NTA/UBA服务器通过分析路由器发送的NetStream流日志信息，对内网用户的上网流量和行为进行监控。组网需求如 图 1 所示。

图1 配置组网图

介绍

NTA/UBA 组件通过 NetStream 日志对海量、复杂的数据进行不同角度的分析，帮助用户对网络流 量进行实时监测和对网络流量异常的及时发现。

特性使用指南

2.1 配置前提

网络中存在支持 NAT、Flow、NetStream 等 UDP 日志发送功能的交换机或设备。使用 NTA/UBA 组件进行网络流量分析，需要配置以下内容：

l  网络环境基本配置：用来保证网络和 NTA/UBA 服务器的正常通信、网络设备的日志发送功能 正常等。

l  NTA/UBA 组件配置：包括设备的配置和 NTA/UBA 服务器基本参数的配置

2.2 注意事项

l  iMC NTA 支持的日志类型：

Netstream V5、Netstream V9（H3C VPN、IPv4、IPv6)、IPFIX、NetFlow V5、NetFlow v9（v5、 Cisco Flexible NBAR ）、sFlow V5。

l  iMC UBA 支持的日志类型：

Netstream V5、Netstream V9（IPv4、IPv6)、IPFIX、NetFlow v5、NetFlow v9（v5、Cisco Flexible NBAR）、NAT 1.0、Flow 1.0、Flow 3.0。

3 配置举例

3.1 组网需求

NTA/UBA服务器通过分析路由器发送的NetStream流日志信息，对内网用户的上网流量和行为进行监控。组网需求如 图 1 所示。

图1 配置组网图

3.2 配置步骤

1. 查看IP地址和接口信息

1.       查看 NTA/UBA 服务器 IP 为 192.168.1.212/24。

2.       查看路由器 MSR30-20 的管理 IP 为 90.16.0.240/24，接口信息可以通过增加设备查看。具体操作步骤如下：

a)       登录 iMC，选择“资源”页签，在左导航树中选择[资源管理/增加设备]，进入增加设备页 面；

b)       输入设备 IP 地址，确保 SNMP 及 Telnet 参数和设备配置相同，单击<确定>按钮，添加设 备成功；

c)        在增加设备完成提示区域，点击“设备详细信息”链接，进入设备详细信息页面；

d)       点击“接口列表”链接查看设备接口列表，如图2所示

图2 接口列表

2. 路由器NetStream配置

路由器作为流数据输出设备，必须开启NetStream功能，具体配置命令如表 1所示。

表1 路由器 NetStream 配置

3. NTA/UBA服务器配置

(1) 增加设备

a. 登录 iMC，选择“业务”页签，在左导航树中选择[流量分析与审计/配置管理]，进入配置 管理页面；

b. 在“网络流量分析与审计快速配置向导”区域点击“设备管理”链接，进入设备列表页面；

c. 单击<增加>按钮增加设备，如图 3所示。

图3 增加设备

(2) 下发服务器配置

a. 选择“业务”页签，在左导航树中选择[流量分析与审计/配置管理]，进入配置管理页面；

b. 点击“服务器管理”链接，进入服务器列表页面；

c. 点击 NTA/UBA 服务器对应的“修改”图标 ，进入服务器配置页面；

d. 配置相应的服务器参数，如 图 4 所示，单击<下发>按钮下发服务器配置。

图4 服务器配置

(3) 增加流量分析任务

NTA 支持增加多种流量分析任务，这里以接口流量分析任务为例，配置步骤如下：

a. 选择“业务”页签，在左导航树中选择[流量分析与审计/配置管理]，进入配置管理页面；

b. 点击“流量分析任务管理”链接，进入流量分析任务管理页面；

c. 在流量分析任务列表中，单击<增加>按钮，进入任务类型选择页面；

d. 选择“接口”任务类型，单击<下一步>按钮，进入增加流量分析任务参数配置页面；

e. 配置相应的基本信息和接口信息后，单击<确定>按钮，增加任务成功，如 图 5 所示。

图5 增加接口流量分析任务

3.3 流量分析与审计查询

1. 查看接口流量信息

(1) 查看接口任务汇总信息

选择“业务”页签，在左导航树中选择[流量分析与审计/接口流量分析任务]，进入接口流量分析汇 总页面，如 图 6 所示。

图6 接口任务汇总信息

(2) 查看接口任务Interface的流量信息

选择“业务”页签，在左导航树中选择[流量分析与审计/接口流量分析任务]，进入接口流量分析汇 总页面，查看流量信息有两种方法：

l  在汇总页面下方的“汇总列表”区域，点击任务名称“Interface”链接，进入 Interface 流量 分析页面；

l   将鼠标移至左导航树中“接口流量分析任务”链接右侧的快捷菜单图标 上，在弹出的快 捷菜单中点击“Interface”链接，进入Interface流量分析页面。如 图 7 所示。

图7 Interface 流量分析

(3) 查看接口任务 Interface 的应用信息

在Interface流量分析页面选择“应用”页签，进入Interface应用流量分析页面，如 图 8 所示。

图8 Interface 应用流量分析

(4) 查看接口任务 Interface 的会话信息

在Interface流量分析页面选择“会话”页签，进入Interface会话流量分析页面，如 图 9 所示。

图9 Interface 会话流量分析

2. 用户行为审计

选择“业务”页签，在左导航树中选择[流量分析与审计/用户行为审计]，进入用户行为审计查询页面；输入查询条件，单击<查询>按钮显示日志审计结果。如 图 10 所示。

图10 日志审计结果

3.4 故障现象举例

1. 接收器没有数据

可能原因及解决办法：

l  请检查设备配置的日志接收端口与 iMC NTA 上的是否一致，如果不一致请修改。

l  检查设备与 iMC NTA 服务器之间的网络是否连通，是否存在防火墙，如果有防火墙请开启 9020、9021、6343 等 UDP 端口。

l  检查 iMC NTA 所在服务器是否开启防火墙，如果开启请关闭防火墙或者开启 9020、9021、 6343 等 UDP 端口。

l  检查$IMC_INSTALL/data/recieverData 和$IMC_INSTALL/data/processorData/data 目录下是否 有大量文件，如果有可能是机器性能问题或者出现异常导致。通过监控代理停掉接收器和处 理器，删除 receivedfile.txt 和这两个目录下的文件，然后清空 unba_slave.tbl_storing_task 表，再启动接收器和处理器。

l  查看数据库磁盘使用率是否超过阈值，通过[业务/流量分析与审计/数据库空间使用]查看当前 数据库磁盘使用情况。如果超过阈值，请扩大磁盘容量或者删除无用数据。

2. NTA没有数据流量

查看配置的设备接口索引 ID 是否与 Netstream 报文中发送的接口索引 ID 一致，如果不一致需要手 工配置接口索引。通过[业务/流量分析与审计/流量分析任务管理/增加流量分析任务]增加接口流量分 析任务，在增加接口中选择手工配置。

3. UBA没有审计结果

l  请检查内网配置。如果 UBA 监控的主机地址不在配置的内网网段中，则会被过滤。可以在服 务器管理中增加内网网段后下发。

l  登录 unba_slave 数据库，查看是否存在 tbl_nets_YYMMDDHH 表，表里面是否有数据。如果存 在说明采集到了数据，那么调整审计时间与采集数据时间一致即可。如果不存在说明接收器没 有数据，请尝试故障 1 中的方法解决。

4 相关资料

iMC 流量分析与审计联机帮助。

无