• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

iMC SecCenter审计不到安全设备日志故障排查案例

2016-03-24 发表
  • 0关注
  • 0收藏 1669浏览
粉丝:9人 关注:2人

H3C SecCenter(安全管理中心)是H3C推出的一款用于管理安全设备的软件系统,其基于对安全设备日志的管理,可以实时展示网络运行状态,输出符合政策的审计报告和处理意见;基于HTTPSNMP等网络管理协议,可以实现对全网安全设备的集中配置和批量维护。在实际使用中SecCenter产品形态为“软件安装包+软件授权码形式,根据软件授权码的不同可以将SecCenter分为SecCenter-ACGMSecCenter-FWMSecCenter-IPSMSecCenter-UTMM四个组件,只有安装了软件并注册了软件授权后才可以使用对应的软件功能。

SecCenter在使用中最重要的功能之一就是通过对安全设备的userlogsyslogNAT log等日志的收集,分析安全设备的运行状态和网络流量情况。由于此功能需要安全设备和SecCenter两侧的配合,所以在使用中容易出现配置好了但SecCenter中无法看到安全设备数据的问题,本篇对此类问题进行详细的分析并梳理具体的排查思路,供现场故障时参考。


SecCenter通过获取安全设备发送过来的流日志和syslog等日志进行数据提取,内部聚合处理后显示在前端界面,如果数据无法显示,可先排查安全设备有没有发送,发送后SecCenter有没有接收到,接收到后报文内容是否完整,完整后是否正常处理的思路来进行排查。


1、检查安装环境

服务器侧:

SecCenter目前只支持安装在Windows系统,并且对版本有严格的要求;

SecCenter不允许与其他具有类似功能的软件安装在同一台服务器上;

客户端侧:

SecCenter目前只支持IE8浏览器;

除此之外SecCenter不同版本对服务器的硬件规格,配套安全设备也有不同的要求,安装部署前请确保安装环境符合规范,所要管理的安全设备符合配套关系。

2、查看系统运行状态

SecCenter后台在运行过程中根据功能的不同主要分为数据库服务、web服务和接收器服务三个子服务。任一服务运行不正常都会导致错误的出现。所以在处理各种问题之前请务必保证这三个服务运行正常,在服务器桌面右下角点击SecCenter运行图标即可看到,如下图所示:

3、检查添加设备的时间和时区

SecCenter管理安全设备的第一步就是将安全设备配置好HTTPSNMP等访问参数后加入到系统中来。在添加安全设备时SecCenter提供了“以本地时钟处理以格林威治时间处理两种时间矫正方式。如果选择错误则会出现由于存在时间差导致无法审计到安全设备的流量信息或数据一直不准确等问题。故在保证安全设备和SecCenter服务器的时间一致的前提下,安全设备的时区、SecCenter服务器时区及时间矫正方式的对应关系应如下表所示:

安全设备时区

SecCenter服务器时区

时钟处理方式

北京时间(GMT+8

北京时间(GMT+8

以本地时钟处理

格林威治时间(GMT

北京时间(GMT+8

以格林威治时钟处理

注:除此之外请确认SecCenter添加安全设备时配置的HTTPSNMP参数正确,能够正确的识别到设备的型号版本等信息。

4、查看端口占用情况

默认情况下SecCenterUDP 30010接收userlog日志,以UDP 30017接收NAT log日志,以UDP 30514接收syslog日志,如果此端口与服务器上其他进程所用端口存在冲突,可以在【系统管理-系统配置-管理端口配置】中对其进行修改,如下图所示:

注:SecCenter进行了修改,其所管理的安全设备也需要其日志服务器的端口,保证和SecCenter一致;

确认好SecCenter所监听的端口后,还需要确认一下端口是否监听正常才能保证SecCenter运行正常,这里以查看默认的sysloguserlog端口为例,先在命令行下执行netstat –ano | findstr 30010,在输出行的最后一列可以看到占用UPD 30010端口进程的PID1572,然后打开windows任务管理器,在进程中根据PID即可看到该进程为receiver0.exe,此即为SecCenter接收userlog日志的后台进程。如下图所示:

注:按照此方法依次确认syslogNAT log等日志的接收端口是否监听正常;

如果windows任务管理器中看不到PID这一列,可以在【查看-选择列】中勾选PID即可;

