网络管理/流量分析/日志分析 解决方案
OpManager+Firewall Analyzer
AdventNet 网络管理/流量分析/日志分析解决方案 www.adventnet.com.cn
注意：
本文档是北京艾德威特网络软件技术（北京）有限公司有关网络管理/流量分析/日志分析的方案说明书。
本材料的相关权力归艾德威特网络软件技术（北京）有限公司所有。文档中的任何部分未经本公司许可，不得转印、影印或复印。
2006艾德威特网络软件技术（北京）有限公司 保留所有权利。
本资料将定期更新，如欲获取最新相关信息，请访问
艾德威特网络软件技术（北京）有限公司网站：www.adventnet.com.cn
您的意见和建议请发送至：china-support@adventnet.com
艾德威特网络软件技术（北京）有限公司
北京海淀区知春路106号太平洋国际大厦1215室，100086
电话: 010-82637815 010-82637816
传真: 010-82637827
电子信箱：china-sales@adventnet.com
2
AdventNet 网络管理/流量分析/日志分析解决方案 www.adventnet.com.cn
目 录
1 公司简介.................................................................................................................4
2 产品组成.................................................................................................................4
3 方案示意图.............................................................................................................4
4 方案特点.................................................................................................................4
5 方案优势.................................................................................................................4
6 实现功能.................................................................................................................5
6.1 自动扫描网络...........................................................................................5
6.2 路由器/WAN监控...................................................................................6
6.2.1 优化带宽分配....................................................................................7
6.2.2 确保网络高可用性............................................................................8
6.2.3 快速解决WAN问题........................................................................8
6.2.4 识别流量趋势....................................................................................8
6.3 交换机监控...............................................................................................8
6.3.1 交换机和交换机端口可用性监控....................................................9
6.3.2 端口流量监控....................................................................................9
6.3.3 交换机监控工具..............................................................................10
6.4 防火墙监控.............................................................................................10
