網(wǎng)神SecFox安全管理系統(tǒng)快速指南X(軟件)V

1、網(wǎng)神信息技術(shù)（北京）股份有限公司網(wǎng)神SecFox安全管理系統(tǒng)快速指南聲明服務(wù)修訂：本公司保留不預(yù)先通知客戶而修改本文檔所含內(nèi)容的權(quán)利。有限責(zé)任：本公司除僅就產(chǎn)品信息預(yù)先說明的范圍承擔(dān)責(zé)任，無論明示或默示，不作其它任何擔(dān)保，包括（但不限于）本手冊(cè)中推薦使用產(chǎn)品的適用性和安全性、產(chǎn)品的適銷性和適合某種特定用途的擔(dān)保。本公司對(duì)于您的使用或不能使用本產(chǎn)品而發(fā)生的任何損壞不負(fù)任何賠償責(zé)任，包括（但不限于）直接的、間接的、附加的個(gè)人損害、商業(yè)損失或任何其它損失。版權(quán)信息：任何組織和個(gè)人對(duì)本公司產(chǎn)品的擁有、使用以及復(fù)制都必須經(jīng)過本公司書面的有效授權(quán)。網(wǎng)神信息技術(shù)(北京)股份有限公司北京市海淀區(qū)上地開發(fā)區(qū)開拓

2、路7號(hào)先鋒大廈目 錄 TOC o 1-3 h z u HYPERLINK l _Toc451783432 第1章 系統(tǒng)概述 PAGEREF _Toc451783432 h 5 HYPERLINK l _Toc451783433 1.1 系統(tǒng)功能 PAGEREF _Toc451783433 h 5 HYPERLINK l _Toc451783434 1.2 系統(tǒng)功能 PAGEREF _Toc451783434 h 6 HYPERLINK l _Toc451783435 1.3 產(chǎn)品形態(tài) PAGEREF _Toc451783435 h 6 HYPERLINK l _Toc451783436 1.4

3、 相關(guān)參考手冊(cè) PAGEREF _Toc451783436 h 7 HYPERLINK l _Toc451783437 1.5 公司地址 PAGEREF _Toc451783437 h 7 HYPERLINK l _Toc451783438 第2章 安裝與卸載 PAGEREF _Toc451783438 h 8 HYPERLINK l _Toc451783439 2.1 安裝光盤內(nèi)容 PAGEREF _Toc451783439 h 8 HYPERLINK l _Toc451783440 2.2 安裝服務(wù)器 PAGEREF _Toc451783440 h 8 HYPERLINK l _Toc45

4、1783441 2.3 卸載服務(wù)器 PAGEREF _Toc451783441 h 8 HYPERLINK l _Toc451783442 第3章 如何開始 PAGEREF _Toc451783442 h 10 HYPERLINK l _Toc451783443 3.1 啟動(dòng)服務(wù)器 PAGEREF _Toc451783443 h 10 HYPERLINK l _Toc451783444 3.2 登錄系統(tǒng) PAGEREF _Toc451783444 h 10 HYPERLINK l _Toc451783445 第4章 設(shè)備配置 PAGEREF _Toc451783445 h 12 HYPERLI

5、NK l _Toc451783446 4.1 設(shè)備監(jiān)控協(xié)議配置 PAGEREF _Toc451783446 h 12 HYPERLINK l _Toc451783447 4.1.1 網(wǎng)絡(luò)設(shè)備 PAGEREF _Toc451783447 h 12 HYPERLINK l _Toc451783448 4.1.2 安全設(shè)備 PAGEREF _Toc451783448 h 13 HYPERLINK l _Toc451783449 4.1.3 SecGate安全網(wǎng)關(guān) PAGEREF _Toc451783449 h 13 HYPERLINK l _Toc451783450 4.1.4 Windows主機(jī)設(shè)

6、備 PAGEREF _Toc451783450 h 13 HYPERLINK l _Toc451783451 4.1.5 Unix主機(jī)設(shè)備 PAGEREF _Toc451783451 h 14 HYPERLINK l _Toc451783452 4.1.6 Weblogic PAGEREF _Toc451783452 h 15 HYPERLINK l _Toc451783453 4.1.7 Websphere PAGEREF _Toc451783453 h 16 HYPERLINK l _Toc451783454 4.1.8 Tomcat PAGEREF _Toc451783454 h 17

7、HYPERLINK l _Toc451783455 4.1.9 WebsphereMQ PAGEREF _Toc451783455 h 18 HYPERLINK l _Toc451783456 4.1.10 Lotus Domino PAGEREF _Toc451783456 h 18 HYPERLINK l _Toc451783457 4.1.11 IIS PAGEREF _Toc451783457 h 20 HYPERLINK l _Toc451783458 4.1.12 Oracle數(shù)據(jù)庫(kù) PAGEREF _Toc451783458 h 20 HYPERLINK l _Toc451783

8、459 4.1.13 MSSQL數(shù)據(jù)庫(kù) PAGEREF _Toc451783459 h 21 HYPERLINK l _Toc451783460 4.1.14 MYSQL數(shù)據(jù)庫(kù) PAGEREF _Toc451783460 h 21 HYPERLINK l _Toc451783461 4.1.15 DB2數(shù)據(jù)庫(kù) PAGEREF _Toc451783461 h 22 HYPERLINK l _Toc451783462 4.1.16 Sybase數(shù)據(jù)庫(kù) PAGEREF _Toc451783462 h 22 HYPERLINK l _Toc451783463 4.2 事件源配置 PAGEREF _To

9、c451783463 h 23 HYPERLINK l _Toc451783464 4.2.1 有發(fā)送功能的設(shè)備 PAGEREF _Toc451783464 h 23 HYPERLINK l _Toc451783465 4.2.2 沒有發(fā)送功能的設(shè)備 PAGEREF _Toc451783465 h 25 HYPERLINK l _Toc451783466 4.3 開放端口 PAGEREF _Toc451783466 h 26 HYPERLINK l _Toc451783467 第5章 系統(tǒng)配置 PAGEREF _Toc451783467 h 27 HYPERLINK l _Toc4517834

10、68 5.1 服務(wù)器配置 PAGEREF _Toc451783468 h 27 HYPERLINK l _Toc451783469 5.2 采集參數(shù)配置 PAGEREF _Toc451783469 h 28 HYPERLINK l _Toc451783470 5.3 數(shù)據(jù)的備份歸檔設(shè)置 PAGEREF _Toc451783470 h 29 HYPERLINK l _Toc451783471 5.4 安裝Windows事件傳感器 PAGEREF _Toc451783471 h 29 HYPERLINK l _Toc451783472 5.5 資源定義 PAGEREF _Toc451783472

