日志分析管理用户使用手册.docx

日志分析管理用户使用手册(总26页)-CAL-FENGHAI.-(YICAI)-Company Onel-CAL-本页仅作为文档封面，使用请直接删除日志分析管理系统使用手册山东矩阵软件工程有限公司2013年12月1. 系统登录42系统首页43日志查询54配置管理84.1日志对象管理84.2事件库管理114.3模板库管理134.4过滤规则管理144.5报警规则管理164.6用户管理184.7负责人员组194.8参数管理214.9数据库备份管理214.10服务管理225报表统计231.系统登录系统登录默认URL为：地址：端口/LAMS例如：http:/192.168.1.10:8000/LAMS2系统首页登录成功，进入系统首页，系统首页主要是对系统收集的日志进行概括性质的展示，在首页你可以做一下工作：1. 查看每个日志设备接收的日志系统，进入每个设备，按进程名字，日 志等级，查看日志详细信息。2. 使用系统常用快捷的统计功能，进行常用查看。3. 使用系统常用报表功能，查看统计报表。4. 查看常用统计图，直观了解系统日志接收情况。5. 查看系统实时日志信息。-17 ? 22IE 1 ：Ti荷.1BI17A1.172Itl.J 75 117-51新时6席UtSTOPMt.t 密 selJtBiTgPN 杳 8®ETnFH WMtffTuFH ® HMITTOPM卓日王EMH 日E电tmh 尊 P*flBTuPH.迎晚拓|小企0志如qIt酝冲说史(LTi9lL.LF7l117.511331CL7BKL17B03T左侧为快捷查询，简易报表展示，点击相应的按钮展示相应的报表或者查 询。如下图所示M312胤5员K卜.W 戴扁三成E«据IWtlrn?pCritiulIfTW汕.2C1S-C1-14gDDDD5322心702C13-C1-1LSTI2D0DD0皈30说谷FOP：嘶!-'螭日舟"W±*it5TCP1(-5JTSSTCP1J'S5M1；?1O' itffiifircpi j2C13-C1-M4E?39DDD315S6gD2C13-C1-K5475诟0DD3D33的is0加 1M1®2搠0DD£D5泌47D2S1341-M莒第1加我£L朋结4iE20?2343京日日细.附方日日右岫+ 应日日押ttSit:栉日的地t-间日画般i+K律般任计3日志查询日志查询功能为用户提供简洁的查询功能，用户通过查询功能可以查询全部的日志信息，主机设备的日志信息，网络设备的日志信息，告警日志信息，未关联事件的日志信息，用户登录日志信息，用户变更日志信息等，模块页面 如下：系统左半部分为功能菜单，右边界面为系统便捷展示，主要为接收日志TOP10展示，报警日志TOP10展示，用户登录统计，登录失败统计，超级用户登录统 计。由于查询页面功能大体相似，以综合日志查询功能菜单为例，介绍查询功能使用：上述界面为综合日志查询界面：开始日期：日志接收的时间大于该日期结束日期：日志接收的时间小于该日期严重性：选择日志的级别。查询对象：选择查询的日志主机设备（多选）解析类型：选择日志设备类型。主机IP：日志产生的设备地址。进程：产生日志的进程，支持模糊查询。信息：日志包含的信息，支持模糊查询。查询结果页面如下所示：0志分析管理系统uznE3淑日石证S弘IR狂 0次改任G3奇f云*成 G3 *5!P»4M E3*MS诵 0 .可=3苗氓«拆臼曰百童部时日联！踞MML-L日寸开1司.的心£灿产田.Ncrika鞘任确fu L21厅值此 * 童谊gE日职；2C14+L-L4v-加哗E中魅 WIMIXJW5 皆三机U jgg ； | nMpJi ； 3W=l7fl诚E酋8:e趋金产区幅*SwwfrBMi4»DL-M由日扣3LZT.DlMM声QldJMnan 、扇w云浇既旧一人峪拒曾U上去占JL:上汽甬JLiznat：m,H'Mp酒信 LCC r%.Pi*中am Fill状用片版布5.利晌即11翩£|.