BES操作手册Word版50p.docx

1、BES操作手册Word版50p前言本文档是BigFix为更加方便用户使用和维护BES系统而编写的实用操作手册，手册内容会涵盖BES系统管理员/操作员在使用BES过程中主要用到的功能、操作，以及常见的各种问题和解决方法。文档的内容也会随着BES版本的更新和用户的反馈不断更新和补充。BES介绍BES系统由下面几个主要部件构成： BES Clients 也被称作Agents, 安装在每台你希望管理的计算机上。它们通过获取Fixlet信息来检测系统的漏洞情况。BES Client可以通过BES Server获得BES Console下发的修补漏洞的动作指示。在绝大多数情况下，BES Client在后台

2、静默运行，不需要最终用户的干预。当然，BES也允许管理员为最终用户提供下发动作的屏幕提示，要求用户进行互动操作。 BES Server 是若干个交互服务的集合，包括应用服务、Web Server和一个DB Server，这些服务是BES系统的核心。它们协调每台计算机的信息流向，并把结果保存在BES数据库内。BES Server组件在后台运行，不需要管理员的直接干预。BES Server还包含了一个内置的Web Reports报表模块，允许授权用户通过Web Browser来查看所有的计算机、漏洞、动作等信息。 BES Relay 增加系统的工作效率。Relay避免了网络中每台计算机都直接与BE

3、S Server相连，从而减轻BES Server的工作负担。几百到几千台BES Clients可以通过与BES Relay相连获得更新软件下载，只需要一个与BES Server的请求连接就可以了。BES Relay也可以连接到其他的Relay，进一步增加了工作效率。一个BES Relay不需要是一台专用的计算机可以安装在任何装有BES Client的Windows 2000、 Windows XP、或Windows Server 2003 计算机上。一旦你安装了BES Relay，你网络中的BES Clients会自动发现它们并与它们连接。 BES Console 将BES各个部件连接起来，

4、为网络中所有的计算机提供了系统级的全局视图，同时也包括它们存在的漏洞问题和修补方法。BES Console允许授权用户快速、简单的将修补方法分发到每台计算机中，同时不对网络中其它的计算机带来任何影响。BES Console可以运行在任何能与BES Server进行网络通讯的Windows 2000、Windows XP或Windows Server 2003 计算机中。BES Console界面简介BigFix? 企业管理套件 (BES)主控台窗口的顶端是一个带有6个（有时可能更多）选项卡的操作面板；底端是一个档案窗口，可展开这些选项卡的具体内容。操作控制台需要点击一个选项卡，当右侧出现列表后

5、双击相应的选择项，控制台会在屏幕底部窗口打开该档案，显示档案的详细信息。 导航条：该区域提供访问BES控制台主要功能的快捷方式。可以打开或关闭导航条中的每个功能区，还可以点击右上角的图标关闭导航条。 主选项卡： Fixlet Messages: 显示与网络中所有安装了BES Client 的计算机相关联的Fixlet消息列表。 任务: 显示任务列表，任务是由操作员发起的保证系统正常工作的维护性Fixlet消息。 动作: 显示已经或正在网络中应用的动作列表。 Computers: 显示网络中安装了BES Client的计算机列表及从这些计算机获取的有用的属性。 分析: 显示BigFix各种分析功

6、能。 Console Operators: 显示授权BES控制台操作员列表。 过滤面板：相应的文件夹目录树包含特定的字段值，可对右侧列表面板中列出的项目进行筛选。例如，点击Fixlet Messages选项卡后，可以打开Source Severity文件夹选择Critical项筛选出严重的Fixlet消息。 列表面板：由过滤面板筛选出的对象列表。可以点击相应列标题对列表进行排序，还可以左右拖拉列标题进行重新排列。右键点击某一标题会弹出包含所有可显示字段的菜单，可选择需要的字段作为列标题。 右键点击菜单: 右键单击任何列表项时显示的菜单。列表不同则弹出的相应菜单也不同。? 档案区：在面板区下方是