11、h 29 HYPERLINK l _Toc451783473 5.5.1 時(shí)間資源 PAGEREF _Toc451783473 h 29 HYPERLINK l _Toc451783474 5.5.2 地址資源 PAGEREF _Toc451783474 h 30 HYPERLINK l _Toc451783475 5.5.3 端口資源 PAGEREF _Toc451783475 h 30 HYPERLINK l _Toc451783476 5.6 過濾器 PAGEREF _Toc451783476 h 30 HYPERLINK l _Toc451783477 第6章 開始使用 PAGEREF

12、 _Toc451783477 h 32 HYPERLINK l _Toc451783478 6.1 如何查看整體網(wǎng)絡(luò)狀況 PAGEREF _Toc451783478 h 32 HYPERLINK l _Toc451783479 6.1.1 網(wǎng)絡(luò)拓?fù)浒l(fā)現(xiàn) PAGEREF _Toc451783479 h 32 HYPERLINK l _Toc451783480 6.1.2 網(wǎng)絡(luò)監(jiān)控與管理 PAGEREF _Toc451783480 h 32 HYPERLINK l _Toc451783481 6.1.3 物理拓?fù)錂C(jī)架視圖 PAGEREF _Toc451783481 h 33 HYPERLINK l

13、 _Toc451783482 6.2 如何監(jiān)控設(shè)備和應(yīng)用的運(yùn)行情況 PAGEREF _Toc451783482 h 33 HYPERLINK l _Toc451783483 6.2.1 建立監(jiān)控任務(wù) PAGEREF _Toc451783483 h 33 HYPERLINK l _Toc451783484 6.2.2 配置告警規(guī)則 PAGEREF _Toc451783484 h 33 HYPERLINK l _Toc451783485 6.3 如何監(jiān)控業(yè)務(wù)的運(yùn)行狀態(tài) PAGEREF _Toc451783485 h 34 HYPERLINK l _Toc451783486 6.3.1 建立業(yè)務(wù) P

14、AGEREF _Toc451783486 h 34 HYPERLINK l _Toc451783487 6.3.2 查看業(yè)務(wù)運(yùn)行狀態(tài) PAGEREF _Toc451783487 h 34 HYPERLINK l _Toc451783488 6.4 如何進(jìn)行日志審計(jì) PAGEREF _Toc451783488 h 34 HYPERLINK l _Toc451783489 6.4.1 如何實(shí)時(shí)監(jiān)視日志 PAGEREF _Toc451783489 h 34 HYPERLINK l _Toc451783490 6.4.2 如何實(shí)時(shí)分析日志 PAGEREF _Toc451783490 h 35 HYPE

15、RLINK l _Toc451783491 6.4.3 如何查詢歷史日志 PAGEREF _Toc451783491 h 36 HYPERLINK l _Toc451783492 6.4.4 如何對(duì)日志進(jìn)行趨勢(shì)分析 PAGEREF _Toc451783492 h 36 HYPERLINK l _Toc451783493 6.5 如何配置關(guān)聯(lián)告警規(guī)則 PAGEREF _Toc451783493 h 36 HYPERLINK l _Toc451783494 6.6 如何創(chuàng)建適合自己的視圖 PAGEREF _Toc451783494 h 37 HYPERLINK l _Toc451783495 6.

16、7 如何生成報(bào)表 PAGEREF _Toc451783495 h 37 HYPERLINK l _Toc451783496 6.7.1 系統(tǒng)內(nèi)置報(bào)表 PAGEREF _Toc451783496 h 37 HYPERLINK l _Toc451783497 6.7.2 用戶自定義報(bào)表 PAGEREF _Toc451783497 h 38 HYPERLINK l _Toc451783498 6.7.3 綜合審計(jì)報(bào)告 PAGEREF _Toc451783498 h 38系統(tǒng)概述系統(tǒng)功能SecFox安全管理系統(tǒng)能夠統(tǒng)一管理企業(yè)和組織的各類基礎(chǔ)設(shè)施節(jié)點(diǎn)，包括網(wǎng)絡(luò)、安全、存儲(chǔ)、主機(jī)等設(shè)備，以及機(jī)房供電、環(huán)

17、境和安防等系統(tǒng)。它提供了方便直觀的網(wǎng)絡(luò)拓?fù)湟晥D、機(jī)房物理視圖、真實(shí)設(shè)備面板視圖，并通過各種曲線、圖標(biāo)對(duì)網(wǎng)絡(luò)流量和設(shè)備運(yùn)行情況進(jìn)行可視化展現(xiàn)。SecFox安全管理系統(tǒng)能夠統(tǒng)一監(jiān)控企業(yè)和組織的各類應(yīng)用系統(tǒng)和業(yè)務(wù)系統(tǒng)，提供真正全方位的管理。監(jiān)控的應(yīng)用系統(tǒng)包括數(shù)據(jù)庫(kù)、中間件、郵件系統(tǒng)、web服務(wù)、常用網(wǎng)絡(luò)服務(wù)、網(wǎng)頁(yè)防篡改等；監(jiān)控的業(yè)務(wù)系統(tǒng)則包含各類基于Java和.Net的系統(tǒng)，例如OA、CRM、ERP、電子政務(wù)系統(tǒng)等等。通過將應(yīng)用和業(yè)務(wù)監(jiān)控與基礎(chǔ)設(shè)備監(jiān)控的結(jié)合，真正實(shí)現(xiàn)統(tǒng)一資源監(jiān)控，從而有效定位故障。除了針對(duì)IT計(jì)算環(huán)境的可用性監(jiān)控，SecFox安全管理系統(tǒng)還能夠有效監(jiān)控IT計(jì)算環(huán)境的整體安全狀況?？?/p>

18、戶通過部署SecFox安全管理系統(tǒng)，可以有效覆蓋國(guó)家信息系統(tǒng)等級(jí)化保護(hù)二級(jí)以上基本要求中6大類的主要控制點(diǎn)。SecFox安全管理系統(tǒng)是一個(gè)IT計(jì)算環(huán)境統(tǒng)一監(jiān)控的預(yù)警響應(yīng)平臺(tái)。SecFox安全管理系統(tǒng)可以提供全網(wǎng)運(yùn)行狀態(tài)分析報(bào)表，可以讓管理員了解和評(píng)估整個(gè)網(wǎng)絡(luò)系統(tǒng)的運(yùn)行狀態(tài)。SecFox安全管理系統(tǒng)基于Web瀏覽器的界面和面向業(yè)務(wù)的呈現(xiàn)方式使得它不僅適用于安全專家，也適用于業(yè)務(wù)管理人員。SecFox安全管理系統(tǒng)包含如下功能組件：主頁(yè)：為用戶提供了一個(gè)從總體上把握企業(yè)和組織整體安全狀況的界面，也稱儀表板。用戶可以通過不同的角度了解各種實(shí)時(shí)信息，并通過各種統(tǒng)計(jì)圖表，圖形化顯示當(dāng)前的安全狀況，橫向或者

