博科交换机安装验收报告
合同号:NKOBJ061225S
建行北京分行订购博科交换机SW12000升级模块两套,SW4100升级模块两套。分别安装于SW12000及SW4100上。兹与 年 月 日 已安装完成,经测试运行状况良好。
建行北京分行:
日期:
赞华(北京)电子系统有限公司: 日期:
本文由hawebs贡献
pdf1。
报告安装使用指南
报告安装使用指南
本手册介绍的软件基于许可协议提供,且只能在遵守协议条款的前提下使用。 文档版本 10.1
法律声明
Copyright ? 2006 Symantec Corporation. ? 2006 年 Symantec Corporation 版权所有。 All rights reserved. 保留所有权利 政府购买:商业软件 – 政府用户根据标准授权许可条款和条件使用。 Symantec、Symantec 徽标、Symantec AntiVirus、Symantec Client Security、Symantec System Center 和 Symantec Client Firewall 是 Symantec Corporation 或其附属机构在美国 和其它国家\地区的商标或注册商标。“Symantec”和“赛门铁克”是 Symantec Corporation 在中国的注册商标。其他名称可能为其各自所有者的商标,特此声明。 本文档中所述产品根据限制其使用、复制、分发以及反编译/逆向工程的许可证分发。未经 Symantec Corporation(赛门铁克公司)及其特许人(如果存在)事先书面授权,不得以任 何方式任何形式复制本文档的任何部分。 本文档按“现状”提供,对于所有明示或暗示的条款、陈述和保证,包括任何适销性、针对 特定用途的适用性或无侵害知识产权的暗示保证,均不提供任何担保,除非此类免责声明的 范围在法律上视为无效。Symantec Corporation(赛门铁克公司)不对任何与性能或使用本 文档相关的伴随或后果性损害负责。本文档所含信息如有更改,恕不另行通知。 根据 FAR Sections 12.212 和 DFARS Section 227.7202 定义,授权许可的软件和文档被视为 “商业计算机软件”和“商业计算机软件文档”。 Symantec Corporation 20330 Stevens Creek Blvd. Cupertino, CA 95014 USA http://www.symantec.com/region/cn
技术支持
Symantec 的全球技术支持小组是“Symantec 安全响应中心”的一部分,负责维护 全球各地的支持中心。技术支持小组的主要任务是解答有关产品特性/功能、安装和 配置的具体问题,同时还为可通过 Web 访问的“知识库”撰稿。技术支持小组与 Symantec 内的其它职能部门相互协作,及时解答您的问题。例如,技术支持小组 与产品工程部门及“Symantec 安全响应中心”相互协作,为病毒发作和安全警报 提供“警报服务”和“病毒定义更新”。 Symantec 提供的技术支持包括:
■ ■ ■ ■ ■
一系列支持服务,使您能为任何规模的单位选择适用的支持服务 电话和 Web 支持组件,它们能快速响应并提供最新信息 升级保证可提供自动软件升级防护 病毒定义和安全特征的内容更新可确保实现最高级别的安全防护 “Symantec 安全响应中心”的专家每周 7 天、每天 24 小时在全球各地用各种 语言为您提供全球支持 诸如“Symantec 警报服务”和“技术支持客户经理”服务等高级功能提供了增 强的响应和前瞻性安全支持
■
授权许可与产品注册
如果您所用的产品需要注册和/或许可密钥,最快和最容易的注册方法是访问 Symantec 许可与注册网站 (http://www.symantec.com/certificate)。或者,您也 可访问 www.symantec.com/region/cn/techsupp/enterprise/,选择“注册”链 接。 与技术支持联系
拥有最新支持协议的客户可以通过电话或在网上 (www.symantec.com/region/cn/techsupp) 与技术支持小组联系。 拥有白金支持协议的客户可以通过白金服务网站 (www-secure.symantec.com/platinum/) 与“白金技术支持”联系。 与技术支持小组联系时,请准备好:
■ ■ ■ ■ ■
产品版本信息 硬件信息 可用内存、磁盘空间、NIC 网卡信息 操作系统 版本和补丁程序级别
■ ■ ■
page 1
网络结构 路由器、网关和 IP 地址信息 问题说明
■ ■ ■
错误消息/日志文件 与 Symantec 联系之前采取的故障排除措施 最近所做的软件配置更改和/或网络更改
客户服务
要在网上与“企业客户服务”联系,请访问www.symantec.com.cn,选择“服务与 支持”。 客户服务可帮助您解决以下几类问题:
■ ■ ■ ■ ■ ■ ■ ■ ■
有关产品许可或序列号的问题 产品注册更新(例如,更改地址或名称) 一般产品信息(功能、可用的语言、当地经销商) 有关产品更新和升级的最新信息 有关升级保证和维护合同的信息 有关 Symantec 增值授权许可计划的信息 Symantec 技术支持选项的建议 非技术性的售前问题 光盘或手册丢失或损坏
有关“支持方案”的最新信息,请访问我们的网站。具体可用的功能会因您所购买 的支持级别和具体产品而异。
目录
技术支持 第1章 报告简介
关于报告 …… 9 关于本安装使用指南 …… 10 报告的工作方式 …… 10 关于事件 …… 10 关于报告 …… 11 关于日志 …… 11
第2章
基本报告任务
关于基本任务 …… 登录到报告 …… 更改您的密码 …… 使用主页 …… 在主页上查看信息 …… 自定义主页 …… 使用安全响应中心链接 …… 13 13 14 15 15 17 18
第3章
使用报告
报告概述 …… 关于报告 …… 保存报告配置设置 …… 打印和保存报告 …… 创建风险报告 …… 创建扫描报告 …… 创建计算机状态报告 …… 创建和查看调度报告 …… 19 20 21 22 23 28 30 33
第4章
执行管理任务
关于管理任务 …… 配置报告服务器 …… 更改报告服务器端口号 …… 使用 Windows 注册表指定报告服务器的 URL …… 37 38 39 39
6
目录
查看报告服务器的 URL …… 删除报告服务器 …… 配置报告显示 …… 配置用户 …… 设置密码规则 …… 配置警报 …… 创建警报配置 …… 查看警报事件 …… 确认或取消确认警报 …… 查看警报事件详细信息 …… 设置自动刷新间隔 …… 39 40 40 41 44 45 45 48 50 51 51
第5章
使用日志
关于日志 …… 查看日志 …… 保存日志配置设置 …… 查看风险日志 …… 查看扫描日志 …… 查看计算机状态日志 …… 使用日志中的事件 …… 显示事件详细信息 …… 导出日志事件 …… 删除日志事件 …… 53 54 54 55 59 61 63 63 65 66
第6章
配置报告代理
关于报告代理 …… 配置报告代理 …… 代理调度和状态检查 …… 检查代理状态 …… 指定代理的调度选项 …… 禁用代理 …… 配置事件聚合 …… 配置日志发送器和计算机状态代理的语言选项 …… 为病毒类别代理配置代理设置 …… 指定代理的通知选项 …… 指定电子邮件通知参数 …… 为磁盘已满检查指定通知参数 …… 使用代理日志 …… 启用或禁用代理跟踪 …… 删除代理日志 …… 用于代理配置的注册表键 …… 关于代理处理文件所用的注册表键 …… 69 71 71 73 75 77 78 78
page 2
79 79 80 81 82 82 83 84 84
目录
7
关于用于代理调度的注册表键 …… 85
第7章
维护报告数据库
关于数据库维护 …… 配置报告数据库维护代理 …… 配置报告数据库备份选项 …… 恢复 MSDE 报告数据库 …… 调整数据库服务器内存分配 …… 87 87 89 91 92
第8章
工作流程和用例
关于工作流程和用例 …… 管理清除风险的日常工作流程 …… 显示安全风险信息的报告和日志 …… 显示扫描信息的报告和日志 …… 显示定义信息的报告和日志 …… 显示配置和状态信息的报告和日志 …… 95 95 96 97 98 98
索引
8
目录
1
报告简介
本章节包括下列主题:
■ ■ ■ ■ ■ ■
关于报告 关于本安装使用指南 报告的工作方式 关于事件 关于报告 关于日志 关于报告
报告是 Symantec 系统中心? 控制台中的一个 Web 应用程序,您可以用它来创建有 关安全产品的报告。该应用程序使用 Web 服务器提供网络中有关 Symantec? Client Security 或 Symantec AntiVirus? 产品的信息。 报告包含下列功能: ■ ■ ■ ■ ■
可以使用最重要的报告自定义主页? 可以使用多个过滤选项预定义和自定义图形报告 将基于角色的用户管理与 Symantec 系统中心控制台用户管理相分离 进行了优化,可支持 100 到 50,000 台计算机中的事件 支持通过 Microsoft? SQL 存储事件 可以通过 Symantec 系统中心控制台登录到报告。也可以通过已访问过您的报告服 务器的计算机上安装的 Web 浏览器登录到报告。 可以在《Symantec Client Security 安装指南》或《Symantec AntiVirus 安装指南》 中找到有关报告的安装信息。
10
报告简介 关于本安装使用指南
关于本安装使用指南
本安装使用指南中的操作过程,既适用于普通报告用户,也适用于报告管理员。一 般说来,普通用户应阅读有关基本任务和报告使用情况的章节。管理员则应阅读讲 述以下内容的章节:执行管理任务、使用日志、配置报告代理、维护报告数据库以 及显示报告和日志中的信息。
报告的工作方式
