网神SecFox安全管理系统快速指南X(软件)V

1、网神信息技术（北京）股份有限公司网神SecFox安全管理系统快速指南声明服务修订：本公司保留不预先通知客户而修改本文档所含内容的权利。有限责任：本公司除仅就产品信息预先说明的范围承担责任，无论明示或默示，不作其它任何担保，包括（但不限于）本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某种特定用途的担保。本公司对于您的使用或不能使用本产品而发生的任何损坏不负任何赔偿责任，包括（但不限于）直接的、间接的、附加的个人损害、商业损失或任何其它损失。版权信息：任何组织和个人对本公司产品的拥有、使用以及复制都必须经过本公司书面的有效授权。网神信息技术(北京)股份有限公司北京市海淀区上地开发区开拓

2、路7号先锋大厦目 录 TOC o 1-3 h z u HYPERLINK l _Toc451783432 第1章 系统概述 PAGEREF _Toc451783432 h 5 HYPERLINK l _Toc451783433 1.1 系统功能 PAGEREF _Toc451783433 h 5 HYPERLINK l _Toc451783434 1.2 系统功能 PAGEREF _Toc451783434 h 6 HYPERLINK l _Toc451783435 1.3 产品形态 PAGEREF _Toc451783435 h 6 HYPERLINK l _Toc451783436 1.4

3、 相关参考手册 PAGEREF _Toc451783436 h 7 HYPERLINK l _Toc451783437 1.5 公司地址 PAGEREF _Toc451783437 h 7 HYPERLINK l _Toc451783438 第2章 安装与卸载 PAGEREF _Toc451783438 h 8 HYPERLINK l _Toc451783439 2.1 安装光盘内容 PAGEREF _Toc451783439 h 8 HYPERLINK l _Toc451783440 2.2 安装服务器 PAGEREF _Toc451783440 h 8 HYPERLINK l _Toc45

4、1783441 2.3 卸载服务器 PAGEREF _Toc451783441 h 8 HYPERLINK l _Toc451783442 第3章 如何开始 PAGEREF _Toc451783442 h 10 HYPERLINK l _Toc451783443 3.1 启动服务器 PAGEREF _Toc451783443 h 10 HYPERLINK l _Toc451783444 3.2 登录系统 PAGEREF _Toc451783444 h 10 HYPERLINK l _Toc451783445 第4章 设备配置 PAGEREF _Toc451783445 h 12 HYPERLI

5、NK l _Toc451783446 4.1 设备监控协议配置 PAGEREF _Toc451783446 h 12 HYPERLINK l _Toc451783447 4.1.1 网络设备 PAGEREF _Toc451783447 h 12 HYPERLINK l _Toc451783448 4.1.2 安全设备 PAGEREF _Toc451783448 h 13 HYPERLINK l _Toc451783449 4.1.3 SecGate安全网关 PAGEREF _Toc451783449 h 13 HYPERLINK l _Toc451783450 4.1.4 Windows主机设

6、备 PAGEREF _Toc451783450 h 13 HYPERLINK l _Toc451783451 4.1.5 Unix主机设备 PAGEREF _Toc451783451 h 14 HYPERLINK l _Toc451783452 4.1.6 Weblogic PAGEREF _Toc451783452 h 15 HYPERLINK l _Toc451783453 4.1.7 Websphere PAGEREF _Toc451783453 h 16 HYPERLINK l _Toc451783454 4.1.8 Tomcat PAGEREF _Toc451783454 h 17

7、HYPERLINK l _Toc451783455 4.1.9 WebsphereMQ PAGEREF _Toc451783455 h 18 HYPERLINK l _Toc451783456 4.1.10 Lotus Domino PAGEREF _Toc451783456 h 18 HYPERLINK l _Toc451783457 4.1.11 IIS PAGEREF _Toc451783457 h 20 HYPERLINK l _Toc451783458 4.1.12 Oracle数据库 PAGEREF _Toc451783458 h 20 HYPERLINK l _Toc451783

8、459 4.1.13 MSSQL数据库 PAGEREF _Toc451783459 h 21 HYPERLINK l _Toc451783460 4.1.14 MYSQL数据库 PAGEREF _Toc451783460 h 21 HYPERLINK l _Toc451783461 4.1.15 DB2数据库 PAGEREF _Toc451783461 h 22 HYPERLINK l _Toc451783462 4.1.16 Sybase数据库 PAGEREF _Toc451783462 h 22 HYPERLINK l _Toc451783463 4.2 事件源配置 PAGEREF _To

