《GMSMPI网络行为监控系统用户使用手册.doc》由会员分享,可在线阅读,更多相关《GMSMPI网络行为监控系统用户使用手册.doc(33页珍藏版)》请在三一办公上搜索。
1、GM-SMP-I网络行为监控系统用户使用手册目录第一章操作使用说明21.1 基本操作21.2 关于记录导出51.3 记录内容的查看51.4 记录的快速删除7第一章功能菜单和按钮使用介绍82.1 系统设置82.1.1 系统管理82.1.2 引擎配置122.1.3 封网设置132.1.4 QQ聊天内容监控172.1.5 设置监控点202.1.6 远程用户查询分级权限设置212.1.7 引擎停止/启动222.1.8 系统退出222.2 主机设置222.2.1 刷新主机222.2.2 按IP查找远程主机222.2.3 扫描网络主机232.2.4 修改主机名称232.2.5 导入/导出主机列表242.3
2、 数据管理242.3.1 记录查询242.3.2 记录删除252.3.3 当前记录导出262.3.4 上网统计262.3.5 历史数据262.3.6 WEB资料(邮件)关键字分析272.4 辅助工具272.4.1 交换机环境监控282.4.2 无线网络环境监控282.4.3 现场观察292.4.4 流量察看302.4.5 数据库修复312.4.6 磁盘可用空间查看312.4.7 网卡配置信息查看31第二章版权声明32第三章用户需知33第一章 操作使用说明本软件本着精巧、实用的原则,即使非专业计算机用户也很快能上手操作,界面设计简单、美观,非常适宜对计算机操作不熟练的人员使用。1.1 基本操作系
3、统安装成功后,首次运行后可根据客户的系统启动选项设置,可实现监控机开启时自动启动监控系统,或双击桌面的信息安全网络监控系统图标,手工启动监控系统;系统根据用户的设置,也可同时自动启动远程日志查看服务端程序,该程序会自动记录使用远程客户端程序查看数据记录的操作过程。显示的主界面如下图所示:主界面左边显示的是计算机列表,非常直观的显示被监控各部门和各台计算机的互联网通信记录分类和记录信息条目数量,图中主机名前图标上有红叉的表示该主机当前不被监控。当鼠标指向本地网络时,按鼠标右键跳出窗口:即可非常方便的配置部门、人员名称等信息。(1)能够自己添加、修改、删除公司的部门,如软件部,市场部等等;(2)用
4、户能够根据IP、MAC地址自定义与机器对应的被监控微机的名字,如:00-0b-5f-33-43-00对应张三,并且指定此人所属的部门,如市场部门,并可灵活地进行删除修改;(3)可以将现有主机列表的部门主机进行导出或导入;(4)删除现有系统主机列表中记录的所有主机。 系统中扫描主机列表功能是为了便于系统使用者能够将当前已联网但未进行互联网通信的计算机列入系统的主机表列中开发的操作。请注意:采用该功能记录的主机并不能表明能够被监控,只有监控机的侦听点选取正确,并被设置为被监控,才能对被监控机器实现监控。 特别说明:1、系统正常运行情况下,若未先设定监控的主机,系统会自动检测出局域网内的上网通信计算
5、机,并在授权监控点数内自动记录。如果系统检测到网内有计算机上网通信,则点击“刷新主机”按钮后会自动显示其IP和MAC地址,用户第一次使用时候当然也可以鼠标右键点击“扫描网络获得主机列表”,这样可能扫描出被监控范围网络内的计算机的名称(被扫描机器的防火墙关闭状态下),并记入主机列表中。计算机名与MAC地址或IP地址是一一对应的。如果机器多于授权点, 那么系统默认只能监控最多授权点的主机,对多出的机器则不监控。 这时候客户可以在菜单“系统设置”中的“设置监控点”中设置哪些机器被监控,哪些不需监控。对曾被监控的机器,后又设置为不监控,而且已经有记录,则该机器仍然会在主机列表中出现,其记录也仍然存在;