19、面向業(yè)務(wù)的模式進(jìn)行對(duì)比分析等等。網(wǎng)絡(luò)：拓?fù)浜头?wù)感知引擎（Topology and Service Awareness Engine）能夠針對(duì)不同拓?fù)浣Y(jié)構(gòu)類型采用相適應(yīng)的算法進(jìn)行快速自動(dòng)拓?fù)浒l(fā)現(xiàn)，直觀地給出整個(gè)網(wǎng)絡(luò)中各類設(shè)備節(jié)點(diǎn)的分布和連接情況。拓?fù)鋱D支持縮放、鳥瞰、自動(dòng)布局、實(shí)時(shí)流量和狀態(tài)顯示，提供了豐富的拓?fù)渚庉嫻ぞ?。資產(chǎn)：按照資產(chǎn)組的方式組織設(shè)備資產(chǎn)，提供當(dāng)資產(chǎn)組的資產(chǎn)統(tǒng)計(jì)摘要，使用戶可以實(shí)時(shí)了解當(dāng)前資產(chǎn)組內(nèi)設(shè)備資產(chǎn)的不同等級(jí)的安全事件發(fā)生情況。業(yè)務(wù)：從業(yè)務(wù)的角度來看待用戶的計(jì)算環(huán)境。業(yè)務(wù)實(shí)際上是一系列監(jiān)控對(duì)象的有序組合，通過對(duì)每個(gè)監(jiān)控對(duì)象的監(jiān)控，使業(yè)務(wù)的整體健康狀態(tài)能夠及時(shí)得到展現(xiàn)，并

20、能夠及時(shí)產(chǎn)生業(yè)務(wù)告警信息，更可以直觀地定位業(yè)務(wù)故障點(diǎn)，提高管理員發(fā)現(xiàn)問題和解決問題的效率。監(jiān)控：通過建立監(jiān)控任務(wù)，系統(tǒng)能夠自動(dòng)監(jiān)控主機(jī)、數(shù)據(jù)庫(kù)、中間件、網(wǎng)絡(luò)設(shè)備、安全設(shè)備以及各種應(yīng)用系統(tǒng)的運(yùn)行情況，并能夠及時(shí)發(fā)出預(yù)警信息。審計(jì)：包含實(shí)時(shí)監(jiān)視、事件查詢、統(tǒng)計(jì)分析和趨勢(shì)分析4個(gè)部分。實(shí)時(shí)監(jiān)視：通過定義不同的監(jiān)視場(chǎng)景，對(duì)企業(yè)IT環(huán)境中的設(shè)備、應(yīng)用日志進(jìn)行監(jiān)視。實(shí)時(shí)分析：通過定義不同的統(tǒng)計(jì)場(chǎng)景，對(duì)企業(yè)IT環(huán)境中的設(shè)備、應(yīng)用日志進(jìn)行統(tǒng)計(jì)。事件查詢：提供普通查詢和高級(jí)查詢功能，支持豐富的查詢條件。趨勢(shì)分析：用于分析指定的IP地址進(jìn)行網(wǎng)絡(luò)流量或者網(wǎng)絡(luò)連接數(shù)按照時(shí)間的趨勢(shì)。告警：通過設(shè)置告警規(guī)則，可以對(duì)各種事

21、件進(jìn)行預(yù)警，包括告警重定義、告警響應(yīng)（郵件、短信、電話響鈴、警示音、提示框、msn、snmpTrap、syslog、執(zhí)行腳本程序、設(shè)備聯(lián)動(dòng)等）。報(bào)表：系統(tǒng)內(nèi)置了常用的預(yù)定義報(bào)表，包括網(wǎng)絡(luò)報(bào)表、審計(jì)報(bào)表和安全報(bào)表，并提供了自定義報(bào)表功能，方便用戶根據(jù)自身業(yè)務(wù)和管理需要，進(jìn)行量身定制。權(quán)限：采用基于角色的權(quán)限管理機(jī)制，通過角色定義支持多用戶訪問。系統(tǒng)：配置一系列的運(yùn)行環(huán)境參數(shù)、系統(tǒng)資源等，包含系統(tǒng)配置、過濾器、資源定義、黑白名單、案例和日志傳感器等。系統(tǒng)功能產(chǎn)品形態(tài)SecFox安全管理系統(tǒng)包括SecFox管理中心和可選的事件傳感器。用戶通過IE瀏覽器登錄管理中心進(jìn)行各種操作。各部分的軟件運(yùn)行環(huán)境如

22、下：SecFox管理中心平臺(tái)支持的操作系統(tǒng)系統(tǒng)需求WindowsWindows 2000 ProfessionalWindows 2000 ServerWindows Server 2003系列Windows XP Professional-Pentium 4 2.93GHz CPU-至少2GB內(nèi)存，推薦4GB-10GB磁盤空間 實(shí)際磁盤空間大小取決于需要存儲(chǔ)的數(shù)據(jù)量或者在線存儲(chǔ)的時(shí)間。事件傳感器（可選組件）事件傳感器運(yùn)行在安裝了Windows系列操作系統(tǒng)的主機(jī)和服務(wù)器上。Web控制臺(tái)平臺(tái)支持的操作系統(tǒng)系統(tǒng)需求WindowsWindows 2000 ProfessionalWindows 20

23、00 ServerWindows Server 2003系列Windows XP Professional-最低Pentium III 1.1GHz CPU-至少512M內(nèi)存-1G磁盤空間-16位真彩，建議分辨率為1024768以上-Internet Explorer 7.0以上相關(guān)參考手冊(cè)SecFox安全管理系統(tǒng)用戶手冊(cè)：詳細(xì)介紹了SecFox安全管理系統(tǒng)的配置及操作。 公司地址產(chǎn)品公司：網(wǎng)神信息技術(shù)(北京)股份有限公司公司地址：北京市海淀區(qū)上地開發(fā)區(qū)開拓路7號(hào)先鋒大廈一層郵編：100085網(wǎng)址：售后服務(wù)電話：86-10-87002000電子郵件：service傳真：86-10-629728

