DPtech UMC统一管理中心
受控:D级
1. 初始化安装
1.1 概览
通过此实验,您将学习到: 安装UMC软件 添加联动设备 查看业务日志
1.2 网络拓扑
eth0_0eth0_1Client172.16.0.4/24meth0_010.99.0.155/24Server172.16.0.5/24UMC10.99.0.4/24
描述:
FW处于透明模式,Client与Server进行包过滤实验,FW输出相应日志到UMC。
1.3 配置1:安装UMC软件
1)安装前准备
准备工作
第 1 页
DPtech UMC统一管理中心
受控:D级
确保所安装服务器与当地时间一致 调研服务器硬件配置
建议关闭360安全卫士、本地防火墙等安全软件 调研服务器开放端口,防止与UMC端口冲突
如重新安装UMC,需卸载软件,且手动删除安装目录所有文件
系统支持2003/2008/2012 server 64系统,需使用Administrator权限安
装 软件要求
推荐操作系统:Server2003/2008/2012 64位系统 使用IE7.0及以上版本,高版本的IE需要使用兼容模式
本地无冲突软件(Mysql数据库服务、Apache或Apache TomCat、HTTP) 硬件要求
内存2G及以上(2G内存实际可用1.8G,小于1.8G可能正常无法使用) CPU双核及以上
硬盘空间推荐160G及以上(根据使用情况而定)
不支持虚拟机(虚拟机磁盘为共享磁盘,磁盘转速不够;内存分配方式与物
理机不一致) 安装文件
UMC-B5.0.74-win-x64(安装文件) UMC_UMC-NET-50.dp_lic(临时License)
2)安装UMC
双击“UMC-B5.0.74-win-x64.exe”,进行初始化安装,选择语言为“简体中文”
第 2 页
DPtech UMC统一管理中心
受控:D级
安装向导
接受协议
第 3 页
DPtech UMC统一管理中心
受控:D级
选择服务端口
注意:设置UMC的WEB页面访问端口,后期不得更改。 安装目录
第 4 页
DPtech UMC统一管理中心
受控:D级
注意:安装目录为英文目录(无汉字)。 安装软件
第 5 页
DPtech UMC统一管理中心
受控:D级
3)验证安装结果
验证安装结果,需要以管理员权限运行该软件(若服务未正常启动,则安装失败,需卸载重新安装)
说明:点击上图的“UMC 统一安全管理服务器”图标即可登录。 注意:如果某一服务无法启动,请检查本地环境。
第 6 页
DPtech UMC统一管理中心
受控:D级
1.4 配置2:添加联动设备
4)登陆WEB页面
输入“http://localhost”,初始用户名:admin,密码:UMCAdministrator
5)注册UMC
导入临时License
第 7 页
DPtech UMC统一管理中心
受控:D级
6)添加设备
点击“添加”,输入需添加设备的IP地址及名称,点击“确定”
等待UMC与设备通信,直到设备状态为“正常”
第 8 页
DPtech UMC统一管理中心
受控:D级
添加设备,注意事项:
①设备与UMC可以通信
②设备开启SNMP的V1或V2版本,且设备上的读、写团体与UMC上的一致
7)完成时间同步
进行时间同步(使设备本地时间与UMC一致)
1.5 配置3:查看业务日志
8)查看FW包过滤日志
查看包过滤日志明细
第 9 页
DPtech UMC统一管理中心
受控:D级
功能验证:
Client与Server进行安全隔离(参考FW手册),UMC可查相应日志。
第 10 页
DPtech UMC统一管理中心
受控:D级
2. 常见问题
常见问题(一)
故障现象:点击系统任务栏上的UMC图标,数据库服务状态为关闭,且无法正常启动。
1)UMC数据库服务使用的端口号3308是否已经被占用(netstat -ano|findstr \"3308\")。
2)进入UMC安装目录下的数据库目录,以默认安装目录为例。C:\\Program Files\\UMC\\database\\data\\,查看该目录下是否存在err文件或log文件,并查看这些文件内容,看是否有相关错误信息,并根据错误信息定位UMC 数据库服务启动失败原因。
常见问题(二)
故障现象:点击系统任务栏上的UMC图标,Web服务状态为关闭,且无法正常启动。
1)UMC安装目录为中文目录。目前UMC安装目录只支持英文目录,不支持中文目录,如果将UMC安装到中文目录则会导致Web服务不能启动。
