日志分析管理用户使用手册Word文档格式.docx
《日志分析管理用户使用手册Word文档格式.docx》由会员分享,可在线阅读,更多相关《日志分析管理用户使用手册Word文档格式.docx(22页珍藏版)》请在冰点文库上搜索。
登录成功,进入系统首页,系统首页主要是对系统收集的日志进行概括性质的展示,在首页你可以做一下工作:
1.查看每个日志设备接收的日志系统,进入每个设备,按进程名字,日志等级,查看日志详细信息。
2.使用系统常用快捷的统计功能,进行常用查看。
3.使用系统常用报表功能,查看统计报表。
4.查看常用统计图,直观了解系统日志接收情况。
5.查看系统实时日志信息。
左侧为快捷查询,简易报表展示,点击相应的按钮展示相应的报表或者查询。
如下图所示
3日志查询
日志查询功能为用户提供简洁的查询功能,用户通过查询功能可以查询全部的日志信息,主机设备的日志信息,网络设备的日志信息,告警日志信息,未关联事件的日志信息,用户登录日志信息,用户变更日志信息等,模块页面如下:
系统左半部分为功能菜单,右边界面为系统便捷展示,主要为接收日志TOP10展示,报警日志TOP10展示,用户登录统计,登录失败统计,超级用户登录统计。
由于查询页面功能大体相似,以综合日志查询功能菜单为例,介绍查询功能使用:
上述界面为综合日志查询界面:
开始日期:
日志接收的时间大于该日期。
结束日期:
日志接收的时间小于该日期。
严重性:
选择日志的级别。
查询对象:
选择查询的日志主机设备(多选)
解析类型:
选择日志设备类型。
主机IP:
日志产生的设备地址。
进程:
产生日志的进程,支持模糊查询。
信息:
日志包含的信息,支持模糊查询。
查询结果页面如下所示:
在查询结果中,依次展示日志的接收时间,日志设备IP,进程名字,产生模块,严重升级,事件描述。
单击
可以查看日志的详细信息,单击
可以查看日志事件的详细描述。
如果该条信息没有描述,说明该条日志信息在系统事件库中没有匹配到,在该条日志最后单击
可以将该条信息根据关键字匹配加入到日志事件库中,如下图所示:
在事件库管理窗口中,单击
,填写该条信息的“关键字”字段,“日志描述”字段后,单击
按钮,即可添加如事件库,以后接收到的此条信息,可以显示添加的日志描述。
4配置管理
4.1日志对象管理
日志对象管理,在添加新的日志接收设备时使用,下面以添加主机设备192.168.0.1为例,说用日志对象管理的使用,系统操作界面如下:
添加一个日志主机,需要进行两步操作:
1.增加日志源2.在增加的日志源的基础上增加日志模块,界面如下
分组主要对日志源进行分类,可以根据设备类别进行创建
日志源,即一个主机设备,日志来源
日志模块,主机下的日志,日志可以有多种,系统日志syslog只是其中一种。
1.在选定的日志分组上右键单击,选择“增加日志源”,在右边界面填写,日志源的对象编码,对象名称,顺序,IP地址,负责人员组,展示界面如下:
对象编码:
设备的编码,依习惯而定。
对象名称:
一般为主机系统名称。
展示顺寻:
排序使用。
IP地址:
设备的IP地址。
负责人员组:
选择负责人员组,可不选,即默认。
填写完毕后,单击
按钮完成日志源的添加,提示信息如下:
2.添加日志模块,在添加后的日志源上单击右键,选择“添加日志模块”展示页面如下:
设备的编码
由于只有一个日志模块,一般与日志源的名字相同。
继承自日志源,不用填写。
选择设备的类型。
过滤规则:
选择该模块的过滤规则,不选即采用默认规则。
按钮完成日志模块的添加,提示信息如下:
上述说明即为一个设备的添加过程,多个设备依次添加即可。
注意:
添加完毕后,必须重新启动系统的“日志收集”服务,操作如下:
进入“后台管理”-“系统管理”-“服务管理”界面:
在“日志收集”服务,单击完“停止”后,单击“启动”按钮即可。
4.2事件库管理
事件库是用来对单条日志进行匹配,对该条日志的内容进行进一步说明,若有提醒方案,对用户进行提醒并且提供处理措施的一个数据汇总。
如用户在使用过程中发现库中没有的事件,可以在事件库管理板块对事件库进行添加。
该模块并且提供事件库的编辑与删除功能可对事件库进行维护。
1·
添加事件的时候先选中解析类型,选择需要添加的系统类型
2·
点击添加按钮之后弹出添加的弹出框,填写当中的内容。
其中
关键字在Windows系统中为日志的编号为数字,在其他系统中为能唯一识别日志信息的字符串。
可用性为是否可用,日志查询为是否可提供查询,日志级别选择当前日志的级别,模板库选择当前的模板库,日志描述填写对该日志的描述信息。
Pri填写当前日志syslog发送的pri数值。
填写完毕之后点击添加完成添加新事件。
3·
