藍(lán)盾防火墻日志管理系統(tǒng)操作手冊

1、.藍(lán)盾防火墻日志管理系統(tǒng)一、 系統(tǒng)概述通過分析藍(lán)盾防火墻等系列安全產(chǎn)品的特點(diǎn)，我們將日志服務(wù)作為一個(gè)獨(dú)立系統(tǒng)分離出來。為了便于管理和使用，以及日志服務(wù)的性能出發(fā)，又將日志系統(tǒng)設(shè)計(jì)成客戶和服務(wù)模式，服務(wù)端是日志服務(wù)器，客戶端是日志管理，服務(wù)端是服務(wù)程序，有兩種版本，一種是以文件的方式存儲日志，一種是以數(shù)據(jù)庫(SQL SERVER)存儲的日志，客戶只有一種版本，對文件和數(shù)據(jù)庫的管理操作方式是一致。客戶端即日志管理，是以插件的形式提供，在日志安全中心添加一個(gè)插件設(shè)備具體操作參考3.1的“新建安全設(shè)備”來實(shí)現(xiàn)，客戶端本身也以插件方式實(shí)現(xiàn)，用插件來解釋日志字段，日志顯示也是動態(tài)，所以本系具有通用性，可用

2、于適用實(shí)現(xiàn)多種日志設(shè)備的管理。日志管理可以安裝于任一臺電腦進(jìn)行管理，也可以進(jìn)行遠(yuǎn)程管理。二、 系統(tǒng)安裝與卸載雙擊藍(lán)盾日志管理安裝程序bdlogsetup.exe，出現(xiàn)如下圖所示，單擊下一步。單擊“下一步”按鈕，出現(xiàn)如下圖所示：如需要更改安裝目錄，單擊“瀏覽”按鈕，確認(rèn)安裝目錄后，單擊“下一步”按鈕，出現(xiàn)如下圖所示：在系統(tǒng)的“開始”菜單的“程序”菜單中添加一項(xiàng)菜單，確認(rèn)菜單名稱后，一直單擊“下一步”按鈕即可，可能要一兩分鐘，最后出現(xiàn)如下圖所示表示安裝成功完成。卸載：直接單擊控制中心菜單下的“卸載藍(lán)盾日志管理”或在“控制面板”中，選中“藍(lán)盾日志管理”，然后單旁邊的“更改與刪除”按鈕，出現(xiàn)如下圖所示

3、： 單擊“下一步”按鈕，然后單擊“完成”按鈕即可。三、 系統(tǒng)操作先啟動藍(lán)盾安全控制中心，啟動后的出現(xiàn)如下圖所示：輸入登錄藍(lán)盾控制中心的用戶名和密碼，按確定登錄，按退出取消登錄并結(jié)束程序，登錄成功后出現(xiàn)如下圖所示：如上圖所示，界面主要包含六個(gè)部分：頂部的菜單、工具條、左邊的功能導(dǎo)航欄、右邊的操作界面、下邊消息提示框、底邊是狀態(tài)條。3 菜單管理31 文件菜單：如上圖所示。新建安全設(shè)備新建一個(gè)安全設(shè)備，本系統(tǒng)的安全設(shè)備是藍(lán)盾日志管理，單擊新建安全設(shè)備后出現(xiàn)如下圖所示界面，設(shè)備類型：安全設(shè)備的類型，單擊右邊的下拉列表框，選中藍(lán)盾日志管理。設(shè)備名稱：安全設(shè)備名稱，用戶自己定義，名字要規(guī)范一點(diǎn)，可以是漢字

4、或英文。地址族：本系統(tǒng)支持Ipv4和Ipv6兩種版本，一般設(shè)置為Ipv4。IP地址、端口號：是安裝了藍(lán)盾日志服務(wù)器的計(jì)算機(jī)IP地址和日志服務(wù)器的管理端口號，其中：端口號為9999。備注：用戶輸入的信息。工作路徑：存放安全設(shè)備的插件和相關(guān)文件的工作路徑，用戶可手工輸入也可以通過單擊瀏覽按鈕從目錄樹中選擇已經(jīng)存在的目錄。取消：放棄本次創(chuàng)建設(shè)備操作。確定：系統(tǒng)會自動在功能導(dǎo)航欄中添加一個(gè)設(shè)備。添加設(shè)備成功將會出現(xiàn)如下圖所示。刪除安全設(shè)備刪除一個(gè)已經(jīng)存的安全設(shè)備，刪除內(nèi)容包含此設(shè)備相關(guān)的插件、配置文件等其它文件。先在功能導(dǎo)航欄中選中要?jiǎng)h除的安全設(shè)備，然后單擊刪除安全設(shè)備出現(xiàn)如下圖所示的提示消息對話框：