6、只有其对应的所有记录被删除,才能将该主机从主机列表中删除掉。2、在基于网卡MAC地址监控模式下,不论被监控计算机是否已做了名字命名,当该计算机的IP发生改变,该计算机的被监控记录仍然会被自动归入系统确认的MAC地址下,即仅对应于该计算机名字(即计算机名字与MAC地址被绑定),但记录中仍然会显示实时记录的IP地址。3、“删除所有主机列表”只是删除这些主机名称,但没有删除这些主机上网时被监控记录的数据记录,除非进行记录的删除操作。用户可以点击“刷新”按钮或者“扫描网络主机列表”重新获得这些主机名称(这时用户定义的机器名会丢失,需重新定义),或可从原导出的主机列表文件导入,则可以保留原来定义的分组名
7、、机器名字。当进行涉及主机删除有关操作时,务必对系统设置的监控点进行重新设置。当鼠标指向部门或列表中的被监控计算机时,有上述类似的操作功能。主界面右边显示的是监控系统实时记录被监控计算机进行互联网通信的信息记录。所列出的记录按记录类型、时间、MAC地址等顺序列出,点击每栏表头可实现该栏目的记录按升序或降序排列方式显示记录,并以分页形式提供记录浏览或全部显示。每条记录的信息内容包括:1. 类 型:记录的信息类型;(参阅1.5节)2. 时 间:该记录产生的日期、时间;3. MAC地址:该记录的被监控计算机网卡MAC地址数据;4. 源IP地址:该记录的被监控计算机实时配置的IP地址数据;5. 目标I
8、P地址:该记录的被监控计算机所访问网站或网页的IP地址数据;6. 内 容:访问网站或通信内容记录提示;7. 访问网页的地址:记录所访问网站或网页的域名和路径;8. 用 户 名:记录被监控者使用邮件管理器、FTP登录等操作的登陆用户名;进入监控状态后,若被监控范围网络中在授权点数内有未被记录的计算机上网进行互联网通信,监控系统会自动将该机列入监控计算机列表中的其他主机分组中,并自动记录该机网络通信的信息。点击按钮,可观察或更新被列入监控的计算机及其分类信息记录数量的统计数。若局域网络系统内的计算机数量超过系统授权监控的点数,系统对超过授权点数的机器不记录。当鼠标指向某一记录时,按右键可以选择删除
9、该条记录或查看该记录的内容,或将该条记录的详细内容单独保存,或将该记录中的URL记入过滤网页URL地址的文件中在封网状态下进行访问过滤以及记录汉字乱码的转换等操作。其中选择“标题显示为简体中文(GB2312)”或“标题显示为繁体中文(Big5)”时,界面中所有记录标题栏内汉字均被转换为简体汉字或繁体汉字。选择UTF-8编码转为标准文字,则仅转换该记录标题内的文字并以新开窗口显示。界面底部为系统监控状态指示栏,分别显示系统引擎正在运行或引擎停止,实时显示目前监控记录的全部记录数统计数据,以及当前日期、新记录提示等信息。若显示引擎停止,则表明当前监控失效,可点击工具栏中启动引擎重新启动引擎。 系统
10、运行时,点击系统运行主界面右上角最小化按钮后,系统运行图标会隐藏在windows视窗桌面的右下角,并显示系统现有的总记录数值。再次打开需要管理者密码。此时若监控系统的引擎停止,鼠标放在该图标上,会出现提示(图)。 远程服务端程序启动后的小图表也隐置于windows视窗桌面的右下角(图)。 图图1.2 关于记录导出为了方便用户灵活的对记录进行编辑、打印,使用菜单栏中的“数据管理”“当前记录导出”功能,可以非常方便地将主界面所显示的记录数据导出,导出格式可以为excel格式或文本、html格式,以便保存或制作需要的各种报表。注意:所导出的数据仅为数据库中留存的信息,而与记录对应的详细日志并未导出。
11、选择UTF-8编码转为标准文字,则仅转换该记录标题内的文字并以新开窗口显示。1.3 记录内容的查看收发邮件记录的查看:用鼠标点击欲查看的收发邮件记录,系统会利用监控机自身的Outlook Express将记录的邮件还原,供管理使用者阅读。MSN、Yahoo通聊天记录的查看:在主界面上,用鼠标点击欲查看的记录,系统会将该记录对应被监控计算机的全部聊天通信内容记录以WEB页的形式、按日期、时间顺序排列再现。QQ、MSN收发文件以及YAHOO发送文件的查看:在主界面上,用鼠标点击欲查看的文件记录,系统会将该自动打开,供管理者阅读。该文件也可由管理者进行删除或保存处理。(本系统支持QQ2008III(
