5.0安装、设置和用户指南
版本5.0
2016年8月12日
思科系统公司
思科在全球设有200多个办事处。
有关地址、电话号码和传真号码信息,可查阅思科网站:/go/offices 本手册中有关产品的规格和信息如有更改,恕不另行通知。
本手册中的所有声明、信息和建议均准确可靠,但我们不为其提供任何明示或暗示的担保。
用户必须承担使用产品的全部责任。
随附产品的软件许可和有限担保在随产品一起提供的信息包中提供,且构成本文的一部分。
如果您无法找到软件许可或有限担保,请与思科代表联系以获取副本。
思科所采用的
TCP报头压缩是加州大学伯克莱分校(UCB)开发的一个程序的改版,是UCB的UNIX操作系统公共域版本的一部分。
版权所有。
版权所有©1981,加州大学董事会。
无论在该手册中是否作出了其他担保,来自这些供应商的所有文档文件和软件都按“原样”提供且仍有可能存在缺陷。
思科和上述供应商不承诺所有明示或暗示的担保,包括(但不限于)对特定用途的适销性、适用性、非侵权性以及因交易、使用或商业惯例所衍生的担保。
在任何情况下,对于任何间接、特殊、连带发生或偶发的损坏,包括(但不限于)因使用或无法使用本手册而导致的任何利润损失或数据损失或损坏,思科及其
供应商概不负责,即使思科及其供应商已获知此类损坏的可能性也不例外。
思科和思科徽标是思科和/或其附属公司在美国和其他国家/地区的商标或注册商标。
要查看思科商标列表,请访问此URL:/go/trademarks。
文中提及的第三方商标为其相应所有者的财产。
“合作伙伴”一词的使用并不意味着思科和任何其他公司之间存在合作伙伴关系。
(1110R) 本文档中使用的任何互联网协议(IP)地址和电话号码并非实际地址和电话号码。
本文档中所含的任何示例、命令显示输出、网络拓扑图和其他图形仅供说明之用。
说明性内容中用到的任何真实IP地址或电话号码纯属巧合,并非有意使用。
思科高级网络安全报告5.0安装、设置和用户指南©2013-2015思科系统公司。
版权所有。
目录 简介1-15.0版中的新增功能1-2支持和不支持的功能1-
2 系统要求及规模和扩展建议1-3设置概述1-3安装5.0版本的高级网络安全报告应用1-
3 在Linux中1-3在Windows中1-4升级到5.0版本的高级网络安全报告应用1-5从4.0或更高版本升级1-
5 在Linux中1-5在Windows中1-6从3.0版本升级到5.0版本1-6管理员1-7配置最佳实践1-7启动和停止高级网络安全报告应用的命令1-7在Linux中1-7在Windows中1-8许可和迁移1-8从3.0版本WSA迁移到4.0版本仅WSA报告1-8从3.0版本仅WSA报告迁移到4.0版本混合报告1-8新的混合报告许可证1-9混合报告许可证问题1-94.0和更高版本升级的许可考虑因素1-9许可证安装1-9为访问和流量监控日志文件创建文件夹结构1-10导入和索引历史数据1-10(可选)配置应用在索引后删除日志文件1-11设置持续的数据传输1-11配置WSA日志的数据输入1-11WSA系统日志数据输入的配置1-12从网络安全设备建立日志传输1-13配置CWS日志更新1-14 思科高级网络安全报告5.0安装、设置和用户指南
1 目录 设置部门成员查询(可选)1-15设置部门成员报告1-15按角色对部门报告进行访问限制1-16对部门成员报告进行故障排除1-16 设置计划式PDF报告(可选)1-17配置邮件提示1-17安排PDF报告生成1-18 报告概述2-1访问报告2-1另存为控制面板2-
2 编辑自定义控制面板2-2数据格式2-3时间范围2-
3 数据可用性计时2-3导出2-
4 导出到.CSV文件2-4导出到PDF文件2-4常规数据与特定数据2-4查看特定数据2-4搜索2-5搜索提示2-5对搜索进行故障排除2-5预定义报告2-5使用场景2-7用户调查2-
7 查看网络使用趋势2-7查看事务历史记录2-8已访问的URL2-8查看访问最频繁的网站2-8已访问的URL类别2-8查看最常见的URL类别2-
8 思科高级网络安全报告5.0安装、设置和用户指南
2 安装和设置 第1章 •简介,第1-1页•系统要求及规模和扩展建议,第1-3页•设置概述,第1-3页•安装5.0版本的高级网络安全报告应用,第1-3页•升级到5.0版本的高级网络安全报告应用,第1-5页•许可和迁移,第1-8页•为访问和流量监控日志文件创建文件夹结构,第1-10页•导入和索引历史数据,第1-10页•设置持续的数据传输,第1-11页•配置CWS日志更新,第1-14页•设置部门成员查询(可选),第1-15页•设置计划式PDF报告(可选),第1-17页 简介 思科高级网络安全报告应用提供报告和控制面板,其目的在于对来自多个思科网络安全设备和来自 思科云网络安全(CWS)网关的大批量数据提供深入的了解。
高级网络安全报告应用包括数据收集和报告应用,以及转发收集自网络安全设备(WSA)和CWS服务的日志数据的相关服务器。
备注云网络安全有时也称为“ScanSafe”。
高级网络安全报告应用接收日志数据并将其存储在default/main索引中。
您可以使用预定义报告查看这些数据。
思科高级网络安全报告5.0安装、设置和用户指南 1-
1 简介 第1章安装和设置 图1-1 5.0版中的新增功能 高级网络安全报告系统的一般架构。
特性从早期版本无缝升级CWS的AMP报告安排整个报告的邮件发送自定义控制面板支持 最新的界面 支持和不支持的功能 说明 添加/删除现有面板选择图表格式创建自己的控制面板最新的应用“外观和感觉”。
组件报告(Reports) 服务器(Server)传输方法(TransportMethods) 支持包括在高级网络安全报告应用中的报告单服务器部署FTP(文件和目录) TCP(系统日志) 不支持自定义报告 多服务器部署不适用 思科高级网络安全报告5.0安装、设置和用户指南 1-
2 第1章安装和设置 系统要求及规模和扩展建议 组件PDF 自定义控制面板(CustomDashboards) 支持 集成式PDF生成 计划式PDF报告对于每个报告,可另存为控制面板(SaveAsDashboard)以为选定的时间范围、源类型和主机(有限)创建自定义控制面板。
不支持不适用 系统要求及规模和扩展建议 系统要求,以及规模和扩展建议,在高级网络安全报告版本说明中有详细说明,可通过以下地址查看/c/en/us/support/security/web-security-appliance/products-release-notes-list.html 设置概述 包括以下其中一种情况:
•第一次安装高级网络安全报告应用: –安装5.0版本的高级网络安全报告应用,第1-3页–许可和迁移,第1-8页–为访问和流量监控日志文件创建文件夹结构,第1-10页–导入和索引历史数据,第1-10页–设置持续的数据传输,第1-11页(包括网络安全设备的设置。
)–配置CWS日志更新,第1-14页或:•升级到5.0版本的高级网络安全报告应用,第1-5页 安装5.0版本的高级网络安全报告应用 请按照本节介绍的步骤安装5.0版本的高级网络安全报告应用。
•在Linux中,第1-3页•在Windows中,第1-4页 在Linux中必须按照以下顺序执行这些任务: 步骤
1 下载高级网络安全报告5.0软件的安装程序: ?
mdfid=282803425&softwareid=283998384&release=5.0&relind=AVAILABLE&rellifecycle=&reltype=latest 思科高级网络安全报告5.0安装、设置和用户指南 1-
3 安装5.0版本的高级网络安全报告应用 第1章安装和设置 步骤
2 解压安装程序软件。
要安装到当前工作目录中,请发出此命令: tarzxvfcisco_wsa_reporting-5.0.0.tgz. 要安装到/opt/cisco-wsa_reporting/目录中,请使用以下命令: tarzxvfcisco_wsa_reporting-5.0.0.tgz-C/opt 步骤
3 将目录更改为/cisco_wsa_reporting/,然后运行安装脚本: cdcisco_wsa_reporting./setup.sh 步骤
4 安装期间会显示进度和里程碑语句。
启动高级网络安全报告应用并登录:a.在浏览器窗口中导航到http://:8888。
注早期版本使用的是8000端口;从4.0版本开始,所使用的端口为8888。
b.使用用户名admin登录,密码为Cisco@dmin。
c.修改admin密码。
后续步骤•许可和迁移,第1-8页 在Windows中 准备工作Windows仅允许安装一种版本的高级网络安全报告软件。
因此,如果安装了早期版本,必须备份现有数据并卸载该早期版本,然后安装新版本。
步骤
1 步骤2步骤3步骤
4 步骤5步骤
6 下载高级网络安全报告5.0软件的安装程序:?
mdfid=282803425&softwareid=283998384&release=5.0&relind=AVAILABLE&rellifecycle=&reltype=latest解压安装程序;您可以使用7-Zip、WinZip等应用。
以管理员身份启动命令行外壳(PowerShell),并将目录更改为您解压安装程序的目录。
运行install.bat。
应用会安装到C:\ProgramFiles\Cisco\CiscoWSAReporting文件夹中。
重新启动高级网络安全报告服务器。
启动高级网络安全报告应用并登录:a.在浏览器窗口中导航到http://:8888。
注早期版本使用的是8000端口;从4.0版本开始,所使用的端口为8888。
思科高级网络安全报告5.0安装、设置和用户指南 1-
4 第1章安装和设置 升级到5.0版本的高级网络安全报告应用 b.使用用户名admin登录,密码为Cisco@dmin。
c.修改admin密码。
后续步骤•许可和迁移,第1-8页 升级到5.0版本的高级网络安全报告应用 •从4.0或更高版本升级,第1-5页•从3.0版本升级到5.0版本,第1-6页 从4.0或更高版本升级 请按照此节介绍的步骤从4.0或4.5版本升级到5.0版本。
•在Linux中,第1-5页•在Windows中,第1-6页 在Linux中 必须按照以下顺序执行这些任务: 步骤
1 步骤2步骤3步骤
4 下载高级网络安全报告5.0软件的安装程序(CiscoAdvancedWebSecurityReporting_Linux_5_0_0.tgz):?
mdfid=282803425&softwareid=283998384&release=5.0&relind=AVAILABLE&rellifecycle=&reltype=latest 将下载的安装程序文件复制到cisco_wsa_reporting目录的基目录。
例如,如果高级网络安全报告的早期版本安装在/opt/cisco_wsa_reporting/中,则将.tgz文件放入/opt/目录中。
将目录更改为安装的基目录(例如/opt/)。
发出此命令以解压安装程序: tar-zxvfCiscoAdvancedWebSecurityReporting_Linux_5_0_0-002.tgzcisco_wsa_reporting/SeamlessUpgrade.sh;cp-fcisco_wsa_reporting/SeamlessUpgrade.sh. 步骤
5 运行升级脚本: ./SeamlessUpgrade.shCiscoAdvancedWebSecurityReporting_Linux_5_0_0-002.tgz 思科高级网络安全报告5.0安装、设置和用户指南 1-
5 升级到5.0版本的高级网络安全报告应用 第1章安装和设置 在Windows中 必须按照以下顺序执行这些任务: 步骤
1 步骤2步骤3步骤
4 下载安装高级网络安全报告5.0软件的安装程序(CiscoAdvancedWebSecurityReporting_Windows_5_0_0.tgz):?