5、如上圖所示，按是刪除，否取消。如按是將出如下圖的提示對話框：提示是否刪除該設(shè)備工作路徑，按是，將刪除目錄下的所有與設(shè)備相的插件和文件。登錄安全設(shè)備與安全設(shè)備相連接，這里是與藍(lán)盾日志服務(wù)器進(jìn)行連接和登錄認(rèn)證，登錄成功會在功能導(dǎo)航欄中創(chuàng)功能樹，用戶從功能導(dǎo)航中選擇要使用的安全設(shè)備，單擊登錄安全設(shè)備，將出現(xiàn)如下圖所示登錄窗口： 用戶名、密碼：登錄藍(lán)盾日志服務(wù)器的用戶名和密碼，登錄成功后會自動從日志服務(wù)器中接收功能菜單并在導(dǎo)航欄中創(chuàng)建功能樹。結(jié)果如下圖所示：在線狀態(tài)離線狀態(tài)：表示用戶與日志服務(wù)器斷開，如上圖所示的安全設(shè)備圖標(biāo)是。在線狀態(tài)：表示用戶與日志服務(wù)器相連，如上圖所示的安全設(shè)備圖標(biāo)是 。注銷安全

6、設(shè)備 斷開與日志服務(wù)器的連接，如果安全設(shè)備狀態(tài)為在線狀態(tài)，用戶可以通過單擊注銷安全設(shè)備來斷開與日志服務(wù)器的連接。退出系統(tǒng) 關(guān)閉程序。32 查看菜單 如下圖所示包含有工具欄、狀態(tài)欄、導(dǎo)航欄、信息欄、屬性幾個(gè)菜單項(xiàng)。分別表示開啟工具欄、開啟狀態(tài)欄、開啟導(dǎo)航欄、開啟信息欄、打開屬性對話框。在它們的左邊包含有“”的標(biāo)志表示開，否則就表示關(guān)。單擊屬性出現(xiàn)如下圖所示對話框： 如上圖所示，顯示了安全設(shè)備的屬性，這屬性是用戶創(chuàng)建安全設(shè)備時(shí)配置的參數(shù)，除了設(shè)備名稱和工作路徑不能更改外，其他參數(shù)都可以更改，修改方法如下。修改設(shè)備屬性 用戶單擊屬性菜單，出現(xiàn)如上圖，單擊修改，將出現(xiàn)如下圖所示： 各項(xiàng)含義與創(chuàng)建安全設(shè)

7、備“新建安全設(shè)備”時(shí)是一致的，保存修改再單擊“修改”按鈕，退出修改單擊關(guān)閉。33 設(shè)置菜單插件管理 如上圖所示，列表框中顯示當(dāng)前所使用的插件信息，包括：插件ID、插件描述、插件版本、插件庫、插件庫版本。導(dǎo)入：從插件配置文件中導(dǎo)入插件系統(tǒng)。導(dǎo)出：把插件輸出到指定的目標(biāo)目錄。刪除：把插件從系統(tǒng)中刪除，此操作必須慎重。關(guān)閉：關(guān)閉此對話框。用戶管理如下圖示，功能包含：添加用戶組、添加用戶、修改用戶。所具用戶組和用戶的權(quán)限作用域僅是本地控制中心，用于登錄控制中心，新建、刪除、修改安全設(shè)備，插件管理等。左邊是一個(gè)用戶組和用戶的樹形列表，根結(jié)點(diǎn)是用戶組，子結(jié)點(diǎn)是用戶名，右邊顯示當(dāng)前樹形列表具有焦點(diǎn)的用戶組或

