Falconet网络管理软件
帮助手册
目录
1.前言
Falconet安全管理软件是适合于网络管理员和安全管理员的管理工具,操作方便,功能实用,能够帮助管理员快速了解当前的网络状况,诊断网络故障和减轻网络配置的工作量,发现网络安全隐患。同时软件采用开放的框架,具有较好的系统扩展能力,能够扩展多种设备类型和其他管理工具。
2.系统结构
跨平台支持
采用Java开发,能够支持Java所支持的所有操作系统平台。
基于组件的管理平台
采用组件模式开发的管理平台,可以方便扩展对新设备和新功能的开发,很多扩展只需要简单的修改配置文件。
只需要将扩展插件拷贝到相关目录下,系统就可以自动加载这些管理模块。
灵活的部署能力
可以根据需要采用本地模式和C/S模式,适应不同的用户需求。
扩展对新设备和新功能的支持只需安装相关的插件而不影响现有的管理功能。
只需要修改配置文件就可以适应不同的设备和安全日志格式。
3.功能描述
本软件主要具有6大管理功能:拓扑管理,资产管理,设备管理,网络监控,日志分析,事件管理,以下是详细的功能描述。
3.1拓扑管理
用户可以通过统一的拓扑视图了解整个网络的设备及其运行状况,提供了自动拓扑发现,手工发现和手工编辑的三种管理设备的方法。
视图分为网络视图,应用视图,自定义视图。
网络视图表示整个网络的物理拓扑视图,可以采用自动拓扑发现自动生成网络拓扑。
应用视图表示用户的业务应用拓扑,可以根据用户的具体情况建立对应的网络视图,无需手动添加设备,可以通过设备管理器从网络视图中添加。
用户还可以根据需要手工添加需要的视图。
管理设备和生成网络视图的方法:
1)自动拓扑发现
自动拓扑发现包括网络设备节点的发现和信息的获取和网络拓扑结构的分析,可以自动识别路由交换机,交换机,路由器,服务器,PC和其他自定义的设备。
网络拓扑图采用分层结构,包括:
网络层:显示企业网络的路由结构,包括路由器,路由交换机及相关连接。
网段层:显示一个网段内的二层设备,包括交换机,连接关系和连接端口。
主机层:显示每一个交换机所连接的主机设备,连接关系和连接端口。
对于自动发现的网络拓扑,管理员可以进行相关修改并且保存修改结果。
2)手工发现
用户可以指定一个网段进行搜索,将会自动识别设备,管理员发现的设备添加到指定的拓扑图中。
3)手工编辑
用户可以添加,删除和编辑单个设备,子图和网络连接。
3.2资产管理
能够管理用户的网络资产,包括各类网络设备,系统设备,软件资产,为用户提供分类,查询等功能,按照用户的需求对资产进行分类管理,记录资产的详细信息,为用户提供查询功能,可以方便的查询资产。
1)资产分类
可以按照标准分类自动对资产进行分类,便于用户管理,记录用户资产的详细信息,例如名称,类型,型号,基本描述,IP地址等。
2)资产发现
可以通过网络拓扑发现自动发现资产,方便用户;用户也可以采用手动发现,指定发现的范围,便于快速发现;用户也可以手工输入资产信息。
3)资产查询
提供了资产查询工具,用户可以快速查询相关资产。
3.3设备管理
1)设备管理器
采用列表方式列出当前的所有设备,方便用户对设备进行查询和管理,用户可以根据设备名称和设备类型对设备进行查询;用户可以将选择的添加到任何需要的视图中。
2)设备配置管理
对于交换机和路由器设备,可以自动生成可视化设备面板,显示每一个端口的状态和网络流量,包括MibII中Interfaces组的所有参数,对于支持标准Mib的设备还可以进行端口配置,即开通端口和关闭端口。
可以即时显示设备的接口表,路由表,ARP表,转发表。
可以从拓扑图上直接调用其他管理工具,例如Web浏览器,Telnet,Ping,TraceRoute等,支持自定义扩展工具。
3)MIB浏览器
提供了功能强大的MIB浏览器,可以直接查看设备SNMP定义。
3.4网络监控
1)状态监控
可以对整个网络进行状态监控轮询,并且以图形的方式显示当前设备的状态,如果探测到某个设备出现故障,将会触发报警事件,并且拓扑图上的对应设备显示为红色。
设备状态轮询采用可自定义的时间间隔和所使用的协议,用户可以根据网络的具体情况采用合适的时间间隔和所需协议,减少网络流量和提高监控效率。(为了减少网络流量和合理配置,状态轮询只轮询网络视图,即网络视图中的设备)
采用智能网络轮询算法,根据网络拓扑结构进行监测,避免盲目轮询所有设备,并且能够快速定位故障位置,避免因关键设备故障而产生事件风暴;用户也可以采用普通轮询方式,依次轮询所有设备;用户可以指定那些子图中的设备需要轮询,对不重要的设备可以选择不轮询。
2)SNMP Trap监控
可以接受SNMP Trap,对Trap进行解析处理,在事件控制台中实时显示;用户可以自定义厂商Trap事件。
3)系统性能监控
