2020windows主機(jī)監(jiān)測(cè)軟件使用手冊(cè)新

目1概 Windows目1概 Windows主機(jī)監(jiān)測(cè)軟件安 監(jiān)測(cè)軟件運(yùn)行所需VC環(huán)境安 Windows終端命令采集軟件包安 JavaJDK軟件的安 kafka軟件的安 devcon.exe監(jiān)測(cè)軟件終端網(wǎng)絡(luò)控制軟件 2 3 I型主機(jī)中配置文件示 II型主機(jī)中配置文件示 I型主機(jī)中關(guān)鍵命令的監(jiān)控配置文 I型主機(jī)中關(guān)鍵服務(wù)的監(jiān)控配置文 II型主機(jī)中網(wǎng)絡(luò)端口白名單的配 4 5 注意事 常用命 5.10其他注意事 加 結(jié) 671windows主機(jī)監(jiān)測(cè)軟件（簡(jiǎn)稱(chēng)主機(jī)監(jiān)測(cè)軟件）用于服務(wù)器、工作站（簡(jiǎn)稱(chēng)主機(jī)）等計(jì)算機(jī)系統(tǒng)的安全監(jiān)控，可在windows系列操作系統(tǒng)之上安裝部署和1windows主機(jī)監(jiān)測(cè)軟件（簡(jiǎn)稱(chēng)主機(jī)監(jiān)測(cè)軟件）用于服務(wù)器、工作站（簡(jiǎn)稱(chēng)主機(jī)）等計(jì)算機(jī)系統(tǒng)的安全監(jiān)控，可在windows系列操作系統(tǒng)之上安裝部署和運(yùn)行。由于I型主機(jī)、II型主機(jī)要求發(fā)送不同格式的監(jiān)控消息，而且windows操作系統(tǒng)各種發(fā)行版本之間存在差異，因此windows主機(jī)監(jiān)測(cè)軟件存在多種版termagent注意1、在本手冊(cè)中，系統(tǒng)日志文件存放文件夾下，日志文件以當(dāng)天的期數(shù)命名，如當(dāng)天是星期二，則當(dāng)天產(chǎn)生的日志文件2.log2、C:\CmdCheck.txt為監(jiān)測(cè)軟件啟動(dòng)調(diào)試日志文件，當(dāng)監(jiān)測(cè)軟件啟動(dòng)出現(xiàn)異常，可將和異常提示截圖發(fā)送給供應(yīng)商，以便進(jìn)行問(wèn)題分1.1基礎(chǔ)環(huán)境windows2003、32windows2008、32Win7、和64Win7Windows系列操作系統(tǒng)之上安裝部署1主機(jī)硬 主站側(cè)（I型）主機(jī)監(jiān)測(cè)軟件通過(guò)消息中間件完成數(shù)據(jù)的收發(fā)操作。使用消息中間件進(jìn)行網(wǎng)絡(luò)通信8800硬件設(shè)需2軟件的安注意2軟件的安注意C:/ProgramfilesEE:/Programfiles下。文章所述，均默認(rèn)系統(tǒng)盤(pán)符為C盤(pán)。目錄換掉c:\programfiles下的Termsensor文件夾即可。2.1Windows主機(jī)監(jiān)測(cè)軟件windows主機(jī)監(jiān)測(cè)軟件以壓縮文件形式提供。軟件的安裝過(guò)程如下所示23II文件/目錄名說(shuō)文件/目錄名說(shuō)kafka_2.11-2003操作系統(tǒng))jdk-8u66-windows-2003操作系統(tǒng))2.1.1監(jiān)測(cè)軟件運(yùn)行所需VC環(huán)境2.1.1監(jiān)測(cè)軟件運(yùn)行所需VC環(huán)境1agent2.1.2Windows終端命令采集軟件包安現(xiàn)象，執(zhí)行安裝即可2ConEmuan32ConEmuan3Windows644Windows325ConEmu6ConEmu6ConEmu7ConEmu在上圖中選擇8ConEmu8ConEmu9CMD在上圖中，勾選“ForceConEmuasdefaultterminalforconsoleapplcations”Register在上圖中，勾選“ForceConEmuasdefaultterminalforconsoleapplcations”RegisteronOSstartup“Savesettings（cmd2.1.3JavaJDK軟件的安注：1、此安裝步驟只針對(duì)I型（主站側(cè)）監(jiān)測(cè)軟件的安裝，且只需在winXP和操作統(tǒng)上安裝，其他操作系統(tǒng)不需要進(jìn)行此安裝2、java務(wù)必安裝在C盤(