24、96安裝與卸載安裝光盤內(nèi)容SecFox安全管理系統(tǒng)快速指南電子檔：文件名是“SecFox安全管理系統(tǒng)快速指南.pdf”，即本文檔，在光盤“手冊(cè)”目錄下；SecFox安全管理系統(tǒng)用戶手冊(cè)電子檔：文件名是“SecFox安全管理系統(tǒng)用戶手冊(cè).pdf”，在光盤“手冊(cè)”目錄下； SecFox安全管理系統(tǒng)服務(wù)器安裝包：文件名是“secfoxsni.exe”，在光盤“安裝包”目錄下。安裝服務(wù)器操作方法：將“SecFox安全管理系統(tǒng)”光盤插入光驅(qū)；在“資源管理器”中運(yùn)行光盤中的文件“secfoxsni.exe”，也可直接用“開始”菜單中的“運(yùn)行”或命令行來運(yùn)行此程序；根據(jù)安裝向?qū)У奶崾具M(jìn)行安裝即可；如果在指定

25、目錄已經(jīng)安裝了本軟件，則安裝程序會(huì)進(jìn)行相關(guān)提示；如果繼續(xù)安裝，則該目錄下的原有安裝文件將被覆蓋，原有數(shù)據(jù)也將丟失；安裝以后，單擊“開始”按鈕，指向“程序”菜單，會(huì)發(fā)現(xiàn)“SecFox安全管理系統(tǒng)”程序組中有“SecFox安全管理系統(tǒng)服務(wù)器”及“卸載SecFox安全管理系統(tǒng)服務(wù)器”兩個(gè)程序項(xiàng)。卸載服務(wù)器方法一：?jiǎn)螕簟伴_始”按鈕，指向“程序”菜單，然后選擇“SecFox安全管理系統(tǒng)”菜單項(xiàng)；在“SecFox安全管理系統(tǒng)”中選擇“卸載SecFox安全管理系統(tǒng)服務(wù)器”；經(jīng)確認(rèn)后即可卸載SecFox安全管理系統(tǒng)的核心服務(wù)器。方法二：?jiǎn)螕簟伴_始”按鈕，指向“設(shè)置”菜單，然后點(diǎn)擊“控制面板”菜單。雙擊“添加/

26、刪除程序”圖標(biāo)。在“更改或刪除程序”選項(xiàng)卡中，選中“卸載SecFox安全管理系統(tǒng)服務(wù)器”，點(diǎn)擊“更改/刪除”按鈕。經(jīng)確認(rèn)后即可卸載SecFox安全管理系統(tǒng)的核心服務(wù)器。注意：用戶在卸載服務(wù)器的時(shí)候，會(huì)將安裝目錄下的所有信息刪除，因此請(qǐng)慎重使用該操作。如何開始啟動(dòng)服務(wù)器操作方法：?jiǎn)螕簟伴_始”按鈕，指向“程序”菜單，然后選擇“SecFox安全管理系統(tǒng)”菜單項(xiàng)；在“SecFox安全管理系統(tǒng)”中選擇“啟動(dòng)SecFox安全管理系統(tǒng)服務(wù)器”；出現(xiàn)下面的服務(wù)器管理界面后，系統(tǒng)會(huì)自動(dòng)進(jìn)行啟動(dòng)服務(wù)器操作；當(dāng)服務(wù)器啟動(dòng)后，在windows右下角的系統(tǒng)托盤中將會(huì)有SecFox安全管理系統(tǒng)服務(wù)器的圖標(biāo)。登錄系統(tǒng)操作方

27、法一： 打開IE，輸入：http:/SNI操作方法二：?jiǎn)螕簟伴_始”按鈕，指向“程序”菜單，然后選擇“SecFox安全管理系統(tǒng)”菜單項(xiàng)；選擇“啟動(dòng)SecFox安全管理系統(tǒng)控制臺(tái)”，可以打開IE，打開地址為http:/ /SNI用戶第一次登錄時(shí)使用內(nèi)置賬戶登錄：用戶名稱：admin用戶密碼：admin123強(qiáng)烈建議：登錄系統(tǒng)后請(qǐng)立即修改管理員密碼！設(shè)備配置在使用前，需要對(duì)監(jiān)控管理對(duì)象和事件采集對(duì)象進(jìn)行基本的配置，這是確保從SecFox安全管理系統(tǒng)中能夠查看上述對(duì)象數(shù)據(jù)信息的前提。這些對(duì)象包括設(shè)備和應(yīng)用系統(tǒng)，相差配置操作也是在這些對(duì)象上進(jìn)行的，主要有以下兩方面：配置設(shè)備監(jiān)控協(xié)議，如SNMP、Teln

28、et、SSH、SSH2、JMX、JDBC、CLI等，開放相應(yīng)的端口，配置有關(guān)權(quán)限。配置日志/事件源和開放相應(yīng)的端口，SecFox安全管理系統(tǒng)支持Syslog、Netflow、SNMP Trap事件。設(shè)備監(jiān)控協(xié)議配置網(wǎng)絡(luò)設(shè)備對(duì)于被管理的網(wǎng)絡(luò)設(shè)備，需要配置IP地址和啟動(dòng)SNMP服務(wù)、配置讀寫團(tuán)體字符串、在ACL加入SecFox安全管理系統(tǒng)管理中心IP地址。以cisco設(shè)備為例，做如下配置：配置IP地址conf tinterface vlan 1ip address 配置SNMP服務(wù)conf tsnmp-server community public ro /配置只讀團(tuán)體字符串snmp-server

29、 community private rw /配置可以配置團(tuán)體字符串snmp-server enable traps /啟動(dòng)snmp trap snmp-server host SecFox安全管理系統(tǒng)服務(wù)器IP地址 /配置snmp trap發(fā)送目的地址安全設(shè)備對(duì)于被管理的安全設(shè)備，需要啟動(dòng)SNMP服務(wù)。以Cisco PIX 535防火墻為例，作如下配置：Config t#access-list 102 deny tcp any eq www#access-list 102 deny udp any eq 8000#access-list 102 permit udp host 00 host

30、 eq snmp#access-list 102 permit ip any any#access-group 102 in interface inside (由于內(nèi)網(wǎng)口上使用了訪問列表，所以需要在訪問源列表中增加放開 SNMP管理機(jī)到 PIX防火墻的允許規(guī)則才可使SNMP輪詢可達(dá))#snmp-server host inside 00#snmp-server location SAMIC#snmp-server contact SAMIC#snmp-server community publicsnmp-server enable trapsSecGate安全網(wǎng)關(guān)對(duì)SecGate安全設(shè)備進(jìn)