12、包括TM)、MSN6.0、YAHOO通6.0以上目前所有版本的文件收发监控,若在传递过程中使用续传或网络断开,会影响监控记录文件的完整性。另外如果在内网通过QQ、MSN、YAHOO通发送文件,系统不能监控记录)本系统目前对于QQ、贸易通等聊天对话记录只能作在某一登录时间段内对话通信的次数统计记录,不能记录和查看其通信对话内容。SKYPE的通信仅记录登录,其原因在这些及时通信的聊天对话传输是经过加密处理的,为保障本系统的监控效率,现未对对话通信进行记录和解密处理,敬请用户谅解。Web 邮件和WEB资料发送记录的查看:该两种类型记录的信息指被监控计算机操作者,在访问的WEB页面上输入的信息记录,包
13、括登录注册信息、BBS上写入的信息、用WEB MAIL发送的邮件及其附件,简单地说就是在WEB页面写入全部信息内容都会被系统记录下来(包括所有文件),所记录的包括页面中非用户写入的内容。(其中部分WEB MAIL的记录可能会归入WEB资料发送中)由于这种信息的传送,往往是经过几个步骤进行,因此系统记录的一次通信信息不是一条单一的记录,而是多条记录。在这些记录中,可能部分信息在查看时显得比较纷乱,不是一下能看出个究竟。但系统忠实记录了该用户发出的信息。比如,WEB邮件发送,在记录发送邮件的相关记录中,有登录记录、内容正文记录、附件文件记录等多条记录,其中有一条能够分辨看清用户在WEB页面写入的信
14、息内容,若有附件则可能在另一条记录中。造成上述情况原因在于,各个服务商所采用的网页编码和格式不同,甚至有加密。而我们不可能对每个服务商的编码和格式进行一一解码还原,而且这样做也是不经济的。对此,系统仅做原始信息记录,其记录的内容需要人为进行判读。在这两类记录的内容中,若因简繁体或UTF-8码的编码出现了记录内容中有乱码,则可点击鼠标右键:选择转换后可正确显示为简体或繁体汉字。新版增加了这两类记录资料的关键字分析查询功能,可以根据设定的关键字等方便快捷地查找出有关记录文件信息。这部分内容的阅读,大家可以多试试就会很快明白,对记录的内容就比较辨别阅读了。对于一些单位、企业自己设立的邮件服务系统,未
15、采用标准端口通信,并且在本系统的端口设置中未添加该端口,本监控系统可能会失效。其他类型的记录查看比较简单,这里就不一一叙述。记录查看窍门:被监控机以Web方式所发出的所有信息,都被记录在“Web邮件发送”或“Web资料发送信息类型中。可以通过点击工具栏中的“记录查询”,打开查询记录窗口。选择相应的被监控机,将过滤条件中信息类型相应的关键词,比如在Web主页地址中填写关键词“BBS”,并选择恰当的日期段,然后点击“确定”。即可查看该主机在此时间段内,通过Web方式操作发出与BBS相关信息记录。比如要查找通过新浪 WebMail 发送的邮件或信息,则可以将过滤条件中信息类型设置为“Web邮件发送”
16、,Web主页地址中填写关键词“sina”即可。记录查询和记录删除功能界面中:WEB地址,标题,用户名,三个查询栏目都具有先进的模糊搜寻功能。特别提示:对QQ、MSN、YAHOO通、SKYPE、ALIBABA贸易通等聊天工具的监控只有在监控先启动,聊天工具后运行或登录上线的情况下才有效,否则监控系统不能完全保证对这些聊天通信的监控记录。本版本对QQ、MSN、YAHOO通以TCP、UDP通信方式的文件收发都能有效实现监控记录。1.4 记录的快速删除系统提供了运用鼠标结合键盘的Ctrl键和Shift键、删除键Del,可以实现对主界面中显示的多条记录一次选定并删除。这里删除的记录,不包括记录对应下的详