8、用戶名的相關(guān)信息，通單擊左邊的列表視圖的結(jié)點(diǎn)，可以實(shí)現(xiàn)顯示用戶組或用戶名的相關(guān)信息。圖a-a新增組 新增一個(gè)用戶組，定義組的權(quán)限和允許操作的設(shè)備，單擊“新增組”可以開始添加新用戶，此時(shí)名稱、描述、權(quán)限、設(shè)備列表均由灰變成可用狀態(tài)，同時(shí)出現(xiàn)兩個(gè)按鈕：“確定”、“取消”，名稱表示用戶名，描述表示名稱的額外信息。全局管理權(quán)限表示組具有權(quán)限，包括四種權(quán)限：設(shè)備管理、用戶管理、插件管理、日志管理。按“確定”將添加一個(gè)新的用戶組，按“取消”將放棄本次操作。新增用戶 往選定的用戶組添加新的用戶，在上圖的左邊選擇一個(gè)用戶組，按“新增用戶”按鈕，將出現(xiàn)如下圖所示：常規(guī)：包括名稱、描述、密碼、確認(rèn)密碼，其中名稱是

9、用戶名稱，密碼和確認(rèn)密碼必須一致。屬性：包括用戶不能更改密碼，密碼永不過期，帳號已停用，可以選上多個(gè)屬性。使用期限：包括開始日期和終止日期。用戶在屬性欄中未選擇“密碼永過期”，則由灰變成可用戶狀態(tài)，這樣使用期限才有效。確定：輸入完成，確認(rèn)要添加新用戶，單擊“確定”取消：取消添加新用戶并關(guān)閉對話框。刪除 刪除一個(gè)用戶組或一個(gè)用戶，在上圖a-a(“用戶管理”)中選中要?jiǎng)h除的用戶或組，單擊“刪除”按鈕。修改修改一個(gè)用戶組或用戶，在上圖a-a(“用戶管理”)中選中要修改的用戶或組，如果是修改用戶組，將出如下圖示：如上圖示，用戶單擊修改，常規(guī)、全局管理權(quán)限、設(shè)備操作權(quán)限將由灰變成可用狀態(tài)，確認(rèn)修改按“確

10、定”，取消修改按“取消“。如果是修改用戶，將出現(xiàn)如下圖所示： 單擊修改，常規(guī)、屬性、使用期限、隸屬于，其中：隸屬于表示隸屬于那些組，一個(gè)用戶可以同時(shí)隸屬多個(gè)組，“修改用戶密碼”單擊“更改密碼”按鈕，將出現(xiàn)如下圖所示，操作方法與“新增用戶”一樣，確認(rèn)修改按“確定”按鈕，取消修改按“取消”按鈕。更改密碼 更改當(dāng)前登錄控制的用戶的密碼，用戶需要輸入原來的密碼，如下圖：34 日志管理 這是本系的核心功能模塊，如下圖，主要功能包括系統(tǒng)管理、實(shí)時(shí)信息、日志分析、用戶管理和服務(wù)器狀態(tài)，系統(tǒng)管理維護(hù)日志服務(wù)器的系統(tǒng)參數(shù)和系統(tǒng)相關(guān)信息，實(shí)時(shí)信息主要包括實(shí)時(shí)流量、日志實(shí)時(shí)顯示和實(shí)時(shí)統(tǒng)計(jì)等，日志分析主要是事后日志查

11、看、檢索、統(tǒng)計(jì)功能和報(bào)表輸出。用戶管理主要是添加、修改、刪除用戶，這里的用戶指的是登錄到日志服務(wù)器與日志管理服務(wù)端相連接時(shí)的用戶。服務(wù)器狀態(tài)是所有志日服務(wù)器的包接收的狀態(tài)的統(tǒng)計(jì)。341 系統(tǒng)管理包括參數(shù)設(shè)置、設(shè)備管理、操作審計(jì)、插件管理。參數(shù)設(shè)置用戶單擊參數(shù)設(shè)置，首先出現(xiàn)如下圖所示對話框，從服務(wù)端接收參數(shù)信息。定義系統(tǒng)的服務(wù)端的日志接收端口、管理端口、日志文件的保存路徑、系統(tǒng)管理客戶端的IP范圍。接收端口：定義日志管理服務(wù)端接收設(shè)備日志的協(xié)議和端口，用于服務(wù)端與日志設(shè)備之間通信，協(xié)議通過下拉列表框選擇, “添加”：添加一個(gè)服務(wù)端接收設(shè)備日志的端口，“刪除”：刪除一個(gè)服務(wù)端接收設(shè)備日志的端口。管