mdfid=282803425&softwareid=283998384&release=5.0&relind=AVAILABLE&rellifecycle=&reltype=latest 解压安装程序;您可以使用7-Zip、WinZip等应用。
以管理员身份启动命令行外壳(PowerShell),并将目录更改为您解压安装程序的目录。
执行.\WinSeamlessUpgrade.ps1命令升级高级网络安全报告应用。
从3.0版本升级到5.0版本 您必须按照此节中介绍的步骤将3.0版本的安装升级到5.0版本。
从3.0版本的安装升级涉及以下基本步骤: •备份3.0版本现有索引数据的副本。
•关闭新安装的5.0版本应用。
•将3.0版本的备份数据复制到新的数据目录。
•重新启动5.0版本应用。
以下是详细步骤。
对于这些说明,我们假设3.0版本在/opt/splunk中运行,而新版本在/opt/cisco_wsa_reporting中运行。
请您相应地调整路径。
步骤
1 停止旧版本: /opt/splunk/bin/splunk 步骤2步骤
3 编辑旧的inputs.conf文件(/opt/splunk/etc/apps/SplunkforCiscoIronportWSA/local/inputs.conf)并禁用所有输入。
重新启动旧版本: /opt/splunk/bin/splunkstart 步骤
4 验证主索引中是否未遗留任何hotbucket: cd/opt/splunk/var/lib/splunk/defaultdb/db ls-lahot*(验证是否无结果) 步骤
5 再次停止旧版本: /opt/splunk/bin/splunk 步骤
6 验证新版本是否未处于运行状态: /opt/cisco_wsa_reporting/shutdown.sh 思科高级网络安全报告5.0安装、设置和用户指南 1-
6 第1章安装和设置 升级到5.0版本的高级网络安全报告应用 步骤
7 清理新版本的索引文件夹: cd/opt/cisco_wsa_reporting/var/lib/splunkrm-rf* 步骤
8 将索引从旧版本复制到新版本: cd/opt/cisco_wsa_reporting/var/lib/splunkcp-r/opt/splunk/var/lib/splunk/defaultdb.cp-r/opt/splunk/var/lib/splunk/fishbucket. 步骤
9 启动新版本的高级网络安全报告: /opt/cisco_wsa_reporting/startup.sh 步骤10在浏览器中,打开http://:8888并使用用户名admin和密码Cisco@dmin登录。
管理员 高级网络安全报告应用提供两个管理员: •“默认管理员”(用户名:admin,密码:Cisco@dmin)将可访问所有管理功能。
admin用户可以安装许可证并配置分布式环境。
使用此帐户配置、测试和故障排除。
•第二种管理员(用户名:wsa_admin,密码:Ironp0rt)可访问下级管理功能。
我们建议您在安装后修改这两个密码(设置[Settings]>用户和身份验证[UsersandAuthentication]>访问控制[essControls]>用户[Users])。
配置最佳实践 •在WSA和CWS设备上设置一致的时区。
搜索结果中显示的时间反映高级网络安全报告实例的‘本地’时间。
默认情况下,设备日志的所有输入设置为TZ=GMT。
•记录本地admin帐户密码(忽略选定的身份验证方法)。
启动和停止高级网络安全报告应用的命令 在Linux中 要停止高级网络安全报告应用:将目录更改为/cisco_wsa_reporting/并发出此命令: ./shutdown.sh 要启动高级网络安全报告应用:将目录更改为/cisco_wsa_reporting/并发出此命令: /startup.sh 思科高级网络安全报告5.0安装、设置和用户指南 1-
7 许可和迁移 第1章安装和设置 在Windows中 要停止高级网络安全报告应用:将目录更改为\并发出此命令:
shutdown.bat
要启动高级网络安全报告应用:将目录更改为\并发出此命令:
startup.bat
备注在Windows中,\为C:\ProgramFiles\Cisco\CiscoWSAReporting。
许可和迁移 4.5版本中添加的三个AMP报告仅支持WSAAMP日志。
从4.0版本开始,高级网络安全报告应用同时支持WSA和CWS日志报告,这被称为“混合报告”。
要使用混合报告,您必须安装新许可证。
您可以继续使用当前许可证的仅WSA报告。
各类许可和迁移场景包括:•从3.0版本WSA迁移到4.0版本仅WSA报告•从3.0版本仅WSA报告迁移到4.0版本混合报告•新的混合报告许可证 从3.0版本WSA迁移到4.0版本仅WSA报告 您可以安装4.0或更高版本的软件,而您之前安装的许可证将继续提供WSA报告。
此外,4.0和更高版本的软件中嵌入有评估许可证;此许可证包括额外报告源类型,它将允许您评估混合报告。
从3.0版本仅WSA报告迁移到4.0版本混合报告 如上一节所述,您可以安装4.0或更高版本的软件,而您之前安装的许可证将继续提供WSA报告。
此外,嵌入式评估许可证将允许您评估混合报告功能。
为了从仅WSA迁移到混合报告,您必须开启思科技术支持中心(TAC)支持案例来删除您现有的许可证并安装新的混合报告许可证,其中包括源类型的完整列表,即包括ciscocws源类型。
/ServiceRequestTool/scm/mgmt/case 备注仅当您从3.0版本仅WSA报告升级到4.0或更高版本的混合报告时才需要联系TAC。
思科高级网络安全报告5.0安装、设置和用户指南 1-
8 第1章安装和设置 许可和迁移 新的混合报告许可证 在以新的高级网络安全报告用户身份安装完4.0或更高版本的软件后,要使用WSA和混合网络安全报告,您可以在评估期限内无限制地使用嵌入式评估许可证。
要在评估期限结束后继续使用,或要提供评估限制之外的报告,您必须获得主混合许可证。
对于新安装,使用您订单所提供的infodoc来请求该许可证。
混合报告许可证问题 如果您遇到混合报告问题,在联系思科之前,请确认您已购买CWS日志提取许可证(L-CWS-LOG-LIC=),并且您已设置自己的环境以导入CWS日志。
此外,请确保报告应用许可证(购买SMA-WSPL-LIC=、SMA-WSPL-LOW-LIC=或SMA-WSPL-HIGH-LIC=时颁发)仅包括以下源类型:wsa_trafmonlogs、wsa_esslogs、wsa_w3clogs、wsa_syslog、wsa_amplogs,尤其是ciscocws。
使用思科的高级网络安全报告应用处理任何其他源类型的日志(例如ps)将产生许可证违规错误。
如果您安装产生替代源类型日志的其他应用就会发生这个错误。
4.0和更高版本升级的许可考虑因素 起初,您需要至少一个适于大批量数据的评估许可证以处理历史数据传输。
之后您将需要高级网络安全报告许可证。
1.考虑初始历史数据上传期间以及持续的每日基础之上索引的数据量。
2.获取并上传适合历史数据传输的评估许可证。
3.获取并上传适合要索引的适用源类型的预期数据的高级网络安全报告许可证。
4.将许可证类型由试用变更为评估或高级网络安全报告。
5.确保索引报告到正确的池:a.导航到设置(Settings)>系统(System)>许可(Licensing)并找到相应许可证栈下的“本日使 用的池索引器”(PoolsIndexersVolumeusedtoday)行。
b.如有需要,可以点击编辑(Edit)来更改每日最大分配量和分配的索引器。
c.如果您不做任何更改,请点击取消(Cancel);如果您做出更改,则请点击提交(Submit)。
许可证安装 要获取许可证,请参阅您在下单时提供的信息。
请按照以下步骤来安装高级网络安全报告许可证: 步骤
1 步骤2步骤3步骤4步骤
5 启动高级网络安全报告应用(在浏览器窗口中输入http://:8888)并以默认admin用户身份登录。
导航到设置(Settings)>系统(System)>许可(Licensing)。
点击添加许可证(Addlicense)。
浏览到您的XML许可证文件。
点击安装(Install)。
思科高级网络安全报告5.0安装、设置和用户指南 1-
9 为访问和流量监控日志文件创建文件夹结构 第1章安装和设置 为访问和流量监控日志文件创建文件夹结构 记录 默认路径 流量监控 /$Input_base/wsa_hostname/trafmonlogs/ (Traffic
Monitor) 访问(ess)/$Input_base/wsa_hostname/esslogs/ AMP /$Input_base/wsa_hostname/amplogs/ 变量$Input_base=pathofrootFTPfolder host_name=WSAdevice$Input_base=deployment host_name=WSAdevice$Input_base=deployment host_name=WSAdevice 导入和索引历史数据 准备工作•完成升级到5.0版本的高级网络安全报告应用,第1-5页中列出的配置任务。
•了解文件夹结构。
请参阅为访问和流量监控日志文件创建文件夹结构,第1-10页。
步骤1步骤2步骤
3 将历史日志文件复制到日志文件的文件夹结构中。
在高级网络安全报告应用中,以admin身份登录。
验证是否正在导入数据: a.选择设置(Settings)>数据(Data)>索引(Indexes)。
b.向下滚动至摘要行。
c.验证“最早事件”(Earliestevent)和“最新事件”(Latestevent)列是否显示合理的日期。
如果 在评估许可证下运行历史数据导入,请安装为该帐户下载的默认许可证,并删除任何非生产许可证。
提示如果您发现由于校验和错误,应用对任何类型的已配置输入未在索引文件的话,请将该行crcSalt=添加到inputs.conf文件中的每个输入节。
(以下部分,(可选)配置应用在索引后删除日志文件,介绍inputs.conf文件的编辑。
) 后续操作•配置WSA日志的数据输入,第1-11页。
1-10 思科高级网络安全报告5.0安装、设置和用户指南 第1章安装和设置 设置持续的数据传输 (可选)配置应用在索引后删除日志文件 准备工作如果文件inputs.conf不在目录/cisco_wsa_reporting/etc/apps/cisco_wsa_reporting/local/中,请创建输入配置文件:/cisco_wsa_reporting/etc/apps/cisco_wsa_reporting/local/inputs.conf。
步骤1步骤
2 使用文本编辑器,打开/cisco_wsa_reporting/etc/apps/cisco_wsa_reporting/local/inputs.conf。
添加以下片段:- [batch:///home/logger/ing/wsa176.wga/esslogs/*]
host_segment=4disabled=falsesourcetype=wsa_esslogsmove_policy=sinkhole 步骤
3 其中第一行为发送WSA日志的FTP目录路径。
第二行为包含主机名的FTP路径。
第三行启用此FTP输入。
第四行指定此输入的源。
最后一行,move_policy=sinkhole,启用在原始数据索引完成后将其删除。
保存inputs.conf文件并重新启动高级网络安全报告应用,方法是导航到设置(Settings)>系统(System)>服务器控制(Servercontrols)并点击重新启动(Restart)。
设置持续的数据传输 准备工作•导入和索引历史数据,第1-10页•明确日志文件的路径:为访问和流量监控日志文件创建文件夹结构,第1-10页。
•以admin身份登录高级网络安全报告应用。
配置WSA日志的数据输入 备注要配置来自多个WSA的数据输入,请对每个主机重复以下步骤。
步骤
1 步骤2步骤3步骤
4 步骤
5 在高级网络安全报告应用中: •选择设置(Settings)>数据(Data)>数据输入(Datainputs)>文件和目录(Files&directories)。