17、细日志文件。1、连续范围内多条记录删除:首先用鼠标点击拟删除记录的起始记录,按住Shift键、用鼠标点击拟删除记录的终止记录,即选定了需要删除的一定范围内的记录,再按键盘中删除键Del,并确认即可删除。2、多条不连续记录的删除:用鼠标点击拟删除记录的其中一条记录,再将Ctrl键按住不放、用鼠标点击拟删除的其它各条记录,即选定了需要删除的多条记录,然后放开Ctrl键,按键盘中删除键Del,并确认即可删除。3、也可以组合使用Ctrl键和Shift键进行连续、分离记录的删除。第一章 功能菜单和按钮使用介绍系统工具栏中功能按钮是菜单部分功能的直接使用方式。因此,下面仅介绍菜单中各个功能和使用操作方法。
18、2.1 系统设置 该菜单包含7个功能子项。主要用于系统设置、控制设置和被监控机器的选择和系统引擎的操作等。 2.1.1 系统管理本功能模块可以完成系统使用者的密码更改和启动选项、监控对象选择、端口设置、监控模式设置、数据备份以及日志管理、事件查看等设置和系统运行事件查看。密码修改:便于系统使用者随时更改系统密码,保证被监控信息的不被随意流传,保护个人隐私和公司的信息秘密。系统安装后,首次运行的密码为空。为保证系统的正常运行和记录信息的安全,建议客户安装运行后更改该密码,并备案该密码,一旦遗忘则只能重新安装系统,请务必注意。启动选项:提供了监控系统启动的方式和远程日志查询服务端程序启动的方式设置
19、。特别说明:监控机启用远程日志查询服务端程序时,需要将监控机的347、348端口开放,否则客户端远程查看器不能正常连接、记录不能传送。监控对象:的选择,方便监控管理者根据管理需要选择要进行监控网络通信信息类型。系统默认为对全部信息类型监控,流量监控除外。若要对某项监控内容不实行监控,则需用鼠标点击该项,去掉方框内的勾即可。 为保证系统的监控运行效率,系统默认不打开流量监控。若进行流量查看过去流量查看时,请在此设置。如果没有打开流量监控,系统会给出提示。端口设置:客户可以根据需要添加监控的通信端口。 例如:有些单位自己有放置在公网上邮件服务器,并允许采用WEB方式访问收发邮件,但自己定义了非80
20、端口。若在本监控系统中,将其自定义的端口数值正确加入,则可以实现对其监控记录。 监控模式设置:系统默认的监控模式为“基于网卡MAC地址监控”,这种模式的好处在于,监控系统与被监控机器能够唯一确定,防止被监控机器因人为的进行IP地址的更换,给管理者带来麻烦。建议大多数用户采用该监控模式。对网络内部实行VLAN或网内设置有路由器的局域网系统,则应选择“基于IP地址地址监控”的模式。该模式下,系统的监控记录仅与被监控机器的IP地址对应。为便于管理,建议用户不要使用DHCP进行局域网内的自动分配IP方式,避免被监控机器IP的不确定,便于监控记录信息与被监控机器的对应管理。数据备份:可以将系统记录的数据
21、进行备份保存留挡。可以设定备份数据的起止日期选择性备份。系统默认备份详细记录。 备份数据仅供备份数据分析查看器使用。建议在备份数据后,将系统现有的记录和详细日志清空、删除(即删除安装目录下LOG文件内的所有文件,但需保留LOG文件夹),避免系统承载数据量过大,影响系统运行。日志管理:是提供系统管理者对系统记录的数据信息进行自动备份的设置,便于系统能在比较好的环境下运行。因为,若不对系统记录的数据进行及时的处理,系统记录的数据太大时(一般记录超过50万条)则系统的监控效率会受到比较大的影响。系统自动备份完毕后,自动清空系统数据库。备份的数据可以使用数据管理中的历史数据功能进行查看。客户设置自动导
22、出记录和定时删除日志时,请注意设置的自动导出记录数量与定时删除日志的关系,否则会造成混乱。事件查看:是提供有关系统运行的情况记录,便于系统管理员了解系统的运行情况。2.1.2 引擎配置一般情况下,系统会自动进行引擎的网卡识别和配置。若引擎配置的网卡信息丢失,请重新启动引擎或重新启动监控系统。如果监控系统的计算机上有2块以上网卡,可能需要手工配置引擎所绑定的网卡。若监控系统安装在网关上,则一定要指定监控系统的引擎绑定在局域网内网的网卡上,否则不能实现对全网的监控。对于施行基于IP监控模式的系统,建议最好能将欲监控的各个IP地址段进行设置,便于系统进行有效的监控,减少不必要的无效主机纪录,方便对主