9、c451783463 h 23 HYPERLINK l _Toc451783464 4.2.1 有发送功能的设备 PAGEREF _Toc451783464 h 23 HYPERLINK l _Toc451783465 4.2.2 没有发送功能的设备 PAGEREF _Toc451783465 h 25 HYPERLINK l _Toc451783466 4.3 开放端口 PAGEREF _Toc451783466 h 26 HYPERLINK l _Toc451783467 第5章 系统配置 PAGEREF _Toc451783467 h 27 HYPERLINK l _Toc4517834

10、68 5.1 服务器配置 PAGEREF _Toc451783468 h 27 HYPERLINK l _Toc451783469 5.2 采集参数配置 PAGEREF _Toc451783469 h 28 HYPERLINK l _Toc451783470 5.3 数据的备份归档设置 PAGEREF _Toc451783470 h 29 HYPERLINK l _Toc451783471 5.4 安装Windows事件传感器 PAGEREF _Toc451783471 h 29 HYPERLINK l _Toc451783472 5.5 资源定义 PAGEREF _Toc451783472

11、h 29 HYPERLINK l _Toc451783473 5.5.1 时间资源 PAGEREF _Toc451783473 h 29 HYPERLINK l _Toc451783474 5.5.2 地址资源 PAGEREF _Toc451783474 h 30 HYPERLINK l _Toc451783475 5.5.3 端口资源 PAGEREF _Toc451783475 h 30 HYPERLINK l _Toc451783476 5.6 过滤器 PAGEREF _Toc451783476 h 30 HYPERLINK l _Toc451783477 第6章 开始使用 PAGEREF

12、 _Toc451783477 h 32 HYPERLINK l _Toc451783478 6.1 如何查看整体网络状况 PAGEREF _Toc451783478 h 32 HYPERLINK l _Toc451783479 6.1.1 网络拓扑发现 PAGEREF _Toc451783479 h 32 HYPERLINK l _Toc451783480 6.1.2 网络监控与管理 PAGEREF _Toc451783480 h 32 HYPERLINK l _Toc451783481 6.1.3 物理拓扑机架视图 PAGEREF _Toc451783481 h 33 HYPERLINK l

13、 _Toc451783482 6.2 如何监控设备和应用的运行情况 PAGEREF _Toc451783482 h 33 HYPERLINK l _Toc451783483 6.2.1 建立监控任务 PAGEREF _Toc451783483 h 33 HYPERLINK l _Toc451783484 6.2.2 配置告警规则 PAGEREF _Toc451783484 h 33 HYPERLINK l _Toc451783485 6.3 如何监控业务的运行状态 PAGEREF _Toc451783485 h 34 HYPERLINK l _Toc451783486 6.3.1 建立业务 P

14、AGEREF _Toc451783486 h 34 HYPERLINK l _Toc451783487 6.3.2 查看业务运行状态 PAGEREF _Toc451783487 h 34 HYPERLINK l _Toc451783488 6.4 如何进行日志审计 PAGEREF _Toc451783488 h 34 HYPERLINK l _Toc451783489 6.4.1 如何实时监视日志 PAGEREF _Toc451783489 h 34 HYPERLINK l _Toc451783490 6.4.2 如何实时分析日志 PAGEREF _Toc451783490 h 35 HYPE

15、RLINK l _Toc451783491 6.4.3 如何查询历史日志 PAGEREF _Toc451783491 h 36 HYPERLINK l _Toc451783492 6.4.4 如何对日志进行趋势分析 PAGEREF _Toc451783492 h 36 HYPERLINK l _Toc451783493 6.5 如何配置关联告警规则 PAGEREF _Toc451783493 h 36 HYPERLINK l _Toc451783494 6.6 如何创建适合自己的视图 PAGEREF _Toc451783494 h 37 HYPERLINK l _Toc451783495 6.

16、7 如何生成报表 PAGEREF _Toc451783495 h 37 HYPERLINK l _Toc451783496 6.7.1 系统内置报表 PAGEREF _Toc451783496 h 37 HYPERLINK l _Toc451783497 6.7.2 用户自定义报表 PAGEREF _Toc451783497 h 38 HYPERLINK l _Toc451783498 6.7.3 综合审计报告 PAGEREF _Toc451783498 h 38系统概述系统功能SecFox安全管理系统能够统一管理企业和组织的各类基础设施节点，包括网络、安全、存储、主机等设备，以及机房供电、环

