NTA/UBA服务器通过分析路由器发送的NetStream流日志信息,对内网用户的上网流量和行为进行监控。组网需求如 图 1 所示。
图1 配置组网图
NTA/UBA 组件通过 NetStream 日志对海量、复杂的数据进行不同角度的分析,帮助用户对网络流 量进行实时监测和对网络流量异常的及时发现。
网络中存在支持 NAT、Flow、NetStream 等 UDP 日志发送功能的交换机或设备。使用 NTA/UBA 组件进行网络流量分析,需要配置以下内容:
l 网络环境基本配置:用来保证网络和 NTA/UBA 服务器的正常通信、网络设备的日志发送功能 正常等。
l NTA/UBA 组件配置:包括设备的配置和 NTA/UBA 服务器基本参数的配置
l iMC NTA 支持的日志类型:
Netstream V5、Netstream V9(H3C VPN、IPv4、IPv6)、IPFIX、NetFlow V5、NetFlow v9(v5、 Cisco Flexible NBAR )、sFlow V5。
l iMC UBA 支持的日志类型:
Netstream V5、Netstream V9(IPv4、IPv6)、IPFIX、NetFlow v5、NetFlow v9(v5、Cisco Flexible NBAR)、NAT 1.0、Flow 1.0、Flow 3.0。
NTA/UBA服务器通过分析路由器发送的NetStream流日志信息,对内网用户的上网流量和行为进行监控。组网需求如 图 1 所示。
图1 配置组网图
1. 查看IP地址和接口信息
1.
2.
a)
b)
c)
d)
图2 接口列表
路由器作为流数据输出设备,必须开启NetStream功能,具体配置命令如表 1所示。
表1 路由器 NetStream 配置
(1) 增加设备
a. 登录 iMC,选择“业务”页签,在左导航树中选择[流量分析与审计/配置管理],进入配置 管理页面;
b. 在“网络流量分析与审计快速配置向导”区域点击“设备管理”链接,进入设备列表页面;
c. 单击<增加>按钮增加设备,如图 3所示。
图3 增加设备
(2) 下发服务器配置
a. 选择“业务”页签,在左导航树中选择[流量分析与审计/配置管理],进入配置管理页面;
b. 点击“服务器管理”链接,进入服务器列表页面;
c. 点击 NTA/UBA 服务器对应的“修改”图标 ,进入服务器配置页面;
d. 配置相应的服务器参数,如 图 4 所示,单击<下发>按钮下发服务器配置。
图4 服务器配置
(3) 增加流量分析任务
NTA 支持增加多种流量分析任务,这里以接口流量分析任务为例,配置步骤如下:
a. 选择“业务”页签,在左导航树中选择[流量分析与审计/配置管理],进入配置管理页面;
b. 点击“流量分析任务管理”链接,进入流量分析任务管理页面;
c. 在流量分析任务列表中,单击<增加>按钮,进入任务类型选择页面;
d. 选择“接口”任务类型,单击<下一步>按钮,进入增加流量分析任务参数配置页面;
e. 配置相应的基本信息和接口信息后,单击<确定>按钮,增加任务成功,如 图 5 所示。
图5 增加接口流量分析任务
(1) 查看接口任务汇总信息
选择“业务”页签,在左导航树中选择[流量分析与审计/接口流量分析任务],进入接口流量分析汇 总页面,如 图 6 所示。
图6 接口任务汇总信息
(2) 查看接口任务Interface的流量信息
选择“业务”页签,在左导航树中选择[流量分析与审计/接口流量分析任务],进入接口流量分析汇 总页面,查看流量信息有两种方法:
l 在汇总页面下方的“汇总列表”区域,点击任务名称“Interface”链接,进入 Interface 流量 分析页面;
l
图7 Interface 流量分析
(3) 查看接口任务 Interface 的应用信息
在Interface流量分析页面选择“应用”页签,进入Interface应用流量分析页面,如 图 8 所示。
图8 Interface 应用流量分析
(4) 查看接口任务 Interface 的会话信息
在Interface流量分析页面选择“会话”页签,进入Interface会话流量分析页面,如 图 9 所示。
图9 Interface 会话流量分析
选择“业务”页签,在左导航树中选择[流量分析与审计/用户行为审计],进入用户行为审计查询页面;输入查询条件,单击<查询>按钮显示日志审计结果。如 图 10 所示。
图10 日志审计结果
可能原因及解决办法:
l 请检查设备配置的日志接收端口与 iMC NTA 上的是否一致,如果不一致请修改。
l 检查设备与 iMC NTA 服务器之间的网络是否连通,是否存在防火墙,如果有防火墙请开启 9020、9021、6343 等 UDP 端口。
l 检查 iMC NTA 所在服务器是否开启防火墙,如果开启请关闭防火墙或者开启 9020、9021、 6343 等 UDP 端口。
l 检查$IMC_INSTALL/data/recieverData 和$IMC_INSTALL/data/processorData/data 目录下是否 有大量文件,如果有可能是机器性能问题或者出现异常导致。通过监控代理停掉接收器和处 理器,删除 receivedfile.txt 和这两个目录下的文件,然后清空 unba_slave.tbl_storing_task 表,再启动接收器和处理器。
l 查看数据库磁盘使用率是否超过阈值,通过[业务/流量分析与审计/数据库空间使用]查看当前 数据库磁盘使用情况。如果超过阈值,请扩大磁盘容量或者删除无用数据。
查看配置的设备接口索引 ID 是否与 Netstream 报文中发送的接口索引 ID 一致,如果不一致需要手 工配置接口索引。通过[业务/流量分析与审计/流量分析任务管理/增加流量分析任务]增加接口流量分 析任务,在增加接口中选择手工配置。
l 请检查内网配置。如果 UBA 监控的主机地址不在配置的内网网段中,则会被过滤。可以在服 务器管理中增加内网网段后下发。
l 登录 unba_slave 数据库,查看是否存在 tbl_nets_YYMMDDHH 表,表里面是否有数据。如果存 在说明采集到了数据,那么调整审计时间与采集数据时间一致即可。如果不存在说明接收器没 有数据,请尝试故障 1 中的方法解决。
iMC 流量分析与审计联机帮助。
无
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作