报告软件由报告服务器、报告数据库和报告代理构成。报告服务器是 Web 服务器。 当您登录到报告时,即已登录到了报告服务器。 报告数据库可存储报告代理从一级管理服务器日志中收集和读取的事件。报告数据 库可以是网络中已有的 MS SQL 数据库,也可以是与报告软件一起安装的数据库。 数据库有其自身的维护要求。 请参阅第 87 页的“关于数据库维护”。 报告代理安装在报告服务器以及一级和二级管理服务器上。安装在报告服务器上的 代理称为“本地代理”。安装在一级和二级管理服务器上的代理称为“远程代理”。 报告代理可收集网络中有关安全事件的信息,还可维护报告数据库,并可以配置其 发送有关安全事件或代理状态的通知。 每个代理
page 3
均具备特定的功能。“计算机状态”和“日志发送器”代理属于远程代 理,这些代理可从装有它们的一级或二级管理服务器日志中收集信息。“日志读取 器”代理是报告服务器上的本地代理,可接收收集到的信息并将其插入报告数据库 中。 请参阅第 69 页的“关于报告代理”。
关于事件
那些在报告中生成的、显示在报告中的事件是从一级和二级管理服务器的事件日志 拉入的。事件日志包含以服务器时区的时间表示的时间戳。当报告服务器上的日志 读取器代理收到事件时,它会将事件时间戳转换为格林尼治标准时间 (GMT),以插 入报告数据库。创建报告时,报告软件以在您其上查看报告的计算机的本地时间来 显示有关事件的信息。 由于病毒爆发可以导致出现大量的病毒和防火墙事件,因此会先总计这些事件,然 后再将这些事件转发到报告服务器上的日志读取器代理。 有关在主页上显示的某些事件的详细信息,请查看 Symantec 安全响应中心网站的 “攻击特征”页,其地址如下: http://securityresponse.symantec.com/avcenter/attack_sigs/
报告简介 关于报告
11
关于报告
报告能够为您提供所需的最新信息,以帮助您在网络安全方面做出明智的决策。报 告主页包括自动生成的图表,其中记录了网络中发生的最重要的事件。 报告还包含一些您可以自定义和生成的报告,以便查看在网络中发生的以图形表示 的事件。您可以创建风险和扫描事件报告,也可以生成网络中计算机的清单(计算 机状态)报告。 另外,您还可以创建按计划自动运行的调度报告,设置报告过滤器和报告运行时 间。报告创建完成后,将显示在调度报告页面上。目前,只能使用报告创建用于病 毒定义分装的调度报告。
关于日志
如果要关注特定事件,可以直接查看报告中的事件数据。日志包括一级和二级管理 服务器以及所有向这些服务器报告的客户端的事件数据。 您可以过滤日志数据。还可以将日志数据导出到文件以备份日志事件,或者在电子 表格或其他应用程序中使用数据。
12
报告简介 关于日志
2
基本报告任务
本章节包括下列主题:
■ ■ ■ ■
关于基本任务 登录到报告 更改您的密码 使用主页
关于基本任务
报告是一个在 Symantec 系统中心控制台中运行的 Web 应用程序。如果您知道报告 服务器的 IP 地址或主机名,则可以通过与该报告服务器相连的任何 Web 浏览器访 问报告。 基本任务包括登录到报告、更改密码,以及使用主页快速获取有关安全网络中事件 的信息。 本安装使用指南假定您通过 Symantec 系统中心控制台访问报告,并已登录到控制 台。无论您以何种方式访问报告,使用报告的步骤类似。但是,本指南未专门描述 如何在独立浏览器中使用报告的步骤。
登录到报告
首次登录到报告时,必须更改密码。但如果您是安装报告和在安装过程中配置超级 管理员密码的管理员,则无须在首次登录后更改密码。 可以同时登录到多个报告服务器。每个报告服务器都有自己的数据库,因此在一台 报告服务器上查看的数据与在其他报告服务器上查看的数据不同。 注意: 必须先在 Internet Explorer 中启用活动脚本,然后才能登录到报告。
14
基本报告任务 更改您的密码
登录到报告
page 4
1 2
在 Symantec 系统中心控制台左窗格中,在“报告”下的“报告服务器”中, 单击要登录到的报告服务器的名称。 在右窗格的登录对话框中,键入用户名和密码。 如果是首次登录且为安装报告的管理员,请使用安装过程中输入的用户名和密 码。 3
单击“登录”。
要从报告中注销,请在报告应用程序窗口的右上方单击“注销”。如果不注销,但 在一段时间内静止,则会自动注销。管理员可以为每个用户配置静止超时。默认设 置为 6,000 秒(100 分钟)。 注意: 如果在独立浏览器中使用报告,那么关闭浏览器窗口不会使您从报告应用程序 中注销。请确保在完成会话后单击“注销”。 更改您的密码
您可以更改您的登录密码。密码的长度规则和字符要求规则由管理员来设置。如果 输入的密码违反任何密码规则,就会出现错误。 密码规则由具有管理权限的用户设置。 请参阅第 44 页的“设置密码规则”。 如果您第一次登录,则旧密码为管理员分配给您的密码。更改密码后,在下一次登 录到报告时将需要新密码。 更改密码 1 2 3 4 5 6
选择报告服务器并确保已登录。 请参阅第 13 页的“登录到报告”。 在“管理”选项卡上,单击“更改密码”。 在“旧密码”文本框中,键入旧密码。 在“新密码”文本框中,键入新密码。 在“确认密码”文本框中,键入新密码。 单击“保存”。
基本报告任务 使用主页
15
使用主页
主页中包含有关安全网络信息的重要报告。您可以自定义该页以便根据报告的风险 修改过滤器。 图 2-1 显示了一个主页样本。 图 2-1 主页样本
在主页上查看信息
主页中包含几个自动生成的报告以及若干状态项目。一些主页报告中还包含指向更 详细报告的超链接。 另外,您还可以自定义部分报告,并可以配置主页刷新频率。 请参阅第 17 页的“自定义主页”。 表 2-1 介绍了主页报告。
16
基本报告任务 使用主页
表 2-1 报告或状态信息 说明
主页报告
按<服务器组>排列的风险: 过去 24 小 显示在过去 24 小时内安全网络面临的风险。您可以自定义该报告,以便将这些 时 风险按照“客户端组”、“父服务器”、“计算机”、“用户”或“事件源” 进行分组。 您也可以自定义该报告,使其显示为三维条形图而非饼形图。 操作摘要 显示已对网络中病毒和安全风险数采取的操作摘要。 采取任何操作时,单击病毒或安全风险数即可获得详细报告。 默认情况下,将显示过去 24 小时内的操作摘要。您可以更改时间间隔以显示上 一周的摘要。 可疑计数显示了处于“不操作”自动防护状态下的 Symantec AntiVirus 8.x 客 户端中的事件数。在与这些事件相关的计算机上,应该运行手动扫描以检查计 算机是否感染了病毒。然后,可以通过删除风险日志中的可疑事件来清除可疑 事件计数。 请参阅第 55 页的“查看风险日志”。 “新受感染”计数仅显示在指定时间间隔内感染计算机的风险的数目。“仍受 感染”计数显示仍在感染计算机的风险的数目(不考虑时间间隔)。两种计数 显示的风险均需要手动清除。 清除风险后,管理员可以在清单日志中更改计算机的受感染状态。 请参阅第 61 页的“查看计算机状态日志”。 新风险: 过去 24 小时 显示过去 24 小时内安全网络中的新风险。 单击任一风险可显示 Symantec 安全响应中心网站中的一个网页,其中包含有 关该风险的详细信息。 警报状态摘要 显示安全网络中警报状态的一行摘要。例如,在过去 24 小时内有 100 个未确 认的警报。 单击可显示“警报事件”页面。您的用户帐户必须具备查看该
page 5
页的权限。 请参阅第 48 页的“查看警报事件”。 代理状态摘要 显示安装在报告服务器中的代理的一行状态摘要。 单击可显示“代理状态”页面。您的用户帐户必须具备查看该页的权限。 请参阅第 73 页的“检查代理状态”。 每小时的风险数:过去 24 小时 最新 Symantec 病毒定义 以线形图的形式显示过去 24 小时内安全网络中的风险。 显示 Symantec 发布的有关最新定义当前日期和版本的一行摘要。 基本报告任务 使用主页
17
报告或状态信息
当前病毒定义分发
说明
显示安全网络中的当前病毒定义分发。 单击饼形图可获得有关分发的更详细报告。
安全响应中心
显示当前的 ThreatCon 严重级别,该级别基于 Symantec 安全响应中心提供的 信息。ThreatCon 严重级别可提供全球 Internet 安全性的总体情况。 单击任意链接可了解其他信息。 请参阅第 18 页的“使用安全响应中心链接”。
自定义主页
在登录到报告时,您可以指定主页的显示方式。自定义显示时,只能自定义当前用 户的显示。 可以通过会话保存在该页上配置的设置。 下次登录到报告时,这些设置将用于显示 主页。 表 2-2 介绍了主页显示选项。 表 2-2 选项
图形
主页显示选项 定义
选择主页上用于“风险排列依据”图表的分发。您可以选择“服务 器组”、“客户端组”、“父服务器”、“计算机”、“用户”或 “事件源”。 更改主页中“风险排列依据”图表,使其显示为三维条形图。 条形图由两个轴组成。每个轴分别代表服务器组、客户端组、父服 务器、计算机、用户或事件源。图形中每个类型的项目必须至少包 含两个以便进行显示。
图形类型
自动刷新
配置报告软件刷新主页上信息的频率。
自定义主页显示
1 2 3 4
选择报告服务器并确保已登录。 请参阅第 13 页的“登录到报告”。 在“主页”选项卡上,单击“主页配置”。 更改任意选项。 单击“保存”。 将显示一条消息,指出已保存所做更改。
18
基本报告任务 使用主页
使用安全响应中心链接
主页包括一个根据 Symantec 安全响应中心网站上的信息而生成的摘要。其中包括 ThreatCon 严重级别图表,以及指向 Symantec 安全响应中心网站及其他安全网站 的链接。 ThreatCon 级别如下:
■ ■ ■ ■
1-低 2-中 3-高 4 - 最高
有关威胁级别的详细信息,请单击 Symantec 链接,以显示 Symantec 网站。 注意: 安全风险划分为 1 到 5 个等级。 单击每个链接,都会在新窗口中显示一个页面。 表 2-3 介绍了安全响应中心链接。 表 2-3 链接