17、境和安防等系统。它提供了方便直观的网络拓扑视图、机房物理视图、真实设备面板视图，并通过各种曲线、图标对网络流量和设备运行情况进行可视化展现。SecFox安全管理系统能够统一监控企业和组织的各类应用系统和业务系统，提供真正全方位的管理。监控的应用系统包括数据库、中间件、邮件系统、web服务、常用网络服务、网页防篡改等；监控的业务系统则包含各类基于Java和.Net的系统，例如OA、CRM、ERP、电子政务系统等等。通过将应用和业务监控与基础设备监控的结合，真正实现统一资源监控，从而有效定位故障。除了针对IT计算环境的可用性监控，SecFox安全管理系统还能够有效监控IT计算环境的整体安全状况。客

18、户通过部署SecFox安全管理系统，可以有效覆盖国家信息系统等级化保护二级以上基本要求中6大类的主要控制点。SecFox安全管理系统是一个IT计算环境统一监控的预警响应平台。SecFox安全管理系统可以提供全网运行状态分析报表，可以让管理员了解和评估整个网络系统的运行状态。SecFox安全管理系统基于Web浏览器的界面和面向业务的呈现方式使得它不仅适用于安全专家，也适用于业务管理人员。SecFox安全管理系统包含如下功能组件：主页：为用户提供了一个从总体上把握企业和组织整体安全状况的界面，也称仪表板。用户可以通过不同的角度了解各种实时信息，并通过各种统计图表，图形化显示当前的安全状况，横向或者

19、面向业务的模式进行对比分析等等。网络：拓扑和服务感知引擎（Topology and Service Awareness Engine）能够针对不同拓扑结构类型采用相适应的算法进行快速自动拓扑发现，直观地给出整个网络中各类设备节点的分布和连接情况。拓扑图支持缩放、鸟瞰、自动布局、实时流量和状态显示，提供了丰富的拓扑编辑工具。资产：按照资产组的方式组织设备资产，提供当资产组的资产统计摘要，使用户可以实时了解当前资产组内设备资产的不同等级的安全事件发生情况。业务：从业务的角度来看待用户的计算环境。业务实际上是一系列监控对象的有序组合，通过对每个监控对象的监控，使业务的整体健康状态能够及时得到展现，并

20、能够及时产生业务告警信息，更可以直观地定位业务故障点，提高管理员发现问题和解决问题的效率。监控：通过建立监控任务，系统能够自动监控主机、数据库、中间件、网络设备、安全设备以及各种应用系统的运行情况，并能够及时发出预警信息。审计：包含实时监视、事件查询、统计分析和趋势分析4个部分。实时监视：通过定义不同的监视场景，对企业IT环境中的设备、应用日志进行监视。实时分析：通过定义不同的统计场景，对企业IT环境中的设备、应用日志进行统计。事件查询：提供普通查询和高级查询功能，支持丰富的查询条件。趋势分析：用于分析指定的IP地址进行网络流量或者网络连接数按照时间的趋势。告警：通过设置告警规则，可以对各种事

21、件进行预警，包括告警重定义、告警响应（邮件、短信、电话响铃、警示音、提示框、msn、snmpTrap、syslog、执行脚本程序、设备联动等）。报表：系统内置了常用的预定义报表，包括网络报表、审计报表和安全报表，并提供了自定义报表功能，方便用户根据自身业务和管理需要，进行量身定制。权限：采用基于角色的权限管理机制，通过角色定义支持多用户访问。系统：配置一系列的运行环境参数、系统资源等，包含系统配置、过滤器、资源定义、黑白名单、案例和日志传感器等。系统功能产品形态SecFox安全管理系统包括SecFox管理中心和可选的事件传感器。用户通过IE浏览器登录管理中心进行各种操作。各部分的软件运行环境如

22、下：SecFox管理中心平台支持的操作系统系统需求WindowsWindows 2000 ProfessionalWindows 2000 ServerWindows Server 2003系列Windows XP Professional-Pentium 4 2.93GHz CPU-至少2GB内存，推荐4GB-10GB磁盘空间 实际磁盘空间大小取决于需要存储的数据量或者在线存储的时间。事件传感器（可选组件）事件传感器运行在安装了Windows系列操作系统的主机和服务器上。Web控制台平台支持的操作系统系统需求WindowsWindows 2000 ProfessionalWindows 20

23、00 ServerWindows Server 2003系列Windows XP Professional-最低Pentium III 1.1GHz CPU-至少512M内存-1G磁盘空间-16位真彩，建议分辨率为1024768以上-Internet Explorer 7.0以上相关参考手册SecFox安全管理系统用户手册：详细介绍了SecFox安全管理系统的配置及操作。 公司地址产品公司：网神信息技术(北京)股份有限公司公司地址：北京市海淀区上地开发区开拓路7号先锋大厦一层邮编：100085网址：售后服务电话：86-10-87002000电子邮件：service传真：86-10-629728

