日志分析管理用户使用手册

日志分析管理系统使用手册山东矩阵软件工程有限公司12月

1.系统登录 32系统首页 33日志查询 44配备管理 74.1日志对象管理 74.2事件库管理 124.3模板库管理 144.4过滤规则管理 144.5报警规则管理 164.6顾客管理 184.7负责人员组 194.8参数管理 214.9数据库备份管理 214.10服务管理 225报表统计 23

1.系统登录系统登录默认URL为：地址：端口/LAMS例如：:8000/LAMS默认顾客名：001默认密码：admin，登录页面以下所示：2系统首页登录成功，进入系统首页，系统首页重要是对系统收集的日志进行概括性质的展示，在首页你能够做一下工作：查看每个日志设备接受的日志系统，进入每个设备，按进程名字，日志等级，查看日志具体信息。使用系统惯用快捷的统计功效，进行惯用查看。使用系统惯用报表功效，查看统计报表。查看惯用统计图，直观理解系统日志接受状况。查看系统实时日志信息。左侧为快捷查询，简易报表展示，点击对应的按钮展示对应的报表或者查询。以下图所示3日志查询日志查询功效为顾客提供简洁的查询功效，顾客通过查询功效能够查询全部的日志信息，主机设备的日志信息，网络设备的日志信息，告警日志信息，未关联事件的日志信息，顾客登录日志信息，顾客变更日志信息等，模块页面以下：系统左半部分为功效菜单，右边界面为系统便捷展示，重要为接受日志TOP10展示，报警日志TOP10展示，顾客登录统计，登录失败统计，超级顾客登录统计。由于查询页面功效大致相似，以综合日志查询功效菜单为例，介绍查询功效使用：上述界面为综合日志查询界面：开始日期：日志接受的时间不不大于该日期。结束日期：日志接受的时间不大于该日期。严重性：选择日志的级别。查询对象：选择查询的日志主机设备（多选）解析类型：选择日志设备类型。主机IP：日志产生的设备地址。进程：产生日志的进程，支持含糊查询。信息：日志包含的信息，支持含糊查询。查询成果页面以下所示：在查询成果中，依次展示日志的接受时间，日志设备IP，进程名字，产生模块，严重升级，事件描述。单击能够查看日志的具体信息，单击能够查看日志事件的具体描述。如果该条信息没有描述，阐明该条日志信息在系统事件库中没有匹配到，在该条日志最后单击能够将该条信息根据核心字匹配加入到日志事件库中，以下图所示：在事件库管理窗口中，单击，填写该条信息的“核心字”字段，“日志描述”字段后，单击按钮，即可添加如事件库，后来接受到的此条信息，能够显示添加的日志描述。4配备管理4.1日志对象管理日志对象管理，在添加新的日志接受设备时使用，下面以添加主机设备192.168.0.1为例，说用日志对象管理的使用，系统操作界面以下：添加一种日志主机，需要进行两步操作：1.增加日志源2.在增加的日志源的基础上增加日志模块，界面以下分组重要对日志源进行分类，能够根据设备类别进行创立日志源，即一种主机设备，日志来源日志模块，主机下的日志，日志能够有多个，系统日志syslog只是其中一种。在选定的日志分组上右键单击，选择“增加日志源”，在右边界面填写，日志源的对象编码，对象名称，次序，IP地址，负责人员组，展示界面以下：对象编码：设备的编码，依习惯而定。对象名称：普通为主机系统名称。展示顺寻：排序使用。IP地址：设备的IP地址。负责人员组：选择负责人员组，可不选，即默认。填写完毕后,单击按钮完毕日志源的添加，提示信息以下：2.添加日志模块，在添加后的日志源上单击右键，选择“添加日志模块”展示页面以下：对象编码：设备的编码对象名称：由于只有一种日志模块，普通与日志源的名字相似。IP地址：继承自日志源，不用填写。解析类型：选择设备的类型。过滤规则：选择该模块的过滤规则，不选即采用默认规则。填写完毕后,单击按钮完毕日志模块的添加，提示信息以下：上述阐明即为一种设备的添加过程，多个设备依次添加即可。注意：添加完毕后，必须重新启动系统的“日志收集”服务,操作以下：进入“后台管理”-“系统管理”-“服务管理”界面:在“日志收集”服务，单击完“停止”后，单击“启动”按钮即可。4.2事件库管理 事件库是用来对单条日志进行匹配，对该条日志的内容进行进一步阐明，若有提示方案，对顾客进行提示并且提供解决方法的一种数据汇总。如顾客在使用过程中发现库中没有的事件，能够在事件库管理板块对事件库进行添加。该模块并且提供事件库的编辑与删除功效可对事件库进行维护。1·添加事件的时候先选中解析类型，选择需要添加的系统类型2·点击添加按钮之后弹出添加的弹出框，填写当中的内容。