12、理端口：服務(wù)端開放的端口號，用于服務(wù)端與客戶端之間通信。日志文件的保存路徑：定義服務(wù)端保存日志文件的路徑。管理客戶端地址限制：定義管理客戶端的IP地址，啟用表示允許管理客戶端程序與服務(wù)端連接通信，表示禁止管理客戶端程序與服務(wù)端連接通信?！疤砑印保禾砑右粋€(gè)新的客戶管理端IP，添加成功自動在客戶端地址列表框中添加一條記錄，“刪除”刪除一個(gè)客戶管理端IP。客戶端地址列表：表示管理客戶端IP地址列表，在列表中未標(biāo)明的IP或標(biāo)明禁用的IP是禁止管理客戶端程序與服務(wù)端連接通信。下載：從服務(wù)端下載保存參數(shù)配置的文件到客戶端，用戶單擊下載將出現(xiàn)如下所示通用文件選取對話框，選擇一個(gè)文件用于保存從服務(wù)端發(fā)來的參數(shù)

13、配置文件內(nèi)容。如果選擇的是一個(gè)現(xiàn)有的文件將會覆蓋此文件，如果是一個(gè)新文件將自動創(chuàng)建。 上傳：從本地選擇一個(gè)參數(shù)配置文件上傳到服務(wù)端，用戶單擊“上傳”將出現(xiàn)如下圖所示的通用文件擇取對話框，從本地選擇一個(gè)參數(shù)配置文件。設(shè)備管理用于添加、刪除日志設(shè)備和修改日志設(shè)備參數(shù)，日志設(shè)備參數(shù)包括：設(shè)備名稱、IP地址、配置文件名稱、文件名規(guī)則、緩存大小、加密插件、分析插件、鑒別插件。用戶單擊設(shè)備管理，將從服務(wù)器中接收日志設(shè)備列表，顯示如下所示。導(dǎo)入：先清除當(dāng)前列表框記錄，然后從一個(gè)設(shè)備列表文件中讀取記錄信息并添加到列表框中。導(dǎo)出：將列表框中的記錄保存到一個(gè)設(shè)備列表文件中。添加：添加一個(gè)新的日志設(shè)備到服務(wù)端日志設(shè)

14、備列表文件中，同時(shí)添加一個(gè)記錄到列表框中。單擊添加將出現(xiàn)如下圖所示的對話框。如上圖所示，主機(jī)地址是設(shè)備的IP地址，配置文件是存放字段信息的文件名，此字段為空表示缺省，文件名規(guī)則是日志文件名命名規(guī)則，默認(rèn)為四位年兩位月兩位日(yyyymmdd)，即一天一個(gè)日志文件，緩沖存大小0表示缺省，加密插件是服務(wù)端與客戶端之間進(jìn)行通信時(shí)數(shù)據(jù)解密和加密插件，分析插件是對數(shù)據(jù)包進(jìn)行解釋的插件，鑒別插件是對數(shù)據(jù)包合法性進(jìn)行鑒定的插件。加密插件選擇，從加密插件樹形列表中雙擊要選中的項(xiàng)，如果出現(xiàn)符號“”表示選中，出現(xiàn)符號“”表示取消選中，在樹形列表中只能有一個(gè)項(xiàng)現(xiàn)“”符號。分析插件和鑒別插件的選擇方法與加密插件一致。

15、確認(rèn)添加按“確定”按鈕，取消本次操作按“取消”按鈕，設(shè)備添加成功以后需要斷開設(shè)備重新登錄后新的設(shè)備才會添加到導(dǎo)航菜單，如下圖所示,其中就是剛才添加的新的日志設(shè)備。 刪除：從服務(wù)端日志設(shè)備列表配置文件中刪除一條記錄，操作方法：從列表框中選中一項(xiàng)，單擊“刪除”按鈕。編輯：修服務(wù)端日志設(shè)備列表配置文件中的一條指定的記錄，操作方法：從列表框中選中一項(xiàng)，單擊“編輯”按鈕，將出現(xiàn)類似上圖的修改設(shè)備對話框，操作步驟參考“增加”。操作審計(jì)查看每天客戶端登錄到服務(wù)端的日志記錄和管理操作記錄。單擊操作審計(jì)出現(xiàn)如下圖所示，首先從服務(wù)器中接收當(dāng)天客戶端登錄到服務(wù)端的日志記錄和管理操作記錄，列表框

