问题现象

H3C SecCenter(安全管理中心)是H3C推出的一款用于管理安全设备的软件系统,其基于对安全设备日志的管理,可以实时展示网络运行状态,输出符合政策的审计报告和处理意见;基于HTTPSNMP等网络管理协议,可以实现对全网安全设备的集中配置和批量维护。在实际使用中SecCenter产品形态为“软件安装包+软件授权码形式,根据软件授权码的不同可以将SecCenter分为SecCenter-ACGMSecCenter-FWMSecCenter-IPSMSecCenter-UTMM四个组件,只有安装了软件并注册了软件授权后才可以使用对应的软件功能。

SecCenter在使用中最重要的功能之一就是通过对安全设备的userlogsyslogNAT log等日志的收集,分析安全设备的运行状态和网络流量情况。由于此功能需要安全设备和SecCenter两侧的配合,所以在使用中容易出现配置好了但SecCenter中无法看到安全设备数据的问题,本篇对此类问题进行详细的分析并梳理具体的排查思路,供现场故障时参考。

原因分析

SecCenter通过获取安全设备发送过来的流日志和syslog等日志进行数据提取,内部聚合处理后显示在前端界面,如果数据无法显示,可先排查安全设备有没有发送,发送后SecCenter有没有接收到,接收到后报文内容是否完整,完整后是否正常处理的思路来进行排查。

解决办法

1、检查安装环境

服务器侧:

SecCenter目前只支持安装在Windows系统,并且对版本有严格的要求;

SecCenter不允许与其他具有类似功能的软件安装在同一台服务器上;

客户端侧:

SecCenter目前只支持IE8浏览器;

除此之外SecCenter不同版本对服务器的硬件规格,配套安全设备也有不同的要求,安装部署前请确保安装环境符合规范,所要管理的安全设备符合配套关系。

2、查看系统运行状态

SecCenter后台在运行过程中根据功能的不同主要分为数据库服务、web服务和接收器服务三个子服务。任一服务运行不正常都会导致错误的出现。所以在处理各种问题之前请务必保证这三个服务运行正常,在服务器桌面右下角点击SecCenter运行图标即可看到,如下图所示:

3、检查添加设备的时间和时区

SecCenter管理安全设备的第一步就是将安全设备配置好HTTPSNMP等访问参数后加入到系统中来。在添加安全设备时SecCenter提供了“以本地时钟处理以格林威治时间处理两种时间矫正方式。如果选择错误则会出现由于存在时间差导致无法审计到安全设备的流量信息或数据一直不准确等问题。故在保证安全设备和SecCenter服务器的时间一致的前提下,安全设备的时区、SecCenter服务器时区及时间矫正方式的对应关系应如下表所示:

安全设备时区

SecCenter服务器时区

时钟处理方式

北京时间(GMT+8

北京时间(GMT+8

以本地时钟处理

格林威治时间(GMT

北京时间(GMT+8

以格林威治时钟处理

注:除此之外请确认SecCenter添加安全设备时配置的HTTPSNMP参数正确,能够正确的识别到设备的型号版本等信息。

4、查看端口占用情况

默认情况下SecCenterUDP 30010接收userlog日志,以UDP 30017接收NAT log日志,以UDP 30514接收syslog日志,如果此端口与服务器上其他进程所用端口存在冲突,可以在【系统管理-系统配置-管理端口配置】中对其进行修改,如下图所示:

注:SecCenter进行了修改,其所管理的安全设备也需要其日志服务器的端口,保证和SecCenter一致;

确认好SecCenter所监听的端口后,还需要确认一下端口是否监听正常才能保证SecCenter运行正常,这里以查看默认的sysloguserlog端口为例,先在命令行下执行netstat –ano | findstr 30010,在输出行的最后一列可以看到占用UPD 30010端口进程的PID1572,然后打开windows任务管理器,在进程中根据PID即可看到该进程为receiver0.exe,此即为SecCenter接收userlog日志的后台进程。如下图所示:

注:按照此方法依次确认syslogNAT log等日志的接收端口是否监听正常;

如果windows任务管理器中看不到PID这一列,可以在【查看-选择列】中勾选PID即可;

5、检查是否收到日志

上步确认好日志接收端口后,在服务器上抓包确认SecCenter是否接收到了安全设备发送过来的log报文,推荐在SecCenter服务器上安装wireshark抓包软件,

