运维堡垒机 GateKeeper 管理员使用手册 Version 年 6 月 I

Transcription

1 运维堡垒机 GateKeeper Version 年 6 月 I

2 目 录 1 前言 概述 图形界面格式约定 使用环境 准备工作 确定用户 确定访问服务器的协议 确定自动登录账户 登录设备 系统首页 工具安装...8 客户端工具安装...8 Java 虚拟机安装 密码恢复 系统配置 系统信息 系统管理员 系统管理员 角色管理 特殊授权配置 系统维护 系统升级 备份与恢复 重启 / 关机 网络工具 ping TraceRoute Debug 信息 网络配置 物理接口 配置 IP 地址 静态路由 DNS 配置 ARP 表 认证服务器 RADIUS 服务器 AD 服务器 LDAP 服务器 POP3 服务器 高可靠性 (HA) 邮件配置 邮件通知...30 II

3 5.8.2 邮件审计 数据备份 备份服务器配置 自动备份配置 手动备份 导入数据 日期 / 时间 网络存储 磁盘配置 网管策略 安全设置 运维管理 设备管理 设备类型 目标设备 批量导入 资源组 用户管理 组织结构 批量导入 LDAP/AD 导入 用户解锁 运维规则 配置运维规则 导出运维规则 导入运维规则 特殊运维 二次授权 紧急运维 告警规则 应用发布 VDH 设备管理 VDH 设备监控 应用安装 高级配置 应用发布案例 运维配置 防跳设置 口令管理 设备账户管理 新增设备账户 修改设备账户 自动获取设备账户 设备账户托管...75 III

4 7.1.5 导出设备账户 导入设备账户 密码更新 账户授权管理 改密计划管理 用户证书管理 实时监控 系统状态 物理接口 活跃用户 活跃会话 运维资源 运维审计 今日运维 全部运维 会话事后回放 会话日志下载 会话审核与批注 查看会话告警 查看会话审计操作 查看会话详细信息 会话查询与导出 告警查询 邮件查询 运维统计 运维登录日志 报表管理 自动报表配置 自动报表列表 手动报表 管理审计 命令日志 事件日志 日志服务器...98 IV

5 1 前言 1.1 概述 本文档为 GateKeeper 的运维管理员的使用手册, 作为运维管理员的操作指南 1.2 图形界面格式约定 格式 描述 代表菜单或子菜单名称 > 代表 WEB 网管配置路径 : 如 运维管理 > 运维规则, 表示 运维管理 菜单下的 运维规则 菜单 < > 代表窗口中的选项或按钮名称 1.3 使用环境 GateKeeper 的运维用户采用 WEB 作为用户界面 运维用户可以使用 Microsoft Internet Explore 或以其为内核的其他浏览器, 因部分控件的兼容问题, 如果您使用的是 IE 8 浏览器, 请在兼容模式下运行 2 准备工作 2.1 确定用户 即确定运维人员的用户名和访问权限, 访问权限是指某运维人员可以通过哪些协议访问哪些核心服务器 或网络设备 2.2 确定访问服务器的协议 该内容是准备工作的重点, 主要是确定核心服务器提供何种类型的运维协议供运维终端访问, 即确定运 维终端使用 Telnet SSH FTP SFTP RDP HTTP HTTPS AS400 XWIN 和 VNC 的哪些协议 端口去 访问核心服务器进行运行维护操作 运维协议 GateKeeper IP 及服务端口 真实主机 IP 及服务端口 备注 Telnet : :23 Linux SSH : :22 Linux FTP : :21 Windows SFTP : :22 Linux RDP : :3389 Windows VNC : :5901 Linux 5

6 XWIN : :7000 Linux HTTP : Linux HTTPS : Linux AS : Others 2.3 确定自动登录账户 该内容是为运维用户进行自动登录 (SSO) 做配置, 主要是确定核心服务器提供的后台登录账户可以由哪个运维用户使用 账户分配的工作需要在管理员为设备创建账户后再进行账户分配 3 登录设备 3.1 系统首页 设备默认使用 LAN1 作为网管口,LAN1 出厂地址为 /24 设备使用安全的 HTTPS 登录, 默 认端口 9090 初始登录 URL 为 : :9090. 用 IE 浏览器访问 : 如果是 IE7/8, 访问过程中会出现证书安全警告等信息 : 此时点击 继续浏览此网站, 将出现 GateKeeper 的登录页面 如下图 : 6

7 图 1. 管理员登录 默认的用户名是 admin, 密码是 admin*pwd, 登录前请选择您希望使用的语言 登录成功后, 首页如下 : 图 2. 系统首页首页内容为 : 当前日期 上次登录时间及登录 IP 最近 10 次操作记录 操作记录包含操作时间 操作的客户 IP 操作内容以及执行结果 如下图: 管理界面的右上角有四个按钮, 分别是 修改密码 工具下载 保存配置 退出登录 其作用如下 : 修改密码 : 修改当前管理员的密码 工具下载 : 下载管理员在进行审计管理时所必需安装的工具 如下图 : 保存配置 : 将当前配置保存到系统硬盘中 退出登录 : 退出当前系统, 返回登录界面 7

8 3.2 工具安装 点击右上角的 按钮, 进入工具下载页面, 下载客户端工具和 java 虚拟机工具 图 3. 工具下载 客户端工具安装 双击 GateKeeper_Client_Setup.exe 开始安装 : 点击 <Next>: 8

9 接受条款 : 点击 <Next>: 9

10 点击 <Install>: 点击 <Finish> 结束安装 Java 虚拟机安装 双击 jre-6u24-windows-i586.exe 开始安装 : 10

11 勾选 <Change destination folder>: 点击 <Change >, 选择安装路径, 再点击 <Next> 开始安装 : 11

12 点击 <Close>, 完成安装 4 密码恢复 如果管理员密码丢失, 请按以下步骤恢复系统默认密码 : 12

13 1. 进入 Console 连接, 使用 root 用户 (username:root,password:root*pwd) 登录 2. 选择 Reset WEBUI Password, 进入密码恢复菜单, 然后输入 yes, 再回车 3. 密码恢复成功, 网管密码恢复到出厂设置 (username:admin,password:admin*pwd) 5 系统配置 5.1 系统信息 功能描述 : 设备基本信息描述 配置路径 : 系统配置 > 系统信息, 配置页面如下 : 图 4. 系统信息 5.2 系统管理员 删除 系统管理员是指管理运维设备的管理员, 包括管理员的添加 编辑和删除以及管理员角色的添加 编辑和 系统管理员 功能描述 : 配置系统管理员 配置路径 : 系统配置 > 系统管理员 配置描述 : 第一 : 进入 系统管理员 页面, 可以看到当前的管理员列表, 如下图 : 图 5. 系统管理员 13

14 第二 : 点击 < 新增 >, 进入新增管理员的界面, 填写各项参数, 然后点击 < 确定 > 如下图 : 图 6. 新增系统管理员 参数说明 : 用户名 : 输入用户名称, 由数字 英文 下划线 中杠线 点组成, 开头必须为字母或数字, 且长度为 1-16 个字符 ;[ 必选项 ] 认证方式 : 口令认证 ; 口令策略 : 包括手工配置口令和自动生成 ( 邮件通知 ) 口令 手工配置密码可以直接在下面的密码 确认密码框中输入用户密码 ; 密码强度 : 系统会根据密码强度规则自动检测用户输入密码的安全强度 ; 设置密码 / 确认密码 : 不限字符, 但不能设置空格键 ;[ 必选项 ] 自动生成密码 : 要求 邮箱地址 为必填项, 系统生成的密码发到该邮箱地址中 如下图 : 14

15 图 7. 新增系统管理员 真实姓名 : 输入对应登录名的真实姓名, 不限字符 ;[ 必选项 ] 手机号码 : 即管理员的手机号码 ;[ 可选项 ] 邮箱地址 : 即管理员的邮箱地址, 当管理员的配置信息有变更时, 系统会通过邮件方式通知管理员 ; 角色列表 : 将定义的用户分配一个角色 ;[ 必选项 ] 系统默认配置了三个角色 ( 系统管理员 运维管理员和审计员 ), 您可以根据准备工作中确定的用户权限来灵活自定义分配的角色 如果要自定义角色, 请参见本文 角色管理 章节 可管理设备 : 支持管理员与运维设备绑定的功能 ;[ 必选项 ] 管理员只能管理与之绑定的运维设备, 不能管理未绑定的运维设备 比如有 50 台服务器, 管理员 Pat 的可管理设备为 Server-1 和 Server-2, 那么以 Pat 登录后, 相关的配置和审计界面只能看到 Server-1 和 Server-2 的信息, 不能看到其它设备的信息 默认情况, 可管理设备为 [ 全部设备 ], 即该管理员可以管理所有的运维设备 若只允许某管理员管理部分设备, 则选择 [ 部分设备 ] 选项, 然后再点击旁边的 < 选择设备 > 按钮, 选择该管理员可以管理的设备 如下图所示 : 状态 : 启用或禁用该用户, 默认启用 图 8. 新增系统管理员 备注 : 主要是作为描述该用户的附加注释信息 ;[ 可选项 ] 提示 : 自动生成密码 : 要求 [ 邮箱地址 ] 为必填项, 且必须在 系统配置 > 邮件配置 中设置好邮件服务器 的相关参数才会生效 角色管理 功能描述 : 配置系统管理员的角色分类, 即管理权限 配置路径 : 系统配置 > 系统管理员 15

16 配置描述 : 第一 : 进入管理员新增页面, 点击 < 角色配置 > 按钮, 进入下图 : 图 9. 系统管理员 第二 : 点击 < 新增 >, 进入新增系统角色的界面, 填写各项参数, 然后点击 < 确定 > 如下图 : 图 10 新增系统角色参数说明 : 角色名称 : 输入管理员的角色名称 [ 必选项 ] 角色描述 : 可以输入描述该角色的注释等 [ 可选项 ] 16

17 权限列表 : 选择为该角色分配的权限 [ 必选项 ] 特殊授权配置 功能描述 : 设定执行二次授权 紧急运维的审核模式和审核员 配置路径 : 系统配置 > 系统管理员 配置描述 : 第一 : 进入特殊授权配置页面, 可以看到当前的配置参数, 如下图 : 图 11 特殊授权配置 第二 : 点击三角按钮可选择审核模式, 进入下图 : 图 12 审核模式配置 第三 : 点击 < 选择审核员 > 按钮, 可以根据情况选择审核员, 如下图 : 17

18 图 13 审核员配置 5.3 系统维护 系统升级 功能描述 : 升级设备的系统文件, 可以升级的系统文件包括 : 系统固件 授权文件 系统固件 : 设备软件程序 授权文件 : 给设备进行授权的文件 当前授权文件包括以下信息 : 设备序列号 : 标示设备的唯一序列号 授权类型 : 试用版 / 正式版 ; 试用版是指给客户试用的版本, 正式版是指正式销售的版本 授权有效期 : 授权文件的有效期限 升级服务有效期 : 正式版的升级服务有效期, 在有效期之前可升级系统固件, 过期则不能升级 配置路径 : 系统配置 > 系统维护 > 系统升级 配置描述 : 第一 : 进入 系统升级 页面, 可以查看设备的各种系统文件信息 如下图 : 18