安全警报
报告主页上的安全响应中心链接 显示内容
显示安全网络潜在威胁摘要,它是根据 Symantec 安全响应中心提 供的信息生成的。摘要中包括最新威胁、最严重的威胁,以及杀毒 工具链接。 也可以搜索 Symantec 安全响应中心威胁数据库。
Symantec
page 6
显示 Symantec 网站。可以获得以下信息:风险和安全风险、病毒 定义下载,以及有关 Symantec 安全产品的新闻。 显示 Symantec 网站的病毒定义下载页。 显示 Symantec 安全响应中心网站,其中包括最新威胁和安全建议。 显示安全焦点网站,其中包括最新病毒的相关信息。
定义 最新风险 安全焦点
3
使用报告
本章节包括下列主题:
■ ■ ■ ■ ■
报告概述 创建风险报告 创建扫描报告 创建计算机状态报告 创建和查看调度报告
报告概述
可以对您的网络中的安全产品生成基于所选过滤器设置集的报告。可以保存过滤器 配置以便在日后生成报告。 可以在安全环境中对以下项目运行报告:
■ ■ ■ ■
风险 扫描 计算机状态 计划任务(如病毒定义分装)
每个报告类型都有一个默认的报告配置。可以修改并保存默认报告的配置。可以创 建基于默认配置或基于现有的已创建配置的新过滤器配置。如果不再需要自定义配 置,也可以删除它们。 创建报告时,该报告将显示在单独的窗口中。然后可以将报告另存为 HTML 或文本 文件。还可以打印报告。保存的文件是报告数据库中当前数据的快照。
20
使用报告 报告概述
关于报告
报告可能包含表或图表,也可能同时包含这两者,具体取决于你需要的信息。您可 以使用 Web 浏览器中的“另存为”选项,将报告另存为网页、Web 归档或文本文 件。保存选项可捕获报告中的数据,因此会产生一个历史记录。 您可以保存报告设置以便日后可以运行同一报告。如果管理员将常规设置配置为在 报告中包括过滤器,则报告中会列出活动过滤器设置。 下面列出了有关报告的重要信息:
■
报告中给出的时间戳为用户所在地的本地时间。报告数据库包含采用格林尼治 标准时间 (GMT) 计时的事件。创建报告时,GMT 值会转换为在其上查看报告的 计算机的本地时间。 由于报告软件会合计事件,因此报告中显示的数据可能与安全产品中显示的数 据并不一一对应。 如果生成的报告包括旧版计算机,则“IP 地址”和“MAC 地址”字段会显示 “无”。 如果相关项是不包含父服务器的一级管理服务器,则报告中的“父服务器”字 段显示为空。 报告中的风险类别信息是从 Symantec 安全响应中心网站获得的。在病毒类别代 理运行并收集信息之前,生成的任何报告都会在“风险类别”字段中显示“未 知”。 在报告中生成的报告会准确描述网络中受感染的计算机。报告基于日志数据而 不是 Windows? 注册表数据。 如果 Spider 图形中的数据包含难以阅读的重叠行,请对 x 轴和 y 轴使用不同的 参数或者翻转当前参数的轴,以便重新创建报告。 如果在使用任意亚洲语言的计算机上运行报告服务器,则报告服务器应支持 Arial Unicode MS 字体。否则,某些图表可能会包含无法阅读的字符。
■
■
■
■
■
■
■
图 3-1 显示了一个样本报告。
使用报告 报告概述
page 7
21
图 3-1
样本报告
保存报告配置设置
对于风险报告、扫描报告或计算机状态报告,可以保存报告设置,以便日后能够再 次生成报告。在保存您的设置时,这些设置将保存在报告数据库中,并在“使用保 存的报告”列表框中显示配置名称。 注意: 只有您的用户登录才可以使用保存的配置设置。其他报告用户没有访问您保存 的设置的权限。 如果您需要重新安装报告服务器,则应确保已保留数据库信息,这样就不会丢失您 的配置设置。 请参阅第 91 页的“恢复 MSDE 报告数据库”。 您也可以删除所创建的任意报告配置。如果删除了配置,则报告就不再可用。默认 报告配置名称显示在“使用保存的报告”列表框中,且屏幕将重新显示默认配置设 置。
22
使用报告 报告概述
保存报告配置
1 2
选择报告服务器并确保已登录。 请参阅第 13 页的“登录到报告”。 在“报告”选项卡上,执行下列操作之一:
■ ■ ■
单击“风险报告”。 单击“扫描报告”。 单击“计算机状态报告”。 3 4 5 6 1 2
更改报告的任意基本设置或高级设置。 单击“保存报告”。 在“报告名称”文本框中,键入或选择报告配置名称。 单击“保存”。
删除报告配置 选择报告服务器并确保已登录。 请参阅第 13 页的“登录到报告”。 在“报告”选项卡上,执行下列操作之一:
■ ■ ■
单击“风险报告”。 单击“扫描报告”。 单击“计算机状态报告”。 3 4
在“使用保存的报告”列表框中,选择要删除的报告配置的名称。 单击“删除”图标。
打印和保存报告
生成报告时,该报告显示在新的窗口中。您可以打印该报告,也可以保存该报告的 副本。 注意: 默认情况下,Internet Explorer 不打印背景颜色和图像。如果禁用了此打印 选项,则打印出来的报告与所创建的报告的外观可能有所不同。您可以更改浏览器 中的设置,以打印背景颜色和图像。 打印报告
1 2
在报告窗口中,单击“文件”>“打印”。 选择打印机,然后单击“打印”。 使用报告 创建风险报告
23
在保存报告的副本时,将保存基于报告数据库中当前数据的安全环境的快照。如果 以后基于相同的过滤器配置运行同一报告,则新的报告会显示不同的数据。 保存报告
1 2 3
在报告窗口中,单击“文件”>“另存为”。 在“保存网页”对话框的“保存位置选择”框中,选择文件的位置。 从“保存类型”列表中,选择下列选项之一: ■ ■ ■ ■
网页,完整 (*.htm、*html) Web 归档,单个文件 (*.mht) 网页,仅 HTML (*.htm、*.html) 文本文件 (*.txt)
4 5
在“文件名”列表框中,键入一个文件名。 单击“保存”。
创建风险报告
风险报告是在您的安全环境中发现的有关病毒和安全风险的报告。您可以从几种
page 8
不 同类型的报告中进行选择。 表 3-1 介绍了风险报告的类型。 表 3-1 风险报告类型
前面的报告
风险报告的类型 说明
前面的报告是需要定期查看的报告,其中包含以下内容:
■ ■ ■ ■ ■
受感染的计算机 (有风险的计算机) 检测操作摘要 按服务器组分组的检测 按父服务器分组的检测 按计算机分组的检测
24
使用报告 创建风险报告
风险报告类型
风险检测
说明
风险检测报告包含以下内容:
■
■
■
■
■
风险检测表与分发图表 此报告包含按服务器组、客户端组、父服务器、计算机或用户 名分组的分发饼形图。 风险检测相关性 这些报告使用两个变量将风险检测相关联。您可以选择的变量 包括计算机、用户名、服务器组、客户端组、父服务器或风险 名称。数据显示在一个三维条形图或 spider 图形中。 按计算机分组的检测摘要 此报告提供一个按计算机分组的风险检测表。 风险分发图 此报告包含按服务器组、客户端组、父服务器、计算机、用户 名、源、风险类型或严重性分组的饼形图和直方图。 风险分发超时 此报告包含按日、月或年来分隔时间的直方图。
综合报告
综合报告包含以下内容:
■ ■ ■ ■
完整报告 完整的日报告 完整的月报告 完整的年报告
默认情况下,综合报告包含所有分发报告和新风险报告。您可以选 择在日、月或年组合报告中包含或不包含哪些报告。
注意: 如果您使用的是 Internet Explorer 5.5 或更高版本,则不会显示“报告类型” 下拉列表中列出的报告标题(“前面的报告”、“风险检测”和“综合”)。要查 看标题,请将浏览器升级到 6.0 或更高版本。 通过从“要使用哪些过滤器设置”下默认显示的基本设置中进行选择,您可以快速 生成风险报告。如果要配置更多报告过滤器,可以通过“高级设置”进行配置。 您可以保存报告设置以便在日后运行同一报告。 您还可以打印或保存报告。 请参阅第 22 页的“打印和保存报告”。 表 3-2 介绍了风险报告的基本设置。
使用报告 创建风险报告
25
表 3-2 设置
产品
风险报告的基本过滤器设置
说明
仅指定在 Symantec AntiVirus、Symantec? Client Firewall 或这两种产品中发现的风险。 默认设置为 Symantec AntiVirus。
时间范围
设置发现风险以包括在报告中的时间范围。 如果选择“设置特定日期”,则必须设置“开始日期”和“结束日期”。 默认设置为上个月。
开始日期
设置日期范围的开始日期。 仅在选择“设置特定日期”时间范围时才可用。
page 9
结束日期
设置日期范围的结束日期。 仅在选择“设置特定日期”时间范围时才可用。 表 3-3 介绍了风险报告的高级设置。 表 3-3 设置
事件类型
风险报告的高级过滤器设置
说明
指定是包含所有事件,还是仅包含发现的病毒、IDS、发现的安全风险或防火墙违规事件。 默认设置为包含所有事件。
采取的操作
按照 Symantec AntiVirus 对风险采取的操作类型过滤报告。 列表中的操作类型取决于产品的设置。
扫描类型
过滤基于事件的报告,这些事件是在执行特定类型的扫描(例如,调度扫描或手动扫描)过 程中生成的。 默认情况下,执行任何类型的扫描时生成的所有事件均可用于报告。
风险类型
默认情况下,所有风险类型都显示在报告中。您可以将报告中的风险限制为病毒程序、跟踪 软件、间谍软件、黑客工具、安全风险、玩笑软件、启发式病毒、广告软件、远程访问、非 病毒恶意代码或拨号程序。 按照具体的风险严重级别过滤报告。可以将严重性定义为下面几种类别:未知;1(很低); 2(低);3(中);4(严重);5(很严重)。 有关严重性的详细信息,请访问 Symantec 安全响应中心网站。 默认情况下,所有严重级别的风险都包括在报告中。
风险严重性
压缩事件
指定应对用于报告的事件进行加权还是不加权。加权事件是事件的数目总和。未加权事件是 事件的数目计数。
26
使用报告 创建风险报告
设置
服务器组
说明