6.5 服务器监控.............................................................................................11
6.5.1 服务监控..........................................................................................11
6.5.2 Windows事件日志监控.................................................................12
6.5.3 已安装软件列表和活动进程列表..................................................14
6.5.4 CPU、内存和磁盘利用率监控......................................................14
6.5.5 服务器和服务应答时间监控..........................................................15
6.5.6 监控非SNMP设备.........................................................................15
6.6 URL监控................................................................................................15
6.7 网络实时流量监控报表.........................................................................16
6.8 网络流量排行.........................................................................................18
6.9 主机流量深入分析.................................................................................18
6.10 协议使用报表.........................................................................................19
6.11 网络病毒深入分析和安全分析.............................................................19
6.11.1 病毒报表...................................................................................20
6.11.2 安全报表...................................................................................20
7 方案部署...............................................................................................................20
8 维护和支持...........................................................................................................21
3
AdventNet 网络管理/流量分析/日志分析解决方案 www.adventnet.com.cn
1 公司简介
AdventNet公司是一家专业提供IT综合管理解决方案的软件厂商。它为管理IT网络，提供业界领先的开放式、可伸缩、跨平台的解决方案，可对政府、教育、金融、证券、能源等行业用户的系统、网络、应用以及业务流程进行全面管理。并为网络或电信设备供应商、服务提供商和管理服务提供商（MSP）提供高度可伸缩的、运营级的、用于预配和管理网络基础架构的管理应用软件。
AdventNet利用业界领先的核心技术，针对客户IT管理的各种需求，提供能涵盖多种领域的、功能强大的、性价比高而又易于使用的产品。同时AdventNet强大的研发中心和支持队伍，可以使客户的投资得到更好的回报。
2 产品组成
此方案由AdventNet公司的OpManager和Firewall Analyzer两个产品组成。
3 方案示意图
4 方案特点
此方案的特点在于全面管理IT基础架构，直观设备运营状态，动态监控网络状况，及时了解故障信息。深入分析用户和主机的上网情况，并识别潜在的病毒和攻击。帮助管理员制定长期的容量规划。
5 方案优势
方案实施容易。产品简单易用，界面友好。产品适应性强，支持多厂家设备。产品之间兼容性好，无缝连接。 4
AdventNet 网络管理/流量分析/日志分析解决方案 www.adventnet.com.cn
方案中所有产品都基于Web界面，用户可以在同一个界面上管理所有的设备。用户不需要在七拼八凑的多个产品之间寻找需要的功能，产品之间自动关联相关的功能。用户不需要到机房管理站操作，通过Web浏览器连接到控制台，直接远程控制。