19 图 14 系统升级 第二 : 选择需要升级的文件类型, 点击 < 浏览 >, 找到文件的位置, 再点击 < 升级 > 按钮开始升级 如下图 : 图 15 系统升级 备份与恢复 功能描述 : 设备支持配置文件备份与恢复功能 配置路径 : 系统配置 > 系统维护 > 备份与恢复 配置描述 : 进入 备份与恢复 页面, 如下图 : 图 16 配置备份与恢复 备份 : 系统会将所有的配置以文件的形式存储, 然后可将这个配置文件导出到 PC 恢复 : 导入一个配置文件 ( 备份到 PC 的.conf 的压缩文件 ), 导入后会覆盖原来的配置文件, 设备将自动重启 恢复出厂配置 : 将设备的配置恢复到出厂值, 设备将自动重启 19

20 提示 : 恢复设备的配置和恢复出厂配置, 设备将自动重启 重启 / 关机 功能描述 : 重启或关闭设备配置路径 : 系统配置 > 系统维护 > 重启/ 关闭 配置描述 : 进入 重启 / 关闭 页面, 选择重启或关机, 再点击 < 确定 > 按钮, 可重启或关闭设备 移动设备或切换电源时, 最好先关机,30 秒后再切断电源 图 17 重启 / 关机 5.4 网络工具 网络工具 包括 Ping TraceRoute 和 Debug 信息的下载 ping 功能描述 : 用于测试网络的连通性 配置路径 : 系统配置 > 网络工具 > Ping, 设置界面如下图 : 图 18 PING 工具 20

21 参数说明 : IP/ 域名 : 目的 IP 地址或者域名, 如果设置域名, 需要先配置本机 DNS 报文长度 :Ping 报文的长度, 字节, 默认 64 字节 Ping 次数 : 发送 Ping 报文的数量,1~ , 默认 5 次 提示 : 如果输入域名, 需要先配置本地 DNS 服务器, 详见 网络配置 >DNS 配置 TraceRoute 功能描述 : 用于确定 IP 数据访问目标所采取的路径 配置路径 : 系统配置 > 网络工具 > TraceRoute, 设置界面如下图 : 图 19 TraceRoute 工具参数说明 : IP/ 域名 : 目的 IP 地址或者域名, 如果设置域名, 需要先配置本机 DNS 超时设置 :1-10 秒, 缺省 10 秒 最小 TTL:1-255, 缺省 1 最大 TTL:1-255, 缺省 10 提示 : 如果输入域名, 需要先配置本地 DNS 服务器, 详见 网络配置 >DNS 配置 21

22 5.4.3 Debug 信息 debug 文件是提供给研发人员进行故障判断使用 5.5 网络配置 物理接口 功能描述 : 物理接口指和产品面板上一一对应的数据接口, 不同产品型号接口数目不一样 配置路径 : 系统配置 > 网络配置 > 物理接口, 配置页面如下图所示 : 配置描述 : 第一 : 进入 物理接口 页面, 如下图 : 图 20 物理端口 提示 : 物理接口的状态为 未连接 时, 工作速率为 0 M 第二 : 点击操作栏的 < 修改 > 按钮, 对物理接口的参数进行配置, 如下图所示 : 图 21 修改物理端口参数 提示 : 当协商类型为自协商时, 工作速率不可配置 配置 IP 地址 功能描述 : 22

23 用于给设备的接口或网桥配置 IP 地址 在单网桥模式下, 可对网桥和其它独立的网口配置 IP 地址 ; 在路由模式下可为每个接口配置 IP 地址 配置路径 : 系统配置 > 网络配置 > 配置 IP 地址 配置描述 : 第一 : 进入 配置 IP 地址 页面, 如下图所示 : 图 22 IP 地址配置 第二 : 点击 < 新增 > 按钮, 为接口增加 IP 地址 如下图 : 图 23 物理端口名称 提示 : 1 不同的接口不能配置相同网段的 IP 地址 2 每个接口可配置多个不同网段的 IP 地址 静态路由 功能描述 : 配置静态路由 配置路径 : 系统配置 > 网络配置 > 静态路由 配置描述 : 第一 : 进入 静态路由 页面, 如下图所示 : 图 24 静态路由 23

24 第二 : 进入点击 < 新增 > 按钮, 增加静态路由 如下图 : 图 25 新增静态路由 DNS 配置 功能描述 : 配置设备的 DNS 服务器, 以便于设备自身能访问互联网 配置路径 : 系统配置 > 网络配置 > DNS 配置 配置描述 : 进入 DNS 配置 页面, 配置 DNS 服务器 如下图所示 : 图 26 DNS 配置 ARP 表 功能描述 : 查看 ARP 表, 配置静态 ARP 配置路径 : 系统配置 > 网络配置 > ARP 表 配置描述 : 第一 : 进入 ARP 表 页面, 可查看到当前 ARP 如下图: 图 27 ARP 表 24

25 类型为 动态 代表自动学习到的 ARP 条目 ; 为 静态 代表将固定的 IP 和 MAC 绑定在一起 第二 : 当选 静态 列的复选框, 再点击 < 转为静态 >, 可以将动态学习到的 ARP 转换为静态 ARP 当类型为 静态 时, 对应 ARP 条目的 静态 列的复选框消失 勾选表头的 静态 复选框, 可以选中所有的动态 ARP 条目 第三 : 点击 < 新增 > 按钮, 可添加静态 ARP 条目, 如下图 : 图 28 新增静态 ARP 5.6 认证服务器 认证服务器包括 RADIUS 服务器 AD 服务器 LDAP 服务器和 POP3 服务器 RADIUS 服务器 功能描述 : 配置 RADIUS 认证服务器配置路径 : 用户认证 > 认证服务器 > RADIUS 服务器 配置描述 : 第一 : 进入 RADIUS 服务器 页面, 如下图 : 图 29 RADIUS 服务器配置列表 第二 : 点击 < 新增 > 按钮, 配置 RADIUS 认证服务器, 如下图 : 图 30 新增 RADIUS 服务器 25

26 参数说明 : 名称 : 合法的字符是数字 (0-9), 字母 (A-Z,a-z) 和下划线, 中划线及中文汉字 IP 地址 :RADUIS 服务器 IP 地址 认证端口 : 服务器中用于认证的端口号, 缺省 1812 共享密钥 : 与 RADUIS 服务器交换数据时进行加密的密钥 AD 服务器 功能描述 : 配置 AD 认证服务器配置路径 : 用户认证 > 认证服务器 > AD 服务器 配置描述 : 第一 : 进入 AD 服务器 页面, 如下图 : 图 31 AD 服务器配置列表 第二 : 点击 < 新增 > 按钮, 配置 AD 认证服务器, 如下图 : 图 32 新增 AD 服务器参数说明 : 名称 : 合法的字符是数字 (0-9), 字母 (A-Z,a-z) 和下划线, 中划线及中文汉字 IP 地址 :AD 服务器 IP 地址 AD 域名 : 域控制器域名, 例如 abc.com 查找用户 DN:AD 服务器中的用户认证是基于用户 DN 完成的, 为了完成认证用户名到 AD 域用户 DN 的转换, 需要根据用户输入的用户名在 AD 服务器中执行查找操作 例如, 域名 =abc.com, 用户组 26

27 为 software, 用户名为 searcher, 则查找用户 DN 的格式为 cn=searcher,cn=software,dc=abc,dc=com 如果不知道用户的 DN, 可以在 AD 服务器的 Doc 界面执行 dsquery user 命令, 即可显示 AD 服务器中用户的 DN 查找用户名密码 : 查找用户在 AD 服务器中的密码 LDAP 服务器 功能描述 : 配置 LDAP 认证服务器配置路径 : 用户认证 > 认证服务器 > LDAP 服务器 配置描述 : 第一 : 进入 LDAP 服务器 页面, 如下图 : 图 33 LDAP 服务器配置列表 第二 : 点击 < 新增 > 按钮, 配置 LDAP 认证服务器, 如下图 : 图 34 新增 LDAP 服务器参数说明 : 名称 : 合法的字符是数字 (0-9), 字母 (A-Z,a-z) 和下划线, 中划线及中文汉字 IP 地址 :LDAP 服务器 IP 地址 认证端口 : 服务器中用于认证的端口号, 缺省为 389 DN:LDAP 服务器用通用名称标识符搜索具体条目时所使用的路径, 如 cn=searcher,cn=software,dc=abc,dc=com CN: 识别在 LDAP 服务器中输入的个体的标识符, 如 cn=uid 27

28 5.6.4 POP3 服务器 功能描述 : 配置 POP3 认证服务器配置路径 : 用户认证 > 认证服务器 > POP3 服务器 配置描述 : 第一 : 进入 POP3 服务器 页面, 如下图 : 图 35 POP3 服务器列表 第二 : 点击 < 新增 > 按钮, 配置 POP3 认证服务器, 如下图 : 图 36 新增 POP3 服务器参数说明 : 名称 : 合法的字符是数字 (0-9), 字母 (A-Z,a-z) 和下划线, 中划线及中文汉字 IP/ 域名 :POP3 服务器 IP 地址或域名 5.7 高可靠性 (HA) 系统支持一主一备, 或一主多备的 HA 模式 ; 也支持多个主设备 ( 多主一备 / 多主多备 ) 的 HA 模式, 多个主设备间可实现负载均衡 功能描述 : 设置设备的 HA 模式, 以便实现多机热备 配置路径 : 系统配置 > HA 配置 配置描述 : 进入 HA 配置 页面, 如下图 : 28

29 图 37 HA 配置 参数说明 : 自动同步 : 启用自动同步, 则每次保存配置时都会同步配置文件到指定设备 ( 同步 IP 地址所代表的设备 ); 同步 IP 地址 : 网络可达的备用设备 IP 地址, 一般为备用设备的心跳口 IP 地址 ; 立即同步 : 点击此按钮, 会将配置立即同步到指定设备 功能状态 :[ 启用 ] 或 [ 禁用 ] HA 功能 ; 设备状态 : 该设备在 HA 中的工作状态,Active 或 Standby 心跳间隔 :HA 集群的节点设备之间传递心跳报文的间隔, 默认 2 秒 ; 死亡时间 : 备用设备在该时间段内没有收到主设备的心跳报文, 则立即转换为主设备, 默认 30 秒 ; 心跳端口 : 选择用于连接对方节点设备的 HA 专用端口, 可以选择串口或者以太网物理口 ; 本地节点名称 : 本端节点设备的系统名称, 与 系统配置 > 系统信息 页面配置的系统名称相同 ; 其他节点名称 :HA 集群的其他节点的名称, 多个节点之间用英文逗号分隔 ; 29

30 主设备 : 配置 HA 集群的主设备 配置一个主设备, 则为主备模式 ; 配置多个主设备, 则为负载均衡模式 ; 每个节点的主设备配置必须相同 ; 强制抢占 : 主设备状态由故障恢复正常后, 是否要强制转换为主设备 线路健康检测 : 当检测到主设备的线路故障时, 立即将备用设备切换到主设备状态 5.8 邮件配置 邮件通知 功能描述 : 配置系统发送邮件的相关参数 配置路径 : 系统配置 > 邮件配置 > 邮件通知, 配置页面如下 : 参数说明 : 图 38 邮件通知 30

