信安系统后台主要配置文件说明_0314

1、信安系统后台主要配置文件说明1. 后台配置文件目录类型节点路径作用CU管理端/usr/seentech/netguardServer/管理端主要进程执行路径和配置文件路径/usr/seentech/block_interface/流量监控平台进程执行路径和配置文件路径审计端/usr/seentech/netguard/审计端主要进程执行路径和配置文件路径/usr/seentech/block/执行单元主要进程执行路径和配置文件路径/usr/seentech/PROXY/审计备份的主要配置文件路径二级中心/usr/seentech/netguardSec/二级中心备份和清理数据的配置文件路径及进

2、程执行路径2. 审计模块相关后台配置文件2.1. 数据库连接配置1) 配置前确认审计端数据的存放位置A. 审计端数据库在本地，无需进行审计相关数据库配置修改；（小流量数据库在本地）B. 审计端数据库不在本地，记住存放审计端数据库的设备IP，端口和数据库名称。（非小流量一般情况下审计端在二级中心，端口从3307递增，审计端数据库名称从idc000001递增）2) 审计端主配置文件下数据库配置vi /usr/seentech/netguard/conf/ns_netsentinel.confvi /usr/seentech/netguard/conf/ns_maintenace_server.co

3、nfvi /usr/seentech/netguard/conf/ns_auditlog_delete.conf3) 审计端中间件数据库配置vi /usr/seentech/netguard/conf/ns_auditlog_delete.conf2.2. 网卡驱动配置1) 确认内核版本uname r :左图为5.7系统编译后的内核，右图为5.3系统编译后的内核版本不同的内核，进驱动的路径不同2) 网卡驱动确认5.3系统：vi /usr/seentech/drivers/2.6.18-prep/one_cp/conf/zrcp.conf5.7系统：vi /usr/seentech/driver

4、s/2.6.18-274ng.el5PAE/one_cp/conf/zrcp.conf常用进程的BUF数配置不常用进程配置：IPV6，切片，代理，微信QQ这几项配置按需要进行配置，默认在信安系统中不需开启Pf_rinf驱动配置：不是bnx2和tg3的驱动，建议开启该驱动配置3) 网卡注释确认【注】：完整包安装过程中，审计端的内核包安装后需要注释掉网卡。升级包中增加pf_ring驱动配置，若不启动了pf_ring驱动，网卡注释继续保留；若启用pf_ring驱动，在驱动文件中启用后，网卡注释需取消掉，并重启机器。vi /etc/modprobe.conf 2.3. 审计进程配置常用审计进程配置，默

5、认情况下，这三种进程都需是开启状态。【注】：审计进程配置与网卡驱动zrcp.conf中进程buf配置保持一致：若zrcp.conf中进程buf配置为0，则/ns_maintenace_server.conf进程可关闭；需要审计哪种类型的数据，则驱动文件中buf不能为0，进程配置文件中进程要开启。移动验收测试中，因为用到post数据，都将post进程关闭了，客户如要查看系统需将post进程开启。vi /usr/seentech/netguard/conf/ns_maintenace_server.conf2.4. 审计BUF配置审计配置文件中的BUF数需与驱动配置文件中的BUF保持一致。vi /

6、usr/seentech/netguard/conf/ns_driver_config.conf2.5. 机房模式vi /usr/seentech/netguard/conf/ns_netsentinel.conf2.6. 审计方式配置监控段审计方式：按监控范围来入库，只入库范围内的数据端口判断方式：按端口审计时基本网卡接收到的数据全部都入库，即全量数据vi /usr/seentech/netguard/conf/ns_netsentinel.conf2.7. 还原配置vi /usr/seentech/netguard/conf/ns_netsentinel.confsave_url_http

7、=1表示url_http_xxxx_xx_xx会记录数据，可以直接在界面上查询到URL的网页还原内容，用于校验关键字是否已还原，便于定义关键字的报警和还原。默认情况关闭。url_content_valid_day ：网页还原内容的缓存为0 时表示不启用还原内容的缓存，为7时表示开启缓存，可加快关键字匹配速度，现场测试或演示时建议开启该配置vi /usr/seentech/netguard/conf/ns_netsentinel.conf2.8. 访问日志留存方式log_save_type需配置为0或2为0 时表示只入流水表库为2时入流水表，且写文件，生产访问日志文件，上传日志留存系统vi /u

8、sr/seentech/netguard/conf/ns_netsentinel.conf2.9. 访问日志入库方式访问日志入库方式分为单条入库和批量入库deal_http_type为1时表示单条入库，缓冲入库时会频繁连接数据库，一般情况可使用单条入库；为2时表示批量入库，缓冲入库时连接数据库没有单条入库频繁，数据量较大时使用批量入库较合适vi /usr/seentech/netguard/conf/ns_netsentinel.conf3. 报警模块相关后台配置文件3.1. 进程配置1) 审计端中间件进程：默认开启vi /usr/seentech/netguard/conf/ns_maint