16、顯示與當(dāng)前時(shí)間控件日期一致的管理操作日志記錄。查看其日期的操作記錄，單擊日期控件并選中日期，將從服務(wù)端接收該天的操作記錄并顯示到下面列表框中。設(shè)置列項(xiàng)：用來顯示和隱藏某一列，單擊“設(shè)置列項(xiàng)”出現(xiàn)如下圖所示，對話框中顯示所有列項(xiàng)的名稱，打上標(biāo)記“”表示顯示，否則表示隱藏，通過單擊該復(fù)選按鈕來切換顯示與隱藏，確認(rèn)操作按“確定”按鈕，取消操作按“取消按鈕”。插件管理顯示當(dāng)前服務(wù)端的插件信息和上傳、下傳插件，包括名稱、中文名稱、版本、大小。如下圖所示：下載：從服務(wù)端中下載一個(gè)插件到本地，操作方法，從列表框中選擇一個(gè)記錄，單擊“下載”按鈕，然后系統(tǒng)會顯示一個(gè)文件保存對話框，用戶輸入一個(gè)新的文件或選擇一個(gè)

17、已經(jīng)存在的文件，單擊保存開始下載。下載完成或失敗都有提示。上傳:從本地選取一個(gè)插件上傳到服務(wù)端指定的目錄和文件，操作方法，單擊“上傳”按鈕，出現(xiàn)通用文件打開對話框，如上圖所示，選擇一個(gè)本地插件文件，單擊“打開”按鈕，然后系統(tǒng)顯示一個(gè)確認(rèn)對話提示是否則啟用新的名稱或覆蓋現(xiàn)有的文件，單擊“確定”按鈕開始上傳，放棄操作按“取消”銨鈕，上傳成功會有提示。啟用新名稱：單擊“啟用新的名字”后，在文件名稱欄輸入新的文件名。341 實(shí)時(shí)信息 單擊日志設(shè)備后出現(xiàn)如下菜單和下圖的該設(shè)備的狀態(tài)對話。實(shí)時(shí)分析的功能菜單如上圖所示，包括管理日志流水、警報(bào)日志流水、信息日志流水、數(shù)據(jù)包日志流水、流量

18、日志流水、數(shù)據(jù)包統(tǒng)計(jì)表。流量圖表參數(shù)設(shè)置：用于設(shè)流量曲線圖的縱坐標(biāo)的范圍和單位，如果確認(rèn)修改按“保存修改”按鈕。狀態(tài)信息：從服務(wù)端接收該設(shè)備的狀態(tài)，包括收到的總字節(jié)、收到的總包數(shù)、丟失的總包數(shù)，“刷新”重新發(fā)請求包來獲取最新的狀態(tài)信息。設(shè)置流水過濾條件：用于設(shè)置實(shí)時(shí)流過的過濾條件，如果有過濾條件存在，那么只符合條件的日志記錄才會顯示在實(shí)時(shí)信息列表框中，系統(tǒng)僅提供數(shù)據(jù)包日志和警報(bào)日志具有此功能，操作方法：在下拉列表框中選擇日志類型，然后按“設(shè)置”按鈕。1、設(shè)備數(shù)據(jù)包日志的設(shè)置，從下拉列表中選擇“設(shè)備數(shù)據(jù)包日志”項(xiàng)，單擊設(shè)置，顯示對話框如下圖所示：如上所示，為灰色項(xiàng)表示禁用。首先系統(tǒng)會將上一次的設(shè)