指定特定服务器组名称和/或通配符 (?、*)。例如,要指定以 je 开头的服务器组名称,请键入 je*,并用逗号分隔各项。 默认情况下,包括所有服务器组。 客户端组
指定特定客户端组名称和/或通配符 (?、*)。例如,要指定以 er 结尾的客户端组名称,请键入 *er,并用逗号分隔各项。 默认情况下,包括所有客户端组。 父服务器
指定特定父服务器名称和/或通配符 (?、*)。例如,要指定其中包括字符串 tion 的父服务器名 称,请键入 *tion*,并用逗号分隔各项。 默认情况下,包括所有父服务器。
计算机
指定特定计算机名称和/或通配符 (?、*)。例如,要指定称为 1machine、2machine、3machine 等的计算机,请键入 ?machine,并用逗号分隔各项。 默认情况下,包括所有计算机。
IP 地址
指定特定 IP 地址和/或通配符 (?、*)。用逗号分隔各项。 默认情况下,包括所有 IP 地址。
用户名
指定特定用户和/或通配符 (?、*)。用逗号分隔各项。 默认情况下,包括所有用户。
风险名称
指定特定风险名称和/或通配符 (?、*)。用逗号分隔各项。 默认情况下,包括
page 10
所有风险。
使用报告 创建风险报告
27
创建风险报告
1 2
选择报告服务器并确保已登录。 请参阅第 13 页的“登录到报告”。 在“报告”选项卡上,单击“风险报告”。
3 4 5
在“使用保存的报告”列表框中,选择要使用的、已保存的过滤器配置,或者 使用默认配置。 在“要查看哪种类型的风险报告”下的“报告类型”列表框中,选择要创建的 报告类型。 执行下列操作之一:
■
如果选择“风险检测表与分发图表”、“按计算机分组的检测”或“风险 分发图”,则会出现“分组依据”选项。在“分组依据”列表框中,选择 用于分组报告的选项。 如果选择“风险分发超时”报告,则会出现“时间间隔”选项。在该列表 框中选择时间间隔。 如果选择“完整的日报告”、“完整的月报告”或“完整的年报告”报告, 则会出现“配置要包含的报告”选项。单击“配置要包含的报告”,然后 在新窗口中选择要包括在组合报告中的报告。 单击“保存”。 如果选择“风险检测相关性”,则会出现“图形类型”列表框。选择“Spider 图形”或“三维条形图”。在“X 轴/支架”和“Y 轴/网络”列表框中,选 择哪个组应显示在三维条形图的图表轴上或 Spider 图形的支架/网络上。
■
■
■
28
使用报告 创建扫描报告
6 7 8
在“要使用哪些过滤器设置”下的“产品”列表框中,选择要为其运行报告的 产品。 在“时间范围”列表框中,选择报告的日期范围。 如果要配置报告配置的其他设置,请单击“高级设置”。 您可以将当前设置保存到现有配置中,也可以创建新的配置。 请参阅第 21 页的“保存报告配置设置”。
9
单击“创建报告”。
创建扫描报告
扫描报告包括有关在安全网络中的计算机上运行的扫描的信息。 可以创建扫描过滤器配置以过滤扫描报告的数据。创建报告时,报告会显示在新窗 口中。 您可以保存报告设置以便在日后运行同一报告。 您还可以打印或保存报告。 请参阅第 22 页的“打印和保存报告”。 表 3-4 介绍了扫描报告的类型。 表 3-4 扫描报告类型 扫描分发直方图
扫描报告的类型 说明
可以根据扫描持续时间、扫描中发现的风险或受感染文件数,或 者扫描或忽略的文件数,选择希望数据在扫描报告中的分发方式。 还可以键入要在报告中包括的直方图中使用的箱宽和箱数。箱宽 是要用于“按选择分组”数据间隔。箱数指定数据间隔应在直方 图中重复的次数。 根据网络的大小和查看的数据量,您可能希望更改这些值以最大 程度地显示报告的直方图中生成的信息。
按上一次扫描时间排列的 显示安全网络中按上一次扫描时间排列的计算机列表。 计算机 计算机未扫描 显示安全网络中尚未扫描的计算机列表。
通过从“要使用哪些过滤器设置”下默认显示的“基本设置”中进行选择,可以快 速生成扫描报告。如果要配置更多报告过滤器,可以通过“高级设置”进行配置。 表 3-5 介绍了扫描报告的基本过滤器设置。
使用报告 创建扫描报告
page 11
29
表 3-5 设置
时间范围
扫描报告的基本过滤器设置 说明
设置扫描信息以包括在报告中的时间范围。 如果选择“设置特定日期”,则必须设置“开始日期”和“结束 日期”。
开始日期
设置时间范围的开始日期。 仅在选择“设置特定日期”时间范围时才可用。 结束日期
设置时间范围的结束日期。 仅在选择“设置特定日期”时间范围时才可用。 表 3-6 介绍了高级扫描报告设置。 表 3-6 设置
持续时间大于或等于
扫描报告的高级过滤器设置 说明
仅包括超出此值的扫描持续时间。
已扫描的文件大于或等于 将数据限制为已扫描文件数大于此值的扫描。 风险大于或等于 将数据限制为已发现的风险数大于此值的扫描。
受感染的文件大于或等于 将数据限制为已发现的感染数大于此值的扫描。 状态 指定在报告中是包括所有扫描,还是仅包括完成的扫描、已启动 的扫描或已取消的扫描。 指定特定服务器组名称和/或通配符 (?、*)。例如,要指定以 je 开 头的服务器组名称,请键入 je*,并用逗号分隔各项。 默认情况下,包括所有服务器组。 客户端组 指定特定客户端组名称和/或通配符 (?、*)。例如,要指定以 er 结 尾的客户端组名称,请键入 *er,并用逗号分隔各项。 默认情况下,包括所有客户端组。 父服务器 指定特定父服务器名称和/或通配符 (?、*)。例如,要指定包括字 符串 tion 的父服务器名称,请键入 *tion*,并用逗号分隔各项。 默认情况下,包括所有父服务器。 计算机 指定特定计算机名称和/或通配符 (?、*)。例如,要指定称为 1machine、2machine、3machine 等的计算机,请键入 ?machine,并用逗号分隔各项。 默认情况下,包括所有计算机。
服务器组
30
使用报告 创建计算机状态报告
设置
IP 地址
说明
指定特定地址和/或通配符 (?、*)。用逗号分隔各项。 默认情况下,包括所有 IP 地址。
用户
指定特定用户和/或通配符 (?、*)。用逗号分隔各项。 默认情况下,包括所有用户。
创建扫描报告
1 2 3 4 5
选择报告服务器并确保已登录。 请参阅第 13 页的“登录到报告”。 在“报告”选项卡上,单击“扫描报告”。 在“使用保存的报告”列表框中,选择要使用的保存的过滤器配置,或者使用 默认配置。 在“要查看哪种类型的扫描报告”下的“报告类型”列表框中,选择要创建的 报告类型。 如果选择“扫描分发直方图”,请执行下列操作:
■ ■ ■
在“分组依据”列表框中,选择要对报告中的信息进行分组的方式。 在“箱宽”文本框中,键入要用于“按分发分组”的数据间隔。 在“箱数”文本框中,键入要包括在报告中的数据间隔数。
6
在“要使用哪些过滤器设置”下的“扫描开始时间”列表框中,选择报告的日 期范围。 可以在“名称”文本框中指定此报告配置的名称,或者使用“扫描开始时间
page 12
” 设置来过滤默认报告配置。
7
如果要配置报告配置的其他设置,请单击“高级设置”并对配置进行任何更 改。 您可以将当前设置保存到现有配置中,也可以创建新的配置。 请参阅第 21 页的“保存报告配置设置”。
8
单击“创建报告”。
创建计算机状态报告
计算机状态报告是有关安全网络中的计算机的状态或清单的报告。 报告如下所示:
使用报告 创建计算机状态报告
31
■ ■ ■ ■ ■
病毒定义分发 计算机未签入父服务器 Symantec AntiVirus 产品版本 Symantec Client Firewall 产品版本 IPS 签名分发
可以通过“高级设置”选项过滤包括在报告中的计算机。 您还可以打印或保存报告。 请参阅第 22 页的“打印和保存报告”。 表 3-7 介绍了计算机状态报告的高级配置设置。 表 3-7 设置
时间范围
计算机状态报告的高级过滤器设置
说明
设置收集计算机状态以包括在报告中的时间范围。 如果选择“设置特定日期”,则必须设置“上一次签入时间”。
上一次签入时间
计算机上次签入其父服务器的时间。 仅在选择“设置特定日期”时间范围时才可用。
定义日期 防病毒产品版本 防病毒扫描引擎版本 防火墙产品版本 防火墙策略文件名 联机 自动防护状态 服务器组
仅包括具有此特定病毒定义日期的计算机。 仅包括具有此 Symantec AntiVirus 产品版本的计算机。 仅包括具有此扫描引擎版本的计算机。 仅包括具有此 Symantec Client Firewall 版本的计算机。 仅包括具有此防火墙策略名的计算机。 包括所有计算机、仅连接到其父服务器的计算机,或未连接到其父服务器的计算机。 包括具有任何自动防护状态的计算机,或者仅启用、禁用自动防护或状态未知的计算机。 指定特定服务器组名称和/或通配符 (?、*)。例如,要指定以 je 开头的服务器组名称,请键 入 je*,并用逗号分隔各项。 默认情况下,包括所有服务器组。 客户端组
指定特定客户端组名称和/或通配符 (?、*)。例如,要指定以 er 结尾的客户端组名称,请键 入 *er,并用逗号分隔各项。 默认情况下,包括所有客户端组。 32
使用报告 创建计算机状态报告
设置
父服务器
说明
指定特定父服务器名称和/或通配符 (?、*)。例如,要指定其中包括字符串 tion 的父服务器 名称,请键入 *tion*,并用逗号分隔各项。 默认情况下,包括所有父服务器。
计算机
指定特定计算机名称和/或通配符 (?、*)。例如,要指定称为 1machine、2machine、 3machine 等的计算机,请键入 ?machine,并用逗号分隔各项。 默认情况下,包括所有计算机。
IP 地址
指定特定地址和/或通配符 (?、*)。用逗号分隔各项。 默认情况下,包括所有
page 13
IP 地址。
用户
指定特定用户和/或通配符 (?、*)。用逗号分隔各项。 默认情况下,包括所有用户。
仅感染 查看 计算机类型
仅指定受感染的计算机。 在报告中显示 Symantec AntiVirus 版本或 Symantec Client Firewall 版本。 仅包括父服务器或一级管理服务器。默认设置为所有计算机,包括客户端计算机。