23、机、记录的管理。正确选定监控系统所需要的工作网卡。点击确定后,必须重启引擎才能生效。(可以在界面先点击停止引擎,然后点击启动引擎)提示:对某些机器系统,本系统需要WINPCAP3.1才能支持监控正常运行。2.1.3 封网设置本监控系统一个非常重要的特色是可以利用局域网内任意一台机器(不一定是在网关),在实施网络通信实时监控的同时,实现对局域网内被监控微机互联网通信的控制封杀,限制用户上网或某项上网功能,可以起到防火墙的作用。本软件可以针对某一台具体的被监控微机进行互联网访问控制配置,也可以按某个部门一起配置,方便用户进行控制配置。每次配置完毕后,都需要重启引擎才能生效。特别提示:若要开启系统的
24、网络通信控制功能,需将监控计算机自身的防火墙停止退出,否则控制封网功能不能实现。 使用强制封杀模式,可以很好的限制QQ、P2P下载等各种网络通讯,特别是采用UDP方式的通信,其副作用是会使被监控机的上网通信造成影响。若被监控机一旦停止QQ通信或P2P下载操作,则被监控机的网络其他通信会在适当延时后自动恢复正常。这个选项对欲对被监控机完全限制使用QQ通信是很有必要的。本版新增添的“网关封杀模式”,是应用于非旁路监控情况下对网络通信实施封堵。本功能地封堵效率更好、更准确。使用时请务必小心,一定要清楚目前的监控是旁路还网关(有些资料介绍也称为网桥模式)方式。提示:“强制封杀模式”仅用于旁路封杀,“网
25、关封杀模式”效果更好。(1) 封杀QQ聊天封杀QQ需要注意的是,QQ可以使用UDP和TCP两种通信协议。如果您的网络内没有防火墙,那么就要把两种协议都要封堵才能彻底封杀QQ。封杀QQ UDP协议时候,一定要正确配置被监控机器的网关IP地址,切断它和网关之间的通信,从而封杀QQ的 UDP、TCP通信。单击“网关设置”如图所示:(2) 封杀MSN聊天这个选项打勾表示封杀MSN聊天。特别提示:只有监控系统先启动,QQ或MSN后开启或后登录才能实施封堵,否则不能封堵QQ或MSN的通信。(3) 过滤目的IP地址一般情况下,互联网上公网IP地址的分配都有一定的规律,也就是说:IP地址带有一定的区域性,根据
26、这个特点,用户可以对被监控机器进行地区性过滤,比如,你可以设置一个范围,让用户不能访问位于美国的因特网服务器。点击“配置目的地址”按钮可以打开如下窗口,编辑用于封杀IP地址。254.1.1.1-254.1.1.21.1.1.1-2.2.2.2表示上面两个IP地址段被禁止上网!(4) 封杀端口用户不需要防火墙之类的设备或专用软件就可以旁路端口封堵形式,封堵网络游戏、聊天、远程登录、FTP文件传输等通信,非常方便,并且不影响网速。一般对TCP通讯连接方式的封堵效果非常好,但对于UDP通讯包的封堵难度大,必须有专门的封堵程序来实现,如本系统对腾讯QQ的封堵就是这样。点击“配置允许端口”打开如下图所示
27、窗口,可以编辑欲封杀的端口或是允许通信的端口。如上图所示端口过滤设置中所列出的过滤访问端口,在黑名单状态下表示封杀列出的端口;而在白名单状态下则表示只允许访问所列出的端口。有关本系统控制的常用端口,请参阅本说明书的附表:互联网通信常用端口说明。(5) 过滤网页URL地址点击“配置过滤网址”可以打开如下图所示窗口,编辑用于过滤网页域名。如上图所示网页过滤设置中所列出的过滤网址和,在黑名单状态下表示禁止访问和;而在白名单状态下则表示只允许访问和。特别说明:上述过滤目的IP地址、封杀端口、过滤网页URL地址三个配置文件内容在网内对各个机器只能设置为一个配置内容,但可以对不同的机器实施。(6) 禁止使
28、用IP地址访问网页这个配置是对网页过滤的补充,虽然禁止用户上如:的网站,但是被监控机仍然可以使用IP地址的形式:如http:/ 209.81.7.93的方式直接访问上面的网站。通过这个配置,可以阻止被监控机器使用IP地址直接浏览网站或网页。 特别说明:上述过滤目的IP地址、封杀端口、过滤网页URL地址和禁止使用IP地址访问功能的使用,在网络通信状况很好的情况下,可能会出现被限制通信仍然可以,但不是很顺畅、完整的现象,其原因在于通信数据包收发速度太快,系统未能有效地解析信息数据时,通信已完成。监控系统将其记录仍然归入了“违规访问”中。(7) 限制上网时间可以配置局域网内被监控机一天24小时中禁止
