5.0安装、设置和用户指南
版本5.0
2016年8月12日
思科系统公司
思科在全球设有200多个办事处。
有关地址、电话号码和传真号码信息,可查阅思科网站:/go/offices 本手册中有关产品的规格和信息如有更改,恕不另行通知。
本手册中的所有声明、信息和建议均准确可靠,但我们不为其提供任何明示或暗示的担保。
用户必须承担使用产品的全部责任。
随附产品的软件许可和有限担保在随产品一起提供的信息包中提供,且构成本文的一部分。
如果您无法找到软件许可或有限担保,请与思科代表联系以获取副本。
思科所采用的
TCP报头压缩是加州大学伯克莱分校(UCB)开发的一个程序的改版,是UCB的UNIX操作系统公共域版本的一部分。
版权所有。
版权所有©1981,加州大学董事会。
无论在该手册中是否作出了其他担保,来自这些供应商的所有文档文件和软件都按“原样”提供且仍有可能存在缺陷。
思科和上述供应商不承诺所有明示或暗示的担保,包括(但不限于)对特定用途的适销性、适用性、非侵权性以及因交易、使用或商业惯例所衍生的担保。
在任何情况下,对于任何间接、特殊、连带发生或偶发的损坏,包括(但不限于)因使用或无法使用本手册而导致的任何利润损失或数据损失或损坏,思科及其
供应商概不负责,即使思科及其供应商已获知此类损坏的可能性也不例外。
思科和思科徽标是思科和/或其附属公司在美国和其他国家/地区的商标或注册商标。
要查看思科商标列表,请访问此URL:/go/trademarks。
文中提及的第三方商标为其相应所有者的财产。
“合作伙伴”一词的使用并不意味着思科和任何其他公司之间存在合作伙伴关系。
(1110R) 本文档中使用的任何互联网协议(IP)地址和电话号码并非实际地址和电话号码。
本文档中所含的任何示例、命令显示输出、网络拓扑图和其他图形仅供说明之用。
说明性内容中用到的任何真实IP地址或电话号码纯属巧合,并非有意使用。
思科高级网络安全报告5.0安装、设置和用户指南©2013-2015思科系统公司。
版权所有。
目录 简介1-15.0版中的新增功能1-2支持和不支持的功能1-
2 系统要求及规模和扩展建议1-3设置概述1-3安装5.0版本的高级网络安全报告应用1-
3 在Linux中1-3在Windows中1-4升级到5.0版本的高级网络安全报告应用1-5从4.0或更高版本升级1-
5 在Linux中1-5在Windows中1-6从3.0版本升级到5.0版本1-6管理员1-7配置最佳实践1-7启动和停止高级网络安全报告应用的命令1-7在Linux中1-7在Windows中1-8许可和迁移1-8从3.0版本WSA迁移到4.0版本仅WSA报告1-8从3.0版本仅WSA报告迁移到4.0版本混合报告1-8新的混合报告许可证1-9混合报告许可证问题1-94.0和更高版本升级的许可考虑因素1-9许可证安装1-9为访问和流量监控日志文件创建文件夹结构1-10导入和索引历史数据1-10(可选)配置应用在索引后删除日志文件1-11设置持续的数据传输1-11配置WSA日志的数据输入1-11WSA系统日志数据输入的配置1-12从网络安全设备建立日志传输1-13配置CWS日志更新1-14 思科高级网络安全报告5.0安装、设置和用户指南
1 目录 设置部门成员查询(可选)1-15设置部门成员报告1-15按角色对部门报告进行访问限制1-16对部门成员报告进行故障排除1-16 设置计划式PDF报告(可选)1-17配置邮件提示1-17安排PDF报告生成1-18 报告概述2-1访问报告2-1另存为控制面板2-
2 编辑自定义控制面板2-2数据格式2-3时间范围2-
3 数据可用性计时2-3导出2-
4 导出到.CSV文件2-4导出到PDF文件2-4常规数据与特定数据2-4查看特定数据2-4搜索2-5搜索提示2-5对搜索进行故障排除2-5预定义报告2-5使用场景2-7用户调查2-
7 查看网络使用趋势2-7查看事务历史记录2-8已访问的URL2-8查看访问最频繁的网站2-8已访问的URL类别2-8查看最常见的URL类别2-
8 思科高级网络安全报告5.0安装、设置和用户指南
2 安装和设置 第1章 •简介,第1-1页•系统要求及规模和扩展建议,第1-3页•设置概述,第1-3页•安装5.0版本的高级网络安全报告应用,第1-3页•升级到5.0版本的高级网络安全报告应用,第1-5页•许可和迁移,第1-8页•为访问和流量监控日志文件创建文件夹结构,第1-10页•导入和索引历史数据,第1-10页•设置持续的数据传输,第1-11页•配置CWS日志更新,第1-14页•设置部门成员查询(可选),第1-15页•设置计划式PDF报告(可选),第1-17页 简介 思科高级网络安全报告应用提供报告和控制面板,其目的在于对来自多个思科网络安全设备和来自 思科云网络安全(CWS)网关的大批量数据提供深入的了解。
高级网络安全报告应用包括数据收集和报告应用,以及转发收集自网络安全设备(WSA)和CWS服务的日志数据的相关服务器。
备注云网络安全有时也称为“ScanSafe”。
高级网络安全报告应用接收日志数据并将其存储在default/main索引中。
您可以使用预定义报告查看这些数据。
思科高级网络安全报告5.0安装、设置和用户指南 1-