创建计算机状态报告
1 2 3 4
选择报告服务器并确保已登录。 请参阅第 13 页的“登录到报告”。 在“报告”选项卡上,单击“计算机状态报告”。 在“使用保存的报告”列表框中,选择要使用的保存的过滤器配置,或者使用 默认配置。 在“要查看哪种类型的计算机状态报告”下的“报告类型”列表框中,选择下 列报告之一:
■ ■ ■ ■ ■
病毒定义分发 计算机未签入父服务器 Symantec AntiVirus 产品版本 Symantec Client Firewall 产品版本 IPS 签名分发
使用报告 创建和查看调度报告
33
5
如果要设置报告配置的其他过滤器,请单击“高级设置”并对配置进行任何更 改。 您可以将当前设置保存到现有配置中,也可以创建新的配置。 请参阅第 21 页的“保存报告配置设置”。
6
单击“创建报告”。
创建和查看调度报告
调度报告是报告应用程序根据您配置的调度自动生成的报告。当前,调度报告只适 用于病毒定义分装。 存在一个一直运行的默认调度报告。可以更改任何未决调度报告(任何尚未运行的 报告)的设置,并且可以创建其他调度报告来监控病毒定义分装。还可以删除单个 调度报告或所有调度报告。 可以打印或保存报告。 请参阅第 22 页的“打印和保存报告”。 图 3-2 显示了一个调度报告示例。 图 3-2 调度报告示例
表 3-8 介绍了调度报告配置设置。
34
使用报告 创建和查看调度报告
表 3-8 参数
开始时间 运行时间 重复
调度报告配置设置 定义
设置报告应开始运行的日期、小时和分钟。 报告应运行的小时数。 报告调度应重复的频率(“从不”、“每日”、“每周”或“每 月”)。 默认设置为“从不”。
服务器组
指定特定服务器组名称和/或通配符 (?、*)。例如,要指定以 je 开头 的服务器组名称,请键入 je*,并用逗号分隔各项。 默认情况下,包括所有服务器组。 客户端组
指定特定客户端组名称和/或通配符 (?、*)。例如,要指定以 er 结 尾的客户端组名称,请键入 *er,并用逗号分隔各项。 默认情况下,包括所有客户端组。 父服务器
指定特定父服务器名称和/或通配符 (?、*)。例如,要指定其中包括 字符串 tion 的父服务器名称,请键入 *tion*,并用逗号分隔各项。 默认情况下,包括所有父服务器。
计算机
page 14
指定特定计算机名称和/或通配符 (?、*)。例如,要指定称为 1machine、2machine、3machine 等的计算机,请键入 ?machine, 并用逗号分隔各项。 默认情况下,包括所有计算机。
上一次签入时间
选择计算机上次签入其父服务器的日期、小时和分钟。 默认设置为当前日期。 仅联机
选中可仅包括连接到其父服务器的计算机。
使用报告 创建和查看调度报告
35
创建新调度报告或更改未决调度报告
1 2
选择报告服务器并确保已登录。 请参阅第 13 页的“登录到报告”。 在“报告”选项卡上,单击“调度报告”。
3 4
在“要查看哪种类型的调度报告”下的“排序依据”列表框中,选择希望调度 报告排序的方式。 执行下列操作之一:
■ ■
在“要进行哪些操作”下,单击“创建新调度报告”图标。 在“调度报告”下,单击状态为未决的报告旁边的“更改”图标。
5 6 7 8 9
在“您想要如何调度此报告”下的“开始时间”文本框中,键入报告的开始时 间,然后从列表框中选择小时和分钟。 在“运行时间”文本框中,键入希望报告运行的小时数。例如,如果将“运行 时间”设置为 48 小时,则报告会在 48 小时内每小时运行一次。 在“重复”列表框中,选择报告应继续运行的频率。例如,如果指定“每周”, 则报告每周运行一次,运行的时间为在“运行时间”中配置的小时数。 在“要对此报告使用哪些设置”下,指定要用于过滤报告的服务器组、客户端 组、父服务器或计算机。 在“上一次签入时间”列表框中,选择时间。
10 选中或取消选中“仅联机”。
如果选中“仅联机”,则报告中仅包括当前连接到其父服务器的计算机。 11 单击“保存”以保存调度报告配置。
36
使用报告 创建和查看调度报告
查看调度报告
1 2 3 1 2 3
选择报告服务器并确保已登录。 请参阅第 13 页的“登录到报告”。 在“报告”选项卡上,单击“调度报告”。 在报告列表中的“状态”栏的左侧,单击要查看的报告旁边的图标。
删除调度报告 选择报告服务器并确保已登录。 请参阅第 13 页的“登录到报告”。 在“报告”选项卡上,单击“调度报告”。 执行下列操作之一:
■
在“调度报告”下,在列出了要删除的报告的行的末尾,单击“删除”图 标。 在“要进行哪些操作”下,单击用于删除所有调度报告的图标。
■
4
在警告对话框中,单击“确定”。
4
执行管理任务
本章节包括下列主题:
■ ■ ■ ■ ■ ■
关于管理任务 配置报告服务器 配置报告显示 配置用户 配置警报 设置自动刷新间隔
page 15
关于管理任务
管理任务包括配置网络中的报告服务器、配置常规报告显示、设置报告的用户以及 配置警报。 其他任务(如登录到报告和使用主页)在此安装使用指南的单独章节中描述。 请参阅第 13 页的“关于基本任务”。 本章中描述的任务假定您通过 Symantec 系统中心控制台登录到报告。 注意: 用于报告功能的登录独立于 Symantec 系统中心控制台登录。报告功能使用存 储在报告数据库中的单独的用户帐户。 请参阅第 41 页的“配置用户”。
38
执行管理任务 配置报告服务器
配置报告服务器
Symantec 系统中心控制台根据其用来查找运行 Symantec Client Security 或 Symantec AntiVirus 的服务器的发现进程来加载报告服务器节点。 有关“Symantec 系统中心搜索服务”(Nsctop.exe) 的详细信息,请参见《Symantec Client Security 管理指南》或《Symantec AntiVirus 管理指南》。 搜索服务运行时会读取运行 Symantec Client Security 或 Symantec AntiVirus 的服 务器的注册表设置,以了解搜索到的服务器将数据转发到的报告服务器的 URL。搜 索服务将自动了解安装了报告服务器、报告代理和 Symantec AntiVirus 的服务器 的 URL。 如果报告服务器安装在未安装 Symantec AntiVirus 的计算机上,则需要手动添加 报告服务器。此外,如果正在运行 Symantec 系统中心,然后安装报告服务器,则 必须手动添加该报告服务器或运行搜索服务。 也可以删除手动添加到控制台的任何报告服务器。如果删除通过“Symantec 系统 中心搜索服务”搜索到的报告服务器,该服务器就会从控制台中删除。但是,该服 务器将在下次运行搜索服务时重新出现在控制台中。 由于要使用不同的报告服务器,因此可能需要更改您的服务器组或服务器所使用的 报告服务器。 添加或更改报告服务器时,请指定主机名、IP 地址或 URL。如果更改了现有 URL 路径中的主机名,则主机名会在下次运行 Symantec 系统中心控制台时替换现有报 告服务器的名称。 添加或更改报告服务器时,会将 URL 写入注册表。 添加或更改报告服务器
1 2
在 Symantec 系统中心左窗格的“系统等级”下,右键单击要为其添加或更改 报告服务器的服务器组或者一级或二级管理服务器。 单击“所有任务”>“报告配置”>“配置报告服务器”。
执行管理任务 配置报告服务器
39
3
在“报告服务器选项”对话框中的“报告服务器”下,在“主机名或 IP 地址” 列表框中,执行下列操作之一:
■ ■
键入新报告服务器的主机名或 IP 地址。 从下拉菜单中选择报告服务器的 URL。
4
单击“确定”。
更改报告服务器端口号
默认情况下,报告服务器使用端口 80。在“报告服务器选项”对话框中指定报告服 务器主机名或 IP 地址时,可以更改端口号。 如果更改了报告服务器端口号,则应修改“警报代理”配置中的报告 URL。如果要 将警报事件写入警报数据库,或要发送警报通知电子邮件,则必须修改此选项。否 则,“警报事件”页上将不会显示这些警报事件,并且通知电子邮件中将包含不正 确的 URL。 更改报告服务器端口号 1 2 3 4 5
在 Symantec 系统中心左窗格的“系统等级”下,右键单击要为其添加或更改 报告服务器的服务器组或者一级或二级管理服务器。 单击“所有任务”>“报告配置”>“配置报告服务器”。 在“报告服务器选项”对话框的“报告服务器”下,在“主机名或 IP 地址”列 表框中,以 http://<主机名或 IP 地址>: <端口号> 格式输
page 16
入端口号。 单击“确定”。 在“警报配置”页上,更改所列警报代理的 URL。 请参阅第 80 页的“指定电子邮件通知参数”。
使用 Windows 注册表指定报告服务器的 URL
报告服务器的 URL 存储在 Windows 注册表中的 HKEY_LOCAL_MACHINE\SOFTWARE\INTEL\LANDesk\VirusProtect\CurrentVersion\Reporting 下。 使用 ReportServerURL 注册表键可以添加或更改报告服务器的 URL。
查看报告服务器的 URL
可以使用“属性”对话框快速查看任何报告服务器的 URL。 还可以通过“属性”对话框更改手动添加的报告服务器的 URL。
40
执行管理任务 配置报告显示
查看报告服务器的 URL
1 2
在 Symantec 系统中心控制台的左窗格中,在“报告”下的“报告服务器”下, 右键单击要查看其 URL 的报告服务器的名称,然后单击“属性”。 单击“确定”。 删除报告服务器
如果您不再使用某个报告服务器,则可能希望从 Symantec 系统中心控制台中删除 该报告服务器。 删除报告服务器
◆