31 邮件通知 :[ 启用 ] 或 [ 禁用 ] 邮件通知功能 邮件使用语音 : 发送邮件时使用的语言 邮件服务器 : 设置邮件发服务器地址 端口号 : 设置邮件端口号 发件人 : 设置告警邮件的发送者 发件人显示名称 : 设置告警邮件显示发送者的名称 需要认证 : 选择是否需要进行密码安全认证 用户名 : 需要安全认证时, 必须填入用户名 密码 : 需要安全认证时, 必须填入用户密码 账密托管收件人 : 设置账户和密码相关的通知邮件的收件人邮箱地址, 可以设置多个, 一行一个收件人地址 告警收件人 : 设置告警邮件的收件人邮箱地址, 可以设置多个, 一行一个收件人地址 报表收件人 : 设置报表的收件人邮箱地址, 可以设置多个, 一行一个收件人地址 邮件审计 功能描述 : 配置邮件审计相关的参数 配置路径 : 系统配置 > 邮件配置 > 邮件审计, 配置页面如下 : 图 39 邮件审计参数说明 : 邮件审计 :[ 启用 ] 或 [ 禁用 ] 邮件通知功能 POP3 服务器 :POP3 服务器的域名 POP3 端口 :POP3 协议端口 SMTP 服务器 :SMTP 服务器域名 SMTP 端口 :SMTP 协议端口 31

32 说明 :[ 邮件审计 ] 功能审计以客户端形式发送和接送的邮件 内部用户必须设置设备的某个接口地址 作为 POP3 和 SMTP 服务器, 邮件先送到设备上, 再转发至邮件服务器或客户端 此时该设备作为 邮件代理服务器的角色 5.9 数据备份 备份服务器配置 功能描述 : 配置用以备份数据的服务器 配置路径 : 系统配置 > 数据备份 > 备份服务器配置, 配置页面如下 : 图 40 备份服务器配置参数说明 : 服务器类型 : 选择服务器为 [FTP] 或 [SFTP] 服务器地址 : 配置服务器的 IP 地址 远端路径 : 配置文件被存储的路径 服务器端口 : 传输协议的端口 用户名 : 连接服务器的用户名称 密码 : 连接服务器的密码 自动备份配置 功能描述 : 配置自动备份数据到服务器的一些参数 配置路径 : 系统配置 > 数据备份 > 自动备份配置, 配置页面如下 : 32

33 图 41 自动备份配置 参数说明 : 上次备份成功时间 : 显示上次自动备份成功的时间, 若从未进行过备份则显示 [ 无记录 ] 上次备份时间 : 显示上次备份数据的时间, 若从未进行过备份则显示 [ 无记录 ] 上次备份结果 : 显示上次备份的结果,[ 失败 ] [ 成功 ] 或 [ 空 ];[ 空 ] 表示未进行性过备份操作 备份通知 : 选择哪些备份结果需要发送邮件 备份周期 : 选择数据备份的周期, 可选择为 [ 日 ] [ 周 ] 或 [ 月 ] 备份时间 : 选择数据备份的时间点 手动备份 功能描述 : 将数据手动备份到服务器 配置路径 : 系统配置 > 数据备份 > 手动备份, 配置页面如下 : 参数说明 : 时间范围 : 配置需导出的数据的时间范围 图 42 手动备份 导入数据 功能描述 : 从服务器上导入已备份过的文件 若更换了设备或要查看很久以前的数据, 可以用到此功能 配置路径 : 系统配置 > 数据备份 > 导入数据, 配置页面如下 : 33

34 图 43 导入数据 参数说明 : 导入数据的时间范围 : 配置需导入的数据的时间范围, 然后设备就会自动去服务器 ( 备份服务器配 置处配置的服务器 ) 上下载相应时间范围内的数据 5.10 日期 / 时间 功能描述 : 用于设定设备的系统时间 配置路径 : 系统配置 > 系统时间, 设置界面如下图 : 图 44 设置系统日期和时间 如需启用 SNTP 则勾选 自动与 SNTP 服务器同步, 然后可配置 SNTP 服务器和同步间隔 如下图 : 图 45 设置系统日期和时间 点击 < 立即同步 > 按钮, 可立即与所配置的服务器进行时间的同步 提示 : 启用 [ 自动与 SNTP 服务器同步 ] 后, 系统日期和系统时间两项不可配置 34

35 5.11 网络存储 功能描述 : 将审计数据存储到网络存储服务器中, 以提高数据存储量, 同时将数据进行备份, 提高审计数据 的可靠性和安全性 配置路径 : 系统配置 > 网络存储, 设置界面如下图 : 图 46 网络存储参数说明 : 远端路径 : 填写网络存储服务器的路径, 格式如 :// /samba 用户名 : 访问网络存储的用户名 密码 / 确认密码 : 访问网络存储的密码 状态 : 启用或禁用远端存储功能 5.12 磁盘配置 功能描述 : 配置磁盘数据删除的参数 配置路径 : 系统配置 > 磁盘配置, 设置界面如下图 : 图 47 磁盘管理参数说明 : 磁盘使用上限 : 配置磁盘使用率达到一定比例后就开始删除数据 数据删除策略 : 当磁盘使用率达到上限时, 删除数据的策略 邮件告警 : 当磁盘使用率达到上限时, 是否发送告警邮件 35

36 5.13 网管策略 功能描述 : 设置网管策略, 可允许部分 IP 能网管设备, 以限制非法用户访问设备 配置路径 : 系统配置 > 网管策略 配置描述 : 第一 : 进入 网管策略 页面, 如下图 : 第二 : 选择策略类型, 再点击 < 确定 > 按钮 图 48 网管策略 第三 : 点击 < 新增 > 按钮, 增加 允许网管设备的 IP 按钮, 启用该功能 图 49 新增网管策略 第四 : 改变 状态 栏的值, 再点击 < 修改状态 > 可以改变配置条目的状态 提示 : 1 策略类型 : 默认为 允许所有 IP 网管, 这时所有 IP 都可以网管设备 2 策略类型选择为 仅允许以下 IP 网管 时, 如果允许网管设备的 IP 里没有配置任何 IP 地址, 则所有 IP 都可以网管设备 ; 如果配置了 IP 地址, 则只有这些 IP 可以网管设备 3 状态复选框 : 勾选, 表示此条配置的状态为 启用, 则这条配置包含的 IP 地址可以网管设备 不勾选, 即此条配置的状态为 禁用, 则这条配置包含的 IP 地址不生效, 不可以网管设备 5.14 安全设置 功能描述 : 对运维安全配置相关的参数进行设置, 保护运维过程的安全性 36

37 配置路径 : 系统配置 > 安全设置 图 50 登录参数 参数说明 : 管理员登录端口 : 默认采用 TCP 9090 端口, 可以改成 TCP 协议的其它端口, 不能改成 443 端口 管理员超时时间 : 管理员网管设备的页面空闲超时时间, 以分钟为单位, 如果配置登录的空闲时间超过了设定的时间, 将退出至登录界面 SSH 登录端口 : 用 SSH 协议连接设备时的登录端口 运维用户认证端口 : 默认采用 TCP 443 端口, 可以改成 TCP 协议的其它端口 运维用户认证超时 : 运维用户登录运维页面的空闲超时时间, 以分钟为单位, 如果配置登录的空闲时间超过了设定的时间, 将退出至登录界面 登录失败次数 : 管理员或运维用户连续登录失败达到设定次数后, 置为锁定状态 ; 处于锁定状态的用户不能登录设备 锁定时间 : 锁定时间到期后, 用户可正常登录设备 密码复杂度 : 至少选择两个选项, 建议选择三种及以上组合 密码长度 : 密码的最小长度 启用密码 AB 列管理 : 启用后, 目标设备密码需要 2 人分开管理, 每个人各持一半密码 6 运维管理 运维管理 包括设备管理 运维用户管理 时间计划 运维规则管理 告警规则管理 运维配置等 6.1 设备管理 设备管理 包括设备类型的配置 被管理的目标设备的配置 37

38 6.1.1 设备类型 功能描述 : 配置被管理设备的操作系统类型及协议 配置路径 : 运维管理 > 设备管理 > 设备类型 配置描述 : 第一 : 进入 设备配置 页面, 系统预定义了几种设备类型, 如下图 : 第二 : 点击 < 新增 > 按钮, 新增设备类型, 如下图 : 图 51 设备类型配置 图 52 新增设备类型参数说明 : 名称 : 操作系统的名称 ; 操作系统版本 : 操作系统对应的版本, 编辑操作系统时不可修改, 增加操作系统时可手动输入 ; 服务列表 : 选择操作系统开放的协议 ;TELNET FTP SFTP SSH RDP AS400 XWIN VNC HTTP HTTPS VDH 应用协议 ; 备注 : 对操作系统的描述说明 ; 38

39 6.1.2 目标设备 管理和维护需要被运维的目标设备的信息 将目标设备进行多级分组, 以方便管理和操作 定位并选中当前操作对象 功能描述 : 在针对目标设备和组操作时, 应首先浏览 定位 选中当前要操作的目标设备或组 配置路径 : 运维管理 > 设备管理 > 目标设备 配置描述 : 进入 目标设备 页面, 定位并选中当前操作对象在下图中, 点击左边的设备类型的对象, 右边的列表中将显示属于组的目标设备, 在右面列表中可增加 修改或删除目标设备 修改根组名称 图 53 目标设备 - 定位当前操作对象 功能描述 : 修改根组的名称 配置路径 : 运维管理 > 设备管理 > 目标设备 配置描述 : 进入 目标设备 页面, 点击顶部的 < 修改根组 > 按钮, 弹出 修改根组 页面, 如下图 : 图 54 目标设备 - 修改根组 39

40 新增子组 功能描述 : 新增子组, 并设置子组的上级组 配置路径 : 运维管理 > 设备管理 > 目标设备 配置描述 : 进入 目标设备 页面, 浏览定位相应的组, 点击顶部的 < 新增子组 > 按钮, 弹出 新增子组 页面, 如下图 : 参数说明 : 图 55 目标设备 - 新增子组 组名 : 子组的名称, 一次可以创建多个子组, 一行一个组名, 支持汉字 数字 字母 下划线 中划线 所属组 : 默认已经填好刚才进入新增页面时的父组, 也可以点击后面的 < 选择 >, 出现选择用户组的框, 可改变父组 如下图 : 新增目标设备 功能描述 : 新增目标设备 配置路径 : 运维管理 > 设备管理 > 目标设备 配置描述 : 进入 目标设备 页面, 浏览定位相应的组, 点击顶部的 < 新增 > 按钮, 增加目标设备, 如下图 : 40

41 图 56 新增目标设备 参数说明 : 名称 : 目标设备名称 ; [ 必填项 ] IP 地址 : 输入目标设备的 IP 地址 ;[ 必选项 ] 设备类型 : 从下拉框中选择该设备对应的操作系统类型 ;[ 必选项 ] 注 : 如果下拉菜单中的操作系统列表不能满足实际应用的需求, 请点击 < 配置 > 按钮进行配置, 详细配置方法请参见本文设备类型章节 资源列表 : 选择远程访问设备时使用的协议, 并可修改协议对应的端口号 ;[ 必填项 ] 备注 : 附加注释区域 ;[ 可选项 ] 特权登录 : 需要进行特权模式登录的操作系统, 可勾选此项, 例如 :Cisco 华为 H3C 等设备 ; 特权账户 : Cisco 为 enable, 华为和 H3C 为 super; 但是在实际应用中, 通常使用简写 如果在这里填写 en su, 那么在实际应用过程中,en ena enable su super 等命令都可匹配为特权账户 特权密码 / 确认密码 : 设备的特权密码 特权密码提示符 : 操作系统出现的固定提示符, 如 Password: 应根据实际的情况, 确认权限提升口令符中的 : 后, 是否需要添加一个空格 41