冷的扣r 啊（的 w:;. Variiofi: 5§慕 SHkiK m<e 3SK 肝再Ql LomrYUii srf i'tf Li Far mtrr I诡rnieftiwi. see Help -snd &UDpod Carter et ktip/iwwmpqjl.oomnE由 14M-L4uzaciLtawalMfintabdafiinah响E皓尚?！ VLJZG3A-DL-H I5>4S:15LZT.D.CLLwriqLddiiQnnaicifa2Q14-DL-L4用3U7.&CLL晰珀ldJEcmHctict活:EWJK一氏落拒/号门E:K1A-M-L4 2S3!i3L27.ClDiL晰却dJMnahHSiCtrsw.isS啊昏玩 尊3MA-DL-W £由跆3M次Ldit*nanNodes-田司：I4M L4 3溺由mU7.&&LSfvIc? CartelMx/h1dnEonN fldice勰肝止U田»li-QLU BmIMMuzaoiLM网LNadcoE3C3A-DL-L4 234313UT.DIDLM|5QLdiwianMmlcrw登.as至枷身灯. #EaJ3DL-W 以州amL2T.DLD.LMrSQLdiemcinNcidc?恐郅暝T*g订.w在查询结果中，依次展示日志的接收时间，日志设备IP,进程名字，产生模 块，严重升级，事件描述。单击口可以查看日志的详细信息，单击够可以查看日志事件的详细描述。如果该条信息没有描述，说明该条日志信息在系统事件库中没有匹配到，在该 条日志最后单击LJ可以将该条信息根据关键字匹配加入到日志事件库中，如下图所示：在事件库管理窗口中，单击，填写该条信息的“关键字''字段，“日志描述”字段后，单击I圈"按钮，即可添加如事件库，以后接收到的此条信 息，可以显示添加的日志描述。4配置管理4.1日志对象管理日志对象管理，在添加新的日志接收设备时使用，下面以添加主机设备192.168.0.1为例，说用日志对象管理的使用，系统操作界面如下：添加一个日志主机，需要进行两步操作：1.增加日志源2.在增加的日志源的基础上增加日志模块，界面如下国分组主要对日志源进行分类，可以根据设备类别进行创建锻日志源，即一个主机设备，日志来源日志模块，主机下的日志，日志可以有多种，系统日志syslog只是其中一种。1.在选定的日志分组上右键单击，选择“增加日志源”，在右边界面填写，日志源的对象编码，对象名称，顺序，IP地址，负责人员组，展示界面如下：漆加 J X到除R M 0 可天说明对象编码：设备的编码，依习惯而定。对象名称：一般为主机系统名称。展示顺寻：排序使用。IP地址：设备的IP地址。负责人员组：选择负责人员组，可不选，即默认。填写完毕后，单击 *项 按钮完成日志源的添加，提示信息如下：2. 添加日志模块，在添加后的日志源上单击右键，选择“添加日志模块”展示页面如下：日言肘敏莒理十渤匚 /修改 耳刊除b # 。设行列表I虫I主忸枝色1=胸-司洛独时常拦止对活色赤度示行序k*卖：.丁地=21日志涯如泡试底苗员金人员消瓣蛟户谟时对象编码：设备的编码对象名称：由于只有一个日志模块，一般与日志源的名字相同。IP地址：继承自日志源，不用填写。解析类型：选择设备的类型。过滤规则：选择该模块的过滤规则，不选即采用默认规则。填写完毕后，单击- '：!按钮完成日志模块的添加，提示信息如下：1 W。拓乱亍4-蜀1兰抗没2h U 2月落'纹-M日志漩讶试诉号S m n点加凡说近皓瘀典屡示is店近皴矣主i亦诰控参学列表说明上述说明即为一个设备的添加过程，多个设备依次添加即可。注意：添加完毕后，必须重新启动系统的“日志收集”服务，操作如下：进入“后台管理”-“系统管理”-“服务管理”界面:在日志收集''服务，单击完“停止'后，单击“启动”按钮即可。4.2事件库管理事件库是用来对单条日志进行匹配，对该条日志的内容进行进 一步说明，若有提醒方案，对用户进行提醒并且提供处理措施的一 个数据汇总。