对于IT架构中的WAN链路、路由器、防火墙、交换机、各种服务器(HTTP、Mail、FTP、LDAP、DNS等)以及多种应用(MS-SQL、MS-Exchange、Oracle、MySQL、Lotus Notes等)都提供了有效的管理和监控。
方案通过智能化警报关联分析和警报抑制有效控制警报, 利用邮件/短信等多种手段将故障及时通知管理员。
6 实现功能
6.1 自动扫描网络
OpManager利用SNMP、ICMP等针对IP网络的设备、端口、接口以及之间的关系进行自动发现。
用户可以通过发现向导来指定要发现的网络。也可以随时通过添加网络功能来添加新的网络，从而扩大管理范围。
用户也可以手动添加在初始发现过程中没被发现的设备,或者其他的设备。 5
AdventNet 网络管理/流量分析/日志分析解决方案 www.adventnet.com.cn
注意:
所有要添加到OpManager中的设备(特别是路由器，交换机)必须要能够ping通，并开启了SNMP团体字符串。
用户可以通过OpManager的管理页面中的Mib浏览器来确认设备的SNMP是否开启以及团体字符串是否被正确，例如：
在上图中，从设备(192.168.0.12)的SNMP节点(sysDescr)返回了设备的正确描述信息。说明设备(192.168.0.12)的SNMP代理打开，并且团体字符串也正确。否则就需要确认设备的SNMP的配置，具体配置需要查阅设备的资料。
http://www.adventnet.com.cn/documents/opmanager/html_doc/OpManager5_help/help/user_guide/index.html中包含SNMP配置的相关信息。
6.2 路由器/WAN监控
WAN链路通常是整个网络中成本最高的投资之一，而且带宽分配管理是相当复杂的。如果超额定购带宽就意味着公司将比实际所需支出更多的带宽费用，而定购不足又可能导致网络拥塞和性能降级。因此，WAN监控和路由器监控就变得非常重要。网络管理员需通过保持流通量、承诺信息速率(committed information rate、CIR)、脉冲串速率与堵塞、应答时间及丢弃等指标之间的平衡
6
AdventNet 网络管理/流量分析/日志分析解决方案 www.adventnet.com.cn
来优化服务的质量。OpManager监控路由器/WAN的优势： 􀃔
􀃔
􀃔
􀃔
􀃔
优化带宽分配
确保网络高可用性
快速解决WAN问题
为将来规划容量
降低WAN链路的续生成本
6.2.1 优化带宽分配
测量带宽利用率和流量
OpManager能通过监控和诊断WAN链路来获得有关流量、利用率和出错率等信息，从而验证是否符合SLA( Service Level Agreement)。通过呈现准确的流量和利用率信息，OpManager能帮助用户优化带宽分配。
􀃔
􀃔
􀃔
通过阈值告警监控链路利用率和流量
识别使用过度和使用不足的链路
当接口开始丢弃数据包时发出告警
7
AdventNet 网络管理/流量分析/日志分析解决方案 www.adventnet.com.cn
6.2.2 确保网络高可用性
OpManager可以创建一个能图形化显示整个WAN的业务视图，OpManager能在链路中断时自动发出告警。
通过利用阈值告警主动监控网络延时，能尽早识别性能降级，从而避免故障时间。
OpManager的报表功能还能针对您的所有接口提供详细的可用性报表。这些报表可用来验证是否达到SLA的要求。
6.2.3 快速解决WAN问题
理想的路由器性能是保证整个WAN性能良好的重要条件。如果网络出现堵塞，OpManager将显示下列重要的路由器性能变量以便快速解决所出现的问题： 􀃔
􀃔
􀃔
􀃔
􀃔
CPU利用率
内存利用率
出错率与丢包率
电压、温度等
缓冲统计数据(命中、遗漏和失败)
另外，通过OpManager的自定义SNMP监控，可以监控路由器供应商提供的诸多重要的性能指标。
6.2.4 识别流量趋势
OpManager通过识别未能充分利用的链路，可帮助网络管理员每月节省续生成本。
借助流量趋势图表和链路利用率报表，网络管理员可以预先规划额外的容量。
6.3 交换机监控
交换机是LAN的中枢，它的任何问题都将影响到LAN的大部分用户。配备
8
AdventNet 网络管理/流量分析/日志分析解决方案 www.adventnet.com.cn
一个主动的交换机监控系统有助于及早发现问题并避免潜在的问题。
OpManager的交换机监控功能自动发现网络中的交换机并将它们置于一个专用的交换机图中，另外，所有交换机端口也将被发现并直观地显示在该图中。
利用OpManager的交换机监控能力，操作人员可以直观地了解交换机端口的状态和可用性。OpManager主动监控交换机端口，并在交换机端口或交换机出现问题时及早通知操作人员。操作人员可以设置OpManager仅监控重要的端口，这是个非常实用的功能，因为这样可以避免生成许多不必要的警报。 OpManager还允许用户查看生成树的状态，以便了解端口是否阻塞。
6.3.1 交换机和交换机端口可用性监控
利用OpManager可以创建一个能图形化显示整个LAN的业务视图。OpManager能在链路中断时自动发出告警。
OpManager的报表功能还能为您的交换机和交换机端口提供详细的可用性报表，这些报表可用来验证是否达到了SLA的要求。