42 修改目标设备 功能描述 : 修改目标设备的配置 配置路径 : 运维管理 > 设备管理 > 目标设备 配置描述 : 第一 : 进入 目标设备 页面, 浏览定位相应的目标设备组 ( 如服务器 2), 点击右边列表中名称列对应的目标设备的链接 比如要修改 服务器 2 下面的 RDP 设备 先定位到 服务器 2, 然后点击名称列的 10233RDP 蓝色的链接, 如下图 : 图 57 修改目标设备 第二 : 进入目标设备的修改页面, 填入需要修改的值 导出目标设备和组 功能描述 : 导出目标设备和组的配置配置路径 : 运维管理 > 设备管理 > 目标设备 配置描述 : 第一 : 进入 目标设备 页面, 浏览定位相应的组, 勾选要导出的组和设备, 然后点击右上方的 < 导出 > 按钮, 如下图 : 图 58 导出目标设备和组 42

43 第二 : 下方弹出对话框, 点击相应按钮即可将选中的用户和组保存到 PC 删除目标设备和组 功能描述 : 删除用户和组 配置路径 : 运维管理 > 设备管理 > 目标设备 配置描述 : 第一 : 进入 目标设备 页面, 浏览定位相应的设备类组 ( 如服务器 2), 勾选需要删除的目标设备, 然后点击 < 删除 > 按钮, 如下图 : 图 59 删除目标设备和组 第二 : 弹出询问框 确定要删除吗?, 点击 < 确定 > 即删除选中的目标设备, 点击 < 取消 > 回到原来页面 查询目标设备和组 功能描述 : 查询目标设备和组配置路径 : 运维管理 > 设备管理 > 目标设备 配置描述 : 第一 : 进入 目标设备 页面, 然后点击 < 查询 > 按钮, 弹出查询框 如下图 : 图 60 查询目标设备和组 第二 : 输入查询条件, 然后点击 < 查询 > 按钮, 查询整个目标设备中符合条件的设备或组 43

44 6.1.3 批量导入 功能描述 : 手动将已导出的目标设备文件, 或者自定义的文件批量导入 配置路径 : 运维管理 > 设备管理 > 批量导入 配置描述 : 进入 批量导入 页面, 如下图 : 图 61 批量导入参数说明 : 文件位置 : 点击 < 浏览 > 按钮, 选择要导入的文件 所属组 : 点击 < 选择 > 按钮, 选择将要导入的设备和子组放于哪个父组下面 冲突处理 : 当导入的设备或组已经存在时, 是否要覆盖 资源组 功能描述 : 定义提供的运维服务协议的资源的组合, 方便批量定义运维规则 配置路径 : 运维管理 > 设备管理 > 资源组 配置描述 : 第一 : 进入 资源组 页面, 可查看当前已定义的资源组, 如下图 : 图 62 资源组配置 第二 : 点击 < 新增 > 按钮, 增加目标设备条目, 如下图 : 44

45 图 63 新增资源组 参数说明 : 名称 : 目标设备名称 ; 检索条件 : 可通过 IP 地址检索需要选择的资源, 也可以通过资源名模糊匹配来检索所需的资源 资源列表 : 可选择的资源 第三 : 点击资源组列表中的资源名称, 修改该资源组的配置 如下图 : 图 64 修改资源组 45

46 6.2 用户管理 用户管理 是对运维用户的逻辑组织结构的组建与管理, 包括对组织结构的手动创建 批量导入 LDAP/AD 导入 组织结构 通过设备提供的 Web 管理界面, 可以输入 维护用户和组的信息, 从而建立起和本单位实际组织结构相一致 的组织信息 用户和组的维护功能包括新建 删除 更新 改变所属关系 定位并选中当前操作对象 功能描述 : 在针对用户和组操作时, 应首先浏览 定位 选中当前要操作的用户或组 配置路径 : 运维管理 > 用户管理 > 组织结构 配置描述 : 进入 组织结构 页面, 定位并选中当前操作对象在下图中, 点击左边的组织结构中的节点, 右边的列表中将显示该组织的成员, 可以通过右面列表中的复选框选择要操作的用户或组 如下图 : 图 65 组织结构 - 定位当前操作对象左边是当前所有用户组的树型结构, 默认有一个 Root 根组, 所有建立的组和用户都在根组之下 右边是左边已定为的组所包含的所有直属用户和子组 名称列图标为两个人的表示子组, 图标为一个人且颜色为彩色的表示在线用户, 图标为一个人且颜色为黑白的表示离线用户 若想查看或编辑当前组下面的用户和子组, 点击右边列表中子组或用户的名称列对应的链接 修改根组名称 功能描述 : 修改根组的名称 配置路径 : 运维管理 > 用户管理 > 组织结构 配置描述 : 进入 组织结构 页面, 点击顶部的 < 修改根组 > 按钮, 弹出 修改根组 页面, 如下图 : 46

47 图 66 组织结构 - 修改根组 组名 : 根组的名称, 默认 Root, 可填入需要修改的名称 新增子组 功能描述 : 新增子组, 并设置子组的上级组 配置路径 : 运维管理 > 用户管理 > 组织结构 配置描述 : 进入 组织结构 页面, 浏览定位相应的组, 点击顶部的 < 新增子组 > 按钮, 弹出 新增子组 页面, 如下图 : 参数说明 : 图 67 组织结构 - 新增子组 组名 : 子组的名称, 一次可以创建多个子组, 一行一个组名, 支持汉字 数字 字母 下划线 中划线 所属组 : 默认已经填好刚才进入新增页面时的父组, 也可以点击后面的 < 选择 >, 出现选择用户组的框, 可改变父组 如下图 : 修改子组 功能描述 : 修改子组的配置 47

48 配置路径 : 运维管理 > 用户管理 > 组织结构 配置描述 : 第一 : 进入 组织结构 页面, 浏览定位相应的组, 点击右边列表中名称列对应的子组的链接 比如要修改 Root 下面的 第三方代维人员 先定位到 Root, 然后点击名称列的 第三方代维人员, 如下图 : 第二 : 进入子组的修改页面, 修改父组 如下图 : 图 68 组织结构 - 修改子组 参数说明 : 图 69 组织结构 - 修改子组 组名 : 子组的名称, 不可修改 所属组 : 点击后面的 < 选择 > 按钮, 出现选择用户组的框, 可改变父组 新增用户 功能描述 : 新增运维用户配置路径 : 运维管理 > 用户管理 > 组织结构 配置描述 : 进入 组织结构 页面, 浏览定位相应的组, 点击顶部的 < 新增用户 > 按钮, 弹出 新增用户 页面 如下图 : 48

49 图 70 组织结构 - 新增运维用户 参数说明 : 用户名 : 定义运维人员用户名 [ 必选项 ] 认证方式 : 支持五种认证方式, 包括口令认证 LDAP 认证 AD 域认证 Radius 认证 POP3 认证, 默认为口令认证 ; 当认证方式为口令认证时, 页面如上图所示, 有口令策略 密码强度 密码 确认密码等项需要设置 口令策略 : 包括手工配置口令和自动生成 ( 邮件通知 ) 口令 ; 手工配置密码可以直接在下面的密码 确认密码框中输入用户密码 ; 密码强度 : 系统会根据密码强度规则自动检测用户输入密码的安全强度 ; 设置密码 / 确认密码 : 不限字符, 但不能设置空格 SPACE 键 ;[ 必选项 ] 自动生成密码 : 要求 邮箱地址 为必填项, 系统生成的密码发到该邮箱地址中 ; 密码有效期 : 表示该密码的有效期限 ; 当密码过期后, 用户以原来的密码登录时, 可以成功登录, 但登录后直接弹出修改密码的页面, 必须成功修改密码后, 以新密码登录, 方可正常运维设备 角色 : 包括超级用户 普通用户 外部用户三种用户角色, 普通用户能使用运维协议进行访问, 外部用户只能使用紧急运维进行访问, 超级用户能访问所有资源, 具备所有访问权限 LDAP 认证 : 使用 LDAP 认证方式进行认证 ; AD 域认证 : 使用 AD 认证方式进行认证 ; Radius 认证 : 使用 Radius 认证方式进行认证 ; 真实姓名 : 输入对应登录名的真实姓名, 不限字符 ;[ 必选项 ] 手机号码 : 即运维人员的手机号码 ;[ 可选项 ] 账户有效期 : 表示该账户的有效期限 ; 邮箱地址 : 即运维人员的邮箱地址 ; 账户密码更改 密码有效期到期 账户激活变更通知 认证方式改 49

50 变时系统会通过邮箱的方式通知运维人员 [ 当口令策略为 自动生成 ( 邮件通知 ) 时, 为必选项, 其 他情况为可选项 ] 允许登录的 IP: 表示允许该账户可以登录的 IP 地址 ; 即其他 IP 以该账户登录将失败 状态 : 此状态表示此用户是否可用 启用表示账户可用 ; 锁定表示该账户被锁定, 不可用 ; 有两种情况账户被锁定, 一种是管理员手动的把状态改为锁定, 另一种是由于多次输入密码错误, 被系统自动锁定 被系统自动锁定的用户, 锁定时间到期后, 用户可正常使用 锁定时间的配置见 运维配置 一节 修改用户 功能描述 : 修改用户的配置 配置路径 : 运维管理 > 用户管理 > 组织结构 配置描述 : 第一 : 进入 组织结构 页面, 浏览定位相应的组, 点击右边列表中名称列对应的用户的链接 比如要修改 Root/ 第三方代维人员 下面的 Tim 用户 先定位到 Root/ 第三方代维人员, 然后点击名称列的 Tim 用户的链接, 如下图 : 图 71 组织结构 - 修改用户 第二 : 进入用户的修改页面, 填入需要修改的值 如下图 : 图 72 组织结构 - 修改用户 50

51 导出用户和组 功能描述 : 导出用户和组的配置配置路径 : 运维管理 > 用户管理 > 组织结构 配置描述 : 第一 : 进入 组织结构 页面, 浏览定位相应的组, 勾选要导出的组和用户, 然后点击右上方的 < 导出 > 按钮, 如下图 : 图 73 组织结构 - 导出用户和组 第二 : 下方弹出对话框, 点击相应按钮即可将选中的用户和组的文件保存到 PC 移动用户和组 功能描述 : 移动用户和子组的到另外一个父组下 配置路径 : 运维管理 > 用户管理 > 组织结构 配置描述 : 第一 : 进入 组织结构 页面, 浏览定位相应的组, 勾选要移动的组和用户, 然后右上方的点击 < 移动 > 按钮, 如下图 : 图 74 组织结构 - 移动用户和组 第二 : 弹出移动框, 然后输入将被移动到的目的组的路径 也可以点击输入框后面的 < 选择 > 按钮, 选择目的 组 如下图 : 51

52 图 75 组织结构 - 移动用户和组 第三 : 选择好目的组后, 点击目的组下面的 < 移动 > 按钮, 移动已选中的用户和组 删除用户和组 功能描述 : 删除用户和组 配置路径 : 运维管理 > 用户管理 > 组织结构 配置描述 : 第一 : 进入 组织结构 页面, 浏览定位相应的组, 勾选要删除的组和用户, 然后点击 < 删除 > 按钮, 如下图 : 图 76 组织结构 - 删除用户和组 第二 : 弹出询问框 确定要删除吗?, 点击 < 确定 > 即删除选中的用户和组, 点击 < 取消 > 回到原来页面 查询用户和组 功能描述 : 查询用户和组配置路径 : 运维管理 > 用户管理 > 组织结构 配置描述 : 第一 : 进入 组织结构 页面, 然后点击 < 查询 > 按钮, 弹出查询框 如下图 : 52