如用户在使用过程中发现库中没有的事件，可以在事 件库管理板块对事件库进行添加。该模块并且提供事件库的编辑与 删除功能可对事件库进行维护。1 添加事件的时候先选中解析类型，选择需要添加的系统类型怪析荣司LINUX<_可吊E_ 木 E*i_ *，申ii与时裁8可有性日击或别asst产生菲洋瞄B:EPji.WJ/DOTlX-LOG53Err1血BOLM庄户i*汪壬区用占宫四三屯K匹Y劫人正盖的月户名壬遂访tARP/DUPIRP是sWamhg¥亦为激与I克g个we.亡欢责南.的11归书支与司玄果ARWDUPMATIPS3Wnmiighcdl谆阻5址与MAT号ifil：岫址依实倒律心祁洵割PWW 心仲 mr秒芸ARP/DuPVlRfiPIPnSWnmingbed?胡吧让耳巾盼的豆| "戏g定蜜攻业革炽湘海胡&扯导做淮豆ip不EAIIP/S/DUPIP急Notiuibed?混1曲油0-个已存般垣具揆鳄志论匚痒与已有正的其7山"寻PF/a/FTPESSIDNJErrbed?在1风 狂之由I栽密盛令丘心临邹F挡薄坪蹴g秒至ErrIck7ASPF®*i-iava日叩或青求A独甩测更一千来刍与用m的Umvm HpplEt崎PF写Errbe 7挟戍目君弛冬mi整#i±g!SRMK5ViTF.不些ASPF/4/5E5S_LOG普Warningg用”卜套活芝底待垢的瓣字云曜-中BSfSm话MWamhgbc.£J7CFAX基洁昆队.刊也不SCT匚吟冲PflENFiJa吞Wamhgkxal?匚FAJ强心询龟匚 FAX/WSENCHFiEiIL呈芒WamhgkKdT宁故控话两星锂匚FiWCU洁妥斐舰R£SCFW4jTlME0UTWsminabc7=1于空的CF!炽送谜目.欠匿牵渲西心宅孙息对!CFJWWREVFJJL产bed?CFA>：与神炫匚FAK写事杵况眩C1W1/CF1W_LM星百Err心了司用EVLIFQ身HdD?溅,SRCPJJK.Senddfc不始理2点击添加按钮之后弹出添加的弹出框，填写当中的内容。其中关键字在Windows系统中为日志的编号为数字，在其他系统中为能 唯一识别日志信息的字符串。可用性为是否可用，日志查询为是否 可提供查询，日志级别选择当前日志的级别，模板库选择当前的模 板库，日志描述填写对该日志的描述信息。Pri填写当前日志syslog发送的pri数值。填写完毕之后点击添加完成添加新事件。3选中某条事件之后可以对事件进行编辑和删除操作，编辑弹出的界 面跟添加时的界面一样。4删除为选择成功后点击删除，弹出提示框，点击“是”便可删除该条事件:niflrnksrnsl loarncl kwncl l«7n&! ksrnsl10411Emrgkornd1CKF2SEmsgkfirnol1003Emorgkornsl1CHM-EmorgIbarnd10MriEfiiurkarnd10DGs.著EmargIcorndErncrgkns!ksrnslSnd kernel4.3模板库管理模板库为日志发送协议提供的一系列模板，当天系统存放的是 标准的syslog协议提供的模板库，每条syslog日志对应一个相应 的模板，这里一般不需要配置。如需要添加修改删除，则需要参考 相应的协议。示图如下图所示，点击添加即可添加一条新的模板。4.4过滤规则管理过滤规则管理主要是添加日志信息的过滤规则，在添加日志模块是 选择对应的过滤规则，以便于过滤掉不需要，或不必要接收的日志 信息，系统界面如下：日舌也朝艇埒*衲 /耳L*次J 珀朝/空 * M或at哉觥添加一条过滤规则的操作如下，选择 一；、!按钮，弹出的界面如过滤名称：该规则的名称。信息规则：对下面的于信息，进程两个条件是匹配其一，还是全部 匹配，即以逗号区分的各个字符串之间的关系是信息中包含其中一 个，还是包含所有。信息：对于日志消息体匹配到字符串的日志即过滤。进程：对于日志进程名字匹配到字符串的日志即过滤。Syslog:没有选中的事件模块，事件重要度即过滤，选中的即接 收。