6.3.2 端口流量监控
OpManager能通过监控和诊断交换机端口来获得流量、利用率和出错率等信息，从而验证是否符合SLA(Service Level Agreement)。通过呈现准确的端口流量和利用率信息，OpManager能帮助用户发现LAN中的流量最大的端口。 9
AdventNet 网络管理/流量分析/日志分析解决方案 www.adventnet.com.cn
􀃔
􀃔
􀃔
􀃔
通过阈值告警监控端口利用率和流量
发现并提前预防潜在的广播风暴(BroadCast Storm)。
识别使用过度和使用不足的端口
当接口开始丢弃数据包时发出告警
6.3.3 交换机监控工具
OpManager捆绑了实时的交换机监控工具，如交换机端口映射和STP工具。
6.3.3.1 交换机端口映射
Switch Port Mapper是OpManager内嵌的一个实用工具，它能快速列出与交换机端口相连的设备。
6.3.3.2 STP工具
利用该STP工具可以查看每个端口对应的生成树协议明细，它能提供与每个端口的生成树状态相关的重要信息，如端口是否被阻塞。
6.4 防火墙监控
防火墙日志能呈现流入和流出防火墙的流量状态相关的许多信息。分析这些防火墙和网站流量日志对于了解网络和带宽利用率来说是至关重要的，而且在商业风险评估时也能起到重要的作用。Firewall Analyzer提供了许多功能用于收集、分析和报告防火墙日志。
用户只须按照具体设备的配置要求将防火墙，VPN的日志设置输出到Firewall Analyzer。Firewall Analyzer即可生成相应的报表。Firewall Analyzer也通
10
AdventNet 网络管理/流量分析/日志分析解决方案 www.adventnet.com.cn
过Ftp主动采集Squid proxy等的日志信息生成相应的报表。
有关各个设备的具体配置，可以参考下面的链接：
http://www.adventnet.com.cn/documents/help-FWA4020/help/index.html
6.5 服务器监控
服务器监控是服务器管理的一个基本的组成部分，而且服务器本身的重要性质又要求被管服务器的状态不断地受到监控。OpManager能自动执行这一单调的任务，并能轻松地检测服务器的问题。
OpManager能提供详细的服务器可用性图表，以及日、周、月和季度可用性报表。
OpManager的报表功能还能针对您的所有设备提供详细的可用性报表，基于这些报表可以验证是否符合SLA。
6.5.1 服务监控 􀃔
􀃔
􀃔
OpManager支持对服务器上运行的服务(HTTP、FTP、Telnet等)进行监控。
操作员可以监控所有设备的可用性和应答时间。
OpManager还支持为TCP端口上运行的自定义服务添加监控。 11
AdventNet 网络管理/流量分析/日志分析解决方案 www.adventnet.com.cn
6.5.2 Windows事件日志监控
事件日志包含了非常重要的信息，可用于诊断应用和操作系统的故障，测定系统的健康状况并检验系统和应用是否运行正常。
Windows系统将所有日志保存在二进制的.Evt文件中，主要包括三种日志文件，即Application (AppEvent.Evt)、System (SysEvent.Evt)和Security (SecEvent.Evt)。Windows 2000 (及以后版本)服务器还能包含额外的事件日志，即DNS Server (DNSEvent.Evt)、File Replication Service (NtFrs.Evt)，以及Active Directory domain controller上的Directory Service (NTDS.Evt)。
系统日志能追踪多种系统事件，如启用、关闭以及硬件和控制器故障等事件。而应用日志是应用状态信息的一个重要来源，如果能与Windows操作系统适当集成，那么通过将事件条目记录到应用日志中，应用就能将出现的错误汇报到事件日志。安全日志能追踪登陆、注销、更改访问权限和系统启动和关闭等事件。
6.5.2.1 保护您的网络免受内部攻击
Gartner最近的一项研究指出"对于企业安全系统最有破坏性的渗透往往来自企业内部 "。根据这项研究，实际上70%的安全问题会给企业造成损失。装备防火墙或病毒扫描工具可以阻止来自外部黑客的攻击，但却不能避免内部的攻击。保护系统免受此类攻击的唯一方法就是监控Windows 2000/XP/2003服务器日志并自动生成实时的告警。
6.5.2.2 Windows事件日志监控的优点 􀃔
保护网络免受内部攻击 12
AdventNet 网络管理/流量分析/日志分析解决方案 www.adventnet.com.cn
􀃔
􀃔
监控关键应用的可用性
将集中事件日志管理集成到网络监控软件
OpManager 的Windows事件日志监控功能提供了许多自动的规则，用于监控网络中所有windows服务器和工作站的重要安全日志。这样您就能轻易地检测诸如失败登录、由于密码错误而导致登陆失败、帐户锁定、访问安全文件失败、窜改安全日志等事件。还可以创建许多自定义规则用以巩固公司所采用的安全策略。
6.5.2.3 应用和系统日志监控