53 图 77 组织结构 - 删除用户和组 第二 : 输入查询条件, 然后点击 < 查询 > 按钮, 查询整个组织结构中符合条件的用户或组 批量导入 功能描述 : 手动将已导出的组织结构文件, 或者自定义的文件批量导入 配置路径 : 运维管理 > 用户管理 > 批量导入 配置描述 : 进入 批量导入 页面, 如下图 : 图 78 批量导入参数说明 : 文件类型 : 包括 已导出文件 和 自定义文件 两种类型 已导出文件表示从设备组织结构中导出的文件, 可包含组和用户, 以及对应的所属组 自定义文件表示自定义格式, 只能导入用户到某个组, 支持 xls 格式 点击 < 范例下载 > 按钮, 可以下载文件范例 文件位置 : 点击 < 浏览 > 按钮, 选择要导入的文件 所属组 : 点击 < 选择 > 按钮, 选择将要导入的子组和用户放于哪个父组下面 冲突处理 : 当导入的用户或组已经存在时, 是否要覆盖 LDAP/AD 导入 功能描述 : 通过 LDAP/AD 服务器导入和更新用户信息 配置路径 : 运维管理 > 用户管理 > LDAP/AD 导入 配置描述 : 进入 LDAP/AD 导入 页面, 选择 LDAP/AD 服务器, 配置各个参数 如下图 : 53

54 图 79 LDAP/AD 导入 参数说明 : 用户查找 : 匿名查找或本地用户查询 服务器地址 : 运行 LDAP/AD 服务的服务器 IP 地址 服务器端口 :LDAP /AD 服务的端口, 默认值 389 导入入口 : 确定导入用户数据的导入点, 由域名和用户组名组成 格式为 :[ ou=2 级用户组,ou=1 级用户组,dc=N 级域名,,dc=2 级域名,dc=1 级域名 ] 自动更新 : 定时自动同步 LDAP/AD 服务器上的用户和组信息, 默认未启用 点击 < 启用 > 按钮, 选择自动更新的时间 更新时间选择的是 运维管理 > 时间计划 里配置的时间对象, 以时间对象配置的起始时间作为更新时间 用户解锁 功能描述 : 对已被锁定的运维用户进行手动解锁 配置路径 : 运维管理 > 用户管理 > 用户解锁 配置描述 : 进入 用户解锁 页面, 如下图 : 54

55 图 80 用户解锁 选定需要解锁的运维用户, 再点击 [ 解锁 ] 按钮, 即可对运维用户进行手动解锁, 解锁后的运维用户可正常登 录设备 6.3 时间计划 功能描述 : 用于定义时间段, 然后可在 运维管理 > 用户管理 >LDAP/AD 导入 > 自动更新 中引用, 以控制 LDAP/AD 域中用户更新的时间, 从而同步域用户 配置路径 : 运维管理 > 时间计划 配置描述 : 第一 : 进入 时间计划 页面, 可以看到当前已配置的时间计划, 如下图 : 第二 : 点击 < 新增 > 按钮, 增加时间计划, 如下图 : 图 81 时间计划 55

56 图 82 新增时间计划 按钮说明 : < 选定 >: 选中横坐标和纵坐标对应的时间格子, 当格子为黑色时, 点击 < 选定 >, 格子颜色变为绿色, 即选中了时间 < 取消选定 >: 选中横坐标和纵坐标对应的时间格子, 当格子为黑色时, 点击 < 取消选定 >, 格子颜色变为灰色, 即取消了选中的时间 < 重置 >: 取消所有选中的时间 第三 : 选中时间后, 点击 < 确定 > 按钮, 配置成功 提示 : 1 每个格子代表半小时, 只有格子为蓝色时, 才是已经选定的时间 2 如果某时间计划已经被引用, 则不能被删除 要删除某时间计划, 必须先解除引用 6.4 运维规则 运维规则能够控制运维用户只能以授权的设备账户去登录可访问的目标设备, 并且能够根据各种条件设 定访问规则, 控制用户对目标设备的访问权限 配置运维规则 功能描述 : 配置运维规则各项参数 配置路径 : 运维管理 > 运维规则 配置描述 : 第一 : 进入 运维规则 页面, 如下图 : 56

57 图 83 运维规则改变状态栏复选框的值, 再点击 < 修改状态 >, 可修改运维规则的状态 ( 勾选 表示启用, 不勾选 表示禁用 ) 第二 : 点击 < 新增 > 按钮, 新增运维规则, 如下图 : 图 84 新增运维规则参数说明 : 规则名称 : 运维规则的名称 ;< 必选项 > 用户组 / 用户 : 指定可运维的用户或者用户组, 被指定的用户或者用户组下包含的用户可访问目标设备 < 必选项 > 点击 < 选择 > 按钮, 选择所需要的用户或用户组, 如下 : 57

58 图 85 选择用户组 / 用户 资源 / 资源组 : 指定被访问的设备资源或资源组 一个目标设备可能运行多种协议, 目标设备 + 协议 构成一个完整的设备资源 < 必选项 > 允许登录的 IP: 指定本规则的运维用户的登录 IP 地址范围 ; 不在该范围内的 IP 地址不可以登录对应的设备资源 ;< 可选项 > 会话时长 : 限制运维用户访问设备资源时持续会话时间, 以分钟为单位, 范围为 :1-9999;0 表示不限制 ;< 可选项 > 运维时间 : 指定可登录设备资源的时间段 ; 非时间段内不可登录对应设备资源 ;< 可选项 > 登录托管 : [ 启用 ] 或 [ 禁用 ] 登录托管功能 启用时, 运维用户无需输入后台核心服务器的设备账户和密码 禁用时, 运维用户需自行输入后台核心服务器的设备账户和密码 说明 : 1 在 运维管理 > 运维配置 页面可设置全局的 [ 登录托管 ] 属性 [ 运维规则 ] 处设置的 [ 登录托管 ] 属性优先级高于 [ 运维配置 ] 设置的 [ 登录托管 ] 属性 2 [ 默认 ]: 表示与 运维管理 > 运维配置 页面可设置的 [ 登录托管 ] 属性相同 告警规则 :[ 启用 ] 或 [ 禁用 ] 告警功能 二次授权 :[ 启用 ] 或 [ 禁用 ] 二次授权功能 状态 :[ 启用 ] 或 [ 禁用 ] 本规则 第三 : 返回运维规则列表页面, 点击运维规则操作栏对应的 < 分配账户 > 按钮, 如下图 : 58

59 图 86 运维规则 进入运维规则账户分配页面, 为该规则定义的运维用户分配可以访问指定资源时的设备账户, 如下图 : 图 87 运维规则 - 分配账户参数说明 : 授权账户 : 允许运维用户可以使用这些账户来访问指定的设备资源 ; 激活的账户才在可选账户里, 未激活的账户不在可选账户里 默认账户 : 运维用户快速登录设备资源时, 自动使用该账户登录, 不需用户手动选择账户 ; 默认账户是已授权的账户 导出运维规则 功能描述 : 导出运维规则的配置 配置路径 : 运维管理 > 运维规则 配置描述 : 进入 运维规则 页面, 勾选要导出的运维规则, 然后点击右上方的 < 导出 > 按钮, 如下图 : 图 88 导出运维规则 59

60 然后将选中的运维规则生成的文件保存到 PC 导入运维规则 功能描述 : 手动将已导出的运维规则文件, 或者自定义的运维规则文件导入 配置路径 : 运维管理 > 运维规则 配置描述 : 进入 运维规则 页面, 首先点击 < 导入 > 按钮, 然后选择需要导入的文件, 并选择 [ 冲突处理 ] 方式, 最后点击 < 确定 > 按钮, 开始导入文件 如下图 : 图 89 导出运维规则说明 : 点击 < 范例下载 > 按钮, 可以下载自定义的运维规则的范例文件, 根据范例可批量自定义运维规则, 然后导入设备 冲突处理 : 当遇到有已存在的相同名称的运维规则时, 是否覆盖已存在的运维规则 6.5 特殊运维 二次授权 二次授权功能是可对一些特殊的资源进行更严格的权限审查, 要求运维用户每次运维之前要再次申请授 权, 待管理员批准后方可运维 提示 : 二次授权需事先在对应的 [ 运维规则 ] 中启用 [ 二次授权 ] 功能, 详见 运维规则 设置二次授权原因 功能描述 : 运维管理员添加 删除需要二次授权的原因 配置路径 : 运维管理 > 二次授权 > 运维原因 ( 以 [ 运维管理员 ] 身份登录系统, 非 [ 运维用户 ] 身份 ) 60

61 配置描述 : 进入 运维原因 页面, 可以看到当前已建立的运维原因 如下图 : 点击 < 新增 > 按钮, 增加运维原因, 如下图 图 90 二次授权 - 运维原因 图 91 二次授权 - 增加运维原因 申请二次授权 功能描述 : 运维用户申请二次授权 配置路径 : 运维协议 > 全部协议 ( 以 [ 运维用户 ] 身份登录运维页面, 非 [ 管理员 ] 身份 ) 配置描述 : 进入 全部协议 页面, 申请二次授权 如下图 : 图 92 二次授权 - 运维原因 61

62 按钮说明 : 申请访问 : 点击此按钮, 出现以下界面 : 选择运维原因, 点击 < 按钮 >, 申请二次授权 等待授权 : 已经申请, 运维管理员还未批准 快速访问 高级访问 : 运维管理员已经批准, 或者不需要进行二次授权的资源显示这两个按钮 点击 < 快速访问 >, 可按照 参数设置 中的参数, 以默认账户直接登录 点击 < 高级访问 > 后, 可先设置登录参数, 再登录 审批二次授权 功能描述 : 管理员审批二次授权的申请 配置路径 : 运维管理 > 特殊运维 > 二次授权 ( 以 [ 运维管理员 ] 身份登录系统, 非 [ 运维用户 ] 身份 ) 配置描述 : 进入 二次授权 页面, 对已申请的二次授权进行批准操作 如下图 : 图 93 二次授权 点击 < 允许 > 或 < 拒绝 > 按钮, 对已申请的二次授权进行批准操作 批准后, 运维用户方可对相应资源进行运维 操作 紧急运维 该功能用于在紧急情况下, 临时授予无权限的运维用户一定的运维权限, 以解决紧急问题 在紧急运维 前, 要求运维用户申请授权, 待管理员批准后方可运维 提示 : 使用紧急运维前, 需先在 运维管理 > 运维配置 中启用 [ 紧急运维 ] 功能, 详见 运维配置 62

63 申请紧急运维 功能描述 : 运维用户申请紧急运维授权 配置路径 : 运维管理 > 紧急运维 ( 以 [ 运维用户 ] 身份登录运维页面, 非 [ 管理员 ] 身份 ) 配置描述 : 第一 : 进入 紧急运维 页面, 查看当前紧急运维申请 如下图 : 图 94 紧急运维授权状态 : 等待授权 : 已经申请, 运维管理员还未批准的运维申请 点击操作栏的 < 取消 > 按钮, 可以取消当前申请 已被批准 : 已经被管理员批准了的运维申请 点击操作栏的 < 详细 > 按钮, 可以查看到紧急授权的详细内容 ; 点击 < 快速访问 > 按钮, 开始运维 已被拒绝 : 已经被管理员拒绝了的运维申请 已被取消 : 已经被运维用户取消了的运维申请 授权失效 : 已经过了授权有效期的运维申请 点击操作栏的 < 详细 > 按钮, 可以查看到紧急授权的详细内容 第二 : 点击 < 申请访问 > 按钮, 添加需要紧急运维的规则, 如下图 : 图 95 申请紧急运维参数说明 : 设备 IP 地址 : 配置被运维的目标设备的 IP 地址 设备账户 : 目标设备的账户, 供管理员批准时参考, 管理员会根据实际情况分配设备账户给运维用 63