2)进入UMC安装目录的server目录下的日志目录,即C:\\Program Files\\UMC\\ server\\logs\\,该目录下有相关日志文件,请参考日志文件内容判断启动失败原因。
常见问题(三)
故障现象:点击系统任务栏上的UMC图标,后台服务状态为关闭,且无法正常启动。
如果在系统中安装有360或杀毒软件等类似功能的工具,在UMC安装过程中可能会提示某些操作是否允许,必须选择允许UMC安装后后台服务才能正常启动。
第 11 页
DPtech UMC统一管理中心
受控:D级
常见问题(四)
故障现象:接收日志过程中发现UMCcam.exe或者UMCuagns.exe在windows页面上报错。
检查该服务器是否存在VC环境;如有,则需协商卸载。 常见问题(五)
故障现象:关闭UMC的所有服务并数据库初始化,无法完成数据库初始化。 UMC数据库初始化时,请先停止除数据库服务之外的所有UMC服务,但数据库服务不能停,否则将导致数据库初始化操作不能顺利完成,最终可能导致UMC数据库被破坏。
常见问题(六)
故障现象:某一时刻某种日志终止。
确认设备是否将相关日志发送到UMC,如果是,则可能是UMC数据库中相关业务的数据库表已经损坏,请重新启动UMC数据库服务,损坏的数据库表将被修复。
常见问题(七)
故障现象:无法成功注册UMC的License。
1)申请License时,即与所安装的服务器做了绑定,后期如果更换服务器,则此License失效。
2)需通过相关途径重新申请。 常见问题(八) UMC描述文件导入路径。
1)APP:http://127.0.0.1/UMC/uag/UagServiceUpgrade.action,或点击快捷方式【网络监控】->【区域业务分析】->【服务定义】->。
第 12 页
DPtech UMC统一管理中心
受控:D级
2)URL:http://127.0.0.1/UMC/dev/DevUrlRuleUpgradeFile.action,或点击快捷方式【网络监控】->【区域业务分析】->【Web应用分析】->。
3)IPS:http://127.0.0.1/UMC/ips/IpsRuleUpgrade.action,或点击快捷方式【攻击监控】->【综合分析】->【规则列表】->。
常见问题(九)
流量分析相关功能:使用抓包工具已经获取到设备发向UMC的数据包,但UMC后台不能将相关的数据正常解析,页面上不能显示。
1)请确认UMC后台服务状态是否正常。
2)请确认是否已经将系统防火墙关闭,如果UMC被安装在虚拟机中,请确认是否已经将虚拟机防火墙关闭。
3)如果在UMC端能抓到9502报文的情况下,仍然显示不出流量,请确认设备时间是否与UMC的时间同步,如果不一样,请将设备时间与UMC时间同步,再在设备流量分析配置UMC地址的页面上再次点击确定,以免流量分析功上报日志时报文中仍然包含的是老时间。
4)如上述情况均正常,则可能是设备发送的日志与UMC可以接受的日志格式不同导致UMC后台不能正常解析日志信息,请确认设备版本和UMC版本是否一致。
常见问题(十)
故障现象:设备已经成功添加到UMC上,状态为“正常”,但cpu使用率等参数为空。
1)确保设备的SNMP读写团体字信息,与UMC添加设备的读写团体字信息一致。
2)重新开启并下发设备的“SNMP配置”(默认使用SNMPv1和SNMPv2c版
第 13 页
DPtech UMC统一管理中心
受控:D级
本)。
常见问题(十一)
打开电脑“资源管理器”查看进程“UMCflow.exe”如果存在多个此进程,说明在重启UMC时出错,导致UMC重复的启动了“UMCflow.exe”进程。
停止UMC服务,将“UMCflow.exe”进程删除,在启动UMC服务。 常见问题(十二) 重启UMC服务需注意。
停用顺序为“UMC后台服务->UMC WEB服务->UMC数据库服务”在每停用一项服务时请点击右上角的刷新按钮 以确认已经停止服务。重新启用UMC服务时顺序“UMC数据库服务->UMC WEB服务->UMC后台服务”。
常见问题(十三)
注册License后,导入info文件异常。
使用IE浏览器下载,部分浏览器自带下载工具会篡改文件内容。 常见问题(十四) 时间同步的重要性。
1)未同步将导致日志显示滞后,或异常。
2)同步前请勿有审计动作(避免未老化),及向UMC发送日志。 3)UMC数据分析依靠时间维护,错误的时间将对UMC产生严重影响。
第 14 页
因篇幅问题不能全部显示,请点此查看更多更全内容