这里以查看userlog日志为例,在抓包过程中输入过滤条件udp.port == 30010即可看到SecCenter已经收到了设备发送过来的userlog日志报文,如下图所示:

如果抓取不到的话请检查安全设备是否配置发送和安全设备到SecCenter服务器之间网络是否畅通。安全设备可以在日志管理中配置,如下图所示:

6、查看页面数据来源

SecCenter审计页面中提供了不同种类共数十张报表,不同的报表采集的后台数据来源是不一样的,对应到日志报文中也是处于不同的字段中,所以在只能看到部分报表数据的情况下,需要确认安全设备是不是不支持该字段或者由于其他原因导致报文该字段为空,进而无法审计到数据。另外由于不同的日志发送间隔不同所以SecCenter最快能够生成报表的时间也不一样,这里简单汇总如下表:

报表名称

数据来源

报表最快生成时间

业务流量趋势/业务流量分布

链路使用日志

5分钟

未知业务分析

会话使用日志

1小时

TOP50用户流量/单用户流量趋势

用户使用日志

1小时,每整点第5分钟

应用流量快照

链路使用日志

30

用户行为审计/用户行为分析

协议内容审计日志

5分钟

以上所有的日志类型都是userlog日志,只是在userlog报文中处于的字段不同,各日志类型和在userlog报文中字段标号的对应关系如下图所示:

日志类型

字段标号

链路使用日志

300

用户使用日志

301

会话使用日志

302

全局日志

306

 

 

7、检查报文字段是否完整

在确认好报表的数据来源和该数据在userlog报文中所处的字段后,即可通过分析抓包来确认收到的报文中是否包含该字段数据,这里以查询链路使用日志为例,过滤条件为udp.port == 30010 && data[16:2] == 012C,(其中012C30016进制),如下图所示看到userlog报文中包含链路使用日志字段,所以SecCenter页面中以链路使用日志为数据源的报表应该都能审计到数据。

当抓包结果中没有包含对应字段时,可能是安全设备没有开启对应的日志功能,可以在安全设备的【日志管理-流日志-流日志配置】中勾选相应的日志功能,如下图所示:

注:如果勾选了却还是没有相应的字段,有可能是设备不支持,请查看设备规格表确认。

8、检查数据库写入是否正常

SecCenter服务器上成功抓取到了安全设备发送过来的包含完整字段的报文后,如果还是审计不到数据,则很可能是SecCenter在数据入库过程中出现问题,可以通过直接查看数据库表项来确认,不同的日志类型在SecCenter数据库中对应的表不同,常见的归纳如下:

日志类型

数据库表名

链路使用日志

tb_link_usage_detail

用户日志

tb_user_usage_detail

会话日志

tb_session_detail

全局日志

tb_link_session_detail

SecCenter内部使用MySQL数据库存放数据,所以可以使用MySQL数据库客户端或命令行来查询,推荐使用navicat for MySQL数据库客户端工具,默认连接端口为3308,默认root密码为123456,打开表项即可看到表中有无数据写入,如下图所示:

9、刷新页面数据

确认数据库对应表中数据没有问题后基本可以数据能够正常审计了,可以重新打开SecCenter页面报表,点击刷新测试,如下图所示:

10、收集信息

如果以上步骤排查完成后还是无法解决问题,请收集以下信息联系H3C技术支持热线协助分析:

1.  安全设备型号版本,SecCenter版本;

2.  安全设备日志、时间等配置截图,SecCenter中此设备详细信息截图以及无法审计到数据的页面截图;

3.  SecCenter服务器上的抓包文件(抓10分钟左右);

4.  SecCenter安装目录$SecCenter\syslog文件夹下所有文件;

5.  SecCenter安装目录$SecCenter\server\logs文件夹下所有文件;

 

案例信息

案例类型:经验案例
案例号:201603240007
创建时间:2016年3月24日
更新时间:2016年3月26日
发布时间:2016/3/26 1:03:09
文章密级:游客可见
有效期:长期有效
发布者:杨银波 [y10225]
点击次数:2185
评论平均得分:5.00
关键词:imc seccenter 安全设备 日志 acg fw ips
产品线:NSM
产品系列:iMC-SecCenter
产品版本:
故障类型:软件bug

常用操作
收藏