64 户 访问协议 : 选择要访问的协议名称 运维原因 : 写明需要紧急运维的原因 有效时间 : 该申请的有效时间段, 过期后自动失效 审批紧急运维 功能描述 : 对紧急运维申请进行审批 配置路径 : 运维管理 > 特殊授权 > 紧急运维 ( 以 [ 运维管理员 ] 身份登录系统, 非 [ 运维用户 ] 身份 ) 配置描述 : 进入 紧急授权 页面, 对已申请的紧急授权进行审批操作 如下图 : 图 96 审批紧急授权点击 < 允许 > 或 < 拒绝 > 按钮, 对已申请的紧急授权进行批准操作 批准后, 运维用户方可对相应资源进行运维操作 授权状态 : 等待授权 : 已经申请, 运维管理员还未批准的运维申请 已批准 : 已经被管理员批准了的运维申请 点击操作栏的 < 详细 > 按钮, 可以查看到紧急授权的详细内容 ; 点击 < 禁用 > 按钮, 该申请将被禁止使用 被拒绝 : 已经被管理员拒绝了的运维申请 用户取消 : 已经被运维用户取消了的运维申请 已失效 : 已经过了授权有效期的运维申请 6.6 告警规则 功能描述 : 设定对 Telnet SSH FTP SFTP 等方式的命令输入进行检查, 实现命令权限控制 监控和告警 配置路径 : 运维管理 > 告警规则 配置描述 : 第一 : 进入 告警规则 页面, 如下图 : 64

65 图 97 告警规则改变状态栏复选框的值, 再点击 < 修改状态 >, 可修改告警规则的状态 ( 勾选 表示启用, 不勾选 表示禁用 ) 第二 : 点击 < 新增 > 按钮, 新增告警规则, 如下图 : 图 98 新增告警规则参数说明 : 规则名称 : 告警规则的名称 ; 协议名称 : 定义了此规则所适用的协议 ; 匹配命令 : 定义了此规则所适用的操作命令 ; 针对 SSH 和 Telnet 是正则匹配 ( 以 ls 命令为例 ): (1) 匹配命令为 ls, 则禁止包含 ls 的所有命令 ; (2) 匹配命令为 ls -a, 则禁止包含 ls -a 的所有命令, 如 ls all, lsd-abc 等 ; (3) 匹配命令为 ls -abc, 则禁止包含 ls -abc 的所有命令 执行动作 : 定义允许或阻止命令的执行 ; 告警级别 : 可定义告警相应级别, 包括普通 预警 严重 紧急四种 ; 邮件列表 : 当发生相应动作时, 向邮件列表中的地址发送告警邮件 ; 状态 : 启用或禁用本规则, 默认启用 ; 第三 : 引用告警规则进入 运维管理 > 设备管理 > 目标设备 页面, 如下图 : 65

66 图 99 引用告警规则 点击对应资源的 < 告警 > 按钮, 为该资源引用告警规则, 如下图 图 100 引用告警规则 6.7 应用发布 应用发布功能是 VDH 设备配合 GateKeeper 设备实现一些特殊应用协议的管理与审计 VDH 设备管理 功能描述 : 添加 删除 VDH 设备 配置路径 : 运维管理 > 应用发布 > 基本配置 配置描述 : 进入 基本配置 页面, 可以看到当前已建立的 VDH 设备 如下图 : 点击 < 新增 > 按钮, 增加 VDH 设备 如下图 : 图 101 VDH 设备 66

67 图 102 新增 VDH 设备 VDH 设备监控 功能描述 : 监控 VDH 服务器的性能状态 配置路径 : 运维管理 > 应用发布 > 基本配置 配置描述 : 进入 基本配置 页面, 查看当前已建立的 VDH 设备 如下图 : 图 103 VDH 设备 点击操作栏的 < 监控 > 按钮, 连接到对应的 VDH 设备, 即可对 VDH 设备进行相关的操作管理 如下图 : 图 104 VDH 设备监控 67

68 参数说明 : 计算机管理 : 可对 VDH 主机进行管理 任务管理器 : 可查看相关的应用程序 进程等 同 :Windows 任务管理器 ; 设置 IP 地址 : 可灵活修改相应的 IP 地址 ; 设置信任站点 : 可将相应网址设置为信任站点 ; 事件查看器 : 可审核系统事件和存放系统 安全及应用程序日志 ; 性能监视器 : 可查看 VDH 主机性能 ; 应用安装 需要发布 VDH 的应用协议, 必须在 VDH 设备上进行安装, 具体步骤和注意事项请参见 GateKeeper_ 应用 发布配置手册 高级配置 功能描述 : 添加 编辑 删除 VDH 设备上需要发布给 GateKeeper 设备的应用协议 配置路径 : 运维管理 > 应用发布 > 高级配置 配置描述 : 第一 : 进入 高级配置 页面 如下图 : 第二 : 点击 < 新增 > 按钮, 新增应用协议, 如下图 : 图 105 应用配置 图 106 新增应用协议 68

69 若需要增加更多的程序, 请点击 < 添加程序 > 按钮 ; 若需要删除某个程序, 请点击 < 删除 > 按钮 参数说明 : 应用名称 : 需要发布的应用的名称 ;< 必选项 > 权限设置 : 可设置为普通用户 超级用户 ( 不推荐使用 ); 程序名称 : 此名称是在用户进行运维时桌面显示的图标名称 ;[ 必填项 ] 程序路径 : 应用程序在 VDH 主机上的安装路径, 目前所有的应用程序是必须安装在 windows2003 SP2 版本的 [C:\Program Files 或 C:\Windows] 目录下 自启动 : 运维用户在登录 VDH 时, 该程序是否能自动启动 我的电脑 不允许设置为自动启动 启动参数 : 即该应用启动时, 运行的参数 应用发布案例 以下以添加以增加数据库协议 SQL Server 为例, 说明应用发布的配置过程 第一步 : 确认应用程序客户端安装路径 : 第二步 : 添加 SQL Server 协议 : 进入 运维管理 > 应用发布 > 高级配置 页面, 点击 < 新增 > 按钮, 添加 SQL Server 协议 如下图 : 图 107 添加 MSSQL 程序 自启动 : 运维用户在登录 VDH 时,SQL Serve 服务是否能自动启动 ; 点击 < 确定 > 按钮, 完成添加, 返回到 [ 高级配置 ] 页面 如下图 : 图 108 添加 SQLServer 程序 69

70 图中的 MSSQL 就是刚才添加的应用协议 第三步 : 添加目标设备 : 在 运维管理 > 设备管理 > 目标设备 页面添加目标设备时, 即可选择 MSSQL 协议 如下图 : 图 109 添加目标设备 至此,SQL Server 程序的发布配置完成, 后面的配置与普通程序的运维配置相同 提示 : 高级配置处内置固定的三个数据库 (MYSQL SQL server Oracle) 在设备重启时会恢复到最初配置参数, 重启后, 需再次配置相关参数 6.8 运维配置 功能描述 : 提供运维的相关参数的设置 配置路径 : 运维管理 > 运维配置 配置描述 : 进入 运维配置 页面, 如下图 : 70

71 图 110 运维配置 参数说明 : Telnet 明文访问 : 采用非加密方式登录后台 Telnet 服务器 紧急运维 : 启用后, 无权限的运维用户可以进行临时的运维申请, 运维管理员批准后即可进行相关的运维操作 登录托管 : 不启用时, 运维用户需自行输入被运维的目标设备的账户和密码 启用后, 运维用户登录运维的目标设备时, 不需输入用户名和密码 文件记录 : 启用后, 使用 FTP SFTP SCP 下载的文件将被记录 文件大小上限 : 超出设定上限后的文件不被记录 日志分割 : 启用后,Telnet SSH 的会话日志将按照时间来分开记录, 便于回放和审核 日志分割周期 : 按照设定值的时间来将日志分开记录 会话超时时间 : 会话超时后, 将被老化 屏幕分辨率 : 默认分辨率设置, 仅对图形协议有效 颜色深度 : 默认颜色深度设置, 仅对图形协议有效 RDP 配置 :RDP 连接时, 是否允许用户启用剪贴板 磁盘映射 Console 控制 6.9 防跳设置 功能描述 : 通过在 windows 下安装 ProFilter_Setup 工具来对用户访问图形化协议进行相应的操作限制 配置路径 : 运维管理 > 防跳设置 配置描述 : 进入 防跳设置 页面, 点击 < 新增 > 按钮, 配置以 exe 结尾的相应程序名称 如下图 : 图 111 防跳配置 71

72 7 口令管理 7.1 设备账户管理 设备账户管理, 实现的是对单个主机账户的配置 进入 口令管理 > 设备账户管理 页面可进行设备账户 的管理 如下 : 图 112 设备账户管理 选择设备名称, 可以过滤出被选择设备对应的账户 新增设备账户 功能描述 : 新增设备账户 配置路径 : 口令管理 > 设备账户管理 配置描述 : 进入 设备账户管理 页面, 增加设备账户 如果没有选择 [ 设备名称 ] 就点击 < 新增 > 按钮, 添加设备账户时需要选择 [ 设备名称 ] 如果选择[ 设备名称 ] 后再点击 < 新增 > 按钮, 则 [ 设备名称 ] 自动显示为刚才选择的 [ 设备名称 ] 如下图: 参数说明 : 设备名称 : 选择设备名称 ; 图 113 新增设备账户 72

73 账户类型 : 设置设备账户的类型, 详细描述如下 : 普通账户 : 通过管理员账户创建的系统账户 ; 大多数时候用这种类型 管理账户 : 管理员账户, 比如 Linux 系统的 root,windows 系统的 administrator 进行账户的 [ 自动获取 ] 时, 必须要以 [ 管理账户 ] 来执行 FTP 账户 : 专用于 FTP 协议的运维账户 VNC 账户 : 专用于 VNC 协议的运维账户 当设置为 [VNC 账户 ] 时, 仅需要设置 [ 账户密码 ],[ 账户名称 ] 自动为 vnc_user, 不可输入 账户名称 / 密码 / 确认密码 : 即被选设备的账户和密码 ; 密码类型 : 选择密码的类型 ; 完整密码 : 包括设备账户的全部密码 ; A/B 段密码 : 为提高安全性, 密码由 2 个人保管 如果密码长度是偶数 ( 如密码长度为 8 位 ), 则 A 段密码为 4 位字符,B 段密码为后 4 位字符 如果密码长度是奇数 ( 如密码长度为 9 位 ), 则 A 段密码为前 5 位字符,B 段密码为后 4 位字符 密码有效期 : 密码有效期分为 7 天 15 天 30 天 60 天 90 天 默认为 [ 永久有效 ], 即不启用托管 当密码有效期不设置为 [ 永久有效 ] 时, 启用 [ 密码托管 ] 功能, 根据设置的时间周期, 定期自动修改该账户的密码 账户状态 : 设置账户 [ 激活 ] 或 [ 未激活 ],[ 激活 ] 时可用 ; 备注 : 对设备账户的描述说明 ; 修改设备账户 功能描述 : 修改设备账户信息 配置路径 : 口令管理 > 设备账户管理 配置描述 : 进入 设备账户管理 页面, 点击列表中 [ 账户名称 ] 列对应的链接 如要修改下图红色下划线所示的账户 administrator, 直接点击连接 [administrator] 如下图: 图 114 修改设备账户 73