禁用标签为CiscoWSA的任何输入。
点击新建(New)。
点击持续监控(ContinuouslyMonitor)并提供将向其发送WSA日志的FTP目录完整路径。
此路径与WSA“日志订用”(LogSubscription)页面上提供的FTP路径必须匹配。
点击“下一步”(Next)。
思科高级网络安全报告5.0安装、设置和用户指南 1-11 设置持续的数据传输 第1章安装和设置 步骤
6 步骤7步骤8步骤9步骤10步骤11 点击手动(Manual)作为“源类型”(Sourcetype)并提供“源类型”(Sourcetype)标签(wsa_esslogs、wsa_trafmonlogs或wsa_amplogs)。
从“应用情景”(AppContext)菜单选择AdvancedWebSecurity5.0.0(高级网络安全5.0.0)。
点击常数值(Constantvalue)并在主机字段值(Hostfieldvalue)字段中提供WSA主机名。
选择默认(Default)作为目标索引。
点击审核(Review)并审核您提供的值。
点击提交(Submit)。
备注您可以导航到设置(Settings)>数据(Data)>数据输入(Datainputs)>文件和目录(Files&directories)以确认新的数据输入条目。
WSA系统日志数据输入的配置 步骤
1 步骤2步骤3步骤4步骤5步骤6步骤
7 步骤8步骤9步骤10步骤11 在高级网络安全报告应用中: •选择设置(Settings)>数据(Data)>数据输入(Datainputs)>TCP。
点击新建(New)。
点击TCP按钮并在端口(Port)字段中输入514,其他字段留空。
点击下一步(Next)。
点击手动(Manual)并在“源类型”(Sourcetype)字段中输入wsa_syslog。
选择AdvancedWebSecurity5.0.0作为应用情景(AppContext)。
在“主机”(Host)部分,点击自定义(Custom)作为“方法”(Method)字段,然后输入WSA主机名作为“主机”(Host)字段值。
选择默认(Default)作为目标索引。
点击审核(Review)并审核您提供的值。
点击提交(Submit)。
导航到设置(Settings)>数据(Data)>数据输入(Datainputs)>TCP以确定新的输入条目。
备注对于多个设备配置,您必须对每个设备在高级网络安全报告应用中重复这些步骤。
但是,您还可以通过编辑inputs.conf文件来配置多个设备。
1-12 思科高级网络安全报告5.0安装、设置和用户指南 第1章安装和设置 设置持续的数据传输 从网络安全设备建立日志传输 准备工作•明确日志文件的路径:为访问和流量监控日志文件创建文件夹结构,第1-10页。
•确定传输频率,不大于60分钟增量。
•打开网络安全设备的Web界面。
步骤
1 步骤2步骤
3 在网络安全设备的Web界面中,导航到系统管理(SystemAdministration)>日志订用(LogSubscriptions)。
点击添加日志订用(AddLogSubscription),或点击现有订用的名称对其进行编辑。
配置订用(此示例特指访问、AMP引擎和流量监控日志): 设置日志类型(LogType) 日志名称(LogName)(根据您的AsyncOS版本)按文件大小滚动(RolloverbyFileSize) 日志类型 访问(ess)流量监控(TrafficMonitor) AMP引擎(AMPEngine) 任
一 任一 值esslogstrafmonlogs amp_logs 日志目录的名称。
建议不超过500MB。
最大文件大小(MaximumFileSize)(此选项的可用性取决于AsyncOS版本)按时间滚动(RolloverbyTime)日志样式(LogStyle) 日志级别(LogLevel) (可选)自定义字段(CustomFields) 任
一 建议自定义滚动间隔为一小时(1h)或更频繁的滚动。
对于AMP日志,建议为一分钟(1m)。
访问(ess)流量监控(TrafficMonitor)AMP引擎(AMPEngine)访问(ess)流量监控(TrafficMonitor)AMP引擎(AMPEngine) 仅“访问”(ess) Squid不适用 不适用 不适用不适用 选择调试(Debug)。
备注将AMP报告的日志级别(LogLevel)更 改为调试(Debug)非常重要,否则将不会报告任何信息。
%XK(添加Web信誉威胁原因。
) 思科高级网络安全报告5.0安装、设置和用户指南 1-13 配置CWS日志更新 第1章安装和设置 设置检索方法(RetrievalMethod) 远程服务器上的FTP(FTPonRemoteServer) 日志类型任
一 检索方法(RetrievalMethod)任一系统日志推送(SyslogPush) 值 主机名(Hostname):高级网络安全报告主机的IP地址或主机名。
目录(Directory):高级网络安全报告实例目录的名称。
用户名/密码(Username/Password):访问应用的FTP用户名和密码。
备注如果高级网络安全报告和WSA之间的连接断开,则该时段的日志在连接恢复之前将不可用。
主机名(Hostname):高级网络安全报告主机的IP地址或主机名。
协议(Protocol):TCP。
设备(Facility):选择auth。
备注如果高级网络安全报告和WSA之间的连接断开,则该时段的日志在连接恢复之前将不可用。
备注访问从“添加日志订用”(AddLogSubscription)页面访问在线帮助将打开有关所有设置的详细信息。
配置CWS日志更新 准备工作•以admin身份登录高级网络安全报告应用。
步骤
1 步骤2步骤3步骤4步骤
5 步骤6步骤
7 在高级网络安全报告应用中: •选择设置(Settings)>数据(Data)>数据输入(Datainputs)>思科CWS日志(CiscoCWSLogs)。
点击新建(New)。
为此数据输入提供一个有意义的名称(name)。
提供已由CWS提供的client_id、s3_key和s3_secret。
client_id为CWS中使用的bucketID。
点击更多设置(Moresettings)复选框并提供以秒为单位的时间间隔(Interval),系统以此间隔拉取CWS日志;默认值为3600。
点击下一步(Next)。
成功屏幕随即出现。
1-14 思科高级网络安全报告5.0安装、设置和用户指南 第1章安装和设置 设置部门成员查询(可选) 备注您可以导航到设置(Settings)>数据(Data)>数据输入(Datainputs)>思科CWS日志(CiscoCWSLogs)以确定新的数据输入条目。
设置部门成员查询(可选) 在这些条件下执行部门成员要求的设置步骤:•您将使用AD/LDAP组绑定到高级网络安全报告应用中的角色。
•您将在基于组织角色的数据上运行报告。
相关主题•按角色对部门报告进行访问限制,第1-16页 设置部门成员报告 准备工作•Linux用户:使用以下命令安装ldapsearch工具: sudoyuminstallopenldap-clients 步骤1步骤2步骤
3 步骤
4 在高级网络安全报告应用中: •选择设置(Settings)>数据(Data)>数据输入(Datainputs)>AD/LDAP服务器详情(AD/LDAPServerDetails)。
点击AD/LDAP服务器详情(AD/LDAPServerDetails)。
在“LDAPAD服务器详情”(LDAPADServerDetails)页面上,提供以下服务器信息,然后点击保存(Save):•AD/LDAP服务器名称–•AD/LDAP用户名–•AD/LDAP用户密码并予以确认–•AD/LDAP组名称–选择设置(Settings)>数据(Data)>数据输入(Datainputs)>脚本(scripts)以启用成员脚本:•在Linux中,脚本名称为discovery.py。
•在Windows中,脚本名称为discovery.vbs。
默认情况下,成员脚本设置为每天运行。
间隔以秒为单位进行设置,并可通过导航到设置(Settings)>数据(Data)>数据输入(Datainputs)>脚本(scripts)并编辑discovery文件中的间隔予以更改。
您可以通过检查文件/etc/apps/cisco_wsa_reporting/lookups/departments.csv来验证脚本是否已将用户数据填入文件departments.csv。
思科高级网络安全报告5.0安装、设置和用户指南 1-15 设置部门成员查询(可选) 第1章安装和设置 注在Windows中,如果此时departments.csv文件未填入数据,请将目录更改为\etc\apps\cisco_wsa_reporting\bin,并运行cscriptdiscovery.vbs,其中为C:\ProgramFiles\Cisco\CiscoWSAReporting。
默认情况下,成员脚本设置为每天运行。
间隔以秒为单位进行设置,并可根据各个部署要求进行更改。
按角色对部门报告进行访问限制 准备工作•请了解如果用户被限制查看来自特定部门或组的数据,则第4层传输监控(L4TM)数据将仅 对管理员可用,这是因为L4TM数据与部门或角色之间没有关联。
•以admin身份登录高级网络安全报告应用。
步骤
1 步骤2步骤
3 步骤
4 在高级网络安全报告应用中, •选择设置(Settings)>用户和身份验证(Usersandauthentication)>访问控制(esscontrols)>角色(Roles)。
点击新建(New)或编辑现有角色。
定义角色的搜索限制。
示例:要限制某个角色查看销售部门的数据,在限制搜索词(Restrictsearchterms)字段中,输入department=sales。
点击保存(Save)。
对部门成员报告进行故障排除 提示•Linux用户:验证ldapsearch工具是否位于高级网络安全报告用户的路径中。
•验证应用的lookup文件夹中是否存在departments.csv文件。
•Windows用户:注释掉optionexplicit以显示错误来源及原因的更为具体的信息。
•验证LDAP路径的语法是否正确。
•验证绑定服务帐户名称是否正确。
•验证输入的绑定密码是否正确。
•在389端口上测试到远程计算机的连接。
•验证为成员名称配置的属性是否正确。
•验证为组成员身份使用的属性是否正确。
•验证为组名称配置的属性是否正确。
1-16 思科高级网络安全报告5.0安装、设置和用户指南 第1章安装和设置 设置计划式PDF报告(可选) 设置计划式PDF报告(可选) 高级网络安全报告应用用户可以从任何控制面板、视图、搜索或报告中安排PDF输出生成。
请按照这些配置步骤设置计划式PDF报告:•配置邮件提示,第1-17页•安排PDF报告生成,第1-18页 配置邮件提示 您可以配置高级网络安全报告应用在PDF报告生成之后立即发送邮件提示。
准备工作•以admin身份登录高级网络安全报告应用。
步骤1步骤
2 步骤3步骤4步骤
5 在高级网络安全报告应用中: •选择设置(Settings)>系统(System)>服务器设置(ServerSettings)>邮件设置(EmailSettings)。
输入或更新必要的“邮件服务器设置”(MailServerSettings)以便发送提示邮件:a.邮件主机(Mailhost)–输入SMTP服务器主机名。
b.邮件安全(Emailsecurity)(可选)–选择邮件安全选项。
当应用与SMTP服务器通信时可以 使用SSL或TLS。
c.用户名(Username)–输入SMTP服务器身份验证期间要使用的名称。
d.密码(Password)–对指定用户名配置的密码。
e.确认密码(Confirmpassword)–重新输入密码。
提供必要的邮件格式信息: a.链路主机名(Linkhostname)–服务器用以创建外发结果的主机名。
b.邮件发送人(Sendemailas)–显示为邮件发起人的发件人名称。
c.邮件页脚(Emailfooter)–在已发送邮件中显示为页脚的注释。