24、96安装与卸载安装光盘内容SecFox安全管理系统快速指南电子档：文件名是“SecFox安全管理系统快速指南.pdf”，即本文档，在光盘“手册”目录下；SecFox安全管理系统用户手册电子档：文件名是“SecFox安全管理系统用户手册.pdf”，在光盘“手册”目录下； SecFox安全管理系统服务器安装包：文件名是“secfoxsni.exe”，在光盘“安装包”目录下。安装服务器操作方法：将“SecFox安全管理系统”光盘插入光驱；在“资源管理器”中运行光盘中的文件“secfoxsni.exe”，也可直接用“开始”菜单中的“运行”或命令行来运行此程序；根据安装向导的提示进行安装即可；如果在指定

25、目录已经安装了本软件，则安装程序会进行相关提示；如果继续安装，则该目录下的原有安装文件将被覆盖，原有数据也将丢失；安装以后，单击“开始”按钮，指向“程序”菜单，会发现“SecFox安全管理系统”程序组中有“SecFox安全管理系统服务器”及“卸载SecFox安全管理系统服务器”两个程序项。卸载服务器方法一：单击“开始”按钮，指向“程序”菜单，然后选择“SecFox安全管理系统”菜单项；在“SecFox安全管理系统”中选择“卸载SecFox安全管理系统服务器”；经确认后即可卸载SecFox安全管理系统的核心服务器。方法二：单击“开始”按钮，指向“设置”菜单，然后点击“控制面板”菜单。双击“添加/

26、删除程序”图标。在“更改或删除程序”选项卡中，选中“卸载SecFox安全管理系统服务器”，点击“更改/删除”按钮。经确认后即可卸载SecFox安全管理系统的核心服务器。注意：用户在卸载服务器的时候，会将安装目录下的所有信息删除，因此请慎重使用该操作。如何开始启动服务器操作方法：单击“开始”按钮，指向“程序”菜单，然后选择“SecFox安全管理系统”菜单项；在“SecFox安全管理系统”中选择“启动SecFox安全管理系统服务器”；出现下面的服务器管理界面后，系统会自动进行启动服务器操作；当服务器启动后，在windows右下角的系统托盘中将会有SecFox安全管理系统服务器的图标。登录系统操作方

27、法一： 打开IE，输入：http:/SNI操作方法二：单击“开始”按钮，指向“程序”菜单，然后选择“SecFox安全管理系统”菜单项；选择“启动SecFox安全管理系统控制台”，可以打开IE，打开地址为http:/ /SNI用户第一次登录时使用内置账户登录：用户名称：admin用户密码：admin123强烈建议：登录系统后请立即修改管理员密码！设备配置在使用前，需要对监控管理对象和事件采集对象进行基本的配置，这是确保从SecFox安全管理系统中能够查看上述对象数据信息的前提。这些对象包括设备和应用系统，相差配置操作也是在这些对象上进行的，主要有以下两方面：配置设备监控协议，如SNMP、Teln

28、et、SSH、SSH2、JMX、JDBC、CLI等，开放相应的端口，配置有关权限。配置日志/事件源和开放相应的端口，SecFox安全管理系统支持Syslog、Netflow、SNMP Trap事件。设备监控协议配置网络设备对于被管理的网络设备，需要配置IP地址和启动SNMP服务、配置读写团体字符串、在ACL加入SecFox安全管理系统管理中心IP地址。以cisco设备为例，做如下配置：配置IP地址conf tinterface vlan 1ip address 配置SNMP服务conf tsnmp-server community public ro /配置只读团体字符串snmp-server

29、 community private rw /配置可以配置团体字符串snmp-server enable traps /启动snmp trap snmp-server host SecFox安全管理系统服务器IP地址 /配置snmp trap发送目的地址安全设备对于被管理的安全设备，需要启动SNMP服务。以Cisco PIX 535防火墙为例，作如下配置：Config t#access-list 102 deny tcp any eq www#access-list 102 deny udp any eq 8000#access-list 102 permit udp host 00 host

30、 eq snmp#access-list 102 permit ip any any#access-group 102 in interface inside (由于内网口上使用了访问列表，所以需要在访问源列表中增加放开 SNMP管理机到 PIX防火墙的允许规则才可使SNMP轮询可达)#snmp-server host inside 00#snmp-server location SAMIC#snmp-server contact SAMIC#snmp-server community publicsnmp-server enable trapsSecGate安全网关对SecGate安全设备进