1 简介 第1章安装和设置 图1-1 5.0版中的新增功能 高级网络安全报告系统的一般架构。
特性从早期版本无缝升级CWS的AMP报告安排整个报告的邮件发送自定义控制面板支持 最新的界面 支持和不支持的功能 说明 添加/删除现有面板选择图表格式创建自己的控制面板最新的应用“外观和感觉”。
组件报告(Reports) 服务器(Server)传输方法(TransportMethods) 支持包括在高级网络安全报告应用中的报告单服务器部署FTP(文件和目录) TCP(系统日志) 不支持自定义报告 多服务器部署不适用 思科高级网络安全报告5.0安装、设置和用户指南 1-
2 第1章安装和设置 系统要求及规模和扩展建议 组件PDF 自定义控制面板(CustomDashboards) 支持 集成式PDF生成 计划式PDF报告对于每个报告,可另存为控制面板(SaveAsDashboard)以为选定的时间范围、源类型和主机(有限)创建自定义控制面板。
不支持不适用 系统要求及规模和扩展建议 系统要求,以及规模和扩展建议,在高级网络安全报告版本说明中有详细说明,可通过以下地址查看/c/en/us/support/security/web-security-appliance/products-release-notes-list.html 设置概述 包括以下其中一种情况:
•第一次安装高级网络安全报告应用: –安装5.0版本的高级网络安全报告应用,第1-3页–许可和迁移,第1-8页–为访问和流量监控日志文件创建文件夹结构,第1-10页–导入和索引历史数据,第1-10页–设置持续的数据传输,第1-11页(包括网络安全设备的设置。
)–配置CWS日志更新,第1-14页或:•升级到5.0版本的高级网络安全报告应用,第1-5页 安装5.0版本的高级网络安全报告应用 请按照本节介绍的步骤安装5.0版本的高级网络安全报告应用。
•在Linux中,第1-3页•在Windows中,第1-4页 在Linux中必须按照以下顺序执行这些任务: 步骤
1 下载高级网络安全报告5.0软件的安装程序: ?
mdfid=282803425&softwareid=283998384&release=5.0&relind=AVAILABLE&rellifecycle=&reltype=latest 思科高级网络安全报告5.0安装、设置和用户指南 1-
3 安装5.0版本的高级网络安全报告应用 第1章安装和设置 步骤
2 解压安装程序软件。
要安装到当前工作目录中,请发出此命令: tarzxvfcisco_wsa_reporting-5.0.0.tgz. 要安装到/opt/cisco-wsa_reporting/目录中,请使用以下命令: tarzxvfcisco_wsa_reporting-5.0.0.tgz-C/opt 步骤
3 将目录更改为/cisco_wsa_reporting/,然后运行安装脚本: cdcisco_wsa_reporting./setup.sh 步骤
4 安装期间会显示进度和里程碑语句。
启动高级网络安全报告应用并登录:a.在浏览器窗口中导航到http://:8888。
注早期版本使用的是8000端口;从4.0版本开始,所使用的端口为8888。
b.使用用户名admin登录,密码为Cisco@dmin。
c.修改admin密码。
后续步骤•许可和迁移,第1-8页 在Windows中 准备工作Windows仅允许安装一种版本的高级网络安全报告软件。
因此,如果安装了早期版本,必须备份现有数据并卸载该早期版本,然后安装新版本。
步骤
1 步骤2步骤3步骤
4 步骤5步骤
6 下载高级网络安全报告5.0软件的安装程序:?
mdfid=282803425&softwareid=283998384&release=5.0&relind=AVAILABLE&rellifecycle=&reltype=latest解压安装程序;您可以使用7-Zip、WinZip等应用。
以管理员身份启动命令行外壳(PowerShell),并将目录更改为您解压安装程序的目录。
运行install.bat。
应用会安装到C:\ProgramFiles\Cisco\CiscoWSAReporting文件夹中。
重新启动高级网络安全报告服务器。
启动高级网络安全报告应用并登录:a.在浏览器窗口中导航到http://:8888。
注早期版本使用的是8000端口;从4.0版本开始,所使用的端口为8888。
思科高级网络安全报告5.0安装、设置和用户指南 1-
4 第1章安装和设置 升级到5.0版本的高级网络安全报告应用 b.使用用户名admin登录,密码为Cisco@dmin。
c.修改admin密码。
后续步骤•许可和迁移,第1-8页 升级到5.0版本的高级网络安全报告应用 •从4.0或更高版本升级,第1-5页•从3.0版本升级到5.0版本,第1-6页 从4.0或更高版本升级 请按照此节介绍的步骤从4.0或4.5版本升级到5.0版本。
•在Linux中,第1-5页•在Windows中,第1-6页 在Linux中 必须按照以下顺序执行这些任务: 步骤
1 步骤2步骤3步骤
4 下载高级网络安全报告5.0软件的安装程序(CiscoAdvancedWebSecurityReporting_Linux_5_0_0.tgz):?