pán)下，不要安裝到其他盤(pán)符10jdk11修改jdk11修改jdk徑，如下圖所示（注：由于系統(tǒng)原因，可能界面顯示不全，下圖紅框所圈部分為“更改”按鈕12jre13修改jre13修改jreCvje18._6nlet14設(shè)置jre2.1.4kafka14設(shè)置jre2.1.4kafka軟件的安15Kafka15Kafka2.1.5主機(jī)監(jiān)測(cè)軟件的17Windows42WindowsXP、Windows732TermsensorConfg17Windows42WindowsXP、Windows732TermsensorConfg文件夾拷貝到下的18注冊(cè)Windowsdevcondevcon.exeC:/windows/system32/cmd輸入devcon出現(xiàn)下圖表示devcon安裝成功文件/目錄名說(shuō) 主機(jī)監(jiān)測(cè)軟件所需的系統(tǒng)配: 主機(jī)監(jiān)測(cè)軟件所需的系統(tǒng)配:192021202122232223志2425242526272627282.3軟件的卸282.3軟件的卸293C:/windows/system32下的Confg文件夾和logs文件夾；Windows7642.4軟件證書(shū)的、在執(zhí)行2.4軟件證書(shū)的、在執(zhí)行08-00-27-19-0F-\Device\Tcpip_{E88FE8A6-170C-44E3-8D68-至少保證一個(gè)網(wǎng)卡信息如上，若所有網(wǎng)卡均出現(xiàn)如下情況：D4-3D-7E-0E-DB-正在連接下，執(zhí)行行”這個(gè)選項(xiàng)，可直接運(yùn)行30313132注意、對(duì)于300012300012313000123130002.5設(shè)備證書(shū)軟件的注意：1、文中所提到的配置文件均為文本文件，都可以用記事本進(jìn)行編軟件的注意：1、文中所提到的配置文件均為文本文件，都可以用記事本進(jìn)行編2、在主機(jī)監(jiān)測(cè)軟件的所有配置文件中，以英文“#”開(kāi)始的行為3、文件license.txt為證書(shū)文件，需和當(dāng)前系統(tǒng)匹配，可替換，但不可編輯usb.ids為監(jiān)usb設(shè)備匹配文件，不可編輯，不可刪除4、C:\Windows\System32\Confg下的文件5、手動(dòng)修Confg內(nèi)容后，需要重agent服務(wù)2.6軟件的運(yùn)行參數(shù)名說(shuō)I型主機(jī)配置參IP地Broker網(wǎng)絡(luò)端口（通常為9092）Kafka軟件的安裝目參數(shù)值與KAFKA_BROKER_IP用于下發(fā)指令的主站安全監(jiān)控裝置的KafkaZookeeper網(wǎng)絡(luò)端口（通常為2181）II型主機(jī)配置參IP地址和端口（端口號(hào)通常為8800。I型、II型主機(jī)共有網(wǎng)卡名稱(chēng)，網(wǎng)絡(luò)適配器中顯示的名稱(chēng)，如Intel(R_Ethernet_Connection_I218-LMwindowsIP地址作windows主機(jī)的IP地址。注：對(duì)于參數(shù)_34注：對(duì)于參數(shù)_34Intel(R)_Ethernet_Connection_I218-LM。2.6.1I型主機(jī)中配置文件XPwin2003操作系統(tǒng)需要的配置。（II型主機(jī)的配置##Thisistheconfigurationfileforterminalsensordaemon.NET_NAME=Intel(R)_Ethernet_Connection_I218-2.6.2II型主機(jī)中配置文件##Thisistheconfigurationfileforterminalsensordaemon. 注意如果是本機(jī)與外網(wǎng)之間的網(wǎng)絡(luò)連注意如果是本機(jī)與外網(wǎng)之間的網(wǎng)絡(luò)連接，需要填寫(xiě)外部網(wǎng)絡(luò)連接的地址；如果是本機(jī)內(nèi)部的網(wǎng)絡(luò)連接，需要填寫(xiě)網(wǎng)絡(luò)連接的目的地2.外網(wǎng)連接是指已經(jīng)建立的網(wǎng)絡(luò)連接，即處于ESTABLISHED狀態(tài)的網(wǎng)絡(luò)連接3.