31、行管理需要進(jìn)行相關(guān)的配置，可通過安全設(shè)備的web管理界面和命令行進(jìn)行配置，主要包括：配置集中管理主機(jī)：需要將SecFox安全管理系統(tǒng)服務(wù)器所在的IP配置為被管理安全設(shè)備的集中管理主機(jī)；由于采用SNMP協(xié)議進(jìn)行管理，請(qǐng)查看防火墻的規(guī)則，確認(rèn)UDP協(xié)議161端口已經(jīng)打開，如果沒有，請(qǐng)?jiān)O(shè)置一條規(guī)則打開UDP協(xié)議161端口。配置遠(yuǎn)程管理：如果需要通過客戶端直接調(diào)用被管理安全設(shè)備的web管理，需要將客戶端所在的IP添加為“管理主機(jī)”，否則客戶端將無法調(diào)用安全設(shè)備的web管理界面。Windows主機(jī)設(shè)備對(duì)于安裝windows操作系統(tǒng)的主機(jī)設(shè)備，需要安裝并啟動(dòng)SNMP服務(wù)。對(duì)于安裝windows操作系統(tǒng)的主

32、機(jī)設(shè)備，需要安裝SNMP服務(wù)。在控制面板-添加或刪除程序-添加或刪除window組件，選擇“管理和監(jiān)視工具”，點(diǎn)擊“詳細(xì)信息”，選擇“簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議”，然后根據(jù)系統(tǒng)提示完成“簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議”的安裝。安裝過程中可能需要用戶插入Windows操作系統(tǒng)安裝光盤。安裝SNMP服務(wù)完畢后，到“管理工具”-“服務(wù)”中選擇“SNMP Service”，點(diǎn)擊鼠標(biāo)右鍵，選擇“屬性”，在屬性對(duì)話框中，選擇“安全”，設(shè)置“接受團(tuán)體名稱”，例如“public”；選擇接受SNMP數(shù)據(jù)包的管理主機(jī)，如果不指定，也可以選擇接受來自任何主機(jī)的SNMP數(shù)據(jù)包。如果需要接收主機(jī)的SNMP Trap，在屬性對(duì)話框中，選擇“陷阱

33、”，設(shè)置團(tuán)體名稱，例如“public”；陷阱目標(biāo)為SecFox安全管理系統(tǒng)服務(wù)器IP地址。配置完成后，啟動(dòng)SNMP服務(wù)。如果主機(jī)啟用了防火墻，請(qǐng)?jiān)诶馀渲弥刑砑覷DP協(xié)議的161端口，否則防火墻會(huì)阻止外界對(duì)該端口的訪問。Unix主機(jī)設(shè)備對(duì)于安裝Unix操作系統(tǒng)（如AIX、HP-Unix、Solaris、Linux等）的主機(jī)設(shè)備，需要安裝并啟動(dòng)Telnet或SSH、SSH2服務(wù)，并分配用戶名和口令。以RedHat10為例，作如下配置：方法一：點(diǎn)擊“主菜單”-“系統(tǒng)設(shè)置”，選擇“用戶和組群”后顯示“Red Hat用戶管理器”窗口，點(diǎn)擊“添加用戶”彈出“創(chuàng)建新用戶”窗口，輸入必要用戶信息后點(diǎn)擊“確定

34、”完成。方法二：采用命令行方式，例如：創(chuàng)建一個(gè)用戶test，口令為test123。#useradd test#passwd testnew password: test123retype new password: test123如果管理代理所在機(jī)器的操作系統(tǒng)安裝并啟用了防火墻，那么在使用管理代理之前需要進(jìn)行必要的設(shè)置，否則管理中心將無法連接管理代理。如果在命令行模式下，用戶可以輸入命令lokkit或system-config-securitylevel或redhat-config-securitylevel進(jìn)入防火墻配置界面。如果在圖形界面模式下，用戶可以通過開始菜單的“系統(tǒng)設(shè)置”“安全級(jí)別

35、”選項(xiàng)進(jìn)入“安全級(jí)別設(shè)置”界面。如果防火墻的安全級(jí)別為Disable，那么說明沒有啟用防火墻，不必配置。如果安全級(jí)別為Enable，那么需要配置防火墻規(guī)則。選擇定制按鈕，進(jìn)入定制防火墻規(guī)則的頁(yè)面。首先，在信任設(shè)備列表中選擇一塊活動(dòng)網(wǎng)卡，確保該網(wǎng)卡上具有管理代理的管理IP。如果用戶在管理代理中選擇了綁定IP，那么該IP必須在此網(wǎng)卡上；如果用戶沒有綁定IP，那么該活動(dòng)網(wǎng)卡的IP必須是管理中心設(shè)定的該服務(wù)器的帶內(nèi)管理IP。然后，在其他端口中添加代理端口，格式為：端口號(hào)：udp。其中端口號(hào)是管理代理的端口號(hào)，默認(rèn)為8688。Weblogic對(duì)于Weblogic中間件，需要啟用SNMP服務(wù)，配置只讀團(tuán)體

36、字符串，并且指定的SNMP服務(wù)端口要與宿主設(shè)備上的SNMP服務(wù)端口相區(qū)別，需要重啟Weblogic。在Weblogic管理控制臺(tái)中，選擇”domain”-“services”-“snmp”,選擇”Configuration”-“snmp”頁(yè)，啟動(dòng)SNMP服務(wù)，配置端口，設(shè)置團(tuán)體字符串，點(diǎn)擊”Apply”,重啟Weblogic服務(wù)器即可。如果Weblogic所在主機(jī)上也開啟snmp服務(wù)，端口使用161，這樣在配置weblogic的SNMP服務(wù)時(shí)，就不能再使用其默認(rèn)的161端口，否則會(huì)引起端口沖突。另外，有些Weblogic版本只支持snmpv1協(xié)議。如果Weblogic所在主機(jī)啟用了防火墻，請(qǐng)?jiān)?/p>