如有需要可更改PDF报告设置:选择报告纸张大小(ReportPaperSize)和报告纸张方向(ReportPaperOrientation)。
点击保存(Save)。
思科高级网络安全报告5.0安装、设置和用户指南 1-17 设置计划式PDF报告(可选) 第1章安装和设置 安排PDF报告生成 您可以安排任意自定义控制面板PDF报告的常规生成和邮件发送。
有关创建自定义控制面板的信息,请参阅另存为控制面板,第2-2页。
准备工作•以admin身份登录高级网络安全报告应用。
步骤1步骤2步骤
3 步骤4步骤
5 从自定义控制面板(CustomDashboards)菜单中选择所需的控制面板。
选择编辑(Edit)>安排PDF发送(SchedulePDFDelivery)。
在“编辑PDF计划”(EditPDFSchedule)对话框中,选中安排PDF(SchedulePDF)并提供计划、邮件和页面选项。
(可选)点击发送测试邮件(SendTestEmail)以确认生成的PDF作为附件发送到指定的邮件地址。
(可选)点击预览PDF(PreviewPDF)来预览生成的PDF。
1-18 思科高级网络安全报告5.0安装、设置和用户指南 第2章 报告 •报告概述,第2-1页•访问报告,第2-1页•另存为控制面板,第2-2页•数据格式,第2-3页•时间范围,第2-3页•导出,第2-4页•常规数据与特定数据,第2-4页•预定义报告,第2-5页•使用场景,第2-7页 报告概述 高级网络安全报告包括一组预定义的报告。
该报告与网络安全设备的本地报告尽可能地保持一致。
备注与仅通过网络安全设备生成的报告相比,使用高级网络安全报告生成的报告可能会显示更多数据。
访问报告 准备工作高级网络安全报告管理员可对您在“概述”(Overview)报告和“网络跟踪”(WebTracking)报告上所看到的网络安全设备(主机)进行控制。
请联系您的高级网络安全报告管理员,提供您希望添加、删除或重命名的任何主机的详细信息。
步骤
1 步骤2步骤
3 使用Web浏览器登录到高级网络安全报告应用。
系统会显示摘要信息。
从其他菜单中选择一个报告。
请参阅预定义报告,第2-5页。
如果适用,请选择时间范围、数据源和主机。
思科高级网络安全报告5.0安装、设置和用户指南 2-
1 另存为控制面板 第2章报告 提示可通过指定较小的时间范围并尽可能进行精确搜索来提高性能。
另存为控制面板 在每个报告页面上,您可以为选定的时间范围、源类型和主机创建自定义报告页面或“控制面板”。
步骤1步骤
2 步骤
3 在当前报告页面上,根据需要修改报告的搜索参数,然后点击另存为控制面板(SaveAsDashboard)按钮。
在“另存为控制面板面板”(SaveAsDashboardPanel)对话框中提供以下信息: •控制面板标题(DashboardTitle)–新控制面板的显示名称。
当将任何报告页面另存为控制面板时,您必须提供适当标题来反映选定的输入,以便区分自定义控制面板。
•控制面板ID(DashboardID)–提供文件名以保存控制面板;以后无法更改。
•控制面板说明(DashboardDescription)–(可选)简要说明。
•控制面板权限(DashboardPermissions)–选择专用(Private)或应用内共享(SharedinApp)。
专用控制面板仅对您可见,而共享控制面板对所有用户可见。
点击保存(Save)。
新的控制面板会添加到自定义控制面板(CustomDashboards)菜单;可从该菜单选择自定义控制面板以查看和编辑该控制面板。
编辑自定义控制面板 您可以编辑当前显示的自定义控制面板,改变个别报告面板的位置或予以删除,更改控制面板的标题和说明,修改这些面板中搜索查询的时间范围,修改面板的图表类型等。
步骤
1 点击当前自定义控制面板中的编辑(Edit)按钮并选择以下选项之一:•编辑面板(EditPanels)–启用面板编辑:拖动面板标题栏以改变其位置;点击其关闭按钮以 删除面板;在面板标题之上添加标签;点击相应按钮以: –更改面板图表类型。
–更改图表参数。
•编辑标题或说明(EditTitleorDescription)–更改整个控制面板的标题和说明。
•编辑权限(EditPermissions)–更改整个控制面板的查看权限。
•安排PDF发送(SchedulePDFDelivery)–安排由此控制面板常规生成的报告PDF;生成的PDF稍后会通过邮件发送到您已指定的地址。
•删除(Delete)–删除整个控制面板。
思科高级网络安全报告5.0安装、设置和用户指南 2-
2 第2章报告 数据格式 步骤2步骤
3 您也可以点击添加面板(AddPanel),将来自类似自定义控制面板的面板添加到此控制面板。
在您点击自定义控制面板的编辑(Edit)按钮后会显示此按钮。
在您完成编辑此控制面板后,请点击完成(Done)。
数据格式 在某些情况下,通过高级网络安全报告可用的数据与通过本地报告功能可用的数据的显示有所不同。
数据大数字(大于七位数)时间 格式示例 2E11表示2x1011d+hh:mm:ss.ms表示已经过的天数、小时数、分钟数、秒数以及毫秒数。
例如,1+03:22:36.00表示一天三小时22分钟36秒0毫秒。
时间范围 提示请选择较小的时间范围以更快地返回结果。
数据可用性计时 范围小时天星期 90天自定义:小于每小时自定义:小于每日自定义:小于每周 索引开始该小时过后每日午夜之后星期六午夜之后(星期日早上)第90天的午夜之后。
该小时过后每日午夜之后星期六午夜之后(星期日早上) 报告中出现的数据索引开始后的60-90分钟索引开始后的一天索引开始后的一周 索引开始后的90天。
索引开始后的60-90分钟索引开始后的一天索引开始后的一周 思科高级网络安全报告5.0安装、设置和用户指南 2-
3 导出 导出 导出到.CSV文件 此选项可用于跟踪类型的报告。
步骤1步骤
2 生成报告。
选择导出(Export)。
第2章报告 导出到PDF文件 准备工作•验证高级网络安全报告管理员是否已启用PDF输出。
步骤1步骤
2 生成报告。
选择另存为PDF(SaveasPDF)。
相关主题•设置计划式PDF报告(可选),第1-17页 常规数据与特定数据 预定义的常规报告提供预定义特定报告的超链接。
查看特定数据 步骤1步骤
2 选择最适当的预定义常规报告。
例如,如果您需要有关某用户的特定信息,请以预定义的“用户”(Users)报告开始。
点击您需要特定数据的主题的超链接。
例如,点击单个用户的“用户ID”(UserID)。
相关主题•导出,第2-4页 思科高级网络安全报告5.0安装、设置和用户指南 2-
4 第2章报告 搜索 搜索 对大部分报告页面,简单和高级搜索选项均可用。
搜索提示 •让搜索尽可能地具体,并缩小时间范围。
•高级网络安全报告使用一组文件填入菜单。
如果菜单存在问题,请确认应用的查找文件夹中存在必要文件,包括:–malware_categories.csv–transaction_types.csv–url_categories.csv •管理员可以编辑应用内可见的URL类别列表。
当类别出现在访问日志中,但不存在于查找文件中时,高级网络安全报告会显示“自定义类别”(CustomCategory)。
•管理员可以控制“网络跟踪”(WebTracking)表单中下拉字段中可用的选项。
对搜索进行故障排除 departments.csv是用作基于角色的安全功能一部分的文件。
此文件可以手动编辑,也可以通过将其中一个角色发现脚本(位于应用的bin文件夹中)配置为脚本化输入来进行编辑。
Linux和Windows均具有各自的脚本。
•确保文件位于应用的查找文件夹中。
•如果使用Linux版脚本,请确保CLI命令ldapsearch已安装并位于应用用户的路径中。
•如果使用Windows版脚本,系统会将“optionexplicit”注释掉以显示有关错误可能来源的原 因及位置的更为具体的信息。
•验证LDAP路径的语法是否正确。
•验证绑定服务帐户名称是否正确。
•验证输入的绑定密码是否正确。
•在389端口上测试到远程计算机的连接。
•验证为成员名称配置的属性是否正确。
•验证为组成员身份使用的属性是否正确•验证为组名称配置的属性是否正确。
预定义报告 •概述•用户分析 –概述–基于位置–用户溯源 思科高级网络安全报告5.0安装、设置和用户指南 2-
5 预定义报告 第2章报告 •浏览分析–域 –URL类别 •应用分析–概述–应用基于位置应用溯源–应用类型应用类型溯源 •安全分析–L4流量监控概述L4TM溯源–防恶意软件概述客户端恶意软件风险基于位置恶意软件类别溯源恶意软件威胁溯源–Web信誉过滤器概述基于位置–高级恶意软件防护概述AMP溯源文件分析–您可以点击“来自此设备的已完成的分析请求”(CompletedAnalysisRequestsfromThisAppliance)表中任意条目的文件ID(SHA256)以打开该文件的“文件分析详细信息”(FileAnalysisDetail)页面。
“文件分析详细信息”(FileAnalysisDetail)页面包括“文件分析服务器URL”(FileAnalysisServerURL)文本框,您可以在其中指定希望查看其数据的文件分析服务器。
通常情况下,8.5下所有WSA版本中此URL均为。
但是,如果对此特定文件的分析使用其他服务器(可能供演示用途),您可以在此更改服务器URL以查看此文件的详细信息(由其SHA进行识别,您通过点击其SHA以查看此溯源报告)。
AMP裁决更新 思科高级网络安全报告5.0安装、设置和用户指南 2-
6 第2章报告 使用场景 •网络跟踪–代理服务–SOCKS–SOCKS溯源 相关主题•访问报告,第2-1页•搜索,第2-5页 使用场景 用户调查 此示例演示了系统管理员将如何调查公司中的特定用户。
在此场景中,经理收到关于员工在工作时访问不当网站的投诉。
为了调查此用户,系统管理员现在需要查看员工的网络使用趋势和事务历史记录: •按事务总数的URL类别•按事务总数的趋势 •匹配的URL类别•匹配的域 •匹配的应用程序 •检测到的恶意软件威胁数 •匹配特定用户ID或客户端IP的策略使用这些报告,以用户“johndoe”为例,系统管理员了解他曾尝试访问被阻止的URL,可在“域”(Domains)部分下的“被阻止的事务”(TransactionsBlocked)列中进行查看。
查看网络使用趋势 步骤1步骤
2 从思科高级网络安全报告下拉菜单中选择用户(Users)。
点击用户ID或客户端IP地址。
备注如果您没有在“用户”(Users)表中看到希望调查的用户ID或客户端IP地址,请点击任意用户ID或客户端IP。
接着搜索全部或部分用户ID或客户端IP地址。
步骤3(可选)选择操作(Actions)>打印(Print)。
思科高级网络安全报告5.0安装、设置和用户指南 2-
7 使用场景 查看事务历史记录 步骤1步骤2步骤3步骤
4 从思科高级网络安全报告下拉菜单中选择网络跟踪(WebTracking)。
搜索(Search)用户ID/客户IP地址。
点击事务列表上方的挑选字段(Pickfields)以更改对每个事务显示的信息。
(可选)点击导出(Export)将数据导出到CSV文件。
第2章报告 已访问的URL 在此场景中,销售经理希望了解其所在公司上星期访问量最高的前五个网站。
此外,该经理希望了解哪些用户要访问那些网站。
查看访问最频繁的网站 步骤1步骤2步骤3步骤
4 从思科高级网络安全报告下拉菜单中选择网站(WebSites)。
从“时间范围”(TimeRange)下拉列表中选择周(Week)。
在“匹配的域”(DomainsMatched)表中查看前25个域。
点击域以按频率顺序查看访问过该域的用户。
已访问的URL类别 在此场景中,人力资源经理希望了解所有员工在过去30天内访问的前三种URL类别。
此外,网络经理希望获得此信息以监控带宽使用量,从而了解哪些URL在网络中占用最多带宽。
下面的示例旨在向您展示如何为多人收集涵盖多个关注点的数据,与此同时只需生成一个报告。
查看最常见的URL类别 步骤1步骤2步骤3步骤4步骤5步骤
6 从思科高级网络安全报告下拉菜单中选择URL类别(URLCategories)。
查看按事务总数排名前十的URL类别图表。