31、行管理需要进行相关的配置，可通过安全设备的web管理界面和命令行进行配置，主要包括：配置集中管理主机：需要将SecFox安全管理系统服务器所在的IP配置为被管理安全设备的集中管理主机；由于采用SNMP协议进行管理，请查看防火墙的规则，确认UDP协议161端口已经打开，如果没有，请设置一条规则打开UDP协议161端口。配置远程管理：如果需要通过客户端直接调用被管理安全设备的web管理，需要将客户端所在的IP添加为“管理主机”，否则客户端将无法调用安全设备的web管理界面。Windows主机设备对于安装windows操作系统的主机设备，需要安装并启动SNMP服务。对于安装windows操作系统的主

32、机设备，需要安装SNMP服务。在控制面板-添加或删除程序-添加或删除window组件，选择“管理和监视工具”，点击“详细信息”，选择“简单网络管理协议”，然后根据系统提示完成“简单网络管理协议”的安装。安装过程中可能需要用户插入Windows操作系统安装光盘。安装SNMP服务完毕后，到“管理工具”-“服务”中选择“SNMP Service”，点击鼠标右键，选择“属性”，在属性对话框中，选择“安全”，设置“接受团体名称”，例如“public”；选择接受SNMP数据包的管理主机，如果不指定，也可以选择接受来自任何主机的SNMP数据包。如果需要接收主机的SNMP Trap，在属性对话框中，选择“陷阱

33、”，设置团体名称，例如“public”；陷阱目标为SecFox安全管理系统服务器IP地址。配置完成后，启动SNMP服务。如果主机启用了防火墙，请在例外配置中添加UDP协议的161端口，否则防火墙会阻止外界对该端口的访问。Unix主机设备对于安装Unix操作系统（如AIX、HP-Unix、Solaris、Linux等）的主机设备，需要安装并启动Telnet或SSH、SSH2服务，并分配用户名和口令。以RedHat10为例，作如下配置：方法一：点击“主菜单”-“系统设置”，选择“用户和组群”后显示“Red Hat用户管理器”窗口，点击“添加用户”弹出“创建新用户”窗口，输入必要用户信息后点击“确定

34、”完成。方法二：采用命令行方式，例如：创建一个用户test，口令为test123。#useradd test#passwd testnew password: test123retype new password: test123如果管理代理所在机器的操作系统安装并启用了防火墙，那么在使用管理代理之前需要进行必要的设置，否则管理中心将无法连接管理代理。如果在命令行模式下，用户可以输入命令lokkit或system-config-securitylevel或redhat-config-securitylevel进入防火墙配置界面。如果在图形界面模式下，用户可以通过开始菜单的“系统设置”“安全级别

35、”选项进入“安全级别设置”界面。如果防火墙的安全级别为Disable，那么说明没有启用防火墙，不必配置。如果安全级别为Enable，那么需要配置防火墙规则。选择定制按钮，进入定制防火墙规则的页面。首先，在信任设备列表中选择一块活动网卡，确保该网卡上具有管理代理的管理IP。如果用户在管理代理中选择了绑定IP，那么该IP必须在此网卡上；如果用户没有绑定IP，那么该活动网卡的IP必须是管理中心设定的该服务器的带内管理IP。然后，在其他端口中添加代理端口，格式为：端口号：udp。其中端口号是管理代理的端口号，默认为8688。Weblogic对于Weblogic中间件，需要启用SNMP服务，配置只读团体

36、字符串，并且指定的SNMP服务端口要与宿主设备上的SNMP服务端口相区别，需要重启Weblogic。在Weblogic管理控制台中，选择”domain”-“services”-“snmp”,选择”Configuration”-“snmp”页，启动SNMP服务，配置端口，设置团体字符串，点击”Apply”,重启Weblogic服务器即可。如果Weblogic所在主机上也开启snmp服务，端口使用161，这样在配置weblogic的SNMP服务时，就不能再使用其默认的161端口，否则会引起端口冲突。另外，有些Weblogic版本只支持snmpv1协议。如果Weblogic所在主机启用了防火墙，请在

37、防火墙配置中打开Weblogic的SNMP服务端口，协议为UDP，否则防火墙会阻止外界对该端口的访问。Websphere对于Websphere中间件，需要进行以下配置：设置PMI规范级别等。安装perfServletApp.ear。配置安全管理、应用程序和基础结构的安全性。建立用户、分配角色和映射模块权限。重启Websphere。1 设置PMI规范级别缺省情况下，WebSphere服务器的基础架构性能监视(PMI)(Performance Monitoring Infrastructure)的规范级别为None。必须将它更改为Standard。而且还需要安装用来从WebSphere应用服务器获