Window：日志事件的ID，多个以逗号隔开，匹配到即过滤。填写完毕后，选择II按钮，添加过滤规则。添加完毕该条规则后，在日志对象管理界面，可以选择该条规则使 用在某个日志模块上，如下图所示：4.5报警规则管理报警规则管理主要是添加日志信息的报警规则，将该条报警规则应用与主机设备，系统界面如下：日盅修咎幌里政»/率京 #块际 珏许件& £T 整君主巩#萩ii桃三M痢#与g住EPSis?&歇不脉.强.£=航Ll.iu 耻S< 主 I17.E.1.16L2.H=31Efli：lliiai.2.1<5k17.5.1.1710.1.21715 L MSES苇BtMM岸17.9.1 Lita |rL6.1 BsHWfiesnL79.21«16717.L咨辞王ittX芸刮117,9.1 L62却1-E.L A淄宓E*17.G.1.20LU.LHW*g 哼弘10.1.2JDno.L17.5.1.Z1K:LILI J咂没密淀坑1011.221KLiHLcrTasiE17.3.1221.15 L NCF-TtTiEESL79.123L1A1祀i_E聆W"应17,9,12机1.15.1巧晅京.甲pi：依L0.1.234l.Lfi.1 lS£SSi±j17.G.1J!LLH： N壬*mithL0.1.Z*1.10.1 g平自主i17.9.16Ja v : fi号球黑项1.忘1买.与行丽；10119 1 IMST&.S.1C.1.L8hi 添加一条报警规则的操作如下，选择 +就匚按钮，弹出的界面如告警名称：该规则的名称。是否启动：如果启动，选择是单关键字：多个以逗号隔开，即匹配任意一个即报警。多关键字：即配皮所有才报警。信息：对于日志消息体匹配到字符串的日志即报警。进程：对于日志进程名字匹配到字符串的日志即报警。选中的事件模块事件重要度即报警。填写完毕后，选择 二二 按钮，添加报警规则。添加完毕改天规则后，可以选择将该条规则关联到那些设备，如图:日否告震反明左匿»亍讳如| /鼻蛔 乳反名貌洵3直童t岳电派主机富眈赣地Et主仇SS*1砌总=SME1M 再IP枷海独|.十1.1.1 U也浦17.9.L163 S !±3 1 珈皿® s tai.i ci3Ekf5ffii& mMuRUE昌阻 b 口曰队抨家m主i t aid SEWrfi«:口1.2.1 口三业田翊1-C.1.2.1G1.3.1 fPEiii17.S.1.171.4.1家荣蛙田11C.1.2417131=6.17SA.1&1& Pi 1.5厚至芟来UtK琮吏 f 日L&日主身岳至碗主电L6.i m击廿希反瓷王扒17 9 21.167LU玄旦匿笔苛房是W117,9,1,1E2匣口目丁素翌雄畛丰机呼口 £11卫或*况左音W程住E .31,9 ®i=SSK3rEE9SEi.#l& mLLU小包嫁皑命.扫F 自 口1小Ik业如油汩*1L&1 *.=担尊g做.1.9.1音=宅理衣ET17.G.1.2O1C.1.2.2OLIM处蛙款部iJ.g.lJi1.11.1 5全蛭#都1C.1.22IL& 1112 NC泊芭月；> ejiMMza另r科制慕言或n112,117.S.L72LH.l N或境拱17.G.1.23t HiL"网我mEgmw噌生 1 r ._ J J VI.一_ _l.*1l.lit踞裾亘敦十"成17.S.1.24J_1.15.1财肄旦制射W曲1C.1.2.U1 h ii 美口1.161 豆零5买!S'M.：17.9.1J5L17.11QLM5 L13-1切竺平色由17,9.1.5i s. 0s：'ir|Q选择 芝卡三厂按钮选择关联主机，同时，也选择q mm 取消关联的设备。4.6用户管理用户管理为提供方便管理登陆用户的版块，方便系统管理员对使用的用户进行维护管理1 点击添加按钮后弹出提示框，按照相应的提示填写完毕后，点击 “确定”即可完成该用户的添加。当选择某一用户后，点击“编辑”按钮弹出同样的对话框，修改相 应的数据后点击“添加”可以完成该用户的修改2 选择某一用户之后点击“删除”按钮，弹出提示框之后选择“是”则完成该用户的删除操作4.7负责人员组负责人员组对用户进行分组，集中管理。