除了安全日志外，OpManager的Windows事件日志监控功能还能监控应用、系统和其他事件日志。许多即买即得的规则用于监控诸如Exchange、IIS、MS-SQL和ISA server等关键任务的应用。您还可以添加自定义规则来监控任何应用生成的事件。这些规则还可用来监控目录服务、DNS服务器以及文件复制服务器。
6.5.2.4 集成的事件日志监控
OpManager Windows事件日志监控允许用户将监控windows事件日志作为完整的网络、服务器和应用管理解决方案的一个组成部分，而不是一个孤立的解决方案。 这样操作员就不必为了监控windows事件日志而了解更多的接口。 13
AdventNet 网络管理/流量分析/日志分析解决方案 www.adventnet.com.cn
6.5.3 已安装软件列表和活动进程列表
6.5.4 CPU、内存和磁盘利用率监控
OpManager能监控服务器的关键性能参数，如CPU、内存和磁盘利用率，并在磁盘空间过低或CPU利用率过高等情况下主动警告操作员。OpManager作为一个智能的服务器管理工具，能帮助网络管理员避免服务器故障停机。
管理员可以获得自动生成的报表，并根据CPU和内存利用率识别服务器过载或繁忙。
利用有关服务器的分区磁盘利用报表可以帮助管理员识别使用率过高和过低的区域。 14
AdventNet 网络管理/流量分析/日志分析解决方案 www.adventnet.com.cn
6.5.5 服务器和服务应答时间监控
OpManager能监控服务器和服务的应答时间。通过及早识别应答时间的降级，它能立即警告操作员以避免潜在的服务器和服务故障。
6.5.6 监控非SNMP设备
OpManager服务器监控功能还可扩展到非SNMP设备。利用针对Windows的WMI以及针对Linux的Telnet / OpenSSH，OpManager可以监控非SNMP设备的CPU、内存和磁盘利用等统计数据。
6.6 URL监控
OpManager可以提供对网站的可用性和性能进行全天(24 X 7)性的监控。 􀃔
􀃔
􀃔
􀃔
􀃔
监控企业外部和内部的应用
在网站受到黑客威胁时发出通知
确保网站中的每个服务器都运行正常且呈现页面
监控需要验证登录的网页
监控web应用的各个方面 15
AdventNet 网络管理/流量分析/日志分析解决方案 www.adventnet.com.cn
OpManager检查URL以确保其可以访问且呈现页面，比起依赖ICMP ping或在端口80上执行TCP端口检测，这是一个更加可靠的网站监控方法。您可以监控公共网站以及内部互联网上运行的web应用的可用性和健康状况。而且，OpManager还能提供网站的可用性和性能趋势。
6.7 网络实时流量监控报表
操控板会自动更新以显示流入和流出每个防火墙的流量相关的信息。您可以深入分析以便了解使用流量最多的用户、使用最多的协议、生成的事件等更多信息。该操作盘还能全盘显示流入和流出整个企业的流量。 16
AdventNet 网络管理/流量分析/日志分析解决方案 www.adventnet.com.cn
以及最近一段时间的流量趋势： 17
AdventNet 网络管理/流量分析/日志分析解决方案 www.adventnet.com.cn
6.8 网络流量排行
6.9 主机流量深入分析
这个流量最大的主机使用了哪些协议?各个协议的流量是多少?和此主机通信量最大的主机是哪些?
此主机在工作时间和非工作时间的平均流量是多少?
18
AdventNet 网络管理/流量分析/日志分析解决方案 www.adventnet.com.cn
6.10 协议使用报表
针对每个防火墙提供Web、Mail、FTP和Telnet流量的特定报表。
6.11 网络病毒深入分析和安全分析
Firewall Analyzer提供了有关网络中病毒攻击和安全威胁的即时报表。该报表能立即显示网络中活动的病毒以及被侵袭的主机。借助这些报表，IT人员可以轻松地执行商业风险评估，检测问题并在发现问题时迅速解决问题。 19
AdventNet 网络管理/流量分析/日志分析解决方案 www.adventnet.com.cn
6.11.1 病毒报表
病毒报表提供了有关病毒攻击、被侵袭主机、攻击重要度、子类等详细的信息。利用出现最多的病毒和病毒使用最多的协议等可继续深入的详细信息，病毒报表有助于快速有效地诊断和解决问题。
6.11.2 安全报表
安全报表提供了网络中可能出现的安全隐患相关的详细信息。该报表包括被拒绝最多的主机、拒绝的协议和生成最多的安全事件。这些报表详尽地列出可能存在的安全隐患，并帮助IT人员测定是否需要修改网络安全策略。
7 方案部署
运行OpManager和Firewall Analyzer的服务器一台。下面是方案所需的最低硬件
20
AdventNet 网络管理/流量分析/日志分析解决方案 www.adventnet.com.cn
要求：
处理器 1GHz Intel™ Pentium III
内存: 1G
硬盘：80G
用户可根据自己的性能要求提高服务器的配置或者增加服务器。
具体OpManager和Firewall Analyze的安装和使用请参考产品的相关文档。
8 维护和支持
艾德威特公司通过电话和Email的方式为客户提供及时服务和技术支持。
艾德威特也会不定期发布服务包，为客户提供升级和维护服务。
同时，艾德威特公司还在网上设有论坛。论坛地址：
http://forums.adventnet.com/viewforum.php。
（全文完） 21