38、取性能数据信息的perfServletApp.ear。如果已经进行了这些配置，可以忽略本节的信息。修改PMI级别的步骤：连接到 管理控制台 - HYPERLINK http:/:/admin/展开左边树状结构的Servers节点。点击Applications Servers 链接，列出正在运行的服务器节点。点击需要进行数据收集的服务器。在附加属性表中，点击性能监视服务。修改初始的规范级别为Standard ，然后应用该变更。同时，启用（选上） Startup。2 安装perfServletApp.ear在管理控制台的左边树状结构中，点击 Applications 节点。点击Enterprise

39、 Applications，右边将列出所有已安装的应用。 检查perfServletApp是否已经安装。 如果没有，点击安装，来安装perfServletApp.ear文件。(缺省情况下它位于WebSphere的installation目录下)。3配置安全管理、应用程序和基础结构的安全性在“安全管理、应用程序和基础结构”界面，“启用管理安全性”、“启用应用程序安全性”“java2安全性”。4 建立用户、分配角色和映射模块权限新建一个用户用户和组-管理用户-创建.分配角色用户和组-管理用户角色-添加-选择监视员映射模块权限应用程序-企业应用程序-perfservletapp-安全角色到用户/组映

40、射-选择monitor，勾选“所有已认证的用户？”，但一定不要勾选“每个用户？”，否则访问会被系统拒绝。然后点击“查找用户”-“搜索”，将刚新建的用户添加到已选项。保存主配置重启服务器，使用该帐户进行websphere监控。Tomcat对于Tomcat中间件，需要配置JMX，即在$tomcatbincatalina.bat文件中，在set JAVA_OPTS=%JAVA_OPTS% -Djava.util.logging.manager=org.apache.juli.ClassLoaderLogManager -Djava.util.logging.config.file=%CATALINA

41、_BASE%confperties的后面加上-Dcom.sun.management.jmxremote -Dcom.sun.management.jmxremote.port=%my.jmx.port% -Dcom.sun.management.jmxremote.ssl=false -Dcom.sun.management.jmxremote.authenticate=false，然后重启Tomcat。WebsphereMQ对于WebsphereMQ监控，需要在队列管理器中创建一个服务器连接通道，在cmd窗口中运行：MQSeries命令：runmqsc QmgrName说明：QmgrNam

42、e为队列管理器名称。创建服务器连接通道命令： DEFINE CHANNEL（SVRCONNNAME） CHLTYPE（SVRCONN） REPLACE 说明：SVRCONNNAME为服务器连接通道名称。查看队列管理器的CCSID属性命令：MQSeriesDISPLAY QMGR ALL说明：找到CCSID对应的项即为该队列管理器的CCSID值。在建立WebsphereMQ监控任务时，需要在配置查看页面中的“CCSID”、“队列管理器”、“服务器连接通道”项目中填写上述参数。Lotus Domino对于Lotus Domino邮件服务监控，需要配置Domino SNMP Agent：启用LNSN

43、MP服务、Windows SNMP服务和DominoQuerySet附加任务。配置方法如下 ：停止 LNSNMP 和 SNMP 服务。在cmd窗口中输入下列命令：net stop lnsnmp net stop snmpLotus Domino SNMP Agent 配置为服务。在cmd窗口中输入下列命令：lnsnmp Sc启动 SNMP 和 LNSNMP 服务。在cmd窗口中输入下列命令：net start snmp net start lnsnmp启动 QuerySet 附加任务。在 Domino 服务器控制台输入下列命令：load quryset安排附加任务在下次重新启动 Domino

44、时能自动地重新启动的。将 quryset 和/或 intrcpt 和 collect 添加至 Domino 的 NOTES.INI 文件中的 ServerTasks 变量。其它平台配置方法可参考： HYPERLINK /help/help7_admin.nsf/2e73cbb2141acefa85256b8700688cea/bb164c446ce7cb2a4825706f00798de4?OpenDocument /help/help7_admin.nsf/2e73cbb2141acefa85256b8700688cea/bb164c446ce7cb2a4825706f00798de4?Op

45、enDocument如果代理不能正常工作，请首先在 Domino 控制台上使用 Show Tasks 命令检查 QuerySet 处理程序和事件截取器服务器附加任务是否运行。如果已经授权，可以远程进行此操作。如果这两个任务都未运行，则 SNMP 代理将报告服务器已停机。具体排查方法如下：使用 SNMP 管理工作站检查 MIB 值可远程查询 MIB 以确定哪些组件已启动并运行。在 SNMP 体系结构中有三个组件有对应的MIB变量： 平台特定的主 SNMP 代理 Domino SNMP Agent QuerySet 处理程序每个组件都可以响应 MIB 请求。可以同时或先后对它们进行测试，以确定哪一