选中某条事件之后可以对事件进行编辑和删除操作,编辑弹出的界面跟添加时的界面一样。
4·
删除为选择成功后点击删除,弹出提示框,点击“是”便可删除该条事件
4.3模板库管理
模板库为日志发送协议提供的一系列模板,当天系统存放的是标准的syslog协议提供的模板库,每条syslog日志对应一个相应的模板,这里一般不需要配置。
如需要添加修改删除,则需要参考相应的协议。
示图如下图所示,点击添加即可添加一条新的模板。
4.4过滤规则管理
过滤规则管理主要是添加日志信息的过滤规则,在添加日志模块是选择对应的过滤规则,以便于过滤掉不需要,或不必要接收的日志信息,系统界面如下:
添加一条过滤规则的操作如下,选择
按钮,弹出的界面如下:
过滤名称:
该规则的名称。
信息规则:
对下面的于信息,进程两个条件是匹配其一,还是全部匹配,即以逗号区分的各个字符串之间的关系是信息中包含其中一个,还是包含所有。
对于日志消息体匹配到字符串的日志即过滤。
对于日志进程名字匹配到字符串的日志即过滤。
Syslog:
没有选中的事件模块,事件重要度即过滤,选中的即接收。
Window:
日志事件的ID,多个以逗号隔开,匹配到即过滤。
填写完毕后,选择
按钮,添加过滤规则。
添加完毕该条规则后,在日志对象管理界面,可以选择该条规则使用在某个日志模块上,如下图所示:
4.5报警规则管理
报警规则管理主要是添加日志信息的报警规则,将该条报警规则应用与主机设备,系统界面如下:
添加一条报警规则的操作如下,选择
告警名称:
是否启动:
如果启动,选择是
单关键字:
多个以逗号隔开,即匹配任意一个即报警。
多关键字:
即配皮所有才报警。
对于日志消息体匹配到字符串的日志即报警。
对于日志进程名字匹配到字符串的日志即报警。
选中的事件模块\事件重要度即报警。
按钮,添加报警规则。
添加完毕改天规则后,可以选择将该条规则关联到那些设备,如图:
选择
按钮选择关联主机,同时,也选择
取消关联的设备。
4.6用户管理
用户管理为提供方便管理登陆用户的版块,方便系统管理员对使用的用户进行维护管理
点击添加按钮后弹出提示框,按照相应的提示填写完毕后,点击“确定”即可完成该用户的添加。
当选择某一用户后,点击“编辑”按钮弹出同样的对话框,修改相应的数据后点击“添加”可以完成该用户的修改
选择某一用户之后点击“删除”按钮,弹出提示框之后选择“是”则完成该用户的删除操作
4.7负责人员组
负责人员组对用户进行分组,集中管理。
点击“添加”按钮弹出对话框填写负责人员组的名称和相关说明。
点击“增加用户”按钮弹出对话框,选择相应的用户之后点击“确定”按钮完成该负责人员组的添加操作。
选中某一人员组点击“修改”按钮,弹出对话框跟“添加”操作相同,修改相应的信息之后完成对负责人员组的修改。
选择某一人员组之后点击“删除”按钮,弹出对话框中点击“是”则完成对该人员组的删除操作。
4.8参数管理
参数管理提供系统需要的各种各样的参数,部分参数可以根据系统的需要进行相应的更改。
该模块只允许修改不允许删除。
并且只允许修改【参数值】选项。
下图对各个参数进行一一描述
4.9数据库备份管理
该模块可以对数据库进行备份还原操作
选择“备份当前数据库”可以对当前数据进行备份。
选择备份的日期,点击“确定”可以完成对备份文件的还原,也可以将数据库备份文件删除
4.10服务管理
系统提供三个服务,点击“停止”按钮可以将相应的服务停止,点击“启动”按钮可以将相应的服务启动,启动类型可以修改为系统启动自动运行或者手动运行。
其中【日志收集】服务为系统收集主机的日志服务,停止该服务系统将停止收集日志,配置完日志对象需要重启该服务。
【日志下载】为系统自动下载日志文件的服务,停止该服务系统将不会自动下载配置的日志文件。
5报表统计
报表统计功能主要是查询各种历史数据展示,方便用户导出数据,以供备份或查阅,系统主界面如下:
系统界面左半部分为各种功能性报表,有半部分为常用“快捷报表”,用户选定开始日期,结束日期,单击便捷报表中的“查看报表”链接,即可以查看常用报表,第一个选项卡“综合报表”,用户可以查询每个报表的综合信息展示数据,展示页面如下:
用户也可以选择左半部分的菜单进行相关报表的查询,报表主要分为一下几类:
数据分析报表:
统计日志设备日志采集情况,级别,模块,进程分析。
排行报表:
日志数据TOPN排行。
用户活动报表:
统计接收日志中的用户访问日志情况。
趋势报表:
统计日志接收趋势。
自定义报表:
用户自定义的报表输出。
用户可以方便的将查询出的数据结果导出excel,word,pdf等格式,例如:
用户可以单击报表右上方的
按钮,分别将报表导出不同的格式:
单击确定按钮即可将报表数据导出至本地计算机。
升级会员 