mdfid=282803425&softwareid=283998384&release=5.0&relind=AVAILABLE&rellifecycle=&reltype=latest 将下载的安装程序文件复制到cisco_wsa_reporting目录的基目录。
例如,如果高级网络安全报告的早期版本安装在/opt/cisco_wsa_reporting/中,则将.tgz文件放入/opt/目录中。
将目录更改为安装的基目录(例如/opt/)。
发出此命令以解压安装程序: tar-zxvfCiscoAdvancedWebSecurityReporting_Linux_5_0_0-002.tgzcisco_wsa_reporting/SeamlessUpgrade.sh;cp-fcisco_wsa_reporting/SeamlessUpgrade.sh. 步骤
5 运行升级脚本: ./SeamlessUpgrade.shCiscoAdvancedWebSecurityReporting_Linux_5_0_0-002.tgz 思科高级网络安全报告5.0安装、设置和用户指南 1-
5 升级到5.0版本的高级网络安全报告应用 第1章安装和设置 在Windows中 必须按照以下顺序执行这些任务: 步骤
1 步骤2步骤3步骤
4 下载安装高级网络安全报告5.0软件的安装程序(CiscoAdvancedWebSecurityReporting_Windows_5_0_0.tgz):?
mdfid=282803425&softwareid=283998384&release=5.0&relind=AVAILABLE&rellifecycle=&reltype=latest 解压安装程序;您可以使用7-Zip、WinZip等应用。
以管理员身份启动命令行外壳(PowerShell),并将目录更改为您解压安装程序的目录。
执行.\WinSeamlessUpgrade.ps1命令升级高级网络安全报告应用。
从3.0版本升级到5.0版本 您必须按照此节中介绍的步骤将3.0版本的安装升级到5.0版本。
从3.0版本的安装升级涉及以下基本步骤: •备份3.0版本现有索引数据的副本。
•关闭新安装的5.0版本应用。
•将3.0版本的备份数据复制到新的数据目录。
•重新启动5.0版本应用。
以下是详细步骤。
对于这些说明,我们假设3.0版本在/opt/splunk中运行,而新版本在/opt/cisco_wsa_reporting中运行。
请您相应地调整路径。
步骤
1 停止旧版本: /opt/splunk/bin/splunk 步骤2步骤
3 编辑旧的inputs.conf文件(/opt/splunk/etc/apps/SplunkforCiscoIronportWSA/local/inputs.conf)并禁用所有输入。
重新启动旧版本: /opt/splunk/bin/splunkstart 步骤
4 验证主索引中是否未遗留任何hotbucket: cd/opt/splunk/var/lib/splunk/defaultdb/db ls-lahot*(验证是否无结果) 步骤
5 再次停止旧版本: /opt/splunk/bin/splunk 步骤
6 验证新版本是否未处于运行状态: /opt/cisco_wsa_reporting/shutdown.sh 思科高级网络安全报告5.0安装、设置和用户指南 1-
6 第1章安装和设置 升级到5.0版本的高级网络安全报告应用 步骤
7 清理新版本的索引文件夹: cd/opt/cisco_wsa_reporting/var/lib/splunkrm-rf* 步骤
8 将索引从旧版本复制到新版本: cd/opt/cisco_wsa_reporting/var/lib/splunkcp-r/opt/splunk/var/lib/splunk/defaultdb.cp-r/opt/splunk/var/lib/splunk/fishbucket. 步骤
9 启动新版本的高级网络安全报告: /opt/cisco_wsa_reporting/startup.sh 步骤10在浏览器中,打开http://:8888并使用用户名admin和密码Cisco@dmin登录。
管理员 高级网络安全报告应用提供两个管理员: •“默认管理员”(用户名:admin,密码:Cisco@dmin)将可访问所有管理功能。
admin用户可以安装许可证并配置分布式环境。
使用此帐户配置、测试和故障排除。
•第二种管理员(用户名:wsa_admin,密码:Ironp0rt)可访问下级管理功能。
我们建议您在安装后修改这两个密码(设置[Settings]>用户和身份验证[UsersandAuthentication]>访问控制[essControls]>用户[Users])。
配置最佳实践 •在WSA和CWS设备上设置一致的时区。
搜索结果中显示的时间反映高级网络安全报告实例的‘本地’时间。
默认情况下,设备日志的所有输入设置为TZ=GMT。
•记录本地admin帐户密码(忽略选定的身份验证方法)。
启动和停止高级网络安全报告应用的命令 在Linux中 要停止高级网络安全报告应用:将目录更改为/cisco_wsa_reporting/并发出此命令: ./shutdown.sh 要启动高级网络安全报告应用:将目录更改为/cisco_wsa_reporting/并发出此命令: /startup.sh 思科高级网络安全报告5.0安装、设置和用户指南 1-
