库点击确定保存填写同步用户名及密码,此用户密码与设备上同步账号需配置相同。确定保存通过勾选方式对日志以及附件进行选择性同步外置数据中心的安装及使用3、外置数据中心及AC设备的同步配置-设备配置进入【系统配置】-【数据中心配置】页面,点击【新增】进行外置数据中心同步配置填写安装外置数据中心的服务器IP地址;所配置好的同步账号及密码;以及安装外置数据中心软件时指定的页面访问端口。提交保存点击测试连接用于测试810端口是否可达点击同步,手动同步日志至外置数据中心到外置数据中心查看同步状态在线则表示有数据正在同步,离线则表示当前没有数据同步在日志查看中可查看同步成功与否相关信息外置数据中心的安装及使用外置数据中心查询页面登陆:浏览器输入外置数据中心所在服务器IP地址以及所配置端口号默认用户名密码均为admin(a小写)外置数据中心的安装及使用4、外置数据中心的使用4.1行为日志查询-上网行为查询登录后默认显示此【首页】点击【日志查询】展开后如图点击加号展开后如图点击上网行为查询可设定各种查询条件进行明细查询举例设定条件:查询192.200.0.100~110这段IP在2010年7月28日到30日每天早上9点到下午18点发送邮件的上网行为日志配置相应查询项后点击【开始查询】查询结果外置数据中心的安装及使用4、外置数据中心的使用4.1行为日志查询-访问网站查询点击【访问网站查询】举例设定条件:查询192.200.90.100~110这段IP在2010年7月28日到29日每天早上10点到下午15点访问新闻门户类型网站的日志查询结果外置数据中心的安装及使用4、外置数据中心的使用4.1行为日志查询-WebBBS发帖查询点击【WebBBS发帖查询】举例设定条件:查询192.200.90.100~110这段IP在2010年7月28日当天,全天的BBS发帖纪录查询结果查看【详细】信息外置数据中心的安装及使用4、外置数据中心的使用4.1行为日志查询-外发文件查询点击【外发文件查询】举例设定条件:查询192.200.90.100~105这段IP在2010年7月29日到30日每天早上9点到下午16点外发所有类型文件的日志查询结果可通过附件形式查看所外发的文件内容外置数据中心的安装及使用4、外置数据中心的使用4.2统计日志查询-上网流量统计(用户流量排行)左树点击统计展开点击加号展开点击【用户流量排行】举例设定条件:查询所有用户组在2010年7月28日到7月30日每天全天访问网站的上下行总流量,统计前10名查询结果-统计图选择饼状图或者柱状图查询结果-明细记录基于用户进行排行外置数据中心的安装及使用4、外置数据中心的使用4.2统计日志查询-上网流量统计(应用流量排行)点击【应用流量排行】举例设定条件:查询192.200.90.100~110IP段在2010年7月28日到7月30日每天全天访问所有应用的上下行总流量,统计前10名查询结果-统计图查询结果-明细记录基于应用进行排行外置数据中心的安装及使用4、外置数据中心的使用4.3自定义报表及查询-生成趋势报表点击【自定义报表】点击【自定义报表向导】选择趋势报表,点击【下一步】选择应用趋势,点击【下一步】勾选需要统计项(本例统计流量信息),点击【下一步】点击选择,选取所有类型及所有所有组(根组)勾选【是否包含自足子组】,点击下一步选择周期性报表每天,日期2010-07-28,统计时间全天点击【下一步】填写报表名称,点击完成点击【保存模板】,则指定义模板,但未到自动生成时间不生成报表点击【保存并生成】,则指不但定义模板同时立即生成一份报表点击保存并立即生成外置数据中心的安装及使用4、外置数据中心的使用4.3自定义报表及查询-生成汇总报表选择汇总报表,点击【下一步】选择相应条件,选择一次性报表,点击【下一步】选择相应条件,填写报表名称,点击【下一步】点击【立即生成】显示生成进度直至完成外置数据中心的安装及使用4、外置数据中心的使用4.3自定义报表及查询-报表查看点击历史报表如下是刚才生成的两个报表,点击其中一个进行查看(以汇总报表为例)以上报表图并不完整,作为示例如图,可对报表执行打印、导出为PDF及以邮件形式发送至管理员邮箱的操作索引的作用类似目录,它能将关键字和日志所在的表记录下来,这样能方便用户进行快速查询,每个网关只能对应一个索引。外置数据中心的安装及使用4、外置数据中心的使用4.4内容搜索索引的建立-介绍点击【内容搜索】点击【内容搜索】打开内容搜索主页所能搜索的内容外置数据中心的安装及使用4、外置数据中心的使用4.4内容搜索索引的建立-内容搜索管理(启用系统)点击【内容搜索管理】启用搜索系统索引存放的路径,磁盘必须是NTFS格式。定义索引哪段时间的日志定义系统自动整理索引的时间,比较耗资源,最好选择空闲时间网页索引可以选择性开启,因为如果网页内容较多,可能会影响索引性能。根据服务器内存大小自动选择,一般不用做修改,如果选择不当,可能导致服务器性能占用过多,或者服务器性能使用不足。配置完后点击【保存配置】外置数据中心的安装及使用4、外置数据中心的使用4.4内容搜索索引的建立检索:设置搜索页面每页显示条数和排列顺序状态:查看索引大小,记录条数以及更新时间恢复默认配置:将系统中的配置恢复初始化点击【检索】根据各人喜好进行配置,其中【相关度排列】指含有关键字较多的日志会排在靠前的位置。配置完后点击【保存配置】点击【状态】手动重新编制索引,此操作将会删除所有网关的索引数据且会耗费较长的时间。点击【恢复默认配置】必要的时候才进行此操作点击回到主页外置数据中心的安装及使用4、外置数据中心的使用4.4内容搜索索引的建立-主题订阅设置自动搜索条件,搜索的内容将以邮件的形式发给管理员点击主题订阅进行相应填写,可点击高级进行详细信息填写sangfor是关键字type:httpup是指关键字类型,相当于过滤条件此类型指WebMail/BBS上传关键字发送时间凌晨5点type:web指网页关键字type:mail指邮件关键字type:search指搜索关键字type:chat指聊天关键字为外置数据中心提供邮件服务器以发送主题至阅览者邮箱点击测试邮件服务器等信息是否填写正确如测试成功则点击创建主题提示成功外置数据中心的安装及使用4、外置数据中心的使用4.4内容搜索索引的建立-高级搜索即多条件搜索,条件包括内容类型、用户名、组和日期点击【高级搜索】设定明细条件进行搜索条件设置好后点击【开始搜索】搜索结果如图练练手客户需要把AC设备里的上网数据做一个备份到本地服务器,并需要查询和统计。请问如何设置实现呢?