SecCenter ACG Manager中的报表较多,各报表的数据来源和生成时间也有较大差别。简单概括如下:
区域业务分析报表中的“业务流量趋势”和“业务流量分布”报表数据来源于ACG设备的“链路使用日志”。这2类报表每 5分钟 生成一次,因此SecCenter与ACG正常配置完成后至少5分钟才能看到该报表。
区域业务分析中的“未知业务分析”报表数据来源于ACG设备的“会话使用日志”。该类报表每 1小时 刷新一次,统计当天未识别业务的Top端口流量(注意:必须打开ACG设备的会话使用日志才能生成该报表)。
用户业务分析报表包括“Top 50用户流量列表”、“单用户业务流量趋势”和“单用户业务流量分布”报表,这些报表的数据均来源于ACG设备的“用户使用日志”。这3类报表每 1小时 生成一次,在整点的6-7分钟左右处理上一小时的数据(比如:设备9:20开始向ACG Reporter发送日志,则上述日志要在10:10分左右才能看到9:00-10:00的统计数据)。
SecCenter ACG Manager V2.10-T0004 以后的版本增加了流量快照功能。其中:
流量快照中的“应用流量快照”报表数据来源于ACG设备的“链路使用日志”,每 30秒 生成一次。
流量快照中的“TOP用户统计”报表数据来源于ACG设备的“用户使用日志”,每 5分钟 生成一次。
注意:流量快照功能需配套ACG新版本使用( B6103P01 以后版本)。
SecCenter ACG Manager V2.10-T0004 以后的版本增加了行为审计功能。
该类报表和用户访问明细审计部分的数据均来自于ACG设备的“协议内容审计”日志,该日志与其他日志的生成方式不同,需要在ACG设备中配置协议内容审计的“通知动作”中将SecCenter的IP添加到Syslog主机列表中,具体配置方法请参考ACG设备的配置指导。
行为审计功能中“用户行为分析”报表数据每 5分钟 生成一次;
行为审计功能中“用户行为审计”明细数据 准实时 生成,一般在发生相关访问动作后10-30秒内可以查询。
注意:目前ACG版本能够审计的日志包括:
WEB应用审计——URL;源、目的IP;访问时间等
应用审计——登录名;上传或下载文件名;源、目的IP;访问时间等
Email应用审计——POP3和SMTP收发邮件的邮件名、发件人、收件人等;不支持WEB Mail的审计
NAT日志审计——NAT前后的IP、端口号;时间等;需要与U200或F1000E等支持FLOW 3.0日志的设备配合
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作