SecCenter中各报表的数据来源和生成时间

SecCenter ACG Manager中的报表较多，各报表的数据来源和生成时间也有较大差别。简单概括如下：

1.1      区域业务分析报表

区域业务分析报表中的“业务流量趋势”和“业务流量分布”报表数据来源于ACG设备的“链路使用日志”。这2类报表每 5分钟 生成一次，因此SecCenter与ACG正常配置完成后至少5分钟才能看到该报表。

区域业务分析中的“未知业务分析”报表数据来源于ACG设备的“会话使用日志”。该类报表每 1小时 刷新一次，统计当天未识别业务的Top端口流量（注意：必须打开ACG设备的会话使用日志才能生成该报表）。

1.2      用户业务分析报表

用户业务分析报表包括“Top 50用户流量列表”、“单用户业务流量趋势”和“单用户业务流量分布”报表，这些报表的数据均来源于ACG设备的“用户使用日志”。这3类报表每 1小时 生成一次，在整点的6－7分钟左右处理上一小时的数据（比如：设备9:20开始向ACG Reporter发送日志，则上述日志要在10:10分左右才能看到9：00－10:00的统计数据）。

1.3      流量快照

SecCenter ACG Manager V2.10-T0004 以后的版本增加了流量快照功能。其中：

流量快照中的“应用流量快照”报表数据来源于ACG设备的“链路使用日志”，每 30秒 生成一次。

流量快照中的“TOP用户统计”报表数据来源于ACG设备的“用户使用日志”，每 5分钟 生成一次。

注意：流量快照功能需配套ACG新版本使用（ B6103P01 以后版本）。

1.4      行为审计报表

SecCenter ACG Manager V2.10-T0004 以后的版本增加了行为审计功能。

该类报表和用户访问明细审计部分的数据均来自于ACG设备的“协议内容审计”日志，该日志与其他日志的生成方式不同，需要在ACG设备中配置协议内容审计的“通知动作”中将SecCenter的IP添加到Syslog主机列表中，具体配置方法请参考ACG设备的配置指导。

行为审计功能中“用户行为分析”报表数据每 5分钟 生成一次；

行为审计功能中“用户行为审计”明细数据 准实时 生成，一般在发生相关访问动作后10－30秒内可以查询。

注意：目前ACG版本能够审计的日志包括:

WEB应用审计——URL；源、目的IP；访问时间等

应用审计——登录名；上传或下载文件名；源、目的IP；访问时间等

Email应用审计——POP3和SMTP收发邮件的邮件名、发件人、收件人等；不支持WEB Mail的审计

NAT日志审计——NAT前后的IP、端口号；时间等；需要与U200或F1000E等支持FLOW 3.0日志的设备配合