29、上网的时间段 ,打勾表示禁止上网的时间段,以半小时为单位。如下图配置,表示上午8:0012:00,下午14:0018:00不能上网。提示:使用该功能可能产生大量记录,占用大量监控机存储空间。(8) 封杀P2P下载这个选项打勾表示封杀使用比较流行数种P2P下载软件的通信。(应保证在“系统管理”“监控对象”中将P2P下载是设置为被监控的对象)。一般情况下,需要启动强制封堵,否则封堵效果不会非常有效。特别提示:只有监控系统先启动,P2P下载后开启才能实施封堵,否则不能有效地封堵P2P下载的通信。2.1.4 QQ聊天内容监控(1) QQ聊天内容监控原理 QQ通信中的加密解密基本原理:QQ登录时,腾讯服
30、务器使用该QQ密码产生通信数据包的加密密钥,从而实现通信数据包的加密和解密。也就是说,如果能够获取QQ登录的通信密钥,就可以完全不在被监控机安装任何软件,即可实现监控QQ聊天内容。软件实现监控的基本过程:1.当监控系统检测到QQ通信并不能解密时,监控系统将强制被监控的登录QQ离线(过程最多2分钟)。2.QQ再次登录的时候,强制要求QQ用户到腾讯激活中心 进行“激活号码”。3.腾讯激活中心4.当QQ再次登录通信时,其通信内容就得被监控记录。(2) 设置QQ监控的步骤 测试的时候,尽量暂时关闭防火墙和安全软件,以免防火墙等影响测试效果。测试成功后,再开启安全软件。(2)点击主界面“QQ监控”按钮,
31、出现下图所示的主机列表界面,在要监控QQ聊天内容的左边主机列表打勾(试用版本最多只能选择8台主机)。右下正确选择监控模式,然后点击“更新按钮”即可。(3)成功更新配置后,上面步骤选择主机上的QQ就不能发送消息,如果其发送消息,大约最多2分钟后就会自动离线,然后上线。 这个时候,监控系统会强制要求登录QQ进行激活,如下图所示。被监控电脑点击“激活”按钮后,会访问要求用户输入QQ号码、密码和验证码,点击“下一步”,如果输入的QQ号码和密码以及验证码正确,则会返回成功激活界面。如果输入的QQ号码和密码或验证码不正确,则会返回错误提示界面,要求用户继续激活。如果用户不进行QQ激活或者错误输入QQ号和密
32、码,下一次QQ登录的时候仍然提示他要激活才能使用QQ。特别说明:如果个别员工知道了本系统功能可以截获密钥,可能不会去激活处理。对于我们监控系统强制QQ弹出的激活界面,根据我们统计,QQ用户在不知道被监控的情况下,绝大部分会对这是腾讯在要求他激活深信不疑,所以基本都会输入正确密码,(软件试用测试人员当然知道我们系统功能了,所以想法就不一样了。比如尝试假密码等等)。用户输入正确的密码和QQ号激活后,只要用户不更改密码,监控系统不会再要求用户去激活QQ了,实际监控中,很少有用户改QQ密码,相当于对大部分用户,一次激活处理,系统就永久监控其QQ了。2.1.5 设置监控点2.1.6 远程用户查询分级权限
33、设置系统支持远程客户端分级查询记录。各个授权分级用户,需要在此进行授权用户名、口令、允许查看部门的设置。在上述设置框中可以分别设定远程查看者的用户名、密码以及赋予查看的分组名(即部门名称,它与在系统中设定的分组名对应)。一个分组的记录,可以赋予多个不同用户名的查看者登录查看。其中系统管理者的用户名:admin,不可更改。使用该用户名登录,可以查看所有记录。使用远程客户端查看记录,都须正确填写监控主机的IP地址、用户名、密码,登录后方能查看到记录,包括分组的历史数据、备份。数据。使用远程查看,需要监控机和网络系统防火墙开放347、348端口。2.1.7 引擎停止/启动该功能是操作者在使用系统中,
