AuditSys 4.5 产品日常维护手册
目录
2.2.5 后台查看和启停Statistic Server服务进程
2.2.6 AuditSys后台检查DataServer服务器
2.3.3问题描述:安装Server服务器后在管理平台看不到该服务器
2.3.4问题描述:安装统计服务器后在管理平台看不到该服务器
2.3.6问题描述:客户端上报后在检索界面看不到该客户端的操作
本手册为AuditSys行为风险管理系统日常维护文档,本手册假设阅读者拥有AuditSys行为风险管理系统所有权限。
| 序号 | 术语名称 | 术语定义 |
| 1 | AuditSys | AuditSys行为风险管理系统(UEBA用户实体行为分析工具) |
| 2 | Center | AuditSys行为风险管理系统控制台服务器 |
| 3 | Server | AuditSys行为风险管理系统应用服务器 |
| 4 | ES | AuditSys行为风险管理系统数据分析服务器 |
| 5 | Statistics | AuditSys行为风险管理系统统计服务器 |
| 6 | Dataserver | AuditSys行为风险管理系统视频数据备份服务器 |
| 7 | Agent | AuditSys行为风险管理系统客户端安装包或AuditSys行为风险管理系统客户端 |
带下划线表示操作中的菜单,例如:
系统–许可证
表示:操作为先点击“系统”菜单,在出现的页面再点击“许可证”菜单。
红色字体表示用户特别需要注意的内容
系统维护手册是系统上线运行后,对系统进行日常维护,发现问题解决问题的一个参考手册,基本的日常维护主要包括前台操作和后台维护两部分。
前台操作是指在进行日常后台维护操作之前或者之后,通过前台的一些基本操作来发现问题,或者查看问题是否解决。
前台的基本操作如下:
登录系统为WEB登录(https://CenterIP:80),前台操作都需要登录系统后才能进行。
可以对Center的状态进行初步检查,如:Center运行时长、资源使用情况、进程列表等。Center的状态可以在系统-概览-Center中查看。界面如下:
可以对Server的状态进行初步检查,如:Server是否在线、资源使用情况、会话数、进程列表等。Server的状态可以在系统-概览-Server中查看。界面如下:
可以对ES的状态进行初步检查,如:ES是否在线、资源使用情况、节点状态、索引信息等。ES的状态可以在系统-ES监控-监控信息中查看。界面如下:
可以对Agent的状态进行初步检查,如:Agent是否在线、是否被禁用、版本号、终端数等。Agent的状态可以在终端-终端中查看。界面如下:
可以对会话的状态进行初步检查,如:使用中的Agent是否有相应的录制中会话、是否有已完成会话、离线会话是否上传、会话元数据能否正常展示、会话能否正常播放等。Agent的状态可以在检索-会话中查看。界面如下:
可以对许可证的状态进行初步检查,如:许可时间是否有期限、Agent数量是否超出等。Agent的状态可以在系统-许可证中查看。界面如下:
可以对系统日志的状态进行初步检查,如:是否有错误日志产生、错误日志的类型、错误日志的来源、错误日志的具体信息等。Agent的状态可以在系统-系统日志中查看。界面如下:
后台维护包括对系统运行命令的查看、启动项是否正常、运行情况的查看以及硬件运行情况等参数的查看等操作。也可以针对前台出现的问题针对性的查看。
后台的基本操作如下:
可以通过PuTTY或SecureCRT、Xshell等运维工具远程登录服务器端,可以使用远程桌面连接等方式远程登录终端,后台操作都需要登录相应组件后才能进行。
Center上运行的服务如下:
- php-fpm服务:是一个PHP FastCGI管理器,用于运行PHP项目。
状态查看:systemctl status php-fpm
重启:systemctl restart php-fpm
启动:systemctl start php-fpm
停止:systemctl stop php-fpm
2.mysql服务:是mysql数据库的服务进程。
状态查看:systemctl status mysql
重启:systemctl restart mysql
启动:systemctl start mysql
停止:systemctl stop mysql
3.nginx服务:是一个高性能的HTTP和反向代理服务。
状态查看:systemctl status nginx
重启:systemctl restart nginx
启动:systemctl start nginx
停止:systemctl stop nginx
4.redis服务:是Redis存储的服务进程。
状态查看:systemctl status redis
重启:systemctl restart redis
启动:systemctl start redis
停止:systemctl stop redis
5.filebeat服务:是采集本地文件日志数据和发送。
状态查看:systemctl status filebeat
重启:systemctl restart filebeat
启动:systemctl start filebeat
停止:systemctl stop filebeat
Server上运行的服务如下:
1.recv-server 视频接收进程
状态查看:systemctl status recv-server
重启:systemctl restart recv-server
启动:systemctl start recv-server
停止:systemctl stop recv-server
2.compress-server 视频压缩进程
状态查看:systemctl status compress-server
重启:systemctl restart compress-server
启动:systemctl start compress-server
停止:systemctl stop compress-server
3.dataclient 数据备份
状态查看:systemctl status dataclient
重启:systemctl restart dataclient
启动:systemctl start dataclient
停止:systemctl stop dataclient
4.replay-server 视频播放进程
状态查看:systemctl status replay-server
重启:systemctl restart replay-server
启动:systemctl start replay-server
停止:systemctl stop replay-server
5.state-client 系统监控进程
状态查看:systemctl status state-client
重启:systemctl restart state-client