1 点击“添加”按钮弹出对话框填写负责人员组的名称和相关说 明2 点击“增加用户”按钮弹出对话框，选择相应的用户之后点击 “确定”按钮完成该负责人员组的添加操作。3选中某一人员组点击“修改”按钮，弹出对话框跟“添加”操作 相同，修改相应的信息之后完成对负责人员组的修改。选择某一人员组之后点击“删除”按钮，弹出对话框中点击“是” 则完成对该人员组的删除操作。4.8参数管理参数管理提供系统需要的各种各样的参数，部分参数可以根据 系统的需要进行相应的更改。该模块只允许修改不允许删除。并且 只允许修改【参数值】选项。下图对各个参数进行一一描述4.9数据库备份管理该模块可以对数据库进行备份还原操作选择“备份当前数据库”可以对当前数据进行备份。选择备份的日期，点击“确定”可以完成对备份文件的还原，也可 以将数据库备份文件删除012-10-0903-44-30iH逢齐岳饼：S桦一仲 道宅4.10服务管理系统提供三个服务，点击“停止”按钮可以将相应的服务停止，点击“启动”按钮可以将相应的服务启动，启动类型可以修改 为系统启动自动运行或者手动运行。其中【日志收集】服务为系统收集主机的日志服务，停止该服务系 统将停止收集日志，配置完日志对象需要重启该服务。【日志下载】为系统自动下载日志文件的服务，停止该服务系统将 不会自动下载配置的日志文件。5报表统计报表统计功能主要是查询各种历史数据展示，方便用户导出数据，以供备份或查阅，系统主界面如下:日志分析管理系统17.5JL.L5?17.9.LM2L7.&.LJ0LiXUJOLTiftLJlLQL2J1L7.&.LJ2L7.&.LJ3L7.&.LJSLEXUJ&LT.GlLJLD.LL17.9.L155!示泉.i?!T昼示.14K Mlffi目事叩X1K1岩X1X1岩zxxlQKjfeiT®5aflffiT-.TPSS胡n跪三机.并尴15亍豪柬e sft eeUUJlef三*5疔m我日奋毫吕三古如三巩±Wfeb=-M帝#.亡二崟立心省B1MWK主心汗MffensiT日Ki忐y际叩瀚gmg=ja蛇日赛是em岂成笔止心口用p长史fi=A=«用口丈二不n段旧弟月粮百削EL可.£K SS9、M.SLK5= E； » 4&1二曲®主izT皿益ll'口 ESSP-'HFItrSItj*：?*!*.u MTW-irmc4iFSfflEiri° 七舟a再T8口为 W.iR5止此磨依的曰LIL2成电1LM心鼻绑!却Li同身豆家皿可成耳L，时序豆蒙iga 口勤污£L6H»lflEl±：iILWI”血LBixAt£*FwrJrECT：LB用户Hid理：,*J CiMmKSS*CRM*LTn9Lrii系统界面左半部分为各种功能性报表，有半部分为常用“快捷报表”，用户选 定开始日期，结束日期，单击便捷报表中的“查看报表”链接，即可以查看常 用报表，第一个选项卡“综合报表”，用户可以查询每个报表的综合信息展示 数 据， 展 示 页 面 如 下：用户也可以选择左半部分的菜单进行相关报表的查询，报表主要分为一下几类：数据分析报表：统计日志设备日志采集情况，级别，模块，进程分析。排行报表：日志数据TOPN排行。用户活动报表：统计接收日志中的用户访问日志情况。趋势报表：统计日志接收趋势。自定义报表：用户自定义的报表输出。用户可以方便的将查询出的数据结果导出excel，word，pdf等格式，例如:日无扭枚度i杜抵主机日珂脚脚:七6v 维胴:2D1D4-1£ v 呻?:v ( SS % E±嫁汁日朝 2iftj4-QI-iK£itlL*-flL-iJBi旧中1敢S33rnfrgWormingNp血ErQ«ebugJ0UJ3LL470C&C0224BCC用户可以单击报表右上方的D E 按钮，分别将报表导出不同的格式:请选择分页方式：不分页 O分页口是否导出公式确定单击确定按钮即可将报表数据导出至本地计算机。