7、档案窗口。当双击任何列表中的项目时，会在这一区域打开相应的档案窗口。以下以Fixlet消息档案为例介绍档案区的基本内容： 档案选项卡: 每类档案会包括各自的选项卡。 Fixlet 消息: 如果从列表中打开某 Fixlet 消息，Fixlet档案会说明该Fixlet包含的相关问题。 动作 按钮: 每个 Fixlet 档案通常包括至少一个动作，可通过链接或按钮访问，在网络中进行部署。下图是典型的操作界面。Fixlet Messages 选项卡被选择，用户正在查看从列表面板打开的Fixlet消息：一般来说，BES控制台操作员可以查看Fixlet消息列表，打开任何一个Fixlet了解其所涉及的问题。每

8、个Fixlet消息都会指出已经在某些BES Client上发现的问题。底部面板的Fixlet 档案会提供与问题相关的简短说明。如有需要可以查看在使用关联表达式及提交动作过程中应用的操作脚本代码。只需点击相应的动作（在Fixlet窗口中以按钮或超链接显示）并按照提示进行操作即可将动作部署到关联的计算机。动作部署完毕后，受影响的BES Client会被修复并不再报告该问题，该Fixlet会消失。可设置相应参数以保证Fixlet网络的安全性和响应能力。从 File 菜单选择 Preferences可改变缺省设置。基本功能操作管理Fixlet站点BES的核心是使用BigFix的Fixlet专利技术实现

9、所需的功能，如补丁管理、漏洞管理等等。这些Fixlets由BigFix组成不同的组，发布在不同的下载地址（站点）。BES管理员需要根据已经购买或所需评估的功能模块来选择订阅（Subscribe）哪个Fixlet站点。管理Fixlet站点可以通过点击BES Console 工具“管理站点”菜单，打开管理Fixlet站点的对话框。增加站点：选择“添加外部站点”按钮，在弹出的浏览窗口中指定需要添加的站点文件（后缀为efxm文件），点击“确定”即可。删除站点：首先选中需要删除的站点名称，然后点击“移除站点”按钮。查看站点属性：首先选中站点名称，然后点击“站点属性”按钮，可以查看相关站点的各种属性信息，

10、如站点名称、来源、下载地址等。使用BES进行资产管理BES为用户提供了全面、强力的资产信息管理。下面着重介绍常用的资产管理操作：计算机分组在BES Console主界面的Computers标签下列出了所有已安装BES Client的计算机。显示为灰色的计算机表示为离线的计算机，也就是在连续三个心跳间隔时间内没有与BES Server进行通讯。在Last Report Time一栏显示最近一次BES Client计算机与BES Server通讯的时间。对计算机进行分组管理是最方便有效的一种管理方式。在BES ver5.1以上的版本中，BES Console对计算机的分组操作非常方便。选中所有希望

11、分为一组的计算机点击右键，选择“添加到静态计算机组” 。如果加入到已有的组，在已列出的所有计算机组中选中希望的组名称并点击OK即可；如果希望加入到新建的组，选择第二项“将所选计算机加入到一个新建的手工计算机组中，组名称为：” ，并在下方的文本栏中输入新建组的名称，点击OK即可。查看计算机属性如果希望查看具体计算机的属性，点击具体的计算机名称，在BES Console下方的Retrieved Properties标签下会显示出所有与该计算机相关的属性，包括硬件信息、软件信息、服务信息、网络信息等等。在Retrieved Properties下面所显示的信息项目与分析也有关系。如果某些分析从来没有

12、被启用过，则不会显示相关的信息。如果有些分析曾经启用过，但是当前被停用了，那么在Retrieved Properties下显示的信息可能是过时的，无法反映出最新的状况。编辑计算机属性对于所有计算机都可能用上的Retrieved Properties，可以在BES控制台中选择菜单“工具”-“管理计算机属性”显示。需要增加新的属性时，点击“添加” ，并在下发相应的文本框输入属性的名称、关联语句以及汇报的时间周期。如果希望该属性只在分析中出现，则选中最下方的复选框，点击确定并输入管理员口令即可。如果希望为某台计算机增加或编辑属性，则使用鼠标右键点击计算机名选择“编辑计算机设置”进行编辑。例如，需要为