9、enace_server.conf2) CU管理服务器报警进程：默认开启vi /usr/seentech/netguardServer/conf/ns_netsentinel.conf4. 封堵模块相关后台配置文件4.1. 流量监控平台配置批量策略利用NMP_User数据库，调用NMP_Manage进程的分发策略的so。4.1.1. 审计端实现封堵流量监控平台完整包中原进程是forbidMgr,该进程可关闭，升级后使用的新进程为NMP_Manager，需开启该进程1) CU管理端文件配置vi /usr/seentech/netguardServer/conf/ns_netsentinel.co

10、nf vi /usr/seentech/netguardServer/conf/baseClass.conf 2) 流量监控管理平台文件配置vi /usr/seentech/block_interface/conf/ns_forbidMgr.confvi /usr/seentech/block_interface/conf/baseClass.conf3) 批量策略so文件配置（配置文件最后面）vi /usr/seentech/block_interface/conf/baseClass.conf4.1.2. 宽广平台做封堵宽广设备做封堵时，不用使用审计端的执行单元，策略直接由流量监控管理平台

11、利用接口转发到宽广设备。宽广做封堵时，单条类型封堵和批量封堵由两个不同接口完成，具体使用中需要进行接口地址和相对应的调用so的切换。批量策略：webservice_url=57/sss/services/TMABlockerlib_list=lib_TmaBatchCmdProxy.so单条策略：webservice_url=57/sss_putong/services/TMABlockerlib_list=lib_TmaCmdProxySingle.so1) 进程配置vi /usr/seentech/netguardSe

12、rver/conf/ns_netsentinel.conf 1) 数据库配置vi /usr/seentech/netguardServer/conf/baseClass.conf4.2. 执行单元配置非宽广设备做封堵时，使用到执行单元。即我们自己设备做封堵时，必须确认这部分配置文件的配置。4.2.1. 数据库配置1) Clear数据库的配置执行单元的clear库默认情况下是在审计端本事设备上，不需修改clear库的配置文件。若将clear数据库配置在其他设备上，则需要根据实际情况进行更改配置。（参考审计端数据库在二级中心上的配置）Vi/usr/seentech/block/conf/ns_ne

13、tsentinel.conf2) 快速通道数据库配置批量过滤策略下发时，流量监控平台的策略分发到审计端后，先经过快速通道数据库缓冲，再入clear数据库。vi /usr/seentech/block/conf/baseClass.conf3) 与流量监控管理平台的数据库配置vi /usr/seentech/block/conf/baseClass.conf4.2.2. 进程配置vi /usr/seentech/block/conf/ns_forbidMgrB.conf4.2.3. BUF配置执行单元下的drvier下的配置文件中的buf需配置为和驱动、netguard文件下的buf配置为一样的

14、。vi /usr/seentech/block/conf/ns_driver_config.conf5. 备份模块相关后台配置文件5.1. 审计端本地备份审计端数据库存放在本地时，在审计端上进行配置1) 进程配置文件：Vi /usr/seentech/netguard/conf/ns_maintenace_server.conf2) 进行执行路径：cd /usr/seentech/PROXY/ ./ DataBackupProxy 或 cd /usr/seentech/netguard/ sh run.sh3) 数据库配置vi /usr/seentech/PROXY/conf/centerPr

15、oxy.confvi /usr/seentech/PROXY/conf/dataBackup.conf5.2. 二级中心备份1) 进程配置文件vi /usr/seentech/netguardSec/conf/ns_maintain.conf2) 进程执行路径cd /usr/seentech/netguardSecSh run.sh3) 数据库配置vi /usr/seentech/PROXY/conf/centerProxy.confvi /usr/seentech/PROXY/conf/dataBackup.conf6. 数据生成和上报进程6.1 idc_load进程工信部定义的接口文件（文

16、件17），私有接口文件（文件5155）A. 进程配置vi /usr/seentech/netguardServer/conf/ns_netsentinel.confB. 进程执行Cd /usr/seentech/netguardServer/ sh run.sh或 cd /usr/seentech/netguardServer/ ./idc_load6.2 dataClean 进程该进程的主要功能刷新域名IP表进现异常监测数据的更新，过滤日志解析，统计数据处理，域名清除（清除不是机房内的域名）,数据清理（二级中心磁盘满时清除流水表）A. 进程配置vi /usr/seentech/netguar

17、dServer/conf/ns_netsentinel.confB. 进程执行Cd /usr/seentech/netguardServer/ sh run.sh或 cd /usr/seentech/netguardServer/ ./dataCleanSC. 二级中心磁盘清理配置Cd /usr/seentech/netguardSec/ sh run.shVi /usr/seentech/netguardSec/ns_data_clean.conf7. 统计分析进程1) 审计端进程：rptengine审计该进程默认是关闭状态，需要有统计数据时需将该进程开启vi /usr/seentech/n

18、etguard/conf/ns_maintenace_server.conf2) 管理端进程：rptdailyvi /usr/seentech/netguardServer/conf/ns_netsentinel.conf8. 附录类型节点路径进程名或文件名文件作用CU管理端/usr/seentech/netguardServeridc_load上报进程dataClean封堵日志解析rptdaily统计分析进程AlarmOpt报警进程/usr/seentech/netguardServer/confns_netsentinel.conf进程开关配置流量监控平台（CU设备上）/usr/seentech/block_interfaceNMP_Manager流量监控平台进程/usr/seentech/block_interface/conf/baseClass.conf数据库配