(可选)点击导出PDF(ExportPDF)按钮。
保存PDF并将其发送给相应人员。
查看“URL类别匹配”(URLCategoriesMatches)表中的“允许的字节数”(BytesAllowed)列。
(可选)点击导出PDF(ExportPDF)按钮。
保存PDF并将其发送给相应人员。
要得到更精细结果,请选择特定的URL类别。
思科高级网络安全报告5.0安装、设置和用户指南 2-
8
有关地址、电话号码和传真号码信息,可查阅思科网站:/go/offices 本手册中有关产品的规格和信息如有更改,恕不另行通知。
本手册中的所有声明、信息和建议均准确可靠,但我们不为其提供任何明示或暗示的担保。
用户必须承担使用产品的全部责任。
随附产品的软件许可和有限担保在随产品一起提供的信息包中提供,且构成本文的一部分。
如果您无法找到软件许可或有限担保,请与思科代表联系以获取副本。
思科所采用的
TCP报头压缩是加州大学伯克莱分校(UCB)开发的一个程序的改版,是UCB的UNIX操作系统公共域版本的一部分。
版权所有。
版权所有©1981,加州大学董事会。
无论在该手册中是否作出了其他担保,来自这些供应商的所有文档文件和软件都按“原样”提供且仍有可能存在缺陷。
思科和上述供应商不承诺所有明示或暗示的担保,包括(但不限于)对特定用途的适销性、适用性、非侵权性以及因交易、使用或商业惯例所衍生的担保。
在任何情况下,对于任何间接、特殊、连带发生或偶发的损坏,包括(但不限于)因使用或无法使用本手册而导致的任何利润损失或数据损失或损坏,思科及其
供应商概不负责,即使思科及其供应商已获知此类损坏的可能性也不例外。
思科和思科徽标是思科和/或其附属公司在美国和其他国家/地区的商标或注册商标。
要查看思科商标列表,请访问此URL:/go/trademarks。
文中提及的第三方商标为其相应所有者的财产。
“合作伙伴”一词的使用并不意味着思科和任何其他公司之间存在合作伙伴关系。
(1110R) 本文档中使用的任何互联网协议(IP)地址和电话号码并非实际地址和电话号码。
本文档中所含的任何示例、命令显示输出、网络拓扑图和其他图形仅供说明之用。
说明性内容中用到的任何真实IP地址或电话号码纯属巧合,并非有意使用。
思科高级网络安全报告5.0安装、设置和用户指南©2013-2015思科系统公司。
版权所有。
目录 简介1-15.0版中的新增功能1-2支持和不支持的功能1-
2 系统要求及规模和扩展建议1-3设置概述1-3安装5.0版本的高级网络安全报告应用1-
3 在Linux中1-3在Windows中1-4升级到5.0版本的高级网络安全报告应用1-5从4.0或更高版本升级1-
5 在Linux中1-5在Windows中1-6从3.0版本升级到5.0版本1-6管理员1-7配置最佳实践1-7启动和停止高级网络安全报告应用的命令1-7在Linux中1-7在Windows中1-8许可和迁移1-8从3.0版本WSA迁移到4.0版本仅WSA报告1-8从3.0版本仅WSA报告迁移到4.0版本混合报告1-8新的混合报告许可证1-9混合报告许可证问题1-94.0和更高版本升级的许可考虑因素1-9许可证安装1-9为访问和流量监控日志文件创建文件夹结构1-10导入和索引历史数据1-10(可选)配置应用在索引后删除日志文件1-11设置持续的数据传输1-11配置WSA日志的数据输入1-11WSA系统日志数据输入的配置1-12从网络安全设备建立日志传输1-13配置CWS日志更新1-14 思科高级网络安全报告5.0安装、设置和用户指南
1 目录 设置部门成员查询(可选)1-15设置部门成员报告1-15按角色对部门报告进行访问限制1-16对部门成员报告进行故障排除1-16 设置计划式PDF报告(可选)1-17配置邮件提示1-17安排PDF报告生成1-18 报告概述2-1访问报告2-1另存为控制面板2-
2 编辑自定义控制面板2-2数据格式2-3时间范围2-
3 数据可用性计时2-3导出2-
4 导出到.CSV文件2-4导出到PDF文件2-4常规数据与特定数据2-4查看特定数据2-4搜索2-5搜索提示2-5对搜索进行故障排除2-5预定义报告2-5使用场景2-7用户调查2-
7 查看网络使用趋势2-7查看事务历史记录2-8已访问的URL2-8查看访问最频繁的网站2-8已访问的URL类别2-8查看最常见的URL类别2-
8 思科高级网络安全报告5.0安装、设置和用户指南
2 安装和设置 第1章 •简介,第1-1页•系统要求及规模和扩展建议,第1-3页•设置概述,第1-3页•安装5.0版本的高级网络安全报告应用,第1-3页•升级到5.0版本的高级网络安全报告应用,第1-5页•许可和迁移,第1-8页•为访问和流量监控日志文件创建文件夹结构,第1-10页•导入和索引历史数据,第1-10页•设置持续的数据传输,第1-11页•配置CWS日志更新,第1-14页•设置部门成员查询(可选),第1-15页•设置计划式PDF报告(可选),第1-17页 简介 思科高级网络安全报告应用提供报告和控制面板,其目的在于对来自多个思科网络安全设备和来自 思科云网络安全(CWS)网关的大批量数据提供深入的了解。
高级网络安全报告应用包括数据收集和报告应用,以及转发收集自网络安全设备(WSA)和CWS服务的日志数据的相关服务器。
备注云网络安全有时也称为“ScanSafe”。
高级网络安全报告应用接收日志数据并将其存储在default/main索引中。
您可以使用预定义报告查看这些数据。
思科高级网络安全报告5.0安装、设置和用户指南 1-
1 简介 第1章安装和设置 图1-1 5.0版中的新增功能 高级网络安全报告系统的一般架构。
特性从早期版本无缝升级CWS的AMP报告安排整个报告的邮件发送自定义控制面板支持 最新的界面 支持和不支持的功能 说明 添加/删除现有面板选择图表格式创建自己的控制面板最新的应用“外观和感觉”。
组件报告(Reports) 服务器(Server)传输方法(TransportMethods) 支持包括在高级网络安全报告应用中的报告单服务器部署FTP(文件和目录) TCP(系统日志) 不支持自定义报告 多服务器部署不适用 思科高级网络安全报告5.0安装、设置和用户指南 1-
2 第1章安装和设置 系统要求及规模和扩展建议 组件PDF 自定义控制面板(CustomDashboards) 支持 集成式PDF生成 计划式PDF报告对于每个报告,可另存为控制面板(SaveAsDashboard)以为选定的时间范围、源类型和主机(有限)创建自定义控制面板。
不支持不适用 系统要求及规模和扩展建议 系统要求,以及规模和扩展建议,在高级网络安全报告版本说明中有详细说明,可通过以下地址查看/c/en/us/support/security/web-security-appliance/products-release-notes-list.html 设置概述 包括以下其中一种情况:
•第一次安装高级网络安全报告应用: –安装5.0版本的高级网络安全报告应用,第1-3页–许可和迁移,第1-8页–为访问和流量监控日志文件创建文件夹结构,第1-10页–导入和索引历史数据,第1-10页–设置持续的数据传输,第1-11页(包括网络安全设备的设置。
)–配置CWS日志更新,第1-14页或:•升级到5.0版本的高级网络安全报告应用,第1-5页 安装5.0版本的高级网络安全报告应用 请按照本节介绍的步骤安装5.0版本的高级网络安全报告应用。
•在Linux中,第1-3页•在Windows中,第1-4页 在Linux中必须按照以下顺序执行这些任务: 步骤
1 下载高级网络安全报告5.0软件的安装程序: ?
mdfid=282803425&softwareid=283998384&release=5.0&relind=AVAILABLE&rellifecycle=&reltype=latest 思科高级网络安全报告5.0安装、设置和用户指南 1-
3 安装5.0版本的高级网络安全报告应用 第1章安装和设置 步骤
2 解压安装程序软件。
要安装到当前工作目录中,请发出此命令: tarzxvfcisco_wsa_reporting-5.0.0.tgz. 要安装到/opt/cisco-wsa_reporting/目录中,请使用以下命令: tarzxvfcisco_wsa_reporting-5.0.0.tgz-C/opt 步骤
3 将目录更改为/cisco_wsa_reporting/,然后运行安装脚本: cdcisco_wsa_reporting./setup.sh 步骤
4 安装期间会显示进度和里程碑语句。
启动高级网络安全报告应用并登录:a.在浏览器窗口中导航到http://
注早期版本使用的是8000端口;从4.0版本开始,所使用的端口为8888。
b.使用用户名admin登录,密码为Cisco@dmin。
c.修改admin密码。
后续步骤•许可和迁移,第1-8页 在Windows中 准备工作Windows仅允许安装一种版本的高级网络安全报告软件。
因此,如果安装了早期版本,必须备份现有数据并卸载该早期版本,然后安装新版本。
步骤
1 步骤2步骤3步骤
4 步骤5步骤
6 下载高级网络安全报告5.0软件的安装程序:?
mdfid=282803425&softwareid=283998384&release=5.0&relind=AVAILABLE&rellifecycle=&reltype=latest解压安装程序;您可以使用7-Zip、WinZip等应用。
以管理员身份启动命令行外壳(PowerShell),并将目录更改为您解压安装程序的目录。
运行install.bat。
应用会安装到C:\ProgramFiles\Cisco\CiscoWSAReporting文件夹中。
重新启动高级网络安全报告服务器。
启动高级网络安全报告应用并登录:a.在浏览器窗口中导航到http://
注早期版本使用的是8000端口;从4.0版本开始,所使用的端口为8888。
思科高级网络安全报告5.0安装、设置和用户指南 1-
4 第1章安装和设置 升级到5.0版本的高级网络安全报告应用 b.使用用户名admin登录,密码为Cisco@dmin。
c.修改admin密码。
后续步骤•许可和迁移,第1-8页 升级到5.0版本的高级网络安全报告应用 •从4.0或更高版本升级,第1-5页•从3.0版本升级到5.0版本,第1-6页 从4.0或更高版本升级 请按照此节介绍的步骤从4.0或4.5版本升级到5.0版本。
•在Linux中,第1-5页•在Windows中,第1-6页 在Linux中 必须按照以下顺序执行这些任务: 步骤
1 步骤2步骤3步骤
4 下载高级网络安全报告5.0软件的安装程序(CiscoAdvancedWebSecurityReporting_Linux_5_0_0.tgz):?
mdfid=282803425&softwareid=283998384&release=5.0&relind=AVAILABLE&rellifecycle=&reltype=latest 将下载的安装程序文件复制到cisco_wsa_reporting目录的基目录。
例如,如果高级网络安全报告的早期版本安装在/opt/cisco_wsa_reporting/中,则将.tgz文件放入/opt/目录中。
将目录更改为安装的基目录(例如/opt/)。
发出此命令以解压安装程序: tar-zxvfCiscoAdvancedWebSecurityReporting_Linux_5_0_0-002.tgzcisco_wsa_reporting/SeamlessUpgrade.sh;cp-fcisco_wsa_reporting/SeamlessUpgrade.sh. 步骤
5 运行升级脚本: ./SeamlessUpgrade.shCiscoAdvancedWebSecurityReporting_Linux_5_0_0-002.tgz 思科高级网络安全报告5.0安装、设置和用户指南 1-
5 升级到5.0版本的高级网络安全报告应用 第1章安装和设置 在Windows中 必须按照以下顺序执行这些任务: 步骤
1 步骤2步骤3步骤
4 下载安装高级网络安全报告5.0软件的安装程序(CiscoAdvancedWebSecurityReporting_Windows_5_0_0.tgz):?