37、防火墻配置中打開Weblogic的SNMP服務(wù)端口，協(xié)議為UDP，否則防火墻會(huì)阻止外界對(duì)該端口的訪問。Websphere對(duì)于Websphere中間件，需要進(jìn)行以下配置：設(shè)置PMI規(guī)范級(jí)別等。安裝perfServletApp.ear。配置安全管理、應(yīng)用程序和基礎(chǔ)結(jié)構(gòu)的安全性。建立用戶、分配角色和映射模塊權(quán)限。重啟Websphere。1 設(shè)置PMI規(guī)范級(jí)別缺省情況下，WebSphere服務(wù)器的基礎(chǔ)架構(gòu)性能監(jiān)視(PMI)(Performance Monitoring Infrastructure)的規(guī)范級(jí)別為None。必須將它更改為Standard。而且還需要安裝用來從WebSphere應(yīng)用服務(wù)器獲

38、取性能數(shù)據(jù)信息的perfServletApp.ear。如果已經(jīng)進(jìn)行了這些配置，可以忽略本節(jié)的信息。修改PMI級(jí)別的步驟：連接到 管理控制臺(tái) - HYPERLINK http:/:/admin/展開左邊樹狀結(jié)構(gòu)的Servers節(jié)點(diǎn)。點(diǎn)擊Applications Servers 鏈接，列出正在運(yùn)行的服務(wù)器節(jié)點(diǎn)。點(diǎn)擊需要進(jìn)行數(shù)據(jù)收集的服務(wù)器。在附加屬性表中，點(diǎn)擊性能監(jiān)視服務(wù)。修改初始的規(guī)范級(jí)別為Standard ，然后應(yīng)用該變更。同時(shí)，啟用（選上） Startup。2 安裝perfServletApp.ear在管理控制臺(tái)的左邊樹狀結(jié)構(gòu)中，點(diǎn)擊 Applications 節(jié)點(diǎn)。點(diǎn)擊Enterprise

39、 Applications，右邊將列出所有已安裝的應(yīng)用。 檢查perfServletApp是否已經(jīng)安裝。 如果沒有，點(diǎn)擊安裝，來安裝perfServletApp.ear文件。(缺省情況下它位于WebSphere的installation目錄下)。3配置安全管理、應(yīng)用程序和基礎(chǔ)結(jié)構(gòu)的安全性在“安全管理、應(yīng)用程序和基礎(chǔ)結(jié)構(gòu)”界面，“啟用管理安全性”、“啟用應(yīng)用程序安全性”“java2安全性”。4 建立用戶、分配角色和映射模塊權(quán)限新建一個(gè)用戶用戶和組-管理用戶-創(chuàng)建.分配角色用戶和組-管理用戶角色-添加-選擇監(jiān)視員映射模塊權(quán)限應(yīng)用程序-企業(yè)應(yīng)用程序-perfservletapp-安全角色到用戶/組映

40、射-選擇monitor，勾選“所有已認(rèn)證的用戶？”，但一定不要勾選“每個(gè)用戶？”，否則訪問會(huì)被系統(tǒng)拒絕。然后點(diǎn)擊“查找用戶”-“搜索”，將剛新建的用戶添加到已選項(xiàng)。保存主配置重啟服務(wù)器，使用該帳戶進(jìn)行websphere監(jiān)控。Tomcat對(duì)于Tomcat中間件，需要配置JMX，即在$tomcatbincatalina.bat文件中，在set JAVA_OPTS=%JAVA_OPTS% -Djava.util.logging.manager=org.apache.juli.ClassLoaderLogManager -Djava.util.logging.config.file=%CATALINA

41、_BASE%confperties的后面加上-Dcom.sun.management.jmxremote -Dcom.sun.management.jmxremote.port=%my.jmx.port% -Dcom.sun.management.jmxremote.ssl=false -Dcom.sun.management.jmxremote.authenticate=false，然后重啟Tomcat。WebsphereMQ對(duì)于WebsphereMQ監(jiān)控，需要在隊(duì)列管理器中創(chuàng)建一個(gè)服務(wù)器連接通道，在cmd窗口中運(yùn)行：MQSeries命令：runmqsc QmgrName說明：QmgrNam

42、e為隊(duì)列管理器名稱。創(chuàng)建服務(wù)器連接通道命令： DEFINE CHANNEL（SVRCONNNAME） CHLTYPE（SVRCONN） REPLACE 說明：SVRCONNNAME為服務(wù)器連接通道名稱。查看隊(duì)列管理器的CCSID屬性命令：MQSeriesDISPLAY QMGR ALL說明：找到CCSID對(duì)應(yīng)的項(xiàng)即為該隊(duì)列管理器的CCSID值。在建立WebsphereMQ監(jiān)控任務(wù)時(shí)，需要在配置查看頁(yè)面中的“CCSID”、“隊(duì)列管理器”、“服務(wù)器連接通道”項(xiàng)目中填寫上述參數(shù)。Lotus Domino對(duì)于Lotus Domino郵件服務(wù)監(jiān)控，需要配置Domino SNMP Agent：?jiǎn)⒂肔NSN

43、MP服務(wù)、Windows SNMP服務(wù)和DominoQuerySet附加任務(wù)。配置方法如下 ：停止 LNSNMP 和 SNMP 服務(wù)。在cmd窗口中輸入下列命令：net stop lnsnmp net stop snmpLotus Domino SNMP Agent 配置為服務(wù)。在cmd窗口中輸入下列命令：lnsnmp Sc啟動(dòng) SNMP 和 LNSNMP 服務(wù)。在cmd窗口中輸入下列命令：net start snmp net start lnsnmp啟動(dòng) QuerySet 附加任務(wù)。在 Domino 服務(wù)器控制臺(tái)輸入下列命令：load quryset安排附加任務(wù)在下次重新啟動(dòng) Domino

44、時(shí)能自動(dòng)地重新啟動(dòng)的。將 quryset 和/或 intrcpt 和 collect 添加至 Domino 的 NOTES.INI 文件中的 ServerTasks 變量。其它平臺(tái)配置方法可參考： HYPERLINK /help/help7_admin.nsf/2e73cbb2141acefa85256b8700688cea/bb164c446ce7cb2a4825706f00798de4?OpenDocument /help/help7_admin.nsf/2e73cbb2141acefa85256b8700688cea/bb164c446ce7cb2a4825706f00798de4?Op

45、enDocument如果代理不能正常工作，請(qǐng)首先在 Domino 控制臺(tái)上使用 Show Tasks 命令檢查 QuerySet 處理程序和事件截取器服務(wù)器附加任務(wù)是否運(yùn)行。如果已經(jīng)授權(quán)，可以遠(yuǎn)程進(jìn)行此操作。如果這兩個(gè)任務(wù)都未運(yùn)行，則 SNMP 代理將報(bào)告服務(wù)器已停機(jī)。具體排查方法如下：使用 SNMP 管理工作站檢查 MIB 值可遠(yuǎn)程查詢 MIB 以確定哪些組件已啟動(dòng)并運(yùn)行。在 SNMP 體系結(jié)構(gòu)中有三個(gè)組件有對(duì)應(yīng)的MIB變量： 平臺(tái)特定的主 SNMP 代理 Domino SNMP Agent QuerySet 處理程序每個(gè)組件都可以響應(yīng) MIB 請(qǐng)求?？梢酝瑫r(shí)或先后對(duì)它們進(jìn)行測(cè)試，以確定哪一