7 许可和迁移 第1章安装和设置 在Windows中 要停止高级网络安全报告应用:将目录更改为\并发出此命令:
shutdown.bat
要启动高级网络安全报告应用:将目录更改为\并发出此命令:
startup.bat
备注在Windows中,\为C:\ProgramFiles\Cisco\CiscoWSAReporting。
许可和迁移 4.5版本中添加的三个AMP报告仅支持WSAAMP日志。
从4.0版本开始,高级网络安全报告应用同时支持WSA和CWS日志报告,这被称为“混合报告”。
要使用混合报告,您必须安装新许可证。
您可以继续使用当前许可证的仅WSA报告。
各类许可和迁移场景包括:•从3.0版本WSA迁移到4.0版本仅WSA报告•从3.0版本仅WSA报告迁移到4.0版本混合报告•新的混合报告许可证 从3.0版本WSA迁移到4.0版本仅WSA报告 您可以安装4.0或更高版本的软件,而您之前安装的许可证将继续提供WSA报告。
此外,4.0和更高版本的软件中嵌入有评估许可证;此许可证包括额外报告源类型,它将允许您评估混合报告。
从3.0版本仅WSA报告迁移到4.0版本混合报告 如上一节所述,您可以安装4.0或更高版本的软件,而您之前安装的许可证将继续提供WSA报告。
此外,嵌入式评估许可证将允许您评估混合报告功能。
为了从仅WSA迁移到混合报告,您必须开启思科技术支持中心(TAC)支持案例来删除您现有的许可证并安装新的混合报告许可证,其中包括源类型的完整列表,即包括ciscocws源类型。
/ServiceRequestTool/scm/mgmt/case 备注仅当您从3.0版本仅WSA报告升级到4.0或更高版本的混合报告时才需要联系TAC。
思科高级网络安全报告5.0安装、设置和用户指南 1-
8 第1章安装和设置 许可和迁移 新的混合报告许可证 在以新的高级网络安全报告用户身份安装完4.0或更高版本的软件后,要使用WSA和混合网络安全报告,您可以在评估期限内无限制地使用嵌入式评估许可证。
要在评估期限结束后继续使用,或要提供评估限制之外的报告,您必须获得主混合许可证。
对于新安装,使用您订单所提供的infodoc来请求该许可证。
混合报告许可证问题 如果您遇到混合报告问题,在联系思科之前,请确认您已购买CWS日志提取许可证(L-CWS-LOG-LIC=),并且您已设置自己的环境以导入CWS日志。
此外,请确保报告应用许可证(购买SMA-WSPL-LIC=、SMA-WSPL-LOW-LIC=或SMA-WSPL-HIGH-LIC=时颁发)仅包括以下源类型:wsa_trafmonlogs、wsa_esslogs、wsa_w3clogs、wsa_syslog、wsa_amplogs,尤其是ciscocws。
使用思科的高级网络安全报告应用处理任何其他源类型的日志(例如ps)将产生许可证违规错误。
如果您安装产生替代源类型日志的其他应用就会发生这个错误。
4.0和更高版本升级的许可考虑因素 起初,您需要至少一个适于大批量数据的评估许可证以处理历史数据传输。
之后您将需要高级网络安全报告许可证。
1.考虑初始历史数据上传期间以及持续的每日基础之上索引的数据量。
2.获取并上传适合历史数据传输的评估许可证。
3.获取并上传适合要索引的适用源类型的预期数据的高级网络安全报告许可证。
4.将许可证类型由试用变更为评估或高级网络安全报告。
5.确保索引报告到正确的池:a.导航到设置(Settings)>系统(System)>许可(Licensing)并找到相应许可证栈下的“本日使 用的池索引器”(PoolsIndexersVolumeusedtoday)行。
b.如有需要,可以点击编辑(Edit)来更改每日最大分配量和分配的索引器。
c.如果您不做任何更改,请点击取消(Cancel);如果您做出更改,则请点击提交(Submit)。
许可证安装 要获取许可证,请参阅您在下单时提供的信息。
请按照以下步骤来安装高级网络安全报告许可证: 步骤
1 步骤2步骤3步骤4步骤
5 启动高级网络安全报告应用(在浏览器窗口中输入http://:8888)并以默认admin用户身份登录。
导航到设置(Settings)>系统(System)>许可(Licensing)。
点击添加许可证(Addlicense)。
浏览到您的XML许可证文件。
点击安装(Install)。
思科高级网络安全报告5.0安装、设置和用户指南 1-
9 为访问和流量监控日志文件创建文件夹结构 第1章安装和设置 为访问和流量监控日志文件创建文件夹结构 记录 默认路径 流量监控 /$Input_base/wsa_hostname/trafmonlogs/ (Traffic
Monitor) 访问(ess)/$Input_base/wsa_hostname/esslogs/ AMP /$Input_base/wsa_hostname/amplogs/ 变量$Input_base=pathofrootFTPfolder host_name=WSAdevice$Input_base=deployment host_name=WSAdevice$Input_base=deployment host_name=WSAdevice 导入和索引历史数据 准备工作•完成升级到5.0版本的高级网络安全报告应用,第1-5页中列出的配置任务。
•了解文件夹结构。
请参阅为访问和流量监控日志文件创建文件夹结构,第1-10页。
步骤1步骤2步骤