手動(dòng)修改WhiteListConn.conf內(nèi)容后，需要重啟agent服務(wù)；若是在平臺(tái)下發(fā)指令修改配置，不需要重啟agent 128注意1、為了減少windows主機(jī)監(jiān)測(cè)軟件的工作負(fù)荷，如無(wú)特殊要求，請(qǐng)勿監(jiān)控“c:/”,“d磁盤(pán)盤(pán)符和“c:/windows”等系統(tǒng)目錄2、手動(dòng)修改CriticalDir.txt內(nèi)容后，需要重啟agent服務(wù)；若是在平臺(tái)下發(fā)指令修改配置，不需要重agent2.9I型主機(jī)中關(guān)鍵命令的監(jiān)控配置在I型主機(jī)中，使用配置文件CriticalDir.txt完成關(guān)鍵命令的配置。在該配置文件中，每個(gè)監(jiān)注：手動(dòng)修CriticalDir.txt內(nèi)容后，需要重agent服務(wù)2.10I注：手動(dòng)修critical_service.txt內(nèi)容后，需注：手動(dòng)修critical_service.txt內(nèi)容后，需要重啟agent服務(wù)2.11II型主機(jī)中網(wǎng)絡(luò)端口白名單的型為tcp或者udp。兩者之間采用英文“,”符號(hào)分隔，示例如下：0-1000,tcp注意1、網(wǎng)絡(luò)端口是指本地的監(jiān)聽(tīng)端口，即處于LISTEN狀態(tài)的端口2、手動(dòng)修改WhiteListPort.conf內(nèi)容后，需要重啟agent服務(wù)；若是在平臺(tái)下發(fā)指令修改配置，則需要重agent3軟件的3.1軟件的啟啟動(dòng)windows主3軟件的3.1軟件的啟啟動(dòng)windows主機(jī)監(jiān)測(cè)軟雙擊執(zhí)行C:\ProgramFiles\Termsensor下的.start.bat，等待15秒，彈出如下圖提示，則軟件啟動(dòng)40啟動(dòng)Windows檢查windows主機(jī)監(jiān)測(cè)軟件的運(yùn)行方法一方法二已正常啟動(dòng)，注意查看日志的輸出時(shí)間是否為當(dāng)前時(shí)間[2018/08/2109:34:29.892]Applicationinitialized3.2軟件的停雙擊執(zhí)行C:\ProgramFiles\Termsensor下的.stop.bat，彈出如下圖提示，則軟件成功41停止Windows41停止Windows3.3軟件的日Windows終端安全監(jiān)控軟件運(yùn)行期間，可產(chǎn)生相關(guān)的日志信息。日志文件位于C:\Windows\system32\logs14軟件故障的4.15.主機(jī)監(jiān)測(cè)軟件的啟動(dòng)可通過(guò)雙擊執(zhí)行4軟件故障的4.15.主機(jī)監(jiān)測(cè)軟件的啟動(dòng)可通過(guò)雙擊執(zhí)行C:\ProgramFiles\Termsensor下的.start.bat啟動(dòng)，當(dāng)直接執(zhí)4.21.查看網(wǎng)絡(luò)連接netstat-2.4.3方法一①②③方法二方法二主機(jī)監(jiān)測(cè)軟件無(wú)法與安全監(jiān)控裝置建立網(wǎng)絡(luò)連安全ConnectedtoCan'tconnectto 主機(jī)監(jiān)測(cè)軟件無(wú)法監(jiān)控到用戶(hù)的操作及回顯信主機(jī)監(jiān)測(cè)軟件無(wú)法監(jiān)控到用戶(hù)的操作及回顯信（cmd 424.10其他注意、對(duì)于3、關(guān)于網(wǎng)口up、down5C:\ProgramFiles\Termsensor>termsensor.exe--encrypt-conf-//加密文件C:\Program5C:\ProgramFiles\Termsensor>termsensor.exe--encrypt-conf-//加密文件C:\ProgramFiles\Termsensor>termsensor.exebuild-app-md5sumMD5C:\ProgramFiles\Termsensor>termsensor.exebuild-check-md5sumMD565加1C:\ProgramFiles\Termsensor>termsensor.exe--encrypt-conf-C:\Windows\System32\Confg\CriticalDir.txtC:\Program5加1C:\ProgramFiles\Termsensor