用户可以对支持SNMP的设备进行数据采集和监控,包括系统性能数据,系统性能数据主要有:CICSO设备的CPU利用率,空闲内存,主机(Windows,Linux,Unix)的CPU利用率,内存使用率;用户可以自定义需要监控的SNMP数据,例如特定厂商设备的CPU利用率等。
可以设置采样间隔对数据进行采集,同时提供对实时数据的图表曲线显示,可以对历史数据生成日报表,周报表,月报表和年报表。
可以对设置监控的数据设置上升阈值和下降阈值,当超过阈值将触发事件报警。
4)网络流量监控
用户可以对支持SNMP的设备进行数据采集和监控,包括接口流量数据,接口流量包括网络接口流量,接口利用率;用户可以自定义需要监控的SNMP数据,例如特定厂商设备的一些网络接口数据等。
可以设置采样间隔对数据进行采集,同时提供对实时数据的图表曲线显示,可以对历史数据生成日报表,周报表,月报表和年报表。
可以对设置监控的数据设置上升阈值和下降阈值,当超过阈值将触发事件报警。
5)应用服务监控
用户可以主机的各种服务进行监控,包括HTTP, SMTP, POP3, FTP, DNS, MS-SQL-Server, Oracle, Weblogic, Mysql等;用户可以自定义需要监控的应用服务,对于HTTP服务可以指定监控的URL。
可以设置采样间隔对这些应用服务进行监控,可以提供服务的响应时间和故障情况,提供对实时响应时间数据的图表曲线显示,可以对历史数据生成日报表,周报表,月报表和年报表。
可以对监控服务的响应时间设置告警阈值,当超过阈值将触发事件报警。
3.5日志分析
可以接收和分析Syslog日志,包括防火墙,路由器,操作系统等各类Syslog日志,用户可以自定义接收和分析Syslog日志的规则,符合规则的日志将被记录和告警。
日志可以被记录到指定目录下,这样既可以被其他软件采用和分析,也可以采用本软件的日志查询进行分析查询。如果用户配置了告警,符合规则的日志将会触发告警。
用户可以根据情况自定义分析规则,支持多个规则同时生效,规则将会按照先后顺序生效,用户可以自由移动规则,改变规则的生效顺序。
支持大规模的日志接收和分析,存储大小仅仅取决于磁盘的大小,用户还可以指定日志保存的天数,超过天数的日志将会被自动删除。
日志查询
可以根据各种条件组合进行查询,可以设置自定义的条件,包括日志匹配的字符串。
日志审计
可以对日志进行审计,提供设备日志TOP10报表和统计报表,报表可以保存为html格式。
主要报表有:
1)日志来源设备TOP10
2)日志来源模块TOP10
3)日志来源程序TOP10
4)日志来源设备分类统计
5)日志来源模块分类统计
6)日志来源程序分类统计
3.6事件管理
可以记录网络监控的各类事件,保存到日志文件。
提供了事件控制台,实时显示各类事件,可以根据事件迅速定位到触发事件的设备。
提供了事件查询,可以根据事件,源IP,事件类型查询相关事件。
可以对告警事件自定义通知方式,包括MS Windows消息,实时通知管理控制台,邮件。
3.7分析报表
能够根据监控和事件数据对网络故障情况进行分析,提供有价值的分析报表,对网络和设备的故障进行评估。用户可以设置查询时间生成所需要的报表。
目前报表包括:
网络故障TOP10
主要对网络设备的故障情况进行统计,列出故障最多的10个设备,主要报表有:
1)不响应次数最多的10个设备
2)告警事件最多的10个设备
1) 系统性能告警次数最多的10个设备
2) 网络流量告警次数最多的10个设备
5)应用服务告警次数最多的10个设备
6)日志告警次数最多的10个设备
网络可靠性统计
1)设备不响应次数统计
2)设备系统性能告警统计
3)设备网络流量告警统计
4)设备应用服务告警统计
5)设备告警等级分类统计
6)设备告警类型分类统计
7)日志告警分类统计
4.软件使用说明
4.1登录界面
为了软件的安全性,用户登录需要输入管理员名称和密码,系统提供默认用户名和密码,用户可以修改密码,也可以创建新的管理员。
默认管理员:admin
默认密码:falconet
4.2拓扑管理
系统主界面如下所示:
图1:系统主界面
初次启动软件时,网络拓扑界面没有任何设备,操作员可以采用自动拓扑发现进行网络发现,建立网络环境的初始拓扑结构,点击“网络”菜单下的“自动发现网络拓扑”,弹出自动拓扑发现对话框,如下所示:
图2:网络拓扑发现设置
操作员根据提示输入起始设备和访问设备的SNMP团体字符串,点击“开始自动拓扑发现”,系统将会开始自动拓扑发现,右下角的状态栏将会显示自动拓扑发现的进展状态,发现结束的网段将会在界面上自动更新,发现完毕后的拓扑结构如下:
网络视图:自动拓扑发现的结果都在网络视图子图中,双击“网络视图” 子图可以进入网络层子图:
图3:网络视图
网络层:包含路由器,路由交换机,网段子图,双击网段子图可以进入网段层子图。
图4:网络层子图