mdfid=282803425&softwareid=283998384&release=5.0&relind=AVAILABLE&rellifecycle=&reltype=latest 解压安装程序;您可以使用7-Zip、WinZip等应用。
以管理员身份启动命令行外壳(PowerShell),并将目录更改为您解压安装程序的目录。
执行.\WinSeamlessUpgrade.ps1命令升级高级网络安全报告应用。
从3.0版本升级到5.0版本 您必须按照此节中介绍的步骤将3.0版本的安装升级到5.0版本。
从3.0版本的安装升级涉及以下基本步骤: •备份3.0版本现有索引数据的副本。
•关闭新安装的5.0版本应用。
•将3.0版本的备份数据复制到新的数据目录。
•重新启动5.0版本应用。
以下是详细步骤。
对于这些说明,我们假设3.0版本在/opt/splunk中运行,而新版本在/opt/cisco_wsa_reporting中运行。
请您相应地调整路径。
步骤
1 停止旧版本: /opt/splunk/bin/splunk 步骤2步骤
3 编辑旧的inputs.conf文件(/opt/splunk/etc/apps/SplunkforCiscoIronportWSA/local/inputs.conf)并禁用所有输入。
重新启动旧版本: /opt/splunk/bin/splunkstart 步骤
4 验证主索引中是否未遗留任何hotbucket: cd/opt/splunk/var/lib/splunk/defaultdb/db ls-lahot*(验证是否无结果) 步骤
5 再次停止旧版本: /opt/splunk/bin/splunk 步骤
6 验证新版本是否未处于运行状态: /opt/cisco_wsa_reporting/shutdown.sh 思科高级网络安全报告5.0安装、设置和用户指南 1-
6 第1章安装和设置 升级到5.0版本的高级网络安全报告应用 步骤
7 清理新版本的索引文件夹: cd/opt/cisco_wsa_reporting/var/lib/splunkrm-rf* 步骤
8 将索引从旧版本复制到新版本: cd/opt/cisco_wsa_reporting/var/lib/splunkcp-r/opt/splunk/var/lib/splunk/defaultdb.cp-r/opt/splunk/var/lib/splunk/fishbucket. 步骤
9 启动新版本的高级网络安全报告: /opt/cisco_wsa_reporting/startup.sh 步骤10在浏览器中,打开http://
管理员 高级网络安全报告应用提供两个管理员: •“默认管理员”(用户名:admin,密码:Cisco@dmin)将可访问所有管理功能。
admin用户可以安装许可证并配置分布式环境。
使用此帐户配置、测试和故障排除。
•第二种管理员(用户名:wsa_admin,密码:Ironp0rt)可访问下级管理功能。
我们建议您在安装后修改这两个密码(设置[Settings]>用户和身份验证[UsersandAuthentication]>访问控制[essControls]>用户[Users])。
配置最佳实践 •在WSA和CWS设备上设置一致的时区。
搜索结果中显示的时间反映高级网络安全报告实例的‘本地’时间。
默认情况下,设备日志的所有输入设置为TZ=GMT。
•记录本地admin帐户密码(忽略选定的身份验证方法)。
启动和停止高级网络安全报告应用的命令 在Linux中 要停止高级网络安全报告应用:将目录更改为/cisco_wsa_reporting/并发出此命令: ./shutdown.sh 要启动高级网络安全报告应用:将目录更改为/cisco_wsa_reporting/并发出此命令: /startup.sh 思科高级网络安全报告5.0安装、设置和用户指南 1-
7 许可和迁移 第1章安装和设置 在Windows中 要停止高级网络安全报告应用:将目录更改为
许可和迁移 4.5版本中添加的三个AMP报告仅支持WSAAMP日志。
从4.0版本开始,高级网络安全报告应用同时支持WSA和CWS日志报告,这被称为“混合报告”。
要使用混合报告,您必须安装新许可证。
您可以继续使用当前许可证的仅WSA报告。
各类许可和迁移场景包括:•从3.0版本WSA迁移到4.0版本仅WSA报告•从3.0版本仅WSA报告迁移到4.0版本混合报告•新的混合报告许可证 从3.0版本WSA迁移到4.0版本仅WSA报告 您可以安装4.0或更高版本的软件,而您之前安装的许可证将继续提供WSA报告。
此外,4.0和更高版本的软件中嵌入有评估许可证;此许可证包括额外报告源类型,它将允许您评估混合报告。
从3.0版本仅WSA报告迁移到4.0版本混合报告 如上一节所述,您可以安装4.0或更高版本的软件,而您之前安装的许可证将继续提供WSA报告。
此外,嵌入式评估许可证将允许您评估混合报告功能。
为了从仅WSA迁移到混合报告,您必须开启思科技术支持中心(TAC)支持案例来删除您现有的许可证并安装新的混合报告许可证,其中包括源类型的完整列表,即包括ciscocws源类型。
/ServiceRequestTool/scm/mgmt/case 备注仅当您从3.0版本仅WSA报告升级到4.0或更高版本的混合报告时才需要联系TAC。
思科高级网络安全报告5.0安装、设置和用户指南 1-
8 第1章安装和设置 许可和迁移 新的混合报告许可证 在以新的高级网络安全报告用户身份安装完4.0或更高版本的软件后,要使用WSA和混合网络安全报告,您可以在评估期限内无限制地使用嵌入式评估许可证。
要在评估期限结束后继续使用,或要提供评估限制之外的报告,您必须获得主混合许可证。
对于新安装,使用您订单所提供的infodoc来请求该许可证。
混合报告许可证问题 如果您遇到混合报告问题,在联系思科之前,请确认您已购买CWS日志提取许可证(L-CWS-LOG-LIC=),并且您已设置自己的环境以导入CWS日志。
此外,请确保报告应用许可证(购买SMA-WSPL-LIC=、SMA-WSPL-LOW-LIC=或SMA-WSPL-HIGH-LIC=时颁发)仅包括以下源类型:wsa_trafmonlogs、wsa_esslogs、wsa_w3clogs、wsa_syslog、wsa_amplogs,尤其是ciscocws。
使用思科的高级网络安全报告应用处理任何其他源类型的日志(例如ps)将产生许可证违规错误。
如果您安装产生替代源类型日志的其他应用就会发生这个错误。
4.0和更高版本升级的许可考虑因素 起初,您需要至少一个适于大批量数据的评估许可证以处理历史数据传输。
之后您将需要高级网络安全报告许可证。
1.考虑初始历史数据上传期间以及持续的每日基础之上索引的数据量。
2.获取并上传适合历史数据传输的评估许可证。
3.获取并上传适合要索引的适用源类型的预期数据的高级网络安全报告许可证。
4.将许可证类型由试用变更为评估或高级网络安全报告。
5.确保索引报告到正确的池:a.导航到设置(Settings)>系统(System)>许可(Licensing)并找到相应许可证栈下的“本日使 用的池索引器”(PoolsIndexersVolumeusedtoday)行。
b.如有需要,可以点击编辑(Edit)来更改每日最大分配量和分配的索引器。
c.如果您不做任何更改,请点击取消(Cancel);如果您做出更改,则请点击提交(Submit)。
许可证安装 要获取许可证,请参阅您在下单时提供的信息。
请按照以下步骤来安装高级网络安全报告许可证: 步骤
1 步骤2步骤3步骤4步骤
5 启动高级网络安全报告应用(在浏览器窗口中输入http://
导航到设置(Settings)>系统(System)>许可(Licensing)。
点击添加许可证(Addlicense)。
浏览到您的XML许可证文件。
点击安装(Install)。
思科高级网络安全报告5.0安装、设置和用户指南 1-
9 为访问和流量监控日志文件创建文件夹结构 第1章安装和设置 为访问和流量监控日志文件创建文件夹结构 记录 默认路径 流量监控 /$Input_base/wsa_hostname/trafmonlogs/ (Traffic
Monitor) 访问(ess)/$Input_base/wsa_hostname/esslogs/ AMP /$Input_base/wsa_hostname/amplogs/ 变量$Input_base=pathofrootFTPfolder host_name=WSAdevice$Input_base=deployment host_name=WSAdevice$Input_base=deployment host_name=WSAdevice 导入和索引历史数据 准备工作•完成升级到5.0版本的高级网络安全报告应用,第1-5页中列出的配置任务。
•了解文件夹结构。
请参阅为访问和流量监控日志文件创建文件夹结构,第1-10页。
步骤1步骤2步骤
3 将历史日志文件复制到日志文件的文件夹结构中。
在高级网络安全报告应用中,以admin身份登录。
验证是否正在导入数据: a.选择设置(Settings)>数据(Data)>索引(Indexes)。
b.向下滚动至摘要行。
c.验证“最早事件”(Earliestevent)和“最新事件”(Latestevent)列是否显示合理的日期。
如果 在评估许可证下运行历史数据导入,请安装为该帐户下载的默认许可证,并删除任何非生产许可证。
提示如果您发现由于校验和错误,应用对任何类型的已配置输入未在索引文件的话,请将该行crcSalt=
(以下部分,(可选)配置应用在索引后删除日志文件,介绍inputs.conf文件的编辑。
) 后续操作•配置WSA日志的数据输入,第1-11页。
1-10 思科高级网络安全报告5.0安装、设置和用户指南 第1章安装和设置 设置持续的数据传输 (可选)配置应用在索引后删除日志文件 准备工作如果文件inputs.conf不在目录
步骤1步骤
2 使用文本编辑器,打开
添加以下片段:- [batch:///home/logger/ing/wsa176.wga/esslogs/*]
host_segment=4disabled=falsesourcetype=wsa_esslogsmove_policy=sinkhole 步骤
3 其中第一行为发送WSA日志的FTP目录路径。
第二行为包含主机名的FTP路径。
第三行启用此FTP输入。
第四行指定此输入的源。
最后一行,move_policy=sinkhole,启用在原始数据索引完成后将其删除。
保存inputs.conf文件并重新启动高级网络安全报告应用,方法是导航到设置(Settings)>系统(System)>服务器控制(Servercontrols)并点击重新启动(Restart)。
设置持续的数据传输 准备工作•导入和索引历史数据,第1-10页•明确日志文件的路径:为访问和流量监控日志文件创建文件夹结构,第1-10页。
•以admin身份登录高级网络安全报告应用。
配置WSA日志的数据输入 备注要配置来自多个WSA的数据输入,请对每个主机重复以下步骤。
步骤
1 步骤2步骤3步骤
4 步骤
5 在高级网络安全报告应用中: •选择设置(Settings)>数据(Data)>数据输入(Datainputs)>文件和目录(Files&directories)。
禁用标签为CiscoWSA的任何输入。
点击新建(New)。
点击持续监控(ContinuouslyMonitor)并提供将向其发送WSA日志的FTP目录完整路径。
此路径与WSA“日志订用”(LogSubscription)页面上提供的FTP路径必须匹配。
点击“下一步”(Next)。
思科高级网络安全报告5.0安装、设置和用户指南 1-11 设置持续的数据传输 第1章安装和设置 步骤