启动:systemctl start state-client
停止:systemctl stop state-client
6.filebeat进程 filebeat是采集本地文件日志数据和发送
状态查看:systemctl status filebeat
重启:systemctl restart filebeat
启动:systemctl start filebeat
停止:systemctl stop filebeat
7.sque 数据处理服务
状态查看:systemctl status sque
重启:systemctl restart sque
启动:systemctl start sque
停止:systemctl stop sque
8.sque2 数据处理服务2
状态查看:systemctl status sque2
重启:systemctl restart sque2
启动:systemctl start sque2
停止:systemctl stop sque2
ES上运行的服务如下:
1.elasticsearch进程 大数据的存储和搜索引擎服务。
状态查看:systemctl status elasticsearch
重启:systemctl restart elasticsearch
启动:systemctl start elasticsearch
停止:systemctl stop elasticsearch
Statistics上运行的服务如下:
1.filebeat进程 filebeat是采集本地文件日志数据和发送
状态查看:systemctl status filebeat
重启:systemctl restart filebeat
启动:systemctl start filebeat
停止:systemctl stop filebeat
2.state-client 系统监控进程
状态查看:systemctl status state-client
重启:systemctl restart state-client
启动:systemctl start state-client
停止:systemctl stop state-client
3.sque 数据处理
状态查看:systemctl status sque
重启:systemctl restart sque
启动:systemctl start sque
停止:systemctl stop sque
2.2.6 AuditSys后台检查DataServer服务器
DataServer上运行的服务如下:
1.dataserver.service 视频接收进程
状态查看:systemctl status dataserver.service
重启:systemctl restart dataserver.service
启动:systemctl start dataserver.service
停止:systemctl stop dataserver.service
2.replay-server 视频播放进程
状态查看:systemctl status replay-server
重启:systemctl restart replay-server
启动:systemctl start replay-server
停止:systemctl stop replay-server
终端上可以通过任务管理器查看Agent运行的服务,并通过右键点击对其进行重新启动、开始、停止操作。Agent上运行的服务如下:
AuditsysRecorderService服务:终端Agent运行的主服务,用以记录用户操作。
AuditsysUpdateService服务:终端Agent运行的升级服务,用以更新配置。
2.3.1问题描述: 打开登录管理平台失败提示“403 Forbidden”错误页面
处理步骤:请添加https协议,如:https://192.168.8.77。
处理步骤:
1.检查ES服务器的elastisearch服务是否正常(请参照该文档2.2.4)
2.检查Center能否访问ES的 9200、9300端口(在Center服务器命令行窗口执行”curl ESIP:9200”,”telnet ESIP 9300”,如有下图返回结果即可成功配置ES服务器)。
2.3.3问题描述:安装Server服务器后在管理平台看不到该服务器上报
处理步骤:请检查是否在Server的配置文件中正确配置了控制台的IP(请在Server服务器命令行窗口,查看”/etc/auditsys/server/server.conf”配置文件,如图)。
2.3.4问题描述:安装统计服务器后在管理平台看不到该服务器
处理步骤:请检查是否在统计服务器的配置文件中正确配置了控制台的IP请在StatisticServer服务器命令行窗口,查看”/etc/auditsys/server/server.conf”配置文件,如图)。
处理步骤:
- 请检查客户端配置是否正确,如图:
- 是否能访问控制台的443端口(在cmd执行”telnet centerIP 443“, 如图)。
2.3.6问题描述:客户端上报后在检索界面看不到该客户端的操作
处理步骤:请检查是否有Server服务器接收该终端所在组织或IP段产生的会话。详细步骤如下:
- 检查终端是否在服务器接收范围:登录AuditSys系统管理页面,依次点击管理-终端,检查该终端是否在服务器接收组织或IP范围内,如不在组织内,点击并勾选终端后,点击”绑定组织按钮“来重新绑定组织。
- 检查服务器接收的组织或IP段范围:登录AuditSys系统管理页面,依次点击系统-服务器-编辑按钮,查看”基础配置“中的组织或IP段是否配置正确,正确配置后点击下方保存按钮退出。
- 检查终端操作记录:在平台管理界面,依次点击检索-会话检索,查看是否有终端操作的会话记录。若仍未正确显示,请移动至3.2,正确配置ES服务器。
处理步骤:请检查邮件配置是否正确。(通过浏览器进入center管理页面后,点击系统-邮件通知,查看邮件配置内容是否正确,并可点击”测试邮件发送“测试邮件是否能正常发送。若仍发送失败,请检查您公司邮箱设置或查看本文档2.4联系技术工程师解决)
处理步骤:请参照本文档2.2.3中replay-server部分,重启该服务进程。
本手册只是对一些简单问题的日常维护介绍,对于无法处理的问题,建议咨询我们,华夏威科提供强大的维护服务。联系方式如下:
| 角色 | 姓名 | 联系方式
(座机及手机) |
|
| 华夏威科销售 | 田雪杰 | 18138735927 | tianxj@sinobigdata.net |
| 华夏威科项目经理 | 陶然 | 13632771505 | taor@sino-vt.com |
| 华夏威科技术工程师 | 申杰魁 | 13332908174 | shenjk@sino-vt.com |
| 华夏威科技术工程师 | 苏庆云 | 18062447335 | suqy@sino-vt.com |