在 Symantec 系统中心控制台的左窗格中,在“报告”下,右键单击要删除的 服务器的名称,然后单击“删除”。 如果服务器是手动添加的,则会从控制台中删除该服务器名称,且您不能够再 访问该服务器上的报告。如果服务器是搜索服务器,则会从控制台中删除该服 务器名称。但在“搜索服务”再次运行时,该名称会重新显示。
如果要卸载某报告服务器,必须执行下列操作之一:
■
手动将该报告服务器的一级管理服务器与其他报告服务器相关联。为此,请将 一级管理服务器指向其他 URL。 请参阅第 39 页的“查看报告服务器的 URL”。 从报告服务器的一级管理服务器中删除 HKEY_LOCAL_MACHINE\Software\Intel \LANDeskVirusProtect6\CurrentV \ ersion \Reporting\ReportServerURL 注册表键,然后从 Symantec 系统中心控制台中删除该报告服务器。必须按照此 顺序执行这些任务。如果在删除该注册表键之前删除了报告服务器,则在下次 运行“搜索服务”时,该报告服务器会重新出现在 Symantec 系统中心树中。
■
配置报告显示
您可以控制报告显示的下列功能和某些信息在报告中的显示方式:
■ ■
报告中及报告页面上日期和时间的显示方式。 事件和警报页的自动刷新时间间隔。 您可以为主页单独配置自动刷新时间。 请参阅第 17 页的“自定义主页”。 报告中是否包含活动过滤器。 由父服务器确定最新病毒定义。
■ ■
常规参数适用于报告的所有用户会话。 表 4-1 介绍了常规参数。
执行管理任务 配置用户
41
表 4-1 参数
日期格式 日期分隔符
报告显示的常规参数 定义
指定日期格式。 指定日期格式中使用的分隔符。它们将出现在报告显示以及您 创建的所有报告中。
日志和警报页的默认自动刷 指定报告应用程序的刷新频率。 新 默认设置为“从不”。 在报告中显示活动过滤器 父服务器 指定是否在生成的报告中包含过滤器列
page 17
表。 指定能够确定最新病毒定义的父服务器。 只有包含客户端的父服务器才显示在列表中。
配置报告显示
1 2 3 4
选择报告服务器并确保已登录。 请参阅第 13 页的“登录到报告”。 在“管理”选项卡上,单击“GUI 配置”>“常规”。 更改父服务器的日期格式、自动刷新时间和最新病毒定义设置的任何值。 单击“保存”。
配置用户
管理员用户或任何配置有管理员角色权限的用户可以设置报告的用户。报告的用户 帐户独立于为 Symantec 系统中心控制台创建的那些帐户。可能需要为从仅运行独 立浏览器的计算机登录到报告的用户创建帐户。 可以配置用户,使其具有下面两种角色中的一种:
■ ■
用户 管理员
默认情况下,用户角色限制用户可以查看的管理信息的数量。配置有用户角色的用 户无法访问报告的任何管理功能。他们无法查看为报告配置的其他用户帐户的相关 信息,也无法查看有关报告代理的信息或为报告代理指定任何配置。 当前配置的用户列在“用户管理”页底部的表中。默认情况下,所有用户都显示在 此列表中。可以修改显示以便仅显示配置有管理权限的用户或配置为常规用户的用 户。
42
执行管理任务 配置用户
过滤用户表
1 2 3
选择报告服务器并确保已登录。 请参阅第 13 页的“登录到报告”。 在“管理”选项卡上,单击“用户管理”。 在“过滤角色”列表框中,选择“管理员”或“用户”。 会根据所选列表自动刷新显示。
通过为特定用户可以查看的信息类型设置过滤器,还可以指定这些用户对特定报告 具有有限访问权。对于配置有管理员角色的用户,可以设置过滤器以使其只能查看 特定用户组。其他所有过滤器(客户端组、父服务器等)均可用于配置有任何角色 的用户。 此外,还可以临时禁用用户帐户,或解除对某帐户的锁定,该帐户之所以被锁定是 因为用户登录报告的三次尝试均失败。 如果用户忘记了他/她的密码,则管理员可以在此页上重设密码。 注意: 应该另外至少设置一个管理员帐户,以便在忘记管理员密码时可以通过该管理 员帐户登录以更改密码。 表 4-2 列出了用于配置可以访问报告的用户的参数。 表 4-2 选项
用户名 角色 服务器组
用户参数
说明
此报告用户的用户名。 此用户具有管理权限还是用户权限。管理员用户可以访问报告中的管理功能。 对于配置有管理员角色或用户角色的用户,可以通过指定特定服务器组名称和/或通配符 (?、 *) 来特定服务器组的访问。例如,要限制对名称以 je 开头的服务器组的访问,请键入 je*。 对于配置有用户角色的用户,可以通过指定特定客户端组名称和/或通配符 (?、*) 来限制对特 定客户端组的访问。例如,要限制对名称以 er 结尾的客户端组的访问,请键入 *er。 对于配置有用户角色的用户,可以通过指定特定父服务器名称和/或通配符 (?、*) 来限制对特 定父服务器的访问。例如,要限制对名称中包含字符串 tion 的父服务器的访问,请键入 *tion*。 对于配置有用户角色的用户,可以通过指定特定计算机名和/或通配符 (?、*) 来限制对特定计 算机的访问。例如,要限制对称为 1machine、2machine、3machine 等的计算机的访问, 请键入 ?machine。 对于配置有用户角色的用户,可以通过指定特定地址和/或通配符 (?、*) 来限制对特定 IP 地 址的访问。
客户端组
父服务器
计算机
page 18
IP 地址
执行管理任务 配置用户
43
选项
密码
说明
用户的密码。首次登录时,用户输入此密码作为旧密码。 此参数是必需的。 确认密码 真实姓名 电话 电子邮件 已禁用 已锁定
用户的密码。 用户的真实姓名。 用户的电话号码。 用户的电子邮件地址。 选中此框可临时禁用用户的帐户。 显示用户帐户是否被锁定。默认情况下,登录失败三次后会锁定帐户。要解除对帐户的锁定, 请选中此框。
自上一次登录以来的天 自用户上次登录以来的天数。 数 上一次登录地址 用户上次登录的 IP 地址。
添加新用户
1 2 3 4 5 6 7
选择报告服务器并确保已登录。 请参阅第 13 页的“登录到报告”。 在“管理”选项卡上,单击“用户管理”。 在“用户名”文本框中,键入用户名。 在“角色”列表框中,选择“管理员”或“用户”。 输入用户的密码,然后重新键入密码。 为帐户设置任意过滤器。 单击“保存”。 新用户会被添加到窗格底部的表中。如果该用户当前处于活动状态,则显示的 终止会话列中会出现一个图标。
修改现有用户
1 2
选择报告服务器并确保已登录。 请参阅第 13 页的“登录到报告”。 在“管理”选项卡上,单击“用户管理”。
44
执行管理任务 配置用户
3
在用户表中,单击“选择”图标。 右窗格中将重新显示该用户的帐户信息。同时,该用户会突出显示在页底部的 表中。
4 5 1 2 3 4
对帐户进行所需更改。 单击“保存”。
删除现有用户 选择报告服务器并确保已登录。 请参阅第 13 页的“登录到报告”。 在“管理”选项卡上,单击“用户管理”。 在用户表中,单击“删除”图标。 在“删除条目”警告中,单击“确定”。
设置密码规则
可以为管理员和用户配置密码规则。可以为每种类型的角色配置单独的一组规则。 表 4-3 介绍了密码规则的选项。 表 4-3 选项
角色规则 密码的最小长度 数字字符的最小数目
密码规则的选项
定义
要应用这些密码规则的角色。 要求用户密码中包含的最少字符数。 用户密码中必须包含的最少数字字符数。
密码可以重新使用前的最少次 在重新使用以前的密码之前,必须更改密码的次数。将值设为“0”可禁用该功能。最 数 大值为“10”。 密码最长有效期 用户密码的最长有效期。当过期后,用户必须更换其密码。将值设为“0”可禁用该功 能,从而使密码不会过期。 用户在退出报告前尝试登录的次数。将值设为“0”可禁用该功能。 以秒为单位的时间数,如果用户在会话期间处于闲置状态,则在超过此时间后会自动 注销该用户。将值设为“0”可禁用活动超时。 选中或取消选中该框可以禁止或允许用户将其用户名用作密码。
无效登录尝试的最大次数 非活动超时
不允许与用户名相同的密码
如果未用于以下内容则禁用用 自上次登录以来的天数,超过该天数用户将无法
page 19
访问报告。值为“0”意味着用户可以 户 访问报告。
执行管理任务 配置警报
45
选项
定义
在未用于以下内容后删除用户 自用户上次登录以来的天数,超过该天数,将从报告用户列表中删除该用户。 值为“0”意味着在指定时间后不会删除用户。 标记用户在以下时间后查看 标记用户以便查看。超过指定天数后,在用户列表中用户名的旁边将出现一个红色图 标。
为报告用户帐户设置密码规则
1 2 3 4 5
选择报告服务器并确保已登录。 请参阅第 13 页的“登录到报告”。 在“管理”选项卡上,单击“GUI 配置”>“密码规则”。 在“角色的规则”列表框中,选择角色。 更改密码规则的任何参数。 单击“保存”以保存所选角色的规则。 配置警报
您可以创建警报条件,以便确定是否向管理员发送有关安全网络中事件的通知。 注意: 还可以创建在报告代理停止运行时要发送的通知。 请参阅第 79 页的“指定代理的通知选项”。 要生成警报,请创建基于安全产品所记录事件的警报配置。 可以指定在满足警报条件时通知的形式:向指定用户发送电子邮件、将信息写入报 告数据库(警报日志),或运行批处理文件。 应该将警报代理配置为使用电子邮件服务器发送通知。还可以指定代理发出的通知 中要使用的电子邮件发件人地址和报告 URL。警报代理配置还可指定为通知所执行 的批处理文件的名称(启用了该选项时)。 请参阅第 80 页的“指定电子邮件通知参数”。
创建警报配置
警报是有关安全网络中发生的事件的通知。可以配置在发生事件时要发送的通知。 可以通过电子邮件向管理员发送通知。还可以将警报通知发送到报告数据库以将其 记录在警报日志中。可以指定在发生警报时运行批处理文件。批处理文件可以配置 为发送页或发送 SNMP 陷阱。
46
执行管理任务 配置警报
警报列表显示了安全网络中发生事件时已发送的警报。可以过滤此列表以更容易地 查看警报。 可以配置几种类型的警报配置。 表 4-4 介绍了警报配置的类型。 表 4-4 警报配置类型