6 步骤7步骤8步骤9步骤10步骤11 点击手动(Manual)作为“源类型”(Sourcetype)并提供“源类型”(Sourcetype)标签(wsa_esslogs、wsa_trafmonlogs或wsa_amplogs)。
从“应用情景”(AppContext)菜单选择AdvancedWebSecurity5.0.0(高级网络安全5.0.0)。
点击常数值(Constantvalue)并在主机字段值(Hostfieldvalue)字段中提供WSA主机名。
选择默认(Default)作为目标索引。
点击审核(Review)并审核您提供的值。
点击提交(Submit)。
备注您可以导航到设置(Settings)>数据(Data)>数据输入(Datainputs)>文件和目录(Files&directories)以确认新的数据输入条目。
WSA系统日志数据输入的配置 步骤
1 步骤2步骤3步骤4步骤5步骤6步骤
7 步骤8步骤9步骤10步骤11 在高级网络安全报告应用中: •选择设置(Settings)>数据(Data)>数据输入(Datainputs)>TCP。
点击新建(New)。
点击TCP按钮并在端口(Port)字段中输入514,其他字段留空。
点击下一步(Next)。
点击手动(Manual)并在“源类型”(Sourcetype)字段中输入wsa_syslog。
选择AdvancedWebSecurity5.0.0作为应用情景(AppContext)。
在“主机”(Host)部分,点击自定义(Custom)作为“方法”(Method)字段,然后输入WSA主机名作为“主机”(Host)字段值。
选择默认(Default)作为目标索引。
点击审核(Review)并审核您提供的值。
点击提交(Submit)。
导航到设置(Settings)>数据(Data)>数据输入(Datainputs)>TCP以确定新的输入条目。
备注对于多个设备配置,您必须对每个设备在高级网络安全报告应用中重复这些步骤。
但是,您还可以通过编辑inputs.conf文件来配置多个设备。
1-12 思科高级网络安全报告5.0安装、设置和用户指南 第1章安装和设置 设置持续的数据传输 从网络安全设备建立日志传输 准备工作•明确日志文件的路径:为访问和流量监控日志文件创建文件夹结构,第1-10页。
•确定传输频率,不大于60分钟增量。
•打开网络安全设备的Web界面。
步骤
1 步骤2步骤
3 在网络安全设备的Web界面中,导航到系统管理(SystemAdministration)>日志订用(LogSubscriptions)。
点击添加日志订用(AddLogSubscription),或点击现有订用的名称对其进行编辑。
配置订用(此示例特指访问、AMP引擎和流量监控日志): 设置日志类型(LogType) 日志名称(LogName)(根据您的AsyncOS版本)按文件大小滚动(RolloverbyFileSize) 日志类型 访问(ess)流量监控(TrafficMonitor) AMP引擎(AMPEngine) 任
一 任一 值esslogstrafmonlogs amp_logs 日志目录的名称。
建议不超过500MB。
最大文件大小(MaximumFileSize)(此选项的可用性取决于AsyncOS版本)按时间滚动(RolloverbyTime)日志样式(LogStyle) 日志级别(LogLevel) (可选)自定义字段(CustomFields) 任
一 建议自定义滚动间隔为一小时(1h)或更频繁的滚动。
对于AMP日志,建议为一分钟(1m)。
访问(ess)流量监控(TrafficMonitor)AMP引擎(AMPEngine)访问(ess)流量监控(TrafficMonitor)AMP引擎(AMPEngine) 仅“访问”(ess) Squid不适用 不适用 不适用不适用 选择调试(Debug)。
备注将AMP报告的日志级别(LogLevel)更 改为调试(Debug)非常重要,否则将不会报告任何信息。
%XK(添加Web信誉威胁原因。
) 思科高级网络安全报告5.0安装、设置和用户指南 1-13 配置CWS日志更新 第1章安装和设置 设置检索方法(RetrievalMethod) 远程服务器上的FTP(FTPonRemoteServer) 日志类型任
一 检索方法(RetrievalMethod)任一系统日志推送(SyslogPush) 值 主机名(Hostname):高级网络安全报告主机的IP地址或主机名。
目录(Directory):高级网络安全报告实例目录的名称。
用户名/密码(Username/Password):访问应用的FTP用户名和密码。
备注如果高级网络安全报告和WSA之间的连接断开,则该时段的日志在连接恢复之前将不可用。
主机名(Hostname):高级网络安全报告主机的IP地址或主机名。
协议(Protocol):TCP。
设备(Facility):选择auth。
备注如果高级网络安全报告和WSA之间的连接断开,则该时段的日志在连接恢复之前将不可用。
备注访问从“添加日志订用”(AddLogSubscription)页面访问在线帮助将打开有关所有设置的详细信息。
配置CWS日志更新 准备工作•以admin身份登录高级网络安全报告应用。
步骤
1 步骤2步骤3步骤4步骤
5 步骤6步骤
7 在高级网络安全报告应用中: •选择设置(Settings)>数据(Data)>数据输入(Datainputs)>思科CWS日志(CiscoCWSLogs)。
点击新建(New)。
为此数据输入提供一个有意义的名称(name)。
提供已由CWS提供的client_id、s3_key和s3_secret。
client_id为CWS中使用的bucketID。
点击更多设置(Moresettings)复选框并提供以秒为单位的时间间隔(Interval),系统以此间隔拉取CWS日志;默认值为3600。
点击下一步(Next)。
成功屏幕随即出现。
1-14 思科高级网络安全报告5.0安装、设置和用户指南 第1章安装和设置 设置部门成员查询(可选) 备注您可以导航到设置(Settings)>数据(Data)>数据输入(Datainputs)>思科CWS日志(CiscoCWSLogs)以确定新的数据输入条目。
设置部门成员查询(可选) 在这些条件下执行部门成员要求的设置步骤:•您将使用AD/LDAP组绑定到高级网络安全报告应用中的角色。
•您将在基于组织角色的数据上运行报告。
相关主题•按角色对部门报告进行访问限制,第1-16页 设置部门成员报告 准备工作•Linux用户:使用以下命令安装ldapsearch工具: sudoyuminstallopenldap-clients 步骤1步骤2步骤
3 步骤
4 在高级网络安全报告应用中: •选择设置(Settings)>数据(Data)>数据输入(Datainputs)>AD/LDAP服务器详情(AD/LDAPServerDetails)。
点击AD/LDAP服务器详情(AD/LDAPServerDetails)。
在“LDAPAD服务器详情”(LDAPADServerDetails)页面上,提供以下服务器信息,然后点击保存(Save):•AD/LDAP服务器名称–•AD/LDAP用户名–•AD/LDAP用户密码并予以确认–•AD/LDAP组名称–选择设置(Settings)>数据(Data)>数据输入(Datainputs)>脚本(scripts)以启用成员脚本:•在Linux中,脚本名称为discovery.py。
•在Windows中,脚本名称为discovery.vbs。
默认情况下,成员脚本设置为每天运行。
间隔以秒为单位进行设置,并可通过导航到设置(Settings)>数据(Data)>数据输入(Datainputs)>脚本(scripts)并编辑discovery文件中的间隔予以更改。
您可以通过检查文件
思科高级网络安全报告5.0安装、设置和用户指南 1-15 设置部门成员查询(可选) 第1章安装和设置 注在Windows中,如果此时departments.csv文件未填入数据,请将目录更改为
默认情况下,成员脚本设置为每天运行。
间隔以秒为单位进行设置,并可根据各个部署要求进行更改。
按角色对部门报告进行访问限制 准备工作•请了解如果用户被限制查看来自特定部门或组的数据,则第4层传输监控(L4TM)数据将仅 对管理员可用,这是因为L4TM数据与部门或角色之间没有关联。
•以admin身份登录高级网络安全报告应用。
步骤
1 步骤2步骤
3 步骤
4 在高级网络安全报告应用中, •选择设置(Settings)>用户和身份验证(Usersandauthentication)>访问控制(esscontrols)>角色(Roles)。
点击新建(New)或编辑现有角色。
定义角色的搜索限制。
示例:要限制某个角色查看销售部门的数据,在限制搜索词(Restrictsearchterms)字段中,输入department=sales。
点击保存(Save)。
对部门成员报告进行故障排除 提示•Linux用户:验证ldapsearch工具是否位于高级网络安全报告用户的路径中。
•验证应用的lookup文件夹中是否存在departments.csv文件。
•Windows用户:注释掉optionexplicit以显示错误来源及原因的更为具体的信息。
•验证LDAP路径的语法是否正确。
•验证绑定服务帐户名称是否正确。
•验证输入的绑定密码是否正确。
•在389端口上测试到远程计算机的连接。
•验证为成员名称配置的属性是否正确。
•验证为组成员身份使用的属性是否正确。
•验证为组名称配置的属性是否正确。
1-16 思科高级网络安全报告5.0安装、设置和用户指南 第1章安装和设置 设置计划式PDF报告(可选) 设置计划式PDF报告(可选) 高级网络安全报告应用用户可以从任何控制面板、视图、搜索或报告中安排PDF输出生成。
请按照这些配置步骤设置计划式PDF报告:•配置邮件提示,第1-17页•安排PDF报告生成,第1-18页 配置邮件提示 您可以配置高级网络安全报告应用在PDF报告生成之后立即发送邮件提示。
准备工作•以admin身份登录高级网络安全报告应用。
步骤1步骤
2 步骤3步骤4步骤
5 在高级网络安全报告应用中: •选择设置(Settings)>系统(System)>服务器设置(ServerSettings)>邮件设置(EmailSettings)。
输入或更新必要的“邮件服务器设置”(MailServerSettings)以便发送提示邮件:a.邮件主机(Mailhost)–输入SMTP服务器主机名。
b.邮件安全(Emailsecurity)(可选)–选择邮件安全选项。
当应用与SMTP服务器通信时可以 使用SSL或TLS。
c.用户名(Username)–输入SMTP服务器身份验证期间要使用的名称。
d.密码(Password)–对指定用户名配置的密码。
e.确认密码(Confirmpassword)–重新输入密码。
提供必要的邮件格式信息: a.链路主机名(Linkhostname)–服务器用以创建外发结果的主机名。
b.邮件发送人(Sendemailas)–显示为邮件发起人的发件人名称。
c.邮件页脚(Emailfooter)–在已发送邮件中显示为页脚的注释。
如有需要可更改PDF报告设置:选择报告纸张大小(ReportPaperSize)和报告纸张方向(ReportPaperOrientation)。
点击保存(Save)。
思科高级网络安全报告5.0安装、设置和用户指南 1-17 设置计划式PDF报告(可选) 第1章安装和设置 安排PDF报告生成 您可以安排任意自定义控制面板PDF报告的常规生成和邮件发送。
有关创建自定义控制面板的信息,请参阅另存为控制面板,第2-2页。
准备工作•以admin身份登录高级网络安全报告应用。
步骤1步骤2步骤
3 步骤4步骤
5 从自定义控制面板(CustomDashboards)菜单中选择所需的控制面板。
选择编辑(Edit)>安排PDF发送(SchedulePDFDelivery)。