74 进入 [administrator] 的修改页面 自动获取设备账户 功能描述 : 自动获取设备的账户信息 配置路径 : 口令管理 > 设备账户管理 配置描述 : 进入 设备账户管理 页面, 选择定义了账户类型为 [ 管理账户 ] 的设备名称, 如本例选择设备 [Root/ 服务器 / 服务器 2/89233R], 然后点击上方的 < 自动获取 > 按钮, 即进行账户的自动获取 如下图 : 图 115 自动获取设备账户 自动获取成功后, 将其获取到的账户名字添加到本页面, 如下图 : 图 116 自动获取设备账户上图中, 红色框所示的设备账户即是通过账户获取功能自动获取到的 通过 账户获取 功能获得的账户, 默认 账户类型 是 普通账户, 默认 密码有效期 是 永久有效, 默认 账户状态 是 未激活 默认获取不到账户的密码, 需手动修改账户时添加密码和修改其它参数, 如下图 : 74

75 图 117 自动获取设备账户 提示 : 1. 如果在此对某个设备定义了两个或两个以上管理账户, 在账户获取时, 系统只匹配最后一个管理账户来获取其他账户 2. VNC 账户 FTP 账户不能自动获取 设备账户托管 当密码有效期不设置为 [ 永久有效 ] 时, 启用 [ 密码托管 ] 功能 在启用密码托管功能时, 密码立即更改一次, 以后根据设置的时间周期, 定期自动修改该账户的密码 系统每 8 个小时自动检测一次密码是否过期 密码有效期分为 7 天 15 天 30 天 60 天 90 天 配置路径 : 口令管理 > 设备账户管理 配置描述 : 进入 设备账户管理 页面, 操作如下 : 第一 : 启用 [ 密码托管 ] 功能 < 新增 > 或 < 修改 > 设备账户, 将密码有效期设置为 :[7 天 ] 或 [15 天 ] 或 [30 天 ] 或 [60 天 ] 或 [90 天 ] 如下图: 图 118 启用密码托管功能 配置成功后, 返回列表页面, 可以看到该用户的 [ 密码托管 ] 状态为 [ 是 ], 此时已经启用 [ 密码托管 ] 功能, 并 75

76 根据 [ 密码有效期 ] 定期修改密码 图 119 启用密码托管功能 第二 : 手动更新账户密码 启用了 [ 托管功能 ] 的账户, 可以手动立即对账户的密码进行更新 首先选中需要 更新的 [ 账户名称 ], 然后点击 < 密码更新 > 按钮, 可立即对这些账户的密码进行更新 如下图 : 图 120 密码手动更新 第三 : 启用了 [ 密码托管 ] 功能的账户在自动修改密码时, 会给系统管理员发送邮件 邮件的接收人为 系统 配置 > 邮件配置 页面设置的 [ 收件人 ] 导出设备账户 功能描述 : 导出设备账户信息 配置路径 : 口令管理 > 设备账户管理 配置描述 : 进入 设备账户管理 页面, 选中要导出的账户, 然后点击上方的 < 导出 > 按钮, 即弹出保存文件的页面 如下图 : 76

77 图 121 导出设备账户在上方对话框里输入 口令管理 > 账户授权管理 中设定有关 设备账户导入导出 的验证码, 点击 < 确定 > 按钮, 下方即弹出相应对话框, 点击 < 保存 > 按钮, 将选中的账户导出后保存到网管 PC 上, 通过在本机上安装 EditDevice_Setup 来打开导出后的账户信息 导入设备账户 功能描述 : 导入设备账户信息 配置路径 : 口令管理 > 设备账户管理 配置描述 : 进入 设备账户管理 页面 首先点击 < 导入 > 按钮, 弹出导入画面 ; 再点击 < 浏览 > 按钮, 选择要导入的设备账户的文件 ; 最后点击 < 确定 > 按钮, 将文件中包含的账户导入到该系统 如下图 : 图 122 导入设备账户在上方对话框里输入 口令管理 > 账户授权管理 中设定有关 设备账户导入导出 的验证码, 点击 < 确定 > 按钮即可 ; 导入设备账户, 是在原有账户的基础上增加文件里包含的账户 导入的文件可以是原来导出的文件, 也可以是自定义的文件 77

78 7.1.7 密码更新 功能描述 : 针对非 AD 域内的管理账户和普通账户进行密码更新 配置路径 : 口令管理 > 设备账户管理 配置描述 : 进入 设备账户管理 页面, 选中要密码更新的账户, 然后点击上方的 < 密码更新 > 按钮, 在弹出对话框中输入 口令管理 > 账户授权管理 设定的相应验证码即可 图 123 密码更新 启用了 [ 密码更新 ] 功能的账户在修改密码时, 会给系统管理员发送邮件 邮件的接收人为 系统配置 > 邮件配 置 页面设置的 [ 收件人 ] 7.2 账户授权管理 功能描述 : 用密码或者证书形式给予相应管理员设备账户导入导出的权限配置路径 : 口令管理 > 账户授权管理 配置描述 : 进入 账户授权管理 页面, 点击 < 新增 > 按钮, 配置通过密码形式完成设备账户导入导出的相关参数 如下图 : 图 124 账户授权管理 - 密码形式 78

79 配置通过证书形式完成设备账户导入导出的相关参数 先需要在 口令管理 > 用户证书管理 处新增证书, 如下图 : 图 125 账户授权管理 - 新增证书 插入 USB key, 然后安装相应的 EditDevice_Setup 工具 ( 此工具集成了 USB key 驱动功能和下载账户之后打开 文件的功能 ) 图 126 账户授权管理 - 证书形式 点击 < 确定 > 后输入 USB key 的密码, 即有了相应管理员设备账户导入导出的权限 79

80 7.3 改密计划管理 功能描述 : 根据密码 时间策略自动执行非 AD 域内的管理账户和普通账户的密码更新操作 配置路径 : 口令管理 > 改密计划管理 配置描述 : 进入 改密计划管理 页面, 点击 < 新增 > 按钮, 配置通相关参数 如下图 : 图 127 改密计划管理 启用了改密计划功能的账户在修改密码时, 会给系统管理员发送邮件 邮件的接收人为 系统配置 > 邮件配置 页面设置的 [ 收件人 ] 7.4 用户证书管理 详见 USBKey 使用手册 8 实时监控 实时监控部分用于查看设备实时的工作状态, 包括设备资源 物理接口 服务监控 用户监控四大部分 8.1 系统状态 设备资源包括了 CPU 使用率 内存使用率 活跃会话数 在线用户数 磁盘信息等共五部分 如下图 : 80

81 图 128 系统状态 各分页详细说明如下 : CPU 使用率 : 查看最近一小时 CPU 使用率 ; 内存使用率 : 查看最近一小时内存使用率 ; 活跃会话数 : 查看最近一小时活跃会话数的统计趋势图 ; 在线用户数 : 查看最近一小时在线用户数的统计趋势图 ; 每个图的下方都显示了最新值 ( 最近一个采样点的值 ) 最近一小时的最大值 最小值 平均值及每个值对应的时间点 图中还用箭头指明了最大值, 如果这些值分布在多个时间点, 则显示最后一个时间点 例如, 最大值分布在 15:09:11 和 15:45:23 两个时间点, 那么图中箭头指明的时间点和图下方最大值对应的括号中的时间点都是最后一个点 15:45: 物理接口 流量监控页面的内容含两部分 : 所有物理接口的全局信息 每个物理接口的速率趋势图 第一 : 物理接口的全局信息, 如下图 : 图 129 物理接口统计图全局信息包括了以下内容 : 柱状图显示了每个物理接口收发速率 表格显示了每个接口的收发数据的统计信息, 每个物理接口上面一行对应该接口接收数据的统计信息, 下面一行对应该接口发送数据的统计信息 81

82 表格中的古蓝色圆饼代表该端口为连接状态, 灰色圆饼代表该端口为未连接状态 第二 : 单个物理接口的统计信息包括了总的速率 接收速率 发送速率, 如下图 : 图 130 LAN1 物理接口统计图每个接口分页的下方都显示了最新值 ( 最近一个采样点的值 ) 最近一小时的最大值 最小值 平均值及每个值对应的时间点 图中还用箭头指明了最大值, 如果这些值分布在多个时间点, 则显示最后一个时间点 例如, 最大值分布在 15:09:11 和 15:45:23 两个时间点, 那么图中箭头指明的时间点和图下方最大值对应的括号中的时间点都是最后一个点 15:45: 活跃用户 功能描述 : 查看当前正在进行运维操作的用户的相关信息 配置路径 : 实时监控 > 活跃用户 配置描述 : 进入 活跃用户 页面 页面的上方是对活跃用户的查询, 页面的下方显示符合查询条件的活跃用户 默认显示所有的活跃用户条目 当前的活跃用户如下图 : 按钮说明 : 图 131 活跃用户 82

83 活跃会话 : 进入当前用户的 活跃会话 页面, 显示当前用户的所有活跃会话 用户属性 : 进入当前用户的 用户修改 页面, 显示当前用户的相关参数 历史会话 : 连接到 全部运维 界面, 并过滤出当前用户的历史会话 强制下线 : 强制让当前用户退出 GateKeeper 8.4 活跃会话 功能描述 : 查看当前正在运维会话的相关信息 配置路径 : 实时监控 > 活跃会话 配置描述 : 进入 活跃会话 页面 页面的上方是对活跃会话的查询, 页面的下方显示符合查询条件的会话 默认显示所有的活跃会话条目 当前的活跃会话如下图 : 按钮说明 : 图 132 活跃用户 实时监控 : 审计员实时的监控该会话的操作动态, 审计员点击 < 实时监控 > 按钮查看到的画面与当前运维用户的操作界面完全一样, 这样审计员可以实时的观察运维用户的运维情况, 若发现有异常可立即终止该会话 终止会话 : 将当前会话立即终止 8.5 运维资源 功能描述 : 查看设备资源的当前状态, 包括三种状态 : 断线 在线 正在被运维 配置路径 : 实时监控 > 资源状态 配置描述 : 进入 资源状态 页面, 如下图 : 83

84 按钮说明 : 图 133 运维资源 活跃会话 : 点击该按钮, 显示与该资源的活跃运维会话 9 运维审计 9.1 今日运维 [ 今日运维 ] 显示了当天的运维操作记录 其操作方式与 [ 全部运维 ] 相同, 请参见 [ 全部运维 ] 9.2 全部运维 [ 全部运维 ] 默认显示了 GateKeeper 记录的所有的运维操作记录 进入 运维审计 > 全部运维 页面, 查看所有的运维操作记录 如下图 : 84

85 图 134 全部运维 通过查看 [ 全部运维 ], 可以审计出每条运维会话的资源名 用户组 / 用户名 开始时间 结束时间 运维 用户认证结果 日志大小 合规性 回放和下载次数等信息 会话事后回放 对任意一条会话日志, 点击操作栏的 < 回放 > 按钮, 可对此会话进行完整的回放 会话的回放分为两种 : 本地回放和远程回放 远程回放指日志文件放在 GateKeeper 上, 没下载到本地 远程回放时, 速度不能控制, 不能手动拖拽 ; 本地回放是指将日志文件下载到本地电脑, 再打开文件进行播放 本地回放, 下载的等待时间较长, 但可以控制回放速度 本地回放实例 : 选择一条日志, 点击 < 下载 > 按钮, 将日志下载到本地, 然后打开文件进行播放 如下图 : 图 135 会话回放 这四个按钮从左至右依次表示 : 暂停播放 降低速度 提高速度 停止播放 85