5、检查是否收到日志

上步确认好日志接收端口后,在服务器上抓包确认SecCenter是否接收到了安全设备发送过来的log报文,推荐在SecCenter服务器上安装wireshark抓包软件,

这里以查看userlog日志为例,在抓包过程中输入过滤条件udp.port == 30010即可看到SecCenter已经收到了设备发送过来的userlog日志报文,如下图所示:

如果抓取不到的话请检查安全设备是否配置发送和安全设备到SecCenter服务器之间网络是否畅通。安全设备可以在日志管理中配置,如下图所示:

6、查看页面数据来源

SecCenter审计页面中提供了不同种类共数十张报表,不同的报表采集的后台数据来源是不一样的,对应到日志报文中也是处于不同的字段中,所以在只能看到部分报表数据的情况下,需要确认安全设备是不是不支持该字段或者由于其他原因导致报文该字段为空,进而无法审计到数据。另外由于不同的日志发送间隔不同所以SecCenter最快能够生成报表的时间也不一样,这里简单汇总如下表:

报表名称

数据来源

报表最快生成时间

业务流量趋势/业务流量分布

链路使用日志

5分钟

未知业务分析

会话使用日志

1小时

TOP50用户流量/单用户流量趋势

用户使用日志

1小时,每整点第5分钟

应用流量快照

链路使用日志

30

用户行为审计/用户行为分析

协议内容审计日志

5分钟

以上所有的日志类型都是userlog日志,只是在userlog报文中处于的字段不同,各日志类型和在userlog报文中字段标号的对应关系如下图所示:

日志类型

字段标号

链路使用日志

300

用户使用日志

301

会话使用日志

302

全局日志

306

 

 

7、检查报文字段是否完整

在确认好报表的数据来源和该数据在userlog报文中所处的字段后,即可通过分析抓包来确认收到的报文中是否包含该字段数据,这里以查询链路使用日志为例,过滤条件为udp.port == 30010 && data[16:2] == 012C,(其中012C30016进制),如下图所示看到userlog报文中包含链路使用日志字段,所以SecCenter页面中以链路使用日志为数据源的报表应该都能审计到数据。

当抓包结果中没有包含对应字段时,可能是安全设备没有开启对应的日志功能,可以在安全设备的【日志管理-流日志-流日志配置】中勾选相应的日志功能,如下图所示:

注:如果勾选了却还是没有相应的字段,有可能是设备不支持,请查看设备规格表确认。

8、检查数据库写入是否正常

SecCenter服务器上成功抓取到了安全设备发送过来的包含完整字段的报文后,如果还是审计不到数据,则很可能是SecCenter在数据入库过程中出现问题,可以通过直接查看数据库表项来确认,不同的日志类型在SecCenter数据库中对应的表不同,常见的归纳如下:

日志类型

数据库表名

链路使用日志

tb_link_usage_detail

用户日志

tb_user_usage_detail

会话日志

tb_session_detail

全局日志

tb_link_session_detail

SecCenter内部使用MySQL数据库存放数据,所以可以使用MySQL数据库客户端或命令行来查询,推荐使用navicat for MySQL数据库客户端工具,默认连接端口为3308,默认root密码为123456,打开表项即可看到表中有无数据写入,如下图所示:

9、刷新页面数据

确认数据库对应表中数据没有问题后基本可以数据能够正常审计了,可以重新打开SecCenter页面报表,点击刷新测试,如下图所示:

10、收集信息

如果以上步骤排查完成后还是无法解决问题,请收集以下信息联系H3C技术支持热线协助分析:

1.  安全设备型号版本,SecCenter版本;

2.  安全设备日志、时间等配置截图,SecCenter中此设备详细信息截图以及无法审计到数据的页面截图;

3.  SecCenter服务器上的抓包文件(抓10分钟左右);

4.  SecCenter安装目录$SecCenter\syslog文件夹下所有文件;

5.  SecCenter安装目录$SecCenter\server\logs文件夹下所有文件;

 


该案例对您是否有帮助:

您的评价:1

若您有关于案例的建议,请反馈:

作者在2019-06-12对此案例进行了修订
0 个评论

该案例暂时没有网友评论

编辑评论

举报

×

侵犯我的权益 >
对根叔知了社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔知了社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作