在“编辑PDF计划”(EditPDFSchedule)对话框中,选中安排PDF(SchedulePDF)并提供计划、邮件和页面选项。
(可选)点击发送测试邮件(SendTestEmail)以确认生成的PDF作为附件发送到指定的邮件地址。
(可选)点击预览PDF(PreviewPDF)来预览生成的PDF。
1-18 思科高级网络安全报告5.0安装、设置和用户指南 第2章 报告 •报告概述,第2-1页•访问报告,第2-1页•另存为控制面板,第2-2页•数据格式,第2-3页•时间范围,第2-3页•导出,第2-4页•常规数据与特定数据,第2-4页•预定义报告,第2-5页•使用场景,第2-7页 报告概述 高级网络安全报告包括一组预定义的报告。
该报告与网络安全设备的本地报告尽可能地保持一致。
备注与仅通过网络安全设备生成的报告相比,使用高级网络安全报告生成的报告可能会显示更多数据。
访问报告 准备工作高级网络安全报告管理员可对您在“概述”(Overview)报告和“网络跟踪”(WebTracking)报告上所看到的网络安全设备(主机)进行控制。
请联系您的高级网络安全报告管理员,提供您希望添加、删除或重命名的任何主机的详细信息。
步骤
1 步骤2步骤
3 使用Web浏览器登录到高级网络安全报告应用。
系统会显示摘要信息。
从其他菜单中选择一个报告。
请参阅预定义报告,第2-5页。
如果适用,请选择时间范围、数据源和主机。
思科高级网络安全报告5.0安装、设置和用户指南 2-
1 另存为控制面板 第2章报告 提示可通过指定较小的时间范围并尽可能进行精确搜索来提高性能。
另存为控制面板 在每个报告页面上,您可以为选定的时间范围、源类型和主机创建自定义报告页面或“控制面板”。
步骤1步骤
2 步骤
3 在当前报告页面上,根据需要修改报告的搜索参数,然后点击另存为控制面板(SaveAsDashboard)按钮。
在“另存为控制面板面板”(SaveAsDashboardPanel)对话框中提供以下信息: •控制面板标题(DashboardTitle)–新控制面板的显示名称。
当将任何报告页面另存为控制面板时,您必须提供适当标题来反映选定的输入,以便区分自定义控制面板。
•控制面板ID(DashboardID)–提供文件名以保存控制面板;以后无法更改。
•控制面板说明(DashboardDescription)–(可选)简要说明。
•控制面板权限(DashboardPermissions)–选择专用(Private)或应用内共享(SharedinApp)。
专用控制面板仅对您可见,而共享控制面板对所有用户可见。
点击保存(Save)。
新的控制面板会添加到自定义控制面板(CustomDashboards)菜单;可从该菜单选择自定义控制面板以查看和编辑该控制面板。
编辑自定义控制面板 您可以编辑当前显示的自定义控制面板,改变个别报告面板的位置或予以删除,更改控制面板的标题和说明,修改这些面板中搜索查询的时间范围,修改面板的图表类型等。
步骤
1 点击当前自定义控制面板中的编辑(Edit)按钮并选择以下选项之一:•编辑面板(EditPanels)–启用面板编辑:拖动面板标题栏以改变其位置;点击其关闭按钮以 删除面板;在面板标题之上添加标签;点击相应按钮以: –更改面板图表类型。
–更改图表参数。
•编辑标题或说明(EditTitleorDescription)–更改整个控制面板的标题和说明。
•编辑权限(EditPermissions)–更改整个控制面板的查看权限。
•安排PDF发送(SchedulePDFDelivery)–安排由此控制面板常规生成的报告PDF;生成的PDF稍后会通过邮件发送到您已指定的地址。
•删除(Delete)–删除整个控制面板。
思科高级网络安全报告5.0安装、设置和用户指南 2-
2 第2章报告 数据格式 步骤2步骤
3 您也可以点击添加面板(AddPanel),将来自类似自定义控制面板的面板添加到此控制面板。
在您点击自定义控制面板的编辑(Edit)按钮后会显示此按钮。
在您完成编辑此控制面板后,请点击完成(Done)。
数据格式 在某些情况下,通过高级网络安全报告可用的数据与通过本地报告功能可用的数据的显示有所不同。
数据大数字(大于七位数)时间 格式示例 2E11表示2x1011d+hh:mm:ss.ms表示已经过的天数、小时数、分钟数、秒数以及毫秒数。
例如,1+03:22:36.00表示一天三小时22分钟36秒0毫秒。
时间范围 提示请选择较小的时间范围以更快地返回结果。
数据可用性计时 范围小时天星期 90天自定义:小于每小时自定义:小于每日自定义:小于每周 索引开始该小时过后每日午夜之后星期六午夜之后(星期日早上)第90天的午夜之后。
该小时过后每日午夜之后星期六午夜之后(星期日早上) 报告中出现的数据索引开始后的60-90分钟索引开始后的一天索引开始后的一周 索引开始后的90天。
索引开始后的60-90分钟索引开始后的一天索引开始后的一周 思科高级网络安全报告5.0安装、设置和用户指南 2-
3 导出 导出 导出到.CSV文件 此选项可用于跟踪类型的报告。
步骤1步骤
2 生成报告。
选择导出(Export)。
第2章报告 导出到PDF文件 准备工作•验证高级网络安全报告管理员是否已启用PDF输出。
步骤1步骤
2 生成报告。
选择另存为PDF(SaveasPDF)。
相关主题•设置计划式PDF报告(可选),第1-17页 常规数据与特定数据 预定义的常规报告提供预定义特定报告的超链接。
查看特定数据 步骤1步骤
2 选择最适当的预定义常规报告。
例如,如果您需要有关某用户的特定信息,请以预定义的“用户”(Users)报告开始。
点击您需要特定数据的主题的超链接。
例如,点击单个用户的“用户ID”(UserID)。
相关主题•导出,第2-4页 思科高级网络安全报告5.0安装、设置和用户指南 2-
4 第2章报告 搜索 搜索 对大部分报告页面,简单和高级搜索选项均可用。
搜索提示 •让搜索尽可能地具体,并缩小时间范围。
•高级网络安全报告使用一组文件填入菜单。
如果菜单存在问题,请确认应用的查找文件夹中存在必要文件,包括:–malware_categories.csv–transaction_types.csv–url_categories.csv •管理员可以编辑应用内可见的URL类别列表。
当类别出现在访问日志中,但不存在于查找文件中时,高级网络安全报告会显示“自定义类别”(CustomCategory)。
•管理员可以控制“网络跟踪”(WebTracking)表单中下拉字段中可用的选项。
对搜索进行故障排除 departments.csv是用作基于角色的安全功能一部分的文件。
此文件可以手动编辑,也可以通过将其中一个角色发现脚本(位于应用的bin文件夹中)配置为脚本化输入来进行编辑。
Linux和Windows均具有各自的脚本。
•确保文件位于应用的查找文件夹中。
•如果使用Linux版脚本,请确保CLI命令ldapsearch已安装并位于应用用户的路径中。
•如果使用Windows版脚本,系统会将“optionexplicit”注释掉以显示有关错误可能来源的原 因及位置的更为具体的信息。
•验证LDAP路径的语法是否正确。
•验证绑定服务帐户名称是否正确。
•验证输入的绑定密码是否正确。
•在389端口上测试到远程计算机的连接。
•验证为成员名称配置的属性是否正确。
•验证为组成员身份使用的属性是否正确•验证为组名称配置的属性是否正确。
预定义报告 •概述•用户分析 –概述–基于位置–用户溯源 思科高级网络安全报告5.0安装、设置和用户指南 2-
5 预定义报告 第2章报告 •浏览分析–域 –URL类别 •应用分析–概述–应用基于位置应用溯源–应用类型应用类型溯源 •安全分析–L4流量监控概述L4TM溯源–防恶意软件概述客户端恶意软件风险基于位置恶意软件类别溯源恶意软件威胁溯源–Web信誉过滤器概述基于位置–高级恶意软件防护概述AMP溯源文件分析–您可以点击“来自此设备的已完成的分析请求”(CompletedAnalysisRequestsfromThisAppliance)表中任意条目的文件ID(SHA256)以打开该文件的“文件分析详细信息”(FileAnalysisDetail)页面。
“文件分析详细信息”(FileAnalysisDetail)页面包括“文件分析服务器URL”(FileAnalysisServerURL)文本框,您可以在其中指定希望查看其数据的文件分析服务器。
通常情况下,8.5下所有WSA版本中此URL均为。
但是,如果对此特定文件的分析使用其他服务器(可能供演示用途),您可以在此更改服务器URL以查看此文件的详细信息(由其SHA进行识别,您通过点击其SHA以查看此溯源报告)。
AMP裁决更新 思科高级网络安全报告5.0安装、设置和用户指南 2-
6 第2章报告 使用场景 •网络跟踪–代理服务–SOCKS–SOCKS溯源 相关主题•访问报告,第2-1页•搜索,第2-5页 使用场景 用户调查 此示例演示了系统管理员将如何调查公司中的特定用户。
在此场景中,经理收到关于员工在工作时访问不当网站的投诉。
为了调查此用户,系统管理员现在需要查看员工的网络使用趋势和事务历史记录: •按事务总数的URL类别•按事务总数的趋势 •匹配的URL类别•匹配的域 •匹配的应用程序 •检测到的恶意软件威胁数 •匹配特定用户ID或客户端IP的策略使用这些报告,以用户“johndoe”为例,系统管理员了解他曾尝试访问被阻止的URL,可在“域”(Domains)部分下的“被阻止的事务”(TransactionsBlocked)列中进行查看。
查看网络使用趋势 步骤1步骤
2 从思科高级网络安全报告下拉菜单中选择用户(Users)。
点击用户ID或客户端IP地址。
备注如果您没有在“用户”(Users)表中看到希望调查的用户ID或客户端IP地址,请点击任意用户ID或客户端IP。
接着搜索全部或部分用户ID或客户端IP地址。
步骤3(可选)选择操作(Actions)>打印(Print)。
思科高级网络安全报告5.0安装、设置和用户指南 2-
7 使用场景 查看事务历史记录 步骤1步骤2步骤3步骤
4 从思科高级网络安全报告下拉菜单中选择网络跟踪(WebTracking)。
搜索(Search)用户ID/客户IP地址。
点击事务列表上方的挑选字段(Pickfields)以更改对每个事务显示的信息。
(可选)点击导出(Export)将数据导出到CSV文件。
第2章报告 已访问的URL 在此场景中,销售经理希望了解其所在公司上星期访问量最高的前五个网站。
此外,该经理希望了解哪些用户要访问那些网站。
查看访问最频繁的网站 步骤1步骤2步骤3步骤
4 从思科高级网络安全报告下拉菜单中选择网站(WebSites)。
从“时间范围”(TimeRange)下拉列表中选择周(Week)。
在“匹配的域”(DomainsMatched)表中查看前25个域。
点击域以按频率顺序查看访问过该域的用户。
已访问的URL类别 在此场景中,人力资源经理希望了解所有员工在过去30天内访问的前三种URL类别。
此外,网络经理希望获得此信息以监控带宽使用量,从而了解哪些URL在网络中占用最多带宽。
下面的示例旨在向您展示如何为多人收集涵盖多个关注点的数据,与此同时只需生成一个报告。
查看最常见的URL类别 步骤1步骤2步骤3步骤4步骤5步骤
6 从思科高级网络安全报告下拉菜单中选择URL类别(URLCategories)。
查看按事务总数排名前十的URL类别图表。
(可选)点击导出PDF(ExportPDF)按钮。
保存PDF并将其发送给相应人员。
查看“URL类别匹配”(URLCategoriesMatches)表中的“允许的字节数”(BytesAllowed)列。
(可选)点击导出PDF(ExportPDF)按钮。
保存PDF并将其发送给相应人员。
要得到更精细结果,请选择特定的URL类别。
思科高级网络安全报告5.0安装、设置和用户指南 2-
8
声明:
该资讯来自于互联网网友发布,如有侵犯您的权益请联系我们。
相关文章