34、由于配置系统时需要暂时停止监控引擎时使用。若发现系统状态显示引擎停止,也可点击工具栏中的停止/停启动按钮停止/启动监控引擎。(一般情况下,系统会自动启动引擎)2.1.8 系统退出当点击退出时,系统会给出提示:若选择No则监控系统在后台继续运行,桌面上没有任何显示,远程日志查看服务端程序也仍然保持。这样可以保证监控系统运行的隐秘性,当再次点击桌面的,输入管理员密码,监控系统界面重新出现。若选择Yes,则系统停止并退出,同时远程日志查看服务端程序也随之推出。直接点击对话框的系统默认为后台运行,远程日志查看服务端程序仍然保持。2.2 主机设置该菜单包含5个功能子项。主要用于刷新主机、按IP查找远程主
35、机、扫描网络主机、修改主机名和导入/导出主机列表等操作。2.2.1 刷新主机刷新系统记录的主机列表和各个被监控计算机各项监控记录的统计数,与系统监控的记录和记录内容无关。当系统监控的主机和记录比较多时,请勿频繁使用该功能。2.2.2 按IP查找远程主机使用该功能,可以方便使用者查找系统未被记录的机器,并可以将其记录到主机列表中。配合设置监控点功能实施对网内机器的监控设置。查询监控机本机时无效。2.2.3 扫描网络主机该功能是为了便于系统使用者能够将当前已联网但未进行互联网通信的计算机列入系统的主机表列中开发的操作,或查找系统未被监控的网内主机。请注意:采用该功能记录的主机并不能表明能够被监控,
36、只有监控机的侦听点正确,并被设置为监控,才能对该被监控机器实行监控。2.2.4 修改主机名称 系统自动记录的被监控机器是以IP地址/MAC地址形式显示的,为便于用户使用和辨别各个主机使用者,可以将其命名为简明的名字。命名的形式可以为:名字/IP地址/MAC地址,或名字、IP、MAC等几种组合方式。2.2.5 导入/导出主机列表 该功能是将系统记录的主机列表内容导出便于留存,或将以前导出的主机列表导入系统中。2.3 数据管理该菜单包含5个功能子项。主要用于记录查询、记录删除、当前记录导出、上网统计和历史数据查看、WEB资料(邮件)关键字分析等操作。2.3.1 记录查询用户使用该菜单功能或点击工具
37、栏中的“记录查询”按钮,可以非常灵活设置查询条件,并支持模糊智能查询。如指定查记录类型、记录时间段、被监控主机、监控IP地址等。如果查询条件设置为空,表示查询全部记录。查询出的记录均在主界面上显示,可以使用主界面上的数据导出,将查询数据导出。在查询条件中,WEB主页地址、标题和用户名栏中系统具有模糊查询功能,即只要输入一个关键词即可查询出相关记录。如WEB主页中输入sina可查找出域名包含有sina的所有访问记录;在标题栏中输入 game,则可查询出记录的标题中包含有 game 词的所有记录。 所有的查询都与记录的起止日期有关。要正确设定查询的开始和结束日期。 2.3.2 记录删除 用户使用该
38、菜单功能或点击工具栏中的“记录删除”按钮,可以非常灵活设置删除条件,如果删除条件设置为空,表示删除全部记录。使用方法与查询记录相似,也具有模糊删除功能。要特别注意起止日期的设定。特别说明:记录删除功能仅将系统数据库中的对应记录实现了删除,该记录对应的详细内容并未删除。若要删除记录的详细内容,请点击在本窗口底部的两个选项,并注意提示。删除记录详细内容的另一种方式,在本系统的安装目录下LOG文件夹内各个对应记录类型文件夹内的内容,用手工方式直接删除。在恢复备份数据时,建议先将现有的系统数据包括详细内容清空、删除,否则可能会导致系统的数据量过大或统计数据错误。 2.3.3 当前记录导出将当前主界面显
39、示的记录导出,包括使用查询功能显示的记录数据。为便于客户对记录数据进行加工、制作报表,用户可以将显示于主界面的记录导出成Excel、html、txt等格式文件,应用其他工具灵活进行数据加工和报表制作。导出的记录不包括对应记录的详细记录文件。2.3.4 上网统计 可以按照时间、指定被监控微机获得监控记录的数据统计,并可以导出数据(Execl、文本、Html格式可选)便于保存或形成所需要的报表,为管理者提供管理分析基础信息。点击每栏表头可实现各个栏目数据按升序或降序排列显示记录。 2.3.5 历史数据这里可以查看系统根据设置自动备份的历史数据记录。远程查看也具有同样功能。如果要查看历史数据,点击“