3 将历史日志文件复制到日志文件的文件夹结构中。
在高级网络安全报告应用中,以admin身份登录。
验证是否正在导入数据: a.选择设置(Settings)>数据(Data)>索引(Indexes)。
b.向下滚动至摘要行。
c.验证“最早事件”(Earliestevent)和“最新事件”(Latestevent)列是否显示合理的日期。
如果 在评估许可证下运行历史数据导入,请安装为该帐户下载的默认许可证,并删除任何非生产许可证。
提示如果您发现由于校验和错误,应用对任何类型的已配置输入未在索引文件的话,请将该行crcSalt=
有关地址、电话号码和传真号码信息,可查阅思科网站:/go/offices 本手册中有关产品的规格和信息如有更改,恕不另行通知。
本手册中的所有声明、信息和建议均准确可靠,但我们不为其提供任何明示或暗示的担保。
用户必须承担使用产品的全部责任。
随附产品的软件许可和有限担保在随产品一起提供的信息包中提供,且构成本文的一部分。
如果您无法找到软件许可或有限担保,请与思科代表联系以获取副本。
思科所采用的
TCP报头压缩是加州大学伯克莱分校(UCB)开发的一个程序的改版,是UCB的UNIX操作系统公共域版本的一部分。
版权所有。
版权所有©1981,加州大学董事会。
无论在该手册中是否作出了其他担保,来自这些供应商的所有文档文件和软件都按“原样”提供且仍有可能存在缺陷。
思科和上述供应商不承诺所有明示或暗示的担保,包括(但不限于)对特定用途的适销性、适用性、非侵权性以及因交易、使用或商业惯例所衍生的担保。
在任何情况下,对于任何间接、特殊、连带发生或偶发的损坏,包括(但不限于)因使用或无法使用本手册而导致的任何利润损失或数据损失或损坏,思科及其
供应商概不负责,即使思科及其供应商已获知此类损坏的可能性也不例外。
思科和思科徽标是思科和/或其附属公司在美国和其他国家/地区的商标或注册商标。
要查看思科商标列表,请访问此URL:/go/trademarks。
文中提及的第三方商标为其相应所有者的财产。
“合作伙伴”一词的使用并不意味着思科和任何其他公司之间存在合作伙伴关系。
(1110R) 本文档中使用的任何互联网协议(IP)地址和电话号码并非实际地址和电话号码。
本文档中所含的任何示例、命令显示输出、网络拓扑图和其他图形仅供说明之用。
说明性内容中用到的任何真实IP地址或电话号码纯属巧合,并非有意使用。
思科高级网络安全报告5.0安装、设置和用户指南©2013-2015思科系统公司。
版权所有。
目录 简介1-15.0版中的新增功能1-2支持和不支持的功能1-
2 系统要求及规模和扩展建议1-3设置概述1-3安装5.0版本的高级网络安全报告应用1-
3 在Linux中1-3在Windows中1-4升级到5.0版本的高级网络安全报告应用1-5从4.0或更高版本升级1-
5 在Linux中1-5在Windows中1-6从3.0版本升级到5.0版本1-6管理员1-7配置最佳实践1-7启动和停止高级网络安全报告应用的命令1-7在Linux中1-7在Windows中1-8许可和迁移1-8从3.0版本WSA迁移到4.0版本仅WSA报告1-8从3.0版本仅WSA报告迁移到4.0版本混合报告1-8新的混合报告许可证1-9混合报告许可证问题1-94.0和更高版本升级的许可考虑因素1-9许可证安装1-9为访问和流量监控日志文件创建文件夹结构1-10导入和索引历史数据1-10(可选)配置应用在索引后删除日志文件1-11设置持续的数据传输1-11配置WSA日志的数据输入1-11WSA系统日志数据输入的配置1-12从网络安全设备建立日志传输1-13配置CWS日志更新1-14 思科高级网络安全报告5.0安装、设置和用户指南
1 目录 设置部门成员查询(可选)1-15设置部门成员报告1-15按角色对部门报告进行访问限制1-16对部门成员报告进行故障排除1-16 设置计划式PDF报告(可选)1-17配置邮件提示1-17安排PDF报告生成1-18 报告概述2-1访问报告2-1另存为控制面板2-
2 编辑自定义控制面板2-2数据格式2-3时间范围2-
3 数据可用性计时2-3导出2-
4 导出到.CSV文件2-4导出到PDF文件2-4常规数据与特定数据2-4查看特定数据2-4搜索2-5搜索提示2-5对搜索进行故障排除2-5预定义报告2-5使用场景2-7用户调查2-
7 查看网络使用趋势2-7查看事务历史记录2-8已访问的URL2-8查看访问最频繁的网站2-8已访问的URL类别2-8查看最常见的URL类别2-
8 思科高级网络安全报告5.0安装、设置和用户指南
2 安装和设置 第1章 •简介,第1-1页•系统要求及规模和扩展建议,第1-3页•设置概述,第1-3页•安装5.0版本的高级网络安全报告应用,第1-3页•升级到5.0版本的高级网络安全报告应用,第1-5页•许可和迁移,第1-8页•为访问和流量监控日志文件创建文件夹结构,第1-10页•导入和索引历史数据,第1-10页•设置持续的数据传输,第1-11页•配置CWS日志更新,第1-14页•设置部门成员查询(可选),第1-15页•设置计划式PDF报告(可选),第1-17页 简介 思科高级网络安全报告应用提供报告和控制面板,其目的在于对来自多个思科网络安全设备和来自 思科云网络安全(CWS)网关的大批量数据提供深入的了解。
高级网络安全报告应用包括数据收集和报告应用,以及转发收集自网络安全设备(WSA)和CWS服务的日志数据的相关服务器。
备注云网络安全有时也称为“ScanSafe”。