13、计算机增加一个“固定资产编号”的属性，我们在“编辑计算机设置”对话框中选择“添加”按钮，在弹出的对话框中“设置名称”一项输入“固定资产编号” ，在“设置值”一项中输入希望赋予的资产编号。查看关联的Fixlet“Relevant”关联的、相关的是Fixlet中常用的一个词，说一条Fixlet是关联的就表明BES所管理的计算机存在该条Fixlet所描述的问题。在BES5.1以上版本中，通过BES控制台点击“Fixlet消息”标签，左上方的“所有关联的Fixlet消息”后面的数字表明被管理计算机资产中相关Fixlet的总数。点击左侧的加号还可以根据不同的标准对Fixlet进行过滤和筛选。比如点击“B

14、y 站点”，会显示出不同Fixlet 站点下有多少关联的Fixlet。还有一种查看关联的Fixlet的方式，就是查看特定计算机的关联的Fixlet。点击主界面下的“计算机”标签，显示所有被关联的计算机名称。双击某一台计算机名，在BES控制台下方会显示出所有与这台计算机相关的信息。其中在“关联的 Fixlet消息”标签下列出了所有与这台计算机关联的Fixlet信息。隐藏不需要的Fixlet/任务并不是所有的Fixlet都是需要解决的，具体需要解决哪些Fixlet所检测出来的问题取决与整个管理策略。对于那些不需要解决或者不希望显示的Fixlet可以在BES控制台进行隐藏。隐藏Fixlet分为两个层

15、面：本地隐藏（locally）和全局隐藏（globally）。本地隐藏只针对当前的登录用户，而全局隐藏是针对所有用户的。选择一条或多条Fixlet，点击右键，选择“全局隐藏 Fixlet消息”在全局隐藏Fixlet，或者选择“本地隐藏 Fixlet消息”在本地隐藏Fixlet。对于任务也是同样的操作。下发命令动作（动作）在需要修补Fixlet的问题或者执行某项任务的时候，可以点击Fixlet或任务描述文字下面的链接打开下发命令动作的对话框（动作）。所有需要执行的命令动作的对话框内容都是相似的，在这个动作对话框中主要选择下发动作所需要的各种辅助条件，比如：下发动作的目标计算机、是否给最终用户文字

16、提示、动作执行的时间，等等。具体的功能性的部分已经在Fixlet里预先写好了，通常不需要修改，除非管理员还希望执行其他的命令，这时可以在动作对话框的动作脚本部分进行修改。BES可以对多条Fixlet同时执行动作动作，只要选中所需修补的Fixlet，点击右键选择Take Default 动作即可。如果所选的Fixlet中有必须单独执行的，系统会提示管理员有哪些Fixlet不能多项同时执行动作，并在接下来弹出的Take 动作对话框中把这些Fixlet排除。查看历史动作动作及动作状态通常每条下发的动作都是有一个有效期的，在这个有效期内如果动作被执行了会有相应的状态被记录下来。如果过了有效期，动作会显

17、示为Expired（过期），相应的也就失去了效力。通过BES Console主界面下的动作标签，我们可以看到所有已经被下发的动作，其中状态栏表示了当前动作所处的有效状态。每条动作还具有一个执行的状态情况，在双击一条动作后会在主界面下发显示该动作的Status。如果希望看到该动作每一步执行的情况，可以在该动作所属的Computers标签下使用右键点击该动作，并选择“现实动作信息”进行查看（或者直接双击该计算机）。 各种动作状态的含义 Not Relevant 在运行动作前，BES Client检查动作的相关性，确认此动作已经不再与该客户端相关。 Evaluating - BES Client已经

18、收到与其相关的动作，正在评估是否需要开始运行，问题仍然存在，等等。 Running - BES Client正在运行动作。 Fixed - BES Client已经执行完动作，关联检查结果为否（意思为动作已经运行了，并且成功修复了问题）。 Failed - BES Client已经执行完动作，关联检查问题仍然存在（即使动作成功执行）。注意在补丁管理中，Failed通常意味着补丁文件已经执行，但是为计算机打补丁的操作失败了。 Locked - BES Client处于Locked （锁定）状态，在解除锁定前无法运行动作。 Pending Download - BES Client正在等待接收全部