19、定填充到控件中。此對話包含六個(gè)可用的過濾條件，其中協(xié)議和動作是通過下拉列表進(jìn)行選擇，其它自己直接輸入，源端口和目標(biāo)端口是數(shù)值型，“刷新”表示清除所控件的內(nèi)容重新輸入，按“確定”保存設(shè)置，按“取消”放棄操作。其中：動作下拉列表框中的英文對照如下：SCRUB - 流量整形、PASS - 通過、BLOCK - 攔截、NAT 地址轉(zhuǎn)換、BINAT 1:1映射、RDR 重定向。2、設(shè)備警報(bào)日志的設(shè)置，從下拉列表中選擇“設(shè)備警報(bào)日志”，單擊設(shè)置，顯示如下對話框，系統(tǒng)提供一種過濾條件，即報(bào)警級別，通過單擊下拉列表框選擇，“確定” - 保存設(shè)置，“取消” - 放棄操作。數(shù)據(jù)包日志流水IP包日志記錄實(shí)時(shí)信息，下

20、圖是數(shù)據(jù)包日志流水列表框，列表會不斷向下滾動來顯示新的實(shí)時(shí)記錄信息，在列表框內(nèi)任務(wù)一處單右鍵鼠標(biāo)來切換列表框靜止和滾動，靜止?fàn)顟B(tài)時(shí)不再接收新的實(shí)時(shí)信息，滾動狀態(tài)只要有新的記錄信息到來就會添加到列表首行，并滾動列表框。數(shù)據(jù)包日志流水包括：時(shí)間、規(guī)則、動作、原地址、目標(biāo)地址、協(xié)議、IP版本、總長度、包ID、校驗(yàn)、原端口、目標(biāo)端口、長度、包類型、數(shù)據(jù)等信息,列表框的列項(xiàng)字段是不固定，其中動作部分單詞的解析：scrub- 流量整形、pass - 通過、block - 攔截、nat - 地址轉(zhuǎn)換、binat - 1:1映射、rdr - 重定向、out - 流出、in 流入、on e0由網(wǎng)卡e0發(fā)出的動作

21、。警報(bào)日志流水顯示防火墻的IDS（入侵檢測）的日志實(shí)時(shí)信息，包括來源設(shè)備、設(shè)備ID、時(shí)間、設(shè)備名稱、用戶、報(bào)警級別、進(jìn)程、版本、發(fā)送者、以太網(wǎng)原地址、以太網(wǎng)目標(biāo)地址、IP原地址、IP目標(biāo)地址、IPTTL、TCP原端口、TCP目標(biāo)端口、TCP標(biāo)志、TCPSEQ、TCPACK、TCPWIN、HTTP方法、HTTP主機(jī)、URI查詢、信息、ICMP類型、ICMP編碼、UDP原端口、UDP目標(biāo)端口、UDP長度等。列表框的列項(xiàng)字段是不固定,因此這些字段不一定完全出現(xiàn)。在列表框內(nèi)任務(wù)一處單右鍵鼠標(biāo)來切換列表框靜止和滾動，靜止?fàn)顟B(tài)時(shí)不再接收新的實(shí)時(shí)信息，滾動狀態(tài)只要有新的記錄信息到來就會添加到列表首行，并滾動

22、列表框。管理日志流水如下圖所示，管理日志流水顯示管理防火墻的操作日志實(shí)時(shí)信息，字段包括來源設(shè)備、設(shè)備ID、時(shí)間、名稱、用戶、客戶、命令級別、命令、操作結(jié)果。在列表框內(nèi)任務(wù)一處單右鍵鼠標(biāo)來切換列表框靜止和滾動，靜止?fàn)顟B(tài)時(shí)不再接收新的實(shí)時(shí)信息，滾動狀態(tài)只要有新的記錄信息到來就會添加到列表首行，并滾動列表框。信息日志流水如下圖所示，信息日志流水顯示FTP、NAT等其他一些日志實(shí)時(shí)信息，字段包括來源設(shè)備、設(shè)備ID、時(shí)間、名稱、用戶、客戶、cmdset、信息。在列表框內(nèi)任務(wù)一處單右鍵鼠標(biāo)來切換列表框靜止和滾動，靜止?fàn)顟B(tài)時(shí)不再接收新的實(shí)時(shí)信息，滾動狀態(tài)只要有新的記錄信息到來就會添加到列表首行，并滾動列表框