其中核心字在Windows系统中为日志的编号为数字，在其它系统中为能唯一识别日志信息的字符串。可用性为与否可用，日志查询为与否可提供查询，日志级别选择现在日志的级别，模板库选择现在的模板库，日志描述填写对该日志的描述信息。Pri填写现在日志syslog发送的pri数值。填写完毕之后点击添加完毕添加新事件。3·选中某条事件之后能够对事件进行编辑和删除操作，编辑弹出的界面跟添加时的界面同样。4·删除为选择成功后点击删除，弹出提示框，点击“是”便可删除该条事件4.3模板库管理 模板库为日志发送合同提供的一系列模板，当天系统寄存的是原则的syslog合同提供的模板库，每条syslog日志对应一种对应的模板，这里普通不需要配备。如需要添加修改删除，则需要参考对应的合同。示图以下图所示，点击添加即可添加一条新的模板。4.4过滤规则管理过滤规则管理重要是添加日志信息的过滤规则，在添加日志模块是选择对应的过滤规则，方便于过滤掉不需要，或不必要接受的日志信息，系统界面以下：添加一条过滤规则的操作以下，选择按钮，弹出的界面以下：过滤名称：该规则的名称。信息规则：对下面的于信息，进程两个条件是匹配其一，还是全部匹配，即以逗号分辨的各个字符串之间的关系是信息中包含其中一种，还是包含全部。信息：对于日志消息体匹配到字符串的日志即过滤。进程：对于日志进程名字匹配到字符串的日志即过滤。Syslog：没有选中的事件模块，事件重要度即过滤，选中的即接受。Window：日志事件的ID，多个以逗号隔开，匹配到即过滤。填写完毕后，选择按钮，添加过滤规则。添加完毕该条规则后，在日志对象管理界面，能够选择该条规则使用在某个日志模块上，以下图所示：4.5报警规则管理报警规则管理重要是添加日志信息的报警规则，将该条报警规则应用与主机设备，系统界面以下：添加一条报警规则的操作以下，选择按钮，弹出的界面以下：告警名称：该规则的名称。与否启动：如果启动，选择是单核心字：多个以逗号隔开，即匹配任意一种即报警。多核心字：即配皮全部才报警。信息：对于日志消息体匹配到字符串的日志即报警。进程：对于日志进程名字匹配到字符串的日志即报警。选中的事件模块\事件重要度即报警。填写完毕后，选择按钮，添加报警规则。添加完毕改天规则后,能够选择将该条规则关联到那些设备，如图：选择按钮选择关联主机，同时，也选择取消关联的设备。4.6顾客管理 顾客管理为提供方便管理登陆顾客的版块，方便系统管理员对使用的顾客进行维护管理1·点击添加按钮后弹出提示框，按摄影应的提示填写完毕后，点击“拟定”即可完毕该顾客的添加。当选择某一顾客后，点击“编辑”按钮弹出同样的对话框，修改对应的数据后点击“添加”能够完毕该顾客的修改2·选择某一顾客之后点击“删除”按钮，弹出提示框之后选择“是”则完毕该顾客的删除操作4.7负责人员组 负责人员组对顾客进行分组，集中管理。1·点击“添加”按钮弹出对话框填写负责人员组的名称和有关阐明。2·点击“增加顾客”按钮弹出对话框，选择对应的顾客之后点击“拟定”按钮完毕该负责人员组的添加操作。3·选中某一人员组点击“修改”按钮，弹出对话框跟“添加”操作相似，修改对应的信息之后完毕对负责人员组的修改。选择某一人员组之后点击“删除”按钮，弹出对话框中点击“是”则完毕对该人员组的删除操作。4.8参数管理 参数管理提供系统需要的多个各样的参数，部分参数能够根据系统的需要进行对应的更改。该模块只允许修改不允许删除。并且只允许修改【参数值】选项。下图对各个参数进行一一描述4.9数据库备份管理 该模块能够对数据库进行备份还原操作选择“备份现在数据库”能够对现在数据进行备份。选择备份的日期，点击“拟定”能够完毕对备份文献的还原，也能够将数据库备份文献删除4.10服务管理 系统提供三个服务，点击“停止”按钮能够将对应的服务停止，点击“启动”按钮能够将对应的服务启动，启动类型能够修改为系统启动自动运行或者手动运行。其中【日志收集】服务为系统收集主机的日志服务，停止该服务系统将停止收集日志，配备完日志对象需要重启该服务。【日志下载】为系统自动下载日志文献的服务，停止该服务系统将不会自动下载配备的日志文献。

5报表统计报表统计功效重要是查询多个历史数据展示，方便顾客导出数据，以供备份或查阅，系统主界面以下：系统界面左半部分为多个功效性报表，有半部分为惯用“快捷报表”，顾客选定开始日期，结束日期，单击便捷报表中的“查看报表”链接，即能够查看惯用报表，第一种选项卡“综合报表”，顾客能够查询每个报表的综合信息展示数据，展示页面以下：

顾客也能够选择左半部分的菜单进行有关报表的