19、的文件（这个状态会一直持续直到BES Server - BES Relay - BES Client的下载过程完成）。 Pending Restart 动作已经完成，但是只有在重启计算机后才能确定动作的状态是 Fixed 还是 Failed。 Waiting - BES Client正在等待某些条件来实际执行动作。所等待的条件包括：等待用户输入、等待失败后的重试、等待一个时间/日期范围、等待分发时间、等待用户登录以及等待计算机满足所定制的动作条件。 Restricted - BES Client无法执行动作因为BES license过期或被管理客户端计算机总数超额。 Cancelled 用户在

20、得到提示对话框时点击了cancel按钮。 Expired 动作超过了有效期，已经过期无法执行。使用基线基线是Fixlet消息和任务的集合。通过基线可以实现只执行一条命令部署一组动作。基线提供了一种维护标准操作环境的方式，确保任何管理域中的所有用户拥有同样的软件、补丁和驱动。基线非常容易配置，只需选择相应的Fixlet消息、任务和其他基线添加即可。还可以使用基于IP地址、计算机名、操作系统或其他条件的关联表达式限定基线应用的目标系统范围。例如：可以创建名为“所有重要补丁”的基线，包括所有当前Fixlet列表中可用的重要补丁；也可以创建名为“财务部”的基线，保证财务部的计算机升级最新的财务程序、财

21、务报表，升级和补丁等。创建基线选择“工具”“创建新的基线”“组件”：这个选项能够使你增加组件到你的基线中。需要增加一个新的组件，点击“向组中添加成员”。在弹出的对话框中，你可以选择新的Fixlet消息，任务和其他的基线加入基线组中。基线定义完毕后点击确定。定制的基线需要发布，因此会提示输入私钥密码。一旦输入了密码并点击确定，生成的基线会发送到所有的BES客户端。客户端会评估自身的相关性并报告状态。现在可以从控制台实现定制基线的部署。 使用软件使用率跟踪（Application Usage Tracking）软件使用率情况跟踪功能，可实时跟踪某应用程序的使用状况，包括：总体使用状况，单台计算机的

22、使用状况及可查询的使用统计分析（如：过去六个月哪台计算机使用了Word）等。点击这里，启用应用程序使用信息跟踪功能。从下拉框中选择想要跟踪的应用程序。可选择应用程序跟踪的种类激活该应用程序跟踪功能后，在控制台中会以图表的形式显示出我们所跟踪程序的如下信息：总使用时间、平均运行次数、总计运行次数、平均运行时间、总计运行时间、初次使用时间、上次使用时间、以及一些用户自定义的统计数据。使用任务和分析任务和分析是BES Console中很有用的两类功能。任务也是一种Fixlet，和Fixlet Messages的区别在于Fixlet Messages通常代表客户端计算机可能存在的漏洞或问题，而任务代表

23、管理员经常需要用到的一些维护性工作。分析则是根据Fixlet Site的不同提供各个方面的统计分析结果。任务的执行方式和Fixlet Messages完全一样。 分析在默认的情况下是没有被启用的，在BES Console上看到的状态是Not Activated。如果需要启用分析，可以通过右键点击分析标题选择Active Analysis或点击某条Analysis内容中的链接来实现。这些分析内容是周期性的进行，通常默认情况为每天一次。分析后的结果可以通过Analysis内容中的Summary标签来进行查看。通常分析在被启用后，其结果也会添加到相关计算机的Retrieved Properties栏

24、下。补丁回退(Windows/Unix)Windows补丁回退：对于Windows补丁的回退可以使用BES中的Microsoft Patch Rollback 任务 Wizard（Wizards-Microsoft Patch Rollback 任务 Wizard）实现。（注意：有些补丁由于各种原因是无法被卸载的。）如果补丁可以被卸载，你可以参照以下步骤进行：1、 首先你需要了解需要被回退补丁的微软KB编号。这个信息可以通过BES中的Patch and Update Rollback Information Analysis这条分析来获得，或者通过手工查找的方式获得。2、 一旦你有了微软的KB