病毒爆发 单台计算机上的爆发 按计算机数量排列的爆发 单个病毒事件 发现新病毒 新的可用报告
警报配置的类型 说明
发送基于在特定时间段内发现的病毒总数的通知。 在单台计算机上发现一组病毒时发送通知。 在一组计算机检测到病毒时发送通知。 在单台计算机上发现病毒时发送通知。 发现新病毒时发送通知。 在新的天、月或年开始时发送通知。电子邮件通知包括指向 完整风险报告的链接。 一组计算机的病毒定义过期时发送通知。 病毒定义过期
配置警报
1 2
选择报告服务器并确保已登录。 请参阅第 13 页的“登录到报告”。 在“警报”选项卡上,单击“警报配置”。
执行管理任务 配置警报
47
3 4 5
在“要管理哪种类型的警报”下的“警报类型”列表框中,选择要配置的警报 类型。 单击“创建警报”。 在“要使用哪些过滤器设置”下,设置触发此警报通知的事件的过滤器。 根据选择的通知类型,某些过滤器会不可用。 过滤器
服务器组
page 20
说明
指定特定服务器组名称和/或通配符 (?、*)。例如,要指定以 je 开头的服务器组名称,请键入 je*,并用逗号分隔各项。 默认情况下,包括所有服务器组。 客户端组
指定特定客户端组名称和/或通配符 (?、*)。例如,要指定以 er 结尾的客户端组名称,请键入 *er,并用逗号分隔各项。 默认情况下,包括所有客户端组。 父服务器
指定特定父服务器名称和/或通配符 (?、*)。例如,要指定其中 包括字符串 tion 的父服务器名称,请键入 *tion*,并用逗号分 隔各项。 默认情况下,包括所有父服务器。
计算机
指定特定计算机名称和/或通配符 (?、*)。例如,要指定称为 1machine、2machine、3machine 等的计算机,请键入 ?machine,并用逗号分隔各项。 默认情况下,包括所有计算机。
风险名称
指定特定风险名称和/或通配符 (?、*)。用逗号分隔各项。 默认情况下,包括所有风险。
风险严重性
指定特定风险严重性。风险类别对应于 Symantec 安全响应中 心定义的风险级别。从列表框中选择类别。 默认情况下,包括所有类别。
源 操作 仅联机 今天已签入
指定事件源。例如,调度扫描。 指定发生事件时采取的操作。 仅包括连接到其父服务器的计算机。 仅包括今天签入其父服务器的计算机。
6
在“要对此警报使用哪些设置”下的“警报条件”文本框中,执行下列操作之 一:
48
执行管理任务 配置警报
■
在“警报条件”文本框中,输入安全事件的出现次数,然后输入出现触发 通知的事件的分钟数。 在“如果新报告可用则发出警报”列表框中,选择触发警报的报告类型 (日、月或年风险报告)。
■
7
在“如果触发此警报会发生什么情况”下,选中或取消选中“向数据库写入警 报”以将通知记录到警报日志中。 对于“单个病毒事件”或“新的可用报告”警报类型,此选项不可用。
8
选中或取消选中“执行已配置的批处理文件”,以运行在“代理配置”页上指 定的批处理文件。 请参阅第 80 页的“指定电子邮件通知参数”。
9
在“将电子邮件发送到这些地址”文本框中,键入通知应发送到的电子邮件地 址。用逗号分隔各项。
10 在“超链接到”旁边,选择报告或事件列表。 11 单击“保存”。 新警报将显示在列表中。
查看警报事件
可以查看已发出的通知。只有使用“向数据库写入警报”选项配置的通知才会列在 警报事件日志中。可以查看有关任何警报事件的详细信息。 查看警报事件日志后,可能要确认或取消确认警报。 还可以配置警报日志的刷新间隔。默认情况下,列表每隔 30 秒刷新一次。 如果配置刷新间隔,间隔还会设置风险日志的刷新。 请参阅第 51 页的“设置自动刷新间隔”。 表 4-5 介绍了过滤警报列表的设置。 表 4-5 设置
page 21
时间范围
警报事件设置
说明
仅包括选定日期范围内的警报事件。 如果选择“设置特定日期”,则必须设置“开始日期”和“结束日期”选项。
开始日期
设置日期范围的开始日期。 仅在选择“设置特定日期”时间范围时才可用。 结束日期
设置日期范围的结束日期。 仅在选择“设置特定日期”时间范围时才可用。 执行管理任务 配置警报
49
设置
过滤器已确认 警报类型 过滤器创建者 限制 服务器组
说明
可以过滤日志以仅显示确认的警报或未确认的警报。默认设置为所有警报。 仅包括具有指定警报类型的警报。 仅包括基于选定用户创建的通知的警报。 指定警报日志显示的每页应包括的事件数。 指定特定服务器组名称和/或通配符 (?、*)。例如,要指定以 je 开头的服务器组名称,请键 入 je*,并用逗号分隔各项。 默认情况下,包括所有服务器组。
父服务器
指定特定父服务器名称和/或通配符 (?、*)。例如,要指定其中包括字符串 tion 的父服务器 名称,请键入 *tion*,并用逗号分隔各项。 默认情况下,包括所有父服务器。
计算机
指定特定计算机名称和/或通配符 (?、*)。例如,要指定称为 1machine、2machine、 3machine 等的计算机,请键入 ?machine,并用逗号分隔各项。 默认情况下,包括所有计算机。
客户端组
指定特定客户端组名称和/或通配符 (?、*)。例如,要指定以 er 结尾的客户端组名称,请键 入 *er,并用逗号分隔各项。 默认情况下,包括所有客户端组。 风险名称
指定特定风险名称和/或通配符 (?、*)。用逗号分隔各项。 默认情况下,包括所有风险。
风险严重性
指定特定风险严重性和/或通配符 (?、*)。用逗号分隔各项。 默认情况下,包括所有严重性的风险。
源 操作
指定触发警报通知的事件源。例如,调度扫描。 仅包括基于选定操作的警报通知。
查看警报事件日志
1 2 3
选择报告服务器并确保已登录。 请参阅第 13 页的“登录到报告”。 在“警报”选项卡上,单击“警报事件”。 执行下列操作之一:
■ ■
从“使用保存的过滤器”列表框中选择一个现有过滤器。 单击“高级设置”为日志创建新过滤器。
50
执行管理任务 配置警报
4 5 6
如果选择了“高级设置”,则对过滤选项进行任何更改。 如果要保存过滤器设置,请单击“保存过滤器”。 如果要将过滤器设置保存为新配置名称,请在“过滤器名称”文本框中,键入 新配置名称。 将显示一条消息,表明过滤器已保存,且该过
page 22
滤器会列在“使用保存的过滤 器”列表框中。
7
单击“查看警报”。
确认或取消确认警报
可以确认或取消确认警报事件日志中的警报。 确认警报
1 2 3 4 5 6 7
选择报告服务器并确保已登录。 请参阅第 13 页的“登录到报告”。 在“警报”选项卡上,单击“警报事件”。 单击“高级设置”。 确保将日期范围设置为所需范围,然后设置要应用于日志显示的任何其他过滤 器。 将“过滤器已确认”设置为“全部”或“已确认”。 单击“查看警报”。 在“警报事件”下,执行下列操作之一:
■ ■
单击要确认的警报旁边的红色“确认”图标。 单击该图标以确认该页当前显示的所有警报。
取消确认警报
1 2 3 4 5 6 7
选择报告服务器并确保已登录。 请参阅第 13 页的“登录到报告”。 在“警报”选项卡上,单击“警报事件”。 单击“高级设置”。 确保将日期范围设置为所需范围,然后设置要应用于日志显示的任何其他过滤 器。 将“过滤器已确认”设置为“全部”或“未确认”。 单击“查看警报”。 在“警报事件”下,执行下列操作之一:
执行管理任务 设置自动刷新间隔
51
■ ■
单击要取消确认的警报旁边的绿色“取消确认”图标。 单击该图标以取消确认该页当前显示的所有警报。
查看警报事件详细信息
可以显示有关警报事件日志中列出的事件的详细信息。 显示警报事件详细信息 1 2 3 4 5
选择报告服务器并确保已登录。 请参阅第 13 页的“登录到报告”。 在“警报”选项卡上,单击“警报事件”。 配置要设置用于显示警报事件日志的所有过滤器。 单击“查看警报”。 日志将显示在页面底部。 在要显示其详细信息的警报事件左侧的列中,单击“详细信息”图标。
设置自动刷新间隔
您可以为报告显示中的下列项目设置自动刷新间隔:
■ ■
主页 日志和警报事件
主页刷新与日志和警报事件的刷新值没有关系。如果更改了主页的刷新级别,则将 为会话保存设置。其他报告用户可以为他们自己的会话更改刷新。 风险日志、扫描日志和清单日志以及警报事件都有一个单独的刷新值。管理员可以 设置默认值。该值会应用于所有用户会话。 任何用户都可以通过在任何日志页或警报事件页上设置刷新来设置日志和警报事件 的自动刷新。如果更改了一个页上的值,则所有日志页和警报事件页上的值都会更 改。该值仅覆盖当前用户的默认设置。 设置主页的自动刷新间隔
1 2
选择报告服务器并确保已登录。 请参阅第 13 页的“登录到报告”。 在“主页”选项卡上,单击“主页配置”。
52
执行管理任务 设置自动刷新间隔
3
在“主页自动刷新”文本框中,键入要在其后刷新主页的秒数。 最小值为 30
page 23
秒;但是,您可以输入 0 来禁用自动刷新。如果输入 1 到 29 之间 的值,则该值会自动更改为 30。
4 1 2 3
单击“保存”。
设置警报和事件的全局默认刷新间隔 选择报告服务器并确保已登录。 请参阅第 13 页的“登录到报告”。 在“管理”选项卡上,单击“GUI 配置”>“常规”。 在“自动刷新”的“事件和警报页的默认自动刷新”文本框中,键入要在其后 刷新警报和事件页的秒数。 最小值为 30 秒。但是,您可以输入 0 来禁用自动刷新。如果输入 1 到 29 之间 的值,则该值会自动更改为 30。
4 1 2
单击“保存”。
设置日志和警报事件的自动刷新间隔 选择报告服务器并确保已登录。 请参阅第 13 页的“登录到报告”。 执行下列操作之一:
■ ■ ■ ■
在“警报”选项卡上,单击“警报事件”。 在“日志”选项卡上,单击“风险日志”。 在“日志”选项卡上,单击“扫描日志”。 在“日志”选项卡上,单击“计算机状态日志”。
3
在“自动刷新” 列表框中,选择自动刷新间隔。 默认设置为“从不”。 将立即刷新页面,且在指定间隔后会出现下一次刷新。
5
使用日志
本章节包括下列主题:
■ ■ ■ ■ ■ ■ ■