46、部分能夠響應(yīng)。應(yīng)該使用為主 SNMP 代理配置的群體名稱。 基本系統(tǒng) MIB 變量，如 ernet.mgmt.mib-2.system.sysDescr (.0)，以確定平臺(tái)的 SNMP 代理是否工作，并查出運(yùn)行的是平臺(tái)特定的主 SNMP 代理的哪個(gè)版本。 如果此操作失敗，可以 (ICMP) ping 服務(wù)器，以確定 TCP/IP 是否響應(yīng)。如果 TCP/IP 正在運(yùn)行，請(qǐng)檢查服務(wù)器的主 SNMP 代理所使用的群體名稱。如果無法驗(yàn)證群體名稱，請(qǐng)嘗試“public”群體名稱。 有關(guān)具體的說明，請(qǐng)參考 SNMP 管理軟件文檔。 MIB 變量，以確定 Domino SNMP Agent 是否工作。例

47、如 ernet.private.enterprises.lotus.notes.mpaInfo.lnMainProxyAgentVersion (.)，該變量指明了 Domino SNMP Agent 的版本。 每隔幾秒鐘，QuerySet 會(huì)向 Domino SNMP Agent 發(fā)送一次“心跳”。如果 Domino SNMP Agent 未運(yùn)行，則對(duì)每個(gè)失敗的心跳，都將在 Domino 服務(wù)器控制臺(tái)上收到如下消息： Lotus Domino SNMP Agent is not available。 如果啟動(dòng)代理，或者命令 QuerySet 處理程序退出運(yùn)行，則此消息將停止。

48、MIB 變量，以確定 QuerySet 處理程序是否工作。例如 ernet.private.enterprises.lotus.notes.lnInfo.lnQSBuildNumber (.)，該變量指明了 QuerySet 處理程序的版本。如果其他變量都已成功，而 QuerySet 處理程序卻沒有響應(yīng)，請(qǐng)?jiān)?Domino 控制臺(tái)上使用 Show Tasks 命令驗(yàn)證 QuerySet 處理程序任務(wù)是否運(yùn)行。如果已經(jīng)授權(quán)，可以遠(yuǎn)程執(zhí)行此測(cè)試，或者也可以在 IBM(R) Lotus(R) Notes(R) 客戶機(jī)上打開數(shù)據(jù)庫(kù)（如“Domino 目錄）以驗(yàn)證服務(wù)器是否運(yùn)行?！?警告

49、每隔30秒，Domino SNMP Agent 就會(huì)測(cè)試 QuerySet 處理程序是否響應(yīng)。如果此測(cè)試失敗，將收到警告陷阱“Domino 服務(wù)器脈沖已失敗”。這通常是因?yàn)榉?wù)器過載而導(dǎo)致的暫時(shí)性問題。但是，如果這種情況出現(xiàn)了 5 次，則將收到關(guān)鍵陷阱“Domino 服務(wù)器沒有響應(yīng)”。這意味著服務(wù)器可能已崩潰或暫停。不論出現(xiàn)這兩種情況中的哪一種，都將無法查詢 Domino MIB。當(dāng)脈沖返回時(shí)，將收到有關(guān)服務(wù)器脈沖已恢復(fù)的陷阱取消消息。IIS對(duì)于Web服務(wù)中的IIS監(jiān)控，需要啟用SNMP服務(wù)，參照windows主機(jī)設(shè)備的配置方法。Oracle數(shù)據(jù)庫(kù)監(jiān)控Oracle需要提供一個(gè)數(shù)據(jù)庫(kù)用戶，在Or

50、acle管理控制臺(tái)中選擇“網(wǎng)絡(luò)”-“數(shù)據(jù)庫(kù)”-“實(shí)例”。在該實(shí)例中選擇“安全性”-“用戶”，點(diǎn)擊右鍵選擇“創(chuàng)建”按鈕，在“一般信息”頁(yè)中輸入必要信息，選擇“對(duì)象”頁(yè)，給此用戶至少分配以下表或視圖的查詢權(quán)限。DBA_DATA_FILESDBA_EXTENTSDBA_FREE_SPACEV_$DATABASEV_$INSTANCEV_$LIBRARYCACHEV_$LOCKV_$LOGV_$LOGFILEV_$PARAMETERV_$PGASTATV_$PROCESSV_$SEGMNET_STATISTICSV_$SESSIONV_$SESSTATV_$SGASTATV_$SQLV_$SQLARE

51、AV_$SQLTEXTV_$SYSSTATV_$SYSTEM_EVENTsystem用戶是具有上述權(quán)限的，但不推薦使用，建議使用普通用戶監(jiān)控，并且此用戶擁有上述表或視圖的訪問權(quán)限。MSSQL數(shù)據(jù)庫(kù)監(jiān)控MSSQL需要提供一個(gè)數(shù)據(jù)庫(kù)用戶，創(chuàng)建數(shù)據(jù)庫(kù)之后，使用 SQL Server 企業(yè)管理器創(chuàng)建數(shù)據(jù)庫(kù)用戶，連接到您的 SQL 服務(wù)器實(shí)例，展開在 SQL 服務(wù)器實(shí)例之下的樹形視圖，展開“安全性”并右鍵單擊“登陸”選擇“新建登陸”，在“新建登陸”窗口中選擇“常規(guī)”頁(yè)并輸入必要的用戶信息，選擇“服務(wù)器角色”頁(yè)，為此用戶分配“system administrator”角色。MYSQL數(shù)據(jù)庫(kù)監(jiān)控MYSQL需

52、要提供一個(gè)數(shù)據(jù)庫(kù)用戶，配置如下：方法一：安裝MySQL客戶端，啟動(dòng)“MySQL Administrator”，在控制臺(tái)界面中，點(diǎn)擊“User Administrator”，選擇“User Information”頁(yè)，輸入必要的信息后點(diǎn)擊“Apply changes”創(chuàng)建用戶。方法二：如果沒有安裝客戶端，可以采用命令行方式，例如：先用root登錄到mysql，端口為3306：c:mysqlbinmysqlh localhost u rootP 3306然后創(chuàng)建一個(gè)用戶test，口令為123，權(quán)限為SELECT，數(shù)據(jù)庫(kù)為javadb.*，可使用GRANT方式： mysqlGRANTSELECT O