46、部分能够响应。应该使用为主 SNMP 代理配置的群体名称。 基本系统 MIB 变量，如 ernet.mgmt.mib-2.system.sysDescr (.0)，以确定平台的 SNMP 代理是否工作，并查出运行的是平台特定的主 SNMP 代理的哪个版本。 如果此操作失败，可以 (ICMP) ping 服务器，以确定 TCP/IP 是否响应。如果 TCP/IP 正在运行，请检查服务器的主 SNMP 代理所使用的群体名称。如果无法验证群体名称，请尝试“public”群体名称。 有关具体的说明，请参考 SNMP 管理软件文档。 MIB 变量，以确定 Domino SNMP Agent 是否工作。例

47、如 ernet.private.enterprises.lotus.notes.mpaInfo.lnMainProxyAgentVersion (.)，该变量指明了 Domino SNMP Agent 的版本。 每隔几秒钟，QuerySet 会向 Domino SNMP Agent 发送一次“心跳”。如果 Domino SNMP Agent 未运行，则对每个失败的心跳，都将在 Domino 服务器控制台上收到如下消息： Lotus Domino SNMP Agent is not available。 如果启动代理，或者命令 QuerySet 处理程序退出运行，则此消息将停止。

48、MIB 变量，以确定 QuerySet 处理程序是否工作。例如 ernet.private.enterprises.lotus.notes.lnInfo.lnQSBuildNumber (.)，该变量指明了 QuerySet 处理程序的版本。如果其他变量都已成功，而 QuerySet 处理程序却没有响应，请在 Domino 控制台上使用 Show Tasks 命令验证 QuerySet 处理程序任务是否运行。如果已经授权，可以远程执行此测试，或者也可以在 IBM(R) Lotus(R) Notes(R) 客户机上打开数据库（如“Domino 目录）以验证服务器是否运行。” 警告

49、每隔30秒，Domino SNMP Agent 就会测试 QuerySet 处理程序是否响应。如果此测试失败，将收到警告陷阱“Domino 服务器脉冲已失败”。这通常是因为服务器过载而导致的暂时性问题。但是，如果这种情况出现了 5 次，则将收到关键陷阱“Domino 服务器没有响应”。这意味着服务器可能已崩溃或暂停。不论出现这两种情况中的哪一种，都将无法查询 Domino MIB。当脉冲返回时，将收到有关服务器脉冲已恢复的陷阱取消消息。IIS对于Web服务中的IIS监控，需要启用SNMP服务，参照windows主机设备的配置方法。Oracle数据库监控Oracle需要提供一个数据库用户，在Or

50、acle管理控制台中选择“网络”-“数据库”-“实例”。在该实例中选择“安全性”-“用户”，点击右键选择“创建”按钮，在“一般信息”页中输入必要信息，选择“对象”页，给此用户至少分配以下表或视图的查询权限。DBA_DATA_FILESDBA_EXTENTSDBA_FREE_SPACEV_$DATABASEV_$INSTANCEV_$LIBRARYCACHEV_$LOCKV_$LOGV_$LOGFILEV_$PARAMETERV_$PGASTATV_$PROCESSV_$SEGMNET_STATISTICSV_$SESSIONV_$SESSTATV_$SGASTATV_$SQLV_$SQLARE

51、AV_$SQLTEXTV_$SYSSTATV_$SYSTEM_EVENTsystem用户是具有上述权限的，但不推荐使用，建议使用普通用户监控，并且此用户拥有上述表或视图的访问权限。MSSQL数据库监控MSSQL需要提供一个数据库用户，创建数据库之后，使用 SQL Server 企业管理器创建数据库用户，连接到您的 SQL 服务器实例，展开在 SQL 服务器实例之下的树形视图，展开“安全性”并右键单击“登陆”选择“新建登陆”，在“新建登陆”窗口中选择“常规”页并输入必要的用户信息，选择“服务器角色”页，为此用户分配“system administrator”角色。MYSQL数据库监控MYSQL需

52、要提供一个数据库用户，配置如下：方法一：安装MySQL客户端，启动“MySQL Administrator”，在控制台界面中，点击“User Administrator”，选择“User Information”页，输入必要的信息后点击“Apply changes”创建用户。方法二：如果没有安装客户端，可以采用命令行方式，例如：先用root登录到mysql，端口为3306：c:mysqlbinmysqlh localhost u rootP 3306然后创建一个用户test，口令为123，权限为SELECT，数据库为javadb.*，可使用GRANT方式： mysqlGRANTSELECT O