23、。流量日志流水如下圖所示，流量日志流水顯示流量實(shí)時(shí)曲線圖和表格，根據(jù)用戶定的單位和坐標(biāo)計(jì)算出每秒鐘的流量，然后以曲線圖和表格的形容顯示。曲線圖，單位是kb,坐標(biāo)0-150.表格圖數(shù)據(jù)包統(tǒng)計(jì)表如下圖所示，數(shù)據(jù)包統(tǒng)計(jì)表顯示實(shí)時(shí)統(tǒng)計(jì)信息，分別對針對動作、流向、協(xié)議來進(jìn)行統(tǒng)計(jì)，統(tǒng)計(jì)字段包括次數(shù)和字節(jié)。在列表框中單擊鼠標(biāo)右鍵，彈出一個(gè)菜單如下圖，動作示圖、流向示圖、協(xié)議示圖分別顯示動作實(shí)時(shí)統(tǒng)計(jì)餅圖、流向?qū)崟r(shí)統(tǒng)計(jì)餅圖、協(xié)議實(shí)時(shí)統(tǒng)計(jì)餅圖。“刷新”從重進(jìn)行一次實(shí)時(shí)統(tǒng)計(jì)，刪除原來表格中的記錄并將最近統(tǒng)計(jì)結(jié)果顯示，“導(dǎo)出”將列表框中的記錄保存到一個(gè)文件中，“打印”將統(tǒng)計(jì)結(jié)果輸出到打印機(jī)。342 日志分析日志分析是

24、事后分析，從日志服務(wù)端的文件中讀取記錄，主要功能包事后日志瀏覽、搜索、統(tǒng)計(jì)和統(tǒng)計(jì)報(bào)表打印。雙擊導(dǎo)航欄的分析結(jié)點(diǎn)，將出現(xiàn)設(shè)備結(jié)點(diǎn)列表，然后雙擊設(shè)備“”結(jié)點(diǎn)，將出現(xiàn)如下圖的菜單樹。包括管理日志、警報(bào)日志、信息日志、數(shù)據(jù)包日志、流量日志。數(shù)據(jù)包日志單擊“數(shù)據(jù)包日志”，出現(xiàn)如下圖所示的瀏覽界面。如上圖所示，時(shí)間控件是日志文件的日期，瀏覽進(jìn)度是當(dāng)前頁號與總頁數(shù)的百分比。瀏覽：將界面切換成瀏覽狀態(tài)，并從日志服務(wù)器中與時(shí)間控件所對應(yīng)的日志文件中讀取第一頁記錄，每頁大小為1000條記錄，如下圖所示：如果當(dāng)前界面是瀏覽界面，單擊時(shí)間控件可切換瀏覽其它日期的第一頁的日志記錄。上一頁：從日志服

25、務(wù)器中與時(shí)間控件所對應(yīng)的日志文件中讀取上一頁的日志記錄。跳到：從日志服務(wù)器中與時(shí)間控件所對應(yīng)的日志文件中讀取指定頁碼的日志記錄。下一頁：從日志服務(wù)器中與時(shí)間控件所對應(yīng)的日志文件中讀取下一頁的日志記錄。復(fù)制：在列表框內(nèi)單擊鼠標(biāo)右鍵菜單，彈出如下圖所示的菜單：拷貝一條記錄是把鼠標(biāo)點(diǎn)擊行的記錄拷貝到粘貼板?？截惲斜砜虻乃杏涗浭前蚜斜砜蛑械乃杏涗浛截惖秸迟N板?？梢酝ㄟ^“記事本”等文字處理軟件粘貼到文件中。統(tǒng)計(jì)：根據(jù)不同字段對次數(shù)和字節(jié)進(jìn)行統(tǒng)計(jì)，有的統(tǒng)計(jì)結(jié)果會只有次數(shù)或字節(jié)，統(tǒng)計(jì)界面如下圖。操作方法：第一、單擊“啟動”按鈕，出現(xiàn)如下圖所示，提交用戶：當(dāng)前登錄服務(wù)端的用戶名會自動添加到這個(gè)編輯控件。提