25、编号，在任务 Wizard中输入这个编号。例如：MS03-023这条补丁的编号为KB823559，在任务 Wizard中相应的位置填入KB823559。任务 Wizard会在Windows注册表HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionUninstallkey中寻找微软的KB编号。其中key应该是你希望进行回退的补丁的KB编号。Unix补丁回退：对于Unix客户端补丁的回退可以通过BES Console下发一个定制动作来去除一个补丁或软件包。Solaris:wait patchrm patch_id其中patch_id是你希

26、望回退的补丁的id号。例如： wait patchrm 104945-02有关patchrm的更多信息，请查看相关网站 。Red Hat:wait rpm -e PACKAGE_NAME.其中PACKAGE_NAME是你希望卸载的RPM包的名称。例如：wait rpm -e gaim有关rpm的更多信息，请查看相关网站。HP-UX:wait swremove software_selections其中software_selections表示你希望卸载的软件产品。例如：wait swremove PHCO_23432有关swremove的更多信息，请查看相关网站。软件分发BES的软件或文件分发

27、是通过Wizards中的Windows Software Distribution Wizard来实现的。通过这个Wizard，BES会生成一个定制的任务，将保存在本地硬盘（或URL下）的一个文件或一个文件夹内的所有内容上传到BES Server上，管理员可以在分发任务的时候选择目标计算机进行软件分发。默认情况下文件会分发到客户端计算机BES Client安装目录下的_BESData_Global_Download目录中。如果希望分发到指定的客户端目录下，可以通过修改任务的动作内容来实现。例如，将sample.zip文件分发到客户端的C盘根目录下，原动作里的语句为wait “_Download

28、sample.zip”，修改为 move “_Downloadsample.zip” “c:sample.zip” 即可。BES系统的用户管理BES系统的用户管理主要是通过BES Administration Tool来完成的。打开BES Administration Tool，界面里的第一项User Management就是用于进行用户管理的。在这里可以对BES用户进行创建、编辑、删除和修复等工作。如果BES用户需要修改登录密码，可以在BES Console的“工具”菜单下选择“管理签名文件”，点击“修改密码”按钮来自行修改。BES还可以对普通的操作员用户分配可管理计算机的范围。在BES C

29、onsole上“控制台操作员”标签下，在相应的操作员用户上点击右键，选择“分配用户管理权限”，然后对该用户可管理的计算机范围进行添加或删除操作。更新license文件当用户的BES系统需要增加被管理客户端数目或者需要延长时间的时候，需要向BigFix申请新的License文件。在收到新的License文件后，用户可以通过BES Administration Tool来更新License文件。打开BES Administration Tool，选择第二个标签“Masthead Management”。点击“Active Masthead”按钮，然后浏览到新的License文件（*.crt文件）打

30、开即可。高级功能操作设定策略型动作使用“Take 动作”对话框中的“constraints”选项卡可以设置某一动作 为策略型动作（policy 动作）。策略型动作会立即应用到所有关联的计算机并会一直生效，不会过期。也可称这类动作为基线动作（“baseline” 动作）。 设定策略型动作步骤如下： 1. 从希望执行策略型动作的Fixlet 消息选择一个动作 2. 当take 动作对话框出现，在Target 选项卡选择 All Computers with the properties values selected in the tree below。 在树状视图选择All Computers

31、(或者可在树状视图基于获取的属性特征对计算机进行限定) 3. 在 Constraints 选项卡，不选择 Expire 动作 复选框 4. 如果Fixlet消息显示的问题已被修复后Fixlet消息再次被关联，可自动重新应用该动作。选择 If the Fixlet message becomes relevant again after this 动作 has successfully executed, automatically reapply this 动作 复选框，在 Execution 选项卡不选择Limit to 复选框5. 选择其他适当的约束条件 策略型动作设置后，当该Fixlet

32、消息关联时BES Client会自动执行动作。注意: 策略型动作在动作列表中会始终保持Open状态。将动作应用于未来加入网络的计算机采用以下步骤可将动作应用到所有当前的计算机和未来加入网络的计算机：1. 选择需要应用的 Fixlet 消息。2. 点击动作按钮 (通常显示为Click here to initiate the deployment process)。 3. 在动作 Status 对话框的Target 选项卡选择All computers with the property values selected below。现在无论何时一个BES Client 报告与该 Fixlet消息关联，则动作都会自动应用。注