40、启动历史数据库查看器”即可。注意历史数据和当前数据的记录的详细日志都保存在安装目录的log文件夹下面。2.3.6 WEB资料(邮件)关键字分析 本功能提供系统所记录的“WEB资料发送”和“WEB发送邮件”各个记录内容,依据使用者设定的关键字进行分析查询,更加方便使用者对记录信息资料的快捷、准确查找。 2.4 辅助工具该菜单包含7个功能子项。主要交换机环境监控、无线网络环境监控、用于现场观察、流量察看、数据库修复以及磁盘存储空间和配置的网卡信息查看等操作。2.4.1 交换机环境监控 本功能模块不是系统必须使用的。该功能适宜于客户使用非智能交换机连接各个计算机,而应用本监控系统不希望在路由和交换机
41、之间串接HUB,并且内网的计算机数量少于30台的情况下使用。有关使用方法,请参阅2.1节中安装方案(3)中的相关说明。当开启交换机功能后,可以点击下图中“退出”按钮将该功能的监视窗口关闭,要停止使用本功能则要点击“结束监控”按钮。使用本功能,须将监控机本机的防火墙关闭,否则该功能失效。该功能的使用会对网络的通信速度有一些影响,并且不能使用本系统的封网功能。可使用选项:自动开启交换机环境监控。在该选项打勾后点击保存配置,下次监控系统启动时生效。2.4.2 无线网络环境监控本功能模块提供了对采用无线接入方式局域网进行互联网通信的监控,监控机本机直接与AP连接。实际应用时应认真按照各窗口提示操作,并
42、仔细阅读有关提示。注意:网关一定要设置正确,被监控的各个计算机IP要处在同一个C段内,同时监控机的防火墙也须关闭,并且不能使用本系统的封网功能。2.4.3 现场观察本功能模块为监控系统使用者提供实时观察网内被监控计算机的实时上网通信情况和信息记录,方便管理者实时观察监控网内计算机网络通信的内容和跟踪。在实施现场观察时,不能查看监控系统所记录的有关记录详细信息。也可以点击左边主机中任意一台指定主机进行现场实时观察网络通信情况。2.4.4 流量察看本功能提供系统被监控微机上网网络流量的实时观察和统计,便于系统使用者或管理者利用实时通信流量进行监控管理。系统默认该功能关闭。当前通信流量观察提供监控状
43、态下的即时流量观察。可以查看到每台被监控微机互联网通信的流量数据,甚至包括每台被监控微机即时访问的IP地址及其流量数据,这样能够为管理者筛选特定监控对象和记录提供方便。过去的流量统计提供定义时间段内每一台被监控微机的网络通信总流量统计。2.4.5 数据库修复 本功能模块不是系统必须使用的。该功能适宜于客户监控系统数据库出现故障或不定期维护数据库使用,以确保系统数据库的正常运行使用。当系统的记录有误或启动系统后没有产生记录时,可以使用本功能进行数据库修复,恢复正常的监控记录。2.4.6 磁盘可用空间查看 为方便客户使用监控系统,随时了解监控系统安装目录所在磁盘或磁盘分区的可使用空间,点击该菜单条
44、后,系统会在屏幕右下角显示目前磁盘或磁盘分区的可使用空间数量,供客户参考,处理现有数据记录。 另外,当监控系统安装目录所在磁盘或磁盘分区的可使用空间不足1G(即1000M)时,开启监控系统时也会自动显示提示;当监控系统安装目录所在磁盘或磁盘分区的可使用空间不足100M时,系统会给出警告信息,这时应该立即处理系统的记录数据,保证系统的顺利运行!2.4.7 网卡配置信息查看 查看当前监控系统绑定的网卡配置信息数据。第二章 版权声明本手册所提及的其他软硬件产品的商标与名称,所有权皆属于本公司所有。未得到国迈科技有限公司的正式许可,任何个人或组织均不得以任何手段与形式对本手册内容进行复制和传播。一旦安装、复制或以其他方式使用本软件产品,即表示同意接受协议各项条件的内容约束。如果您不同意协议的条件,则不能获得使用本软件产品的使用权。软件产品的保护条款1、GM-SMP-I网络行为监控系统由国迈科技有限公司开发,本软件产品