高级网络安全报告应用接收日志数据并将其存储在default/main索引中。
您可以使用预定义报告查看这些数据。
思科高级网络安全报告5.0安装、设置和用户指南 1-
1 简介 第1章安装和设置 图1-1 5.0版中的新增功能 高级网络安全报告系统的一般架构。
特性从早期版本无缝升级CWS的AMP报告安排整个报告的邮件发送自定义控制面板支持 最新的界面 支持和不支持的功能 说明 添加/删除现有面板选择图表格式创建自己的控制面板最新的应用“外观和感觉”。
组件报告(Reports) 服务器(Server)传输方法(TransportMethods) 支持包括在高级网络安全报告应用中的报告单服务器部署FTP(文件和目录) TCP(系统日志) 不支持自定义报告 多服务器部署不适用 思科高级网络安全报告5.0安装、设置和用户指南 1-
2 第1章安装和设置 系统要求及规模和扩展建议 组件PDF 自定义控制面板(CustomDashboards) 支持 集成式PDF生成 计划式PDF报告对于每个报告,可另存为控制面板(SaveAsDashboard)以为选定的时间范围、源类型和主机(有限)创建自定义控制面板。
不支持不适用 系统要求及规模和扩展建议 系统要求,以及规模和扩展建议,在高级网络安全报告版本说明中有详细说明,可通过以下地址查看/c/en/us/support/security/web-security-appliance/products-release-notes-list.html 设置概述 包括以下其中一种情况:
•第一次安装高级网络安全报告应用: –安装5.0版本的高级网络安全报告应用,第1-3页–许可和迁移,第1-8页–为访问和流量监控日志文件创建文件夹结构,第1-10页–导入和索引历史数据,第1-10页–设置持续的数据传输,第1-11页(包括网络安全设备的设置。
)–配置CWS日志更新,第1-14页或:•升级到5.0版本的高级网络安全报告应用,第1-5页 安装5.0版本的高级网络安全报告应用 请按照本节介绍的步骤安装5.0版本的高级网络安全报告应用。
•在Linux中,第1-3页•在Windows中,第1-4页 在Linux中必须按照以下顺序执行这些任务: 步骤
1 下载高级网络安全报告5.0软件的安装程序: ?
mdfid=282803425&softwareid=283998384&release=5.0&relind=AVAILABLE&rellifecycle=&reltype=latest 思科高级网络安全报告5.0安装、设置和用户指南 1-
3 安装5.0版本的高级网络安全报告应用 第1章安装和设置 步骤
2 解压安装程序软件。
要安装到当前工作目录中,请发出此命令: tarzxvfcisco_wsa_reporting-5.0.0.tgz. 要安装到/opt/cisco-wsa_reporting/目录中,请使用以下命令: tarzxvfcisco_wsa_reporting-5.0.0.tgz-C/opt 步骤
3 将目录更改为/cisco_wsa_reporting/,然后运行安装脚本: cdcisco_wsa_reporting./setup.sh 步骤
4 安装期间会显示进度和里程碑语句。
启动高级网络安全报告应用并登录:a.在浏览器窗口中导航到http://
注早期版本使用的是8000端口;从4.0版本开始,所使用的端口为8888。
b.使用用户名admin登录,密码为Cisco@dmin。
c.修改admin密码。
后续步骤•许可和迁移,第1-8页 在Windows中 准备工作Windows仅允许安装一种版本的高级网络安全报告软件。
因此,如果安装了早期版本,必须备份现有数据并卸载该早期版本,然后安装新版本。
步骤
1 步骤2步骤3步骤
4 步骤5步骤
6 下载高级网络安全报告5.0软件的安装程序:?
mdfid=282803425&softwareid=283998384&release=5.0&relind=AVAILABLE&rellifecycle=&reltype=latest解压安装程序;您可以使用7-Zip、WinZip等应用。
以管理员身份启动命令行外壳(PowerShell),并将目录更改为您解压安装程序的目录。
运行install.bat。
应用会安装到C:\ProgramFiles\Cisco\CiscoWSAReporting文件夹中。
重新启动高级网络安全报告服务器。
启动高级网络安全报告应用并登录:a.在浏览器窗口中导航到http://
注早期版本使用的是8000端口;从4.0版本开始,所使用的端口为8888。
思科高级网络安全报告5.0安装、设置和用户指南 1-
4 第1章安装和设置 升级到5.0版本的高级网络安全报告应用 b.使用用户名admin登录,密码为Cisco@dmin。
c.修改admin密码。
后续步骤•许可和迁移,第1-8页 升级到5.0版本的高级网络安全报告应用 •从4.0或更高版本升级,第1-5页•从3.0版本升级到5.0版本,第1-6页 从4.0或更高版本升级 请按照此节介绍的步骤从4.0或4.5版本升级到5.0版本。
•在Linux中,第1-5页•在Windows中,第1-6页 在Linux中 必须按照以下顺序执行这些任务: 步骤
1 步骤2步骤3步骤
4 下载高级网络安全报告5.0软件的安装程序(CiscoAdvancedWebSecurityReporting_Linux_5_0_0.tgz):?