网段层子图:包括此网段内交换机,交换机连接关系,交换机相连的子图,点击交换机连接子图可以进入主机层。
图5:网段层子图
主机层:包含与交换机相连的所有主机设备,包括服务器,PC等。
图6:主机层子图
由于网络结构的复杂和各种厂家网络设备对SNMP支持的程度有差别,发现完毕的拓扑图有时候可能不能够正确反映实际的网络,操作员可以手动修改网络拓扑,然后点击“保存”,修改后的拓扑结构将会被保存,设备的状态监测将会依赖建立的拓扑结构。
4.3资产管理
管理员可以通过自动拓扑发现和手动发现来发现网络资源,也可以手工输入资产,以下是资产管理界面:
图7:资产管理界面
管理员可以增加,删除和修改管理资产。
可以根据条件查询相关资产。
4.4设备管理
从拓扑中选中一个设备,点击鼠标右键,将会弹出设备管理菜单,如下图所示:
图8:设备管理菜单
对于交换机,路由器等重点设备,操作员点击“端口监控”,将会自动生成设备的端口面板,形象地反映了设备端口的活动情况,开通的端口为“绿色”,禁止的端口为“红色”,没有开通的端口为“灰色”,使用鼠标点击所选的端口,将会弹出端口信息对话框,显示了此端口流量统计和端口状态,对于支持标准MIBII的设备,还可以开通和禁止端口。
图9:端口监控
对于支持SNMP的设备,操作员可以打开MIB浏览器,直接察看设备的状态,在软件目录的mibs目录下提供了大量的网络设备mib。
图10:MIB浏览器
4.5网络状态监测
操作员可以点击“监控”菜单下的“设备状态监测”,将会弹出设备状态监测的配置对话框,默认没有启动状态监测,可以启动状态监测,可以选择设备状态轮询的协议和轮询的时间间隔。
状态监控轮询可以以图形的方式显示当前设备的状态,如果探测到某个设备出现故障,将会触发报警事件,并且拓扑图上的对应设备显示为红色;如果恢复正常,设备将会恢复为绿色;如果变红设备所在的拓扑图被操作员保存,则设备图标会变成灰色,如果设备恢复正常,设备也会恢复为绿色。
注意:网络状态轮询只轮询本地网络子图,即“网络视图”子图,以及所有下层子图中的设备,需要轮询的设备可以添加到网络视图子图中,不需要轮询的设备可以删除,智能的轮询分析依赖于网络拓扑的结构,因此需要建立正确的拓扑结构,才能够发挥轮询的效率,如果自动拓扑发现的结果不正确,操作员需要手工修改为正确结果。
图11:设备状态监控配置
4.6设备监控
用户可以对支持SNMP的设备进行性能数据的采集和监控,支持的数据包括:
系统性能监控:
CISCO设备的CPU利用率
CISCO设备空闲内存
主机(Window, Linux, Unix) CPU利用率
主机(Window, Linux, Unix) 内存利用率
接口流量监控:
网络设备的接口流量
网络设备的接口利用率
用户可以自定义其他SNMP节点作为监控类型。
应用服务监控:
支持的服务有:HTTP, FTP, SMTP, POP3, DNS, MYSQL, MS-SQL-Server, Oracle, Weblogic等,用户可以自定义监控的服务。
图12:数据监控配置界面
点击“新建”可以建立新的监控任务,用户可以定义的参数如下:
图13:性能数据任务配置界面
用户可以编辑和删除建立的监控任务,启动和停止现有的监控任务。
点击“实时数据”可以实时显示监控的数据变化曲线,上面的曲线图显示7日内的数据曲线;下面的显示的是24小时的数据曲线。
图14:实时数据界面
点击“生成报表”可以生成记录的历史数据的日报表,周报表,月报表和年报表。
例如生成的网络设备接口流量日报表。
图15:生成报表界面
用户自定义监控类型
用户可以自定义监控数据类型,配置为“自定义监控类型”。
图16:自定义监控类型
4.7日志分析
可以接收和分析Syslog日志,包括防火墙,路由器,操作系统等各类Syslog日志,用户可以自定义接收和分析Syslog日志的规则,符合规则的日志将被记录和告警。
如果需要进行日志分析,首先需要在所管理的设备上配置将日志发送到网络管理服务器,默认端口为514,具体设备的配置方法可以参考管理手册。
在本软件中需要配置日志分析的规则,配置规则需要根据所管理的设备日志情况进行配置,本软件支持标准Syslog的基本条件,也支持自定义的规则条件。
以下是日志处理规则配置界面:
图17:日志分析配置
用户可以增加,删除,编辑和移动所定义的规则,这些规则将会按照先后顺序依次生效,用户可以制定日志存储的目录和保存的最大天数。
以下是具体规则配置界面:
图18:日志分析规则-基本属性
首先配置规则的基本属性:包括规则是否生效,规则名称,规则生效类型,日志源IP,如果没有配置日志源IP,将会接收所有设备的日志。
图19:日志分析规则-处理条件