53、Njavadb.*TOtest% IDENTIFIEDBY 123;或者使用直接在user表中插入记录的方式：mysqlouservalues mysql(%,test,PASSWORD(123),N,N,N,N,N,N,N,N,N,N,N,N,N,N,N,N,N,N,N,N,N,N,N,N,N,N,NULL,NULL,NULL,0,0,0,0);mysqlflush privileges;DB2数据库监控DB2需要提供一个数据库用户，用户的创建使用操作系统的用户创建功能，例如，在windowsXP系统中，点击控制面板用户帐户创建一个新帐户。该用户需要有数据库的SYSMON权限。并有以下视图的

54、select或control权限：SNAPTBSP和以下表函数的执行权限：SNAP_GET_TBSP_V91Sybase数据库用于监视Sybase数据库的用户，需要对系统表Sysusages，sysdatabases有选择权限。在用户列表中，右键单击用户名，点击属性，在弹出的窗口中，选择对象权限tab页，确认Sysusages，sysdatabases两个表的选择权限被授予给该用户。事件源配置有发送功能的设备将设备的日志服务器配置指向SecFox-LAS日志审计系统所在的服务器。安全设备：依赖于安全设备的日志/事件信息，如防火墙等这里以SecGate安全网关V3配置为例加以说明。 将SecFo

55、x管理中心所在的主机IP配置为被管理安全设备的日志服务器IP，端口为514，具体配置请参照安全设备的“日志服务器”配置。Linux主机设备配置Linux主机所有的日志文件在/var/log下，默认只是不记录FTP的活动，Linux系统的日志文件是可以配置的，由/etc/syslog.conf来决定，通过将需要处理的日志发送到SecFox管理中心所在的主机，SecFox管理中心就可以采集到Linux主机的日志信息了。配置方法如下：在配置文件/etc/syslog.conf中，指定一个记录动作，后面接一个由“”开头的远程系统的主机名，如下例：*.warn;authpriv.notice;auth.

56、notice secfoxserver即可。注：*.warn：发送warning级以上（err,crit,alert与emerg）的所有消息，（消息级别见相关Linux配置文档）。authpriv.notice：登录登出日志auth.notice：认证信息secfoxserver：日志服务器地址，这里是SecFox管理中心这个配置的完整解释为，将warning（警告）级以上的认证信息中的登录登出日志发送到SecFox管理中心。如果要发送全部日志，使用如下格式：*.* secfoxserver网络设备对于网络设备，可以通过snmp协议和syslog协议将日志发送给SecFox管理中心。一般地，通

57、过syslog协议，服务器能够采集到更多的日志信息，有助于进行深入的安全分析。相比之下，通过SNMP Trap发送事件对网络设备的负载更小。另外还有netflow（例如cisco的网络设备）更可以对网络设备的流量进行分析。配置SNMP服务conf tsnmp-server community public ro /配置只读团体字符串snmp-server community private rw /配置可以配置团体字符串snmp-server enable traps /启动snmp trap snmp-server host SecFox安全管理系统服务器IP地址 /配置snmp trap发

58、送目的地址下面以Cisco PIX 535防火墙配置为例加以说明。通过Telnet登录到防火墙进入到特权模式：enable或en 进入配置模式：configure terminal 或conf t 配置本路由器的只读字串为public：snmp-server community public ro 配置本路由器的读写字串为public：snmp-server community public rw 允许路由器将SNMP Trap发送出去：snmp-server enable traps 指定路由器SNMP Trap的接收者为：snmp-server host 其他配置，请参阅Cisco PIX

59、 535配置文档配置Syslog服务conf t logging on /启动sysloglogging host 服务器IP地址 /配置syslog发送目的地址下面以Cisco PIX 535防火墙配置为例加以说明。通过Telnet登录到防火墙进入到特权模式：enable或en 进入配置模式：configure terminal 或conf t 开启log：logging on发送syslog 信息到Syslog服务器： logging host dmz1 其他配置，请参阅Cisco PIX 535配置文档配置cisco的netflow：在全局模式下，以管理员身份登录路由器，执行如下操作进行

60、Netflow配置。Router(config)# ip flow-export source interface /配置输出netflow流量的源端口，收集哪个interface，就在路由器哪个接口上启用采样。【这是flow数据包的源ip地址，可以指定，一般为loopback0的地址】。Router(config)# ip flow-export version 5【5指v5，目前支持v5】。Router(config)# ip flow-export destination ip-addr port /配置netflow流量输出的目标地址，此时应为SecFox-SIM服务器的IP地址、端口