26、交時(shí)間：當(dāng)前操作時(shí)間，不可更改。日志時(shí)間：日志記錄的日期，即日志文件的時(shí)間，通過日期控件選取。統(tǒng)計(jì)字段：日志記錄的字段，以此字段作為統(tǒng)計(jì)字段，通過下拉列表框選取。確定：按確定將自動添加一條記錄到任務(wù)列表框中并發(fā)送指令到服務(wù)端開始進(jìn)行統(tǒng)計(jì)，如果日志記錄以文件的形容保存的話，可能會很多字段不能統(tǒng)計(jì)，如果不支持此字段，服務(wù)端會返回一個(gè)提示信息。第二、單擊“瀏覽結(jié)果”如上圖所示是對協(xié)議進(jìn)行統(tǒng)計(jì)的結(jié)果，左邊結(jié)果表格示圖，表格是按字節(jié)列進(jìn)行排序，右邊表格記錄前10條記錄的次數(shù)和字節(jié)餅圖，每條記錄對應(yīng)一種顏色，將鼠標(biāo)移到餅圖區(qū)域內(nèi)，系統(tǒng)自動彈出提示條，提示條內(nèi)容為該條記錄的關(guān)鍵字、次數(shù)或字節(jié)值、所占的百分比

27、。如果是柱形圖，若最大次數(shù)和最大字節(jié)超過2024000次，系統(tǒng)會將柱形圖的單位自動換算成千次和MB，在表格內(nèi)右擊鼠標(biāo)出現(xiàn)如下菜單。第三、菜單功能菜單會自動增加和刪除最下面三個(gè)項(xiàng)，如果單擊前兩項(xiàng)，那么下次菜單會刪除最下面的三項(xiàng)，如果單擊相匹配的記錄，那么下次菜單會增加最下面三項(xiàng)。如果在協(xié)議(UDP)記錄所在行單擊右鍵鼠標(biāo)，然后單擊相匹配的記錄，系統(tǒng)將會向服務(wù)端發(fā)送一條搜索協(xié)議等于UDP的指令并開始進(jìn)行搜索，如下圖所示，上一頁：從搜索的結(jié)果后退翻頁。跳到：從搜索的結(jié)果直接跳到某一頁。下一頁：從搜索的結(jié)果向前翻頁。第四、導(dǎo)出和打印導(dǎo)出：將統(tǒng)計(jì)結(jié)果輸出到一個(gè)文本。單擊“導(dǎo)出”按鈕出現(xiàn)如下圖所示的通用保

28、存對話，用戶選擇一個(gè)目錄和填入一個(gè)新的文本文件。打印：預(yù)覽和打印統(tǒng)計(jì)結(jié)果，單擊“打印”按鈕出現(xiàn)如下圖所示預(yù)覽圖：如下圖所示的包含工具條： ，工具條包含按鈕：首頁、后退、跳到、前進(jìn)、最后一頁、縮小、放大、打印、打印設(shè)置、關(guān)閉。檢索：從日志服務(wù)器中與時(shí)間控件所對應(yīng)的日志文件中搜索符合條件的記錄。單擊“檢索”銨鈕，出現(xiàn)如下圖所示。系統(tǒng)會自動把原來設(shè)定的搜索的條件顯示到對話框中。起始時(shí)間、終止時(shí)間：如果要設(shè)置時(shí)間條件，可以包含起始時(shí)間和終止時(shí)間，單擊起始時(shí)間的復(fù)選按鈕和終止時(shí)間的復(fù)選按鈕，如果只選擇起始時(shí)間，則系統(tǒng)會自動追加一個(gè)終止時(shí)間“23:59:59”；如果只選擇終止時(shí)間，那么系統(tǒng)會追加一個(gè)起始時(shí)間“00:00:00”。源IP地址、源端口、目標(biāo)IP地址、目標(biāo)端口、規(guī)則：這條件直接在編輯框中輸入。協(xié)議：包括應(yīng)用層協(xié)議FTP、TELENET、POP3、SMTP、HTTP和常用的協(xié)議。這個(gè)條件通過單擊下拉列表框選擇。類型：TCP包的標(biāo)志位，僅對TCP包有效，URG、ACK、PSH、RST、SYN、FIN復(fù)選按鈕只能單選。刷新：將對話框中的內(nèi)容清除。確定：如果檢索條件不