其次配置处理条件,包括日志等级,发送日志的设备(facility),发送日志的程序(program),日志内容匹配,支持多个字符串匹配,采用逗号隔开。以上的日志设备(facility)是标准的Syslog,用户可以根据具体设备自定义日志设备(facility)和日志程序(program)。
图20:日志分析规则-响应处理
如果是非常重要的日志,还可以配置触发事件告警,用户可以配置触发事件的严重程度和具体描述。
记录的日志可以方便的进行查询,用户可以自定义查询条件。
图21:日志查询
4.8事件管理
网络状态轮询和系统接受到SNMP Trap将会被记录到事件日志中,要使系统能够接受SNMP Trap,必须将管理工作站的IP设置到发送Trap的设备中。
接受到的事件将会实时显示到事件控制台中,可以根据事件迅速定位到产生事件的设备。
操作员可以根据条件查询所有事件日志。
事件控制台位于主界面的下方。
图21:事件控制台
用户可以事件的等级配置告警的方式,MS Windows消息,实时通知管理控制台,邮件。
图22:事件配置
用户可以自定义SNMP TRAP类型,配置为“自定义TRAP类型”。
图23:自定义TRAP类型
4.9分析报表
可以对网络和设备状况进行分析,提供故障和可靠性报表。
图24:分析报表选择
图25:生成分析报表
4.10管理员配置
点击“系统”菜单下的“管理员配置”,就可以增加,删除管理员,修改密码。
图26:管理员配置
4.11管理扩展配置
可以配置的配置文件在软件目录的conf目录下:
1)日志配置
log.xml:配置日志文件的位置,文件名称和大小。
2)系统配置
system.xml:配置系统参数,包括自动拓扑分析,网络状态监测采用的协议和参数等。
3)管理对象配置
mobject.xml:配置系统所支持的设备。
用户可以通过扩展配置文件增加可识别的设备和调用其他管理工具,扩展的配置文件目录为安装目录下的/mobject目录。
例如:
建立如下的配置文件windows2000.xml,拷贝到/mobject目录下,即可支持Windows 2000服务器和工作站的识别和管理:
|
<?xml version='1.0' encoding="GB2312"?> <config> <devicetype> <device Type="Device.PC.Windows2000pro" IconName="pc.gif" Description="Windows 2000 Professional" Category="Device" > <properties> <!--定义采用snmp识别的标识字符串,可以任意定义一个,如果定义两个,需要两个条件都满足才识别为此类设备。--> <!--还可以定义私有oid,例如: <privateOid>1.3.6.1.4.1.4.2233.1.1.0</privateOid> <privateValue>Windows 2000</privateValue> --> <sysDesrc>Windows</sysDesrc> <sysObjectID>1.3.6.1.4.1.311.1.1.3.1.1</sysObjectID> </properties> <modules> <module Name="Tool" Description="管理工具"> <function Name="Telnet" Description="Telnet..." LoadString="cmd.exe /c start Telnet.exe" LoadType="CLI"/> </module> </modules> </device> <device Type="Device.Server.Windows2000svr" IconName="server.gif" Description="Windows 2000 Server" Category="Device" > <properties> <sysDesrc>Windows</sysDesrc> <sysObjectID>1.3.6.1.4.1.311.1.1.3.1.2</sysObjectID> </properties> </device> <device Type="Device.Server.Windows2000adv" IconName="server.gif" Description="Windows 2000 Advance Server" Category="Device" > <properties> <sysDesrc>Windows</sysDesrc> <sysObjectID>1.3.6.1.4.1.311.1.1.3.1.3</sysObjectID> </properties> </device> </devicetype> </config> |