86 9.2.2 会话日志下载 对任意一条会话日志, 点击操作栏的 < 下载 > 按钮, 可将此会话生成的日志文件下载到本地, 再打开文件 进行完整的回放 对于较大的日志 ( 如 RDP 协议的会话日志 ), 建议将其下载到本地后, 再进行回放 会话审核与批注 对任意一条会话日志, 点击操作栏的 < 批注 > 按钮, 可对会话进行合规 / 不合规 填写批注等操作 如下 : 图 136 会话审核批注 查看会话告警 对任意一条会话日志, 点击操作栏的 < 告警 > 按钮, 可查看对当前会话的告警记录 如下图 : 图 137 查看会话告警 查看会话审计操作 对任意一条会话日志, 点击操作栏的 < 审计 > 按钮, 可查看对当前会话的审计所有操作记录 如下图 : 图 138 会话审计操作 86

87 9.2.6 查看会话详细信息 对 FTP SFTP 和 SCP 等文件传输类会话日志, 点击操作栏的 < 详细 > 按钮, 可查看对当前会话的上传 下 载或删除文件的记录 如下图 : 图 : 图 139 文件传输类会话详细信息 对 SSH 和 Telnet 等文本类会话日志, 点击操作栏的 < 详细 > 按钮, 可查看对当前会话的操作记录 如下 图 140 文本类会话详细信息 点击 < 导出 > 按钮, 可以将操作记录导出为 TXT 或 CSV 格式的文件 会话查询与导出 会话查询主要是通过定义的查询条件, 对会话进行查询 页面的上部分是 [ 全部运维 ] 会话的查询条件 页面的下部分显示符合查询条件的会话 点击 < 导出 > 按钮, 将符合查询条件的会话导出为 PDF 文件 点击 < 查询 > 按钮, 下面下方将显示符合查询条件的会话 如下 : 87

88 图 141 会话查询与导出 9.3 告警查询 功能描述 : 用户在日常的运维过程中, 可能会出现某些误操作或恶意操作 为了防止这些操作造成严重的后果,GateKeeper 通过一些相关的设置, 对这些操作进行阻断或者警告以及对告警事件进行审计 配置路径 : 运维审计 > 告警查询 配置描述 : 进入 告警查询 页面, 如下图 : 图 142 告警查询 默认显示所有告警记录 输入查询条件后, 点击 < 查询 > 按钮, 显示满足查询条件的告警记录 88

89 9.4 邮件查询 功能描述 : 对经过运维堡垒机使用 pop3 smtp 协议的收发邮件进行查询 配置路径 : 运维审计 > 邮件查询 配置描述 : 进入 邮件查询 页面, 如下图 : 图 143 邮件查询 默认显示所有邮件记录 输入查询条件后, 点击 < 查询 > 按钮, 显示满足查询条件的邮件记录 9.5 运维统计 运维统计是针对设定的运维统计条件而生成表格 线性图 柱状图和饼图等格式的报表 统计条件有三种 : 统计类型 单位时间 时间范围 统计类型有以下 6 种 : 基于时间的统计 : 以时间为标准进行统计 ; 基于用户的统计 : 以用户为标准进行统计 ; 基于资源的统计 : 以资源为标准进行统计 ; 基于协议的统计 : 以协议为标准进行统计 ; 基于用户组的统计 : 以用户组为标准进行统计 ; 基于资源组的统计 : 以资源组为标准进行统计 ; 89

90 单位时间 : 按年 月 日进行统计 ; 时间范围 : 按照指定的时间区间进行统计 ; 如果 单位时间 选择 日, 时间范围是选择从某日到某日, 一共不能超过 31 天 如果 单位时间 选择 月, 时间范围是选择从某月到某月, 一共不能超过 12 个月 如果 单位时间 选择 年, 时间范围是选择某年到某年, 一共不超过 10 年 以上 6 种类型的统计, 其操作方式相同, 都包含表格 线性图 柱状图和饼图等格式的报表 这里以 基于资源的统计 为例说明 进入 运维审计 > 运维统计 > 基于资源 页面, 在页面的上方选择 单位时间 和 时间范围, 如下 : 再点击 < 统计生成 > 按钮, 则根据选择的时间条件生成对应的表格 线性图 柱状图和饼图 表格如下 : 线性图如下 : 图 144 基于资源的统计 - 表格 90

91 图 145 基于资源的统计 - 线性图 柱状图如下 : 图 146 基于资源的统计 - 柱图 饼图如下 : 91

92 图 147 基于资源的统计 - 饼图 9.6 运维登录日志 功能描述 : 记录运维用户登录及退出系统的日志 配置路径 : 运维审计 > 运维登录日志 配置描述 : 进入 运维登录日志 页面, 如下图 : 图 148 运维登录日志 92

93 参数说明 : 用户组 / 用户 : 运维用户的用户组及用户名称 ; 用户 IP 地址 : 运维用户的 IP 地址 ; 认证服务器 : 运维用户登录运维审计设备时, 采用的认证类型及认证服务器名称 ; 若认证类型为 本地服务器, 将没有认证服务器名称 认证结果 : 运维用户登录运维审计设备时, 认证的结果以及认证失败的原因 ; 登录时间 : 运维用户登录运维审计设备的时间 ; 退出时间 : 运维用户退出运维审计设备的时间 如果运维审计设备异常关机, 系统将无法记录到退出时间和退出原因, 这两项的值将为空 如果运维用户正在线上, 还未退出, 也将记录不到退出时间和退出原因 退出原因 : 运维用户以何种方式退出运维审计设备 默认显示全部运维登录日志 输入查询条件后, 点击 < 查询 > 按钮, 显示满足查询条件的运维登录日志 9.7 报表管理 自动报表配置 功能描述 : 设置自动生成报表的相关参数, 设备将根据设置定期自动的生成报表文件 配置路径 : 报表管理 > 自动报表配置 配置描述 : 进入该页面, 配置自动报表的相关参数 如下图所示 : 图 149 自动报表配置参数说明 : 功能状态 :[ 启用 ] 或 [ 禁用 ] 自动生成报表的功能 报表类型 : 选择报表的类型, 包含如下 : 日报 : 每日凌晨将前一日的数据自动生成报表 周报 : 每周一凌晨将前一周的数据自动生成报表 93

94 月报 : 每月 1 日凌晨将前一月的数据自动生成报表 年报 : 每年 1 月 1 日凌晨将前一年的数据自动生成报表 统计模块 : 选择报表的类型, 包含如下 : 全局统计报表 : 根据运维用户 运维资源 运维时间等对象, 对一段时间内的运维情况进行全局的总结统计 会话统计报表 : 统计运维用户 用户组 运维资源 资源组等对象的运维总量 管理统计报表 : 统计管理员 被管理的模块等对象的操作总量 报表格式 : 可选择生成 PDF Excel 或 HTML 的格式的报表 文件个数 : 选择生成报表的文件数量 : [ 同一类型报表, 所有模块生成一个文件 ]: 同一类型 ( 指日报 周报 月报或年报 ) 的报表, 每个模块 ( 指全局统计报表 会话统计报表 管理统计报表 ) 单独生成一个文件 [ 同一类型报表, 每个模块单独生成一个文件 ]: 同一类型 ( 指日报 周报 月报或年报 ) 的报 表, 所有模块一起生成一个文件 报表语言 : 选择报表文件的语言, 简体中文 繁体中文 English 发送邮件 : 是否将报表文件以邮件的方式发送给管理员 邮件相关的参数在 系统配置 > 邮件配置 自动报表列表 功能描述 : 显示 下载或删除已生成的自动报表 配置路径 : 报表管理 > 自动报表列表 配置描述 : 进入该页面, 已生成的自动报表如下图所示 : 94

95 图 150 自动报表列表参数及按钮说明 : 自动报表按照 [ 日报 ] [ 周报 ] [ 月报 ] [ 年报 ] 分页显示 日报 : 每日的数据生成一个报表 周报 : 每周的数据生成一个报表 月报 : 每月的数据生成一个报表 年报 : 每年的数据生成一个报表 日期 : 显示 [ 日报 ] 的日期, 如 周 : 显示 [ 周报 ] 的日期范围, 如 ~ 月份 : 显示 [ 月报 ] 的年月, 如 年 : 显示 [ 年报 ] 的年份, 如 2011 创建时间 : 生成报表的时间 报表格式 : 报表的文件格式, 目前为 PDF 语言 : 报表文件的语言, 可能为简体中文 繁體中文 English 清空 : 点击 < 清空 > 按钮, 清除当前选项卡对应的报表文件 下载 : 点击 < 下载 > 按钮, 下载对应报表文件 95

96 删除 : 点击 < 删除 > 按钮, 删除对应报表文件 手动报表 功能描述 : 手动定制报表 配置路径 : 报表管理 > 手动报表 配置描述 : 进入该页面, 手动定制所需报表 如下图所示 : 图 151 报表管理参数说明 : 单位时间 : 选择手动报表的时间单位 若选择 [ 日 ], 则 [ 时间单位 ] 的选择范围就是从某日到某日 ; 若选择 [ 月 ], 则 [ 时间单位 ] 的选择范围就是从某月到某月 ; 若选择 [ 年 ], 则 [ 时间单位 ] 的选择范围就是从某年到某年 时间范围 : 选择报表涵盖的时间范围 统计模块 : 选择报表的类型, 包含如下 : 全局统计报表 : 根据运维用户 运维资源 运维时间等对象, 对一段时间内的运维情况进行全局的总结统计 会话统计报表 : 统计运维用户 用户组 运维资源 资源组等对象的运维总量 管理统计报表 : 统计管理员 被管理的模块等对象的操作总量 报表语言 : 选择报表文件的语言, 简体中文 繁体中文 English 10 管理审计 10.1 命令日志 功能描述 : 将管理员对设备配置的命令记录下来, 以便查询 配置路径 : 管理审计 > 命令日志 配置描述 : 进入 命令日志 页面, 如下图 : 96

97 图 152 命令日志 参数说明 : 管理员 : 配置设备的管理员名称 IP 地址 : 配置设备的管理员使用的 IP 地址 命令内容 : 配置的命令的内容 实行结果 : 配置的结果 ( 失败 / 成功 ) 配置时间 : 管理员配置该命令的时间 默认显示所有命令日志 输入查询条件后, 点击 < 查询 > 按钮, 显示满足查询条件的命令日志 点击 < 清空 > 按钮, 清空所有的操作审计 10.2 事件日志 功能描述 : 设备提供事件日志, 用于监视系统事件的发生 配置路径 : 管理审计 > 事件日志 配置描述 : 进入 事件日志 页面, 如下图 : 图 153 事件日志 97

98 事件日志的内容包括 : 管理员登录设备成功 / 失败 物理接口 UP/Down 设备启动成功 ARP 冲突等信息 默认显示所有事件日志 输入查询条件后, 点击 < 查询 > 按钮, 显示满足查询条件的事件日志 10.3 日志服务器 功能描述 : 配置 Syslog 服务器 配置路径 : 管理审计 > 日志服务器 配置描述 : 进入 日志服务器 页面, 如下图 : 图 154 日志服务器参数说明 : 日志服务器 : 启用或禁用 Syslog 服务器, 启用后设备将会向 Syslog 服务器发送日志消息 ; 服务器地址 :Syslog 服务器的 IP 地址 ; 服务器端口 : 与 Syslog 服务器通信的端口号, 默认是 514 日志类型 : 选择需要发送的日志类型 98