mdfid=282803425&softwareid=283998384&release=5.0&relind=AVAILABLE&rellifecycle=&reltype=latest 将下载的安装程序文件复制到cisco_wsa_reporting目录的基目录。
例如,如果高级网络安全报告的早期版本安装在/opt/cisco_wsa_reporting/中,则将.tgz文件放入/opt/目录中。
将目录更改为安装的基目录(例如/opt/)。
发出此命令以解压安装程序: tar-zxvfCiscoAdvancedWebSecurityReporting_Linux_5_0_0-002.tgzcisco_wsa_reporting/SeamlessUpgrade.sh;cp-fcisco_wsa_reporting/SeamlessUpgrade.sh. 步骤
5 运行升级脚本: ./SeamlessUpgrade.shCiscoAdvancedWebSecurityReporting_Linux_5_0_0-002.tgz 思科高级网络安全报告5.0安装、设置和用户指南 1-
5 升级到5.0版本的高级网络安全报告应用 第1章安装和设置 在Windows中 必须按照以下顺序执行这些任务: 步骤
1 步骤2步骤3步骤
4 下载安装高级网络安全报告5.0软件的安装程序(CiscoAdvancedWebSecurityReporting_Windows_5_0_0.tgz):?
mdfid=282803425&softwareid=283998384&release=5.0&relind=AVAILABLE&rellifecycle=&reltype=latest 解压安装程序;您可以使用7-Zip、WinZip等应用。
以管理员身份启动命令行外壳(PowerShell),并将目录更改为您解压安装程序的目录。
执行.\WinSeamlessUpgrade.ps1命令升级高级网络安全报告应用。
从3.0版本升级到5.0版本 您必须按照此节中介绍的步骤将3.0版本的安装升级到5.0版本。
从3.0版本的安装升级涉及以下基本步骤: •备份3.0版本现有索引数据的副本。
•关闭新安装的5.0版本应用。
•将3.0版本的备份数据复制到新的数据目录。
•重新启动5.0版本应用。
以下是详细步骤。
对于这些说明,我们假设3.0版本在/opt/splunk中运行,而新版本在/opt/cisco_wsa_reporting中运行。
请您相应地调整路径。
步骤
1 停止旧版本: /opt/splunk/bin/splunk 步骤2步骤
3 编辑旧的inputs.conf文件(/opt/splunk/etc/apps/SplunkforCiscoIronportWSA/local/inputs.conf)并禁用所有输入。
重新启动旧版本: /opt/splunk/bin/splunkstart 步骤
4 验证主索引中是否未遗留任何hotbucket: cd/opt/splunk/var/lib/splunk/defaultdb/db ls-lahot*(验证是否无结果) 步骤
5 再次停止旧版本: /opt/splunk/bin/splunk 步骤
6 验证新版本是否未处于运行状态: /opt/cisco_wsa_reporting/shutdown.sh 思科高级网络安全报告5.0安装、设置和用户指南 1-
6 第1章安装和设置 升级到5.0版本的高级网络安全报告应用 步骤
7 清理新版本的索引文件夹: cd/opt/cisco_wsa_reporting/var/lib/splunkrm-rf* 步骤
8 将索引从旧版本复制到新版本: cd/opt/cisco_wsa_reporting/var/lib/splunkcp-r/opt/splunk/var/lib/splunk/defaultdb.cp-r/opt/splunk/var/lib/splunk/fishbucket. 步骤
9 启动新版本的高级网络安全报告: /opt/cisco_wsa_reporting/startup.sh 步骤10在浏览器中,打开http://
管理员 高级网络安全报告应用提供两个管理员: •“默认管理员”(用户名:admin,密码:Cisco@dmin)将可访问所有管理功能。
admin用户可以安装许可证并配置分布式环境。
使用此帐户配置、测试和故障排除。
•第二种管理员(用户名:wsa_admin,密码:Ironp0rt)可访问下级管理功能。
我们建议您在安装后修改这两个密码(设置[Settings]>用户和身份验证[UsersandAuthentication]>访问控制[essControls]>用户[Users])。
配置最佳实践 •在WSA和CWS设备上设置一致的时区。
搜索结果中显示的时间反映高级网络安全报告实例的‘本地’时间。
默认情况下,设备日志的所有输入设置为TZ=GMT。
•记录本地admin帐户密码(忽略选定的身份验证方法)。
启动和停止高级网络安全报告应用的命令 在Linux中 要停止高级网络安全报告应用:将目录更改为/cisco_wsa_reporting/并发出此命令: ./shutdown.sh 要启动高级网络安全报告应用:将目录更改为/cisco_wsa_reporting/并发出此命令: /startup.sh 思科高级网络安全报告5.0安装、设置和用户指南 1-
7 许可和迁移 第1章安装和设置 在Windows中 要停止高级网络安全报告应用:将目录更改为
许可和迁移 4.5版本中添加的三个AMP报告仅支持WSAAMP日志。