53、Njavadb.*TOtest% IDENTIFIEDBY 123;或者使用直接在user表中插入記錄的方式：mysqlouservalues mysql(%,test,PASSWORD(123),N,N,N,N,N,N,N,N,N,N,N,N,N,N,N,N,N,N,N,N,N,N,N,N,N,N,NULL,NULL,NULL,0,0,0,0);mysqlflush privileges;DB2數(shù)據(jù)庫(kù)監(jiān)控DB2需要提供一個(gè)數(shù)據(jù)庫(kù)用戶，用戶的創(chuàng)建使用操作系統(tǒng)的用戶創(chuàng)建功能，例如，在windowsXP系統(tǒng)中，點(diǎn)擊控制面板用戶帳戶創(chuàng)建一個(gè)新帳戶。該用戶需要有數(shù)據(jù)庫(kù)的SYSMON權(quán)限。并有以下視圖的

54、select或control權(quán)限：SNAPTBSP和以下表函數(shù)的執(zhí)行權(quán)限：SNAP_GET_TBSP_V91Sybase數(shù)據(jù)庫(kù)用于監(jiān)視Sybase數(shù)據(jù)庫(kù)的用戶，需要對(duì)系統(tǒng)表Sysusages，sysdatabases有選擇權(quán)限。在用戶列表中，右鍵單擊用戶名，點(diǎn)擊屬性，在彈出的窗口中，選擇對(duì)象權(quán)限tab頁(yè)，確認(rèn)Sysusages，sysdatabases兩個(gè)表的選擇權(quán)限被授予給該用戶。事件源配置有發(fā)送功能的設(shè)備將設(shè)備的日志服務(wù)器配置指向SecFox-LAS日志審計(jì)系統(tǒng)所在的服務(wù)器。安全設(shè)備：依賴于安全設(shè)備的日志/事件信息，如防火墻等這里以SecGate安全網(wǎng)關(guān)V3配置為例加以說明。 將SecFo

55、x管理中心所在的主機(jī)IP配置為被管理安全設(shè)備的日志服務(wù)器IP，端口為514，具體配置請(qǐng)參照安全設(shè)備的“日志服務(wù)器”配置。Linux主機(jī)設(shè)備配置Linux主機(jī)所有的日志文件在/var/log下，默認(rèn)只是不記錄FTP的活動(dòng)，Linux系統(tǒng)的日志文件是可以配置的，由/etc/syslog.conf來決定，通過將需要處理的日志發(fā)送到SecFox管理中心所在的主機(jī)，SecFox管理中心就可以采集到Linux主機(jī)的日志信息了。配置方法如下：在配置文件/etc/syslog.conf中，指定一個(gè)記錄動(dòng)作，后面接一個(gè)由“”開頭的遠(yuǎn)程系統(tǒng)的主機(jī)名，如下例：*.warn;authpriv.notice;auth.

56、notice secfoxserver即可。注：*.warn：發(fā)送warning級(jí)以上（err,crit,alert與emerg）的所有消息，（消息級(jí)別見相關(guān)Linux配置文檔）。authpriv.notice：登錄登出日志auth.notice：認(rèn)證信息secfoxserver：日志服務(wù)器地址，這里是SecFox管理中心這個(gè)配置的完整解釋為，將warning（警告）級(jí)以上的認(rèn)證信息中的登錄登出日志發(fā)送到SecFox管理中心。如果要發(fā)送全部日志，使用如下格式：*.* secfoxserver網(wǎng)絡(luò)設(shè)備對(duì)于網(wǎng)絡(luò)設(shè)備，可以通過snmp協(xié)議和syslog協(xié)議將日志發(fā)送給SecFox管理中心。一般地，通

57、過syslog協(xié)議，服務(wù)器能夠采集到更多的日志信息，有助于進(jìn)行深入的安全分析。相比之下，通過SNMP Trap發(fā)送事件對(duì)網(wǎng)絡(luò)設(shè)備的負(fù)載更小。另外還有netflow（例如cisco的網(wǎng)絡(luò)設(shè)備）更可以對(duì)網(wǎng)絡(luò)設(shè)備的流量進(jìn)行分析。配置SNMP服務(wù)conf tsnmp-server community public ro /配置只讀團(tuán)體字符串snmp-server community private rw /配置可以配置團(tuán)體字符串snmp-server enable traps /啟動(dòng)snmp trap snmp-server host SecFox安全管理系統(tǒng)服務(wù)器IP地址 /配置snmp trap發(fā)

58、送目的地址下面以Cisco PIX 535防火墻配置為例加以說明。通過Telnet登錄到防火墻進(jìn)入到特權(quán)模式：enable或en 進(jìn)入配置模式：configure terminal 或conf t 配置本路由器的只讀字串為public：snmp-server community public ro 配置本路由器的讀寫字串為public：snmp-server community public rw 允許路由器將SNMP Trap發(fā)送出去：snmp-server enable traps 指定路由器SNMP Trap的接收者為：snmp-server host 其他配置，請(qǐng)參閱Cisco PIX

59、 535配置文檔配置Syslog服務(wù)conf t logging on /啟動(dòng)sysloglogging host 服務(wù)器IP地址 /配置syslog發(fā)送目的地址下面以Cisco PIX 535防火墻配置為例加以說明。通過Telnet登錄到防火墻進(jìn)入到特權(quán)模式：enable或en 進(jìn)入配置模式：configure terminal 或conf t 開啟log：logging on發(fā)送syslog 信息到Syslog服務(wù)器： logging host dmz1 其他配置，請(qǐng)參閱Cisco PIX 535配置文檔配置cisco的netflow：在全局模式下，以管理員身份登錄路由器，執(zhí)行如下操作進(jìn)行

60、Netflow配置。Router(config)# ip flow-export source interface /配置輸出netflow流量的源端口，收集哪個(gè)interface，就在路由器哪個(gè)接口上啟用采樣?！具@是flow數(shù)據(jù)包的源ip地址，可以指定，一般為loopback0的地址】。Router(config)# ip flow-export version 5【5指v5，目前支持v5】。Router(config)# ip flow-export destination ip-addr port /配置netflow流量輸出的目標(biāo)地址，此時(shí)應(yīng)為SecFox-SIM服務(wù)器的IP地址、端口