从4.0版本开始,高级网络安全报告应用同时支持WSA和CWS日志报告,这被称为“混合报告”。
要使用混合报告,您必须安装新许可证。
您可以继续使用当前许可证的仅WSA报告。
各类许可和迁移场景包括:•从3.0版本WSA迁移到4.0版本仅WSA报告•从3.0版本仅WSA报告迁移到4.0版本混合报告•新的混合报告许可证 从3.0版本WSA迁移到4.0版本仅WSA报告 您可以安装4.0或更高版本的软件,而您之前安装的许可证将继续提供WSA报告。
此外,4.0和更高版本的软件中嵌入有评估许可证;此许可证包括额外报告源类型,它将允许您评估混合报告。
从3.0版本仅WSA报告迁移到4.0版本混合报告 如上一节所述,您可以安装4.0或更高版本的软件,而您之前安装的许可证将继续提供WSA报告。
此外,嵌入式评估许可证将允许您评估混合报告功能。
为了从仅WSA迁移到混合报告,您必须开启思科技术支持中心(TAC)支持案例来删除您现有的许可证并安装新的混合报告许可证,其中包括源类型的完整列表,即包括ciscocws源类型。
/ServiceRequestTool/scm/mgmt/case 备注仅当您从3.0版本仅WSA报告升级到4.0或更高版本的混合报告时才需要联系TAC。
思科高级网络安全报告5.0安装、设置和用户指南 1-
8 第1章安装和设置 许可和迁移 新的混合报告许可证 在以新的高级网络安全报告用户身份安装完4.0或更高版本的软件后,要使用WSA和混合网络安全报告,您可以在评估期限内无限制地使用嵌入式评估许可证。
要在评估期限结束后继续使用,或要提供评估限制之外的报告,您必须获得主混合许可证。
对于新安装,使用您订单所提供的infodoc来请求该许可证。
混合报告许可证问题 如果您遇到混合报告问题,在联系思科之前,请确认您已购买CWS日志提取许可证(L-CWS-LOG-LIC=),并且您已设置自己的环境以导入CWS日志。
此外,请确保报告应用许可证(购买SMA-WSPL-LIC=、SMA-WSPL-LOW-LIC=或SMA-WSPL-HIGH-LIC=时颁发)仅包括以下源类型:wsa_trafmonlogs、wsa_esslogs、wsa_w3clogs、wsa_syslog、wsa_amplogs,尤其是ciscocws。
使用思科的高级网络安全报告应用处理任何其他源类型的日志(例如ps)将产生许可证违规错误。
如果您安装产生替代源类型日志的其他应用就会发生这个错误。
4.0和更高版本升级的许可考虑因素 起初,您需要至少一个适于大批量数据的评估许可证以处理历史数据传输。
之后您将需要高级网络安全报告许可证。
1.考虑初始历史数据上传期间以及持续的每日基础之上索引的数据量。
2.获取并上传适合历史数据传输的评估许可证。
3.获取并上传适合要索引的适用源类型的预期数据的高级网络安全报告许可证。
4.将许可证类型由试用变更为评估或高级网络安全报告。
5.确保索引报告到正确的池:a.导航到设置(Settings)>系统(System)>许可(Licensing)并找到相应许可证栈下的“本日使 用的池索引器”(PoolsIndexersVolumeusedtoday)行。
b.如有需要,可以点击编辑(Edit)来更改每日最大分配量和分配的索引器。
c.如果您不做任何更改,请点击取消(Cancel);如果您做出更改,则请点击提交(Submit)。
许可证安装 要获取许可证,请参阅您在下单时提供的信息。
请按照以下步骤来安装高级网络安全报告许可证: 步骤
1 步骤2步骤3步骤4步骤
5 启动高级网络安全报告应用(在浏览器窗口中输入http://
导航到设置(Settings)>系统(System)>许可(Licensing)。
点击添加许可证(Addlicense)。
浏览到您的XML许可证文件。
点击安装(Install)。
思科高级网络安全报告5.0安装、设置和用户指南 1-
9 为访问和流量监控日志文件创建文件夹结构 第1章安装和设置 为访问和流量监控日志文件创建文件夹结构 记录 默认路径 流量监控 /$Input_base/wsa_hostname/trafmonlogs/ (Traffic
Monitor) 访问(ess)/$Input_base/wsa_hostname/esslogs/ AMP /$Input_base/wsa_hostname/amplogs/ 变量$Input_base=pathofrootFTPfolder host_name=WSAdevice$Input_base=deployment host_name=WSAdevice$Input_base=deployment host_name=WSAdevice 导入和索引历史数据 准备工作•完成升级到5.0版本的高级网络安全报告应用,第1-5页中列出的配置任务。
•了解文件夹结构。
请参阅为访问和流量监控日志文件创建文件夹结构,第1-10页。
步骤1步骤2步骤
3 将历史日志文件复制到日志文件的文件夹结构中。
在高级网络安全报告应用中,以admin身份登录。
验证是否正在导入数据: a.选择设置(Settings)>数据(Data)>索引(Indexes)。
b.向下滚动至摘要行。
c.验证“最早事件”(Earliestevent)和“最新事件”(Latestevent)列是否显示合理的日期。
如果 在评估许可证下运行历史数据导入,请安装为该帐户下载的默认许可证,并删除任何非生产许可证。
提示如果您发现由于校验和错误,应用对任何类型的已配置输入未在索引文件的话,请将该行crcSalt=
声明:
该资讯来自于互联网网友发布,如有侵犯您的权益请联系我们。