关于日志 查看日志 保存日志配置设置 查看风险日志 查看扫描日志 查看计算机状态日志 使用日志中的事件
关于日志
使用报告软件,可以查看安全产品中的事件的列表。它包括一级和二级管理服务器 以及所有向这些服务器报告的客户端的事件数据。 您可能希望查看此信息,以解决网络中的安全问题或删除不再需要的事件。例如, 如果您测试服务器,并且具有幻影客户端或病毒,那么您可能希望先从日志中删除 这些事件,然后在活动网络中运行服务器。 还可以将日志事件数据导出到文件以导入到电子表格应用程序,或用于将事件恢复 到报告服务器。 您可以查看下面三种类型的日志:
■ ■ ■
风险日志 扫描日志 计算机状态日志
您可以基于下面内容过滤每个日志:
54
使用日志 查看日志
■ ■ ■
使用类似设置的现有报告 用于查看日志的基本设置 用于过滤日志事件的高级设置
查看日志
您可以根据所选的一组过滤器设置,生成日志中事件的列表。可以保存过滤器配 置,以便日后生成日志。 每种日志类型都有默认的过滤器配置。您可以修改和保存默认过滤器的配置。您可 以根据默认配置或所创建的现有配置,创建新的过滤器配置。如果不需要自定义配 置,则可以删除它们。 请参阅第 54 页的“保存日志配置设置”。 快速查看日志
1 2
选择报告服务器并确保已登录。 请参阅第 13 页的“登录到报告”。 在“日志”选项卡上,执行以下操作之一:
■ ■ ■
单击“风险日志”。 单击“扫描日志”。 单击“计算机状态日志”。
page 24
3 4 5
在“要使用哪些过滤器设置”下的“使用保存的过滤器”列表框中,选择一个 现有过滤器,或使用默认过滤器。 更改任意基本设置或高级设置。 单击“查看日志”。 窗格的下半部分将显示日志事件。您可以显示有关每个事件的其他信息,也可 以保存设置。
保存日志配置设置
可以保存日志设置以便可以在以后生成相同的日志。这些设置保存在报告数据库 中。如果需要重新安装报告服务器,请务必保留数据库信息。 请参阅第 91 页的“恢复 MSDE 报告数据库”。 本章后面的内容将逐一介绍过滤器设置。
使用日志 查看风险日志
55
保存日志配置
1 2
选择报告服务器并确保已登录。 请参阅第 13 页的“登录到报告”。 在“日志”选项卡上,执行以下操作之一:
■ ■ ■
单击“风险日志”。 单击“扫描日志”。 单击“计算机状态日志”。 3 4 5 6 7 1 2
在“要使用哪些过滤器设置”下,单击“高级设置”。 更改任意设置。 单击“保存过滤器”。 在“过滤器名称”框中,为新过滤器配置键入一个名称,或保留现有过滤器名 称。 单击“保存”。
删除日志配置 选择报告服务器并确保已登录。 请参阅第 13 页的“登录到报告”。 在“日志”选项卡上,执行以下操作之一:
■ ■ ■
单击“风险日志”。 单击“扫描日志”。 单击“计算机状态日志”。 3 4 5
在“使用保存的过滤器”框中,选择要删除的日志配置的名称。 单击“删除”图标。 单击“确定”。
查看风险日志
风险日志包括一级管理服务器、所有二级服务器及其客户端上的日志中的风险事 件。 可以过滤这些信息以便只显示特定类型的风险事件。可以指定高级过滤器以限制显 示内容。 注意: 根据选择的产品类型,可以选择过滤器的某些选项。 56
使用日志 查看风险日志
还可以配置日志的自动刷新。如果未对风险日志或警报日志手动配置刷新,则此自 动刷新与常规报告显示的自动刷新相同。如果为警报日志配置了自动刷新,将配置 风险日志,反之亦然。 请参阅第 51 页的“设置自动刷新间隔”。 表 5-1 显示了风险日志的过滤器选项。 表 5-1 过滤器
产品
风险日志的设置
说明
仅指定在 Symantec AntiVirus、Symantec Client Firewall 或这两种产品上发现的风险。 默认设置为 Symantec AntiVirus。
时间范围
设置发现风险以包括在日志显示中的时间范围。 如果选择“设置特定日期”,则必须设置“开始日期”和“结束日期”选项。
开始日期
设置时间范围的开始日期。 仅在选择“设置特定日期”时间范围时才可用。 结束日期
设置时间范围的结束日期。 仅在选择“设置特定日期”时间范围时才可用。 事件类型
指定要包括的事件类型。列表中显示的事件类型取决于产品的设置。 默认设置
page 25
为包含所有事件。
采取的操作
指定日志显示中应包括的操作。安全产品会执行这些操作。 列表中显示的操作类型取决于产品的设置。 默认设置为所有操作。
扫描类型
过滤基于在特定类型的扫描过程中发生的事件的日志。(例如,调度扫描或手动扫描)过程 中生成的。 默认情况下,执行任何类型的扫描时生成的所有事件均可用于报告。
风险类型
指定特定风险类型(病毒程序、跟踪软件、间谍软件、黑客工具、安全风险、玩笑软件、启 发式、广告软件、远程访问、非病毒恶意程序代码或拨号程序)。 默认情况下,日志中将显示所有风险类型。
风险严重性
根据特定严重性的风险过滤日志。严重性按照下面的五种类别定义:未知;1(很低);2 (低);3(中);4(严重);5(很严重)。 有关严重性的详细信息,请访问 Symantec 安全响应中心网站。 默认情况下,包括所有严重性的风险。 使用日志 查看风险日志
57
过滤器
服务器组
说明
指定特定服务器组名称和/或通配符 (?、*)。例如,要指定以 je 开头的服务器组名称,请键入 je*,并用逗号分隔各项。 默认情况下,包括所有服务器组。 客户端组
指定特定客户端组名称和/或通配符 (?、*)。例如,要指定以 er 结尾的客户端组名称,请键入 *er,并用逗号分隔各项。 默认情况下,包括所有客户端组。 父服务器
指定特定父服务器名称和/或通配符 (?、*)。例如,要指定其中包括字符串 tion 的父服务器名 称,请键入 *tion*,并用逗号分隔各项。 默认情况下,包括所有父服务器。
计算机
指定特定计算机名称和/或通配符 (?、*)。例如,要指定称为 1machine、2machine、3machine 等的计算机,请键入 ?machine,并用逗号分隔各项。 默认情况下,包括所有计算机。
IP 地址
指定特定 IP 地址和/或通配符 (?、*)。用逗号分隔各项。 默认情况下,包括所有 IP 地址。
用户
指定特定用户和/或通配符 (?、*)。用逗号分隔各项。 默认情况下,包括所有用户。
风险名称
指定特定风险名称和/或通配符 (?、*)。用逗号分隔各项。 默认情况下,包括所有风险。
限制 排序顺序
指定日志显示的每页应包括的事件数。 指定日志显示中列的排序顺序。每列都可以按升序或降序排序。
58
使用日志 查看风险日志
查看风险日志
1 2
选择报告服务器并确保已登录。 请参阅第 13 页的“登录到报告”。 在“日志”选项卡上,单击“风险日志”。
page 26
3 4 5 6
在“要使用哪些过滤器设置”下,单击要查看其风险事件的产品。 如果要使用保存的过滤器,请从“使用保存的过滤器”列表框中选择过滤器。 在“时间范围”列表框中,选择要查看风险事件的范围。 如果选择“设置特定日期”,请选择范围的开始日期和结束日期。 如果要在显示中使用其他过滤器,请单击“高级设置”。 使用日志 查看扫描日志
59
7
配置要用于显示的任何过滤器。 可以保存当前设置。 请参阅第 54 页的“保存日志配置设置”。
8
单击“查看日志”。
查看扫描日志
扫描日志包括一级管理服务器、所有二级服务器及其客户端上的日志中的扫描事 件。 可以过滤这些信息以便只显示特定类型的扫描事件。还可以指定高级过滤器以限制 显示内容。 表 5-2 显示了扫描日志的过滤器选项。 表 5-2 过滤器 时间范围
扫描日志的设置
说明
设置扫描事件以包括在显示中的时间范围。 如果选择“设置特定日期”,则必须设置“开始日期”和“结束日期”。
60
使用日志 查看扫描日志
过滤器
开始日期
说明
设置时间范围的开始日期。 仅在选择“设置特定日期”时间范围时才可用。 结束日期
设置时间范围的结束日期。 仅在选择“设置特定日期”时间范围时才可用。 持续时间大于或等于
仅包括超出此值的扫描持续时间。
已扫描的文件大于或等 将数据限制为已扫描文件数大于此值的扫描。 于 风险大于或等于 将数据限制为已发现的风险数大于此值的扫描。
受感染的文件大于或等 将数据限制为已发现的感染数大于此值的扫描。 于 状态 限制 服务器组 指定在报告中是包括所有扫描,还是仅包括已完成的扫描或已取消的扫描。 指定日志显示的每页应包括的事件数。 指定特定服务器组名称和/或通配符 (?、*)。例如,要指定以 je 开头的服务器组名称,请键入 je*,并用逗号分隔各项。 默认情况下,包括所有服务器组。 客户端组 指定特定客户端组名称和/或通配符 (?、*)。例如,要指定以 er 结尾的客户端组名称,请键入 *er,并用逗号分隔各项。 默认情况下,包括所有客户端组。 父服务器 指定特定父服务器名称和/或通配符 (?、*)。例如,要指定其中包括字符串 tion 的父服务器名 称,请键入 *tion*,并用逗号分隔各项。 默认情况下,包括所有父服务器。 计算机 指定特定计算机名称和/或通配符 (?、*)。例如,要指定称为 1machine、2machine、3machine 等的计算机,请键入 ?machine,并用逗号分隔各项。 默认情况下,包括所有计算机。 IP 地址 指定特定 IP 地址和/或通配符 (?、*)。用逗号分隔各项。 默认情况下,包括所有 IP 地址。 用户 指定特定用户和/或通配符 (?、*)。用逗号分隔各项。 默认情况下,包括所有用户。 排序顺序 指定日志显示中列的排序顺序,按升序或降序排序。 使用日志 查看计算机状态日志
61
查看扫描日志
1 2 3 4 5 6
选择报告服务器并确保已登录。 请参阅第 13 页的“登录到报告”。 在“日志
page 27
”选项卡上,单击“扫描日志”。 在“要使用哪些过滤器设置”下的“使用保存的过滤器”列表框中,选择现有 过滤器或使用默认过滤器。 在“时间范围”列表框中,选择要查看扫描事件的时间段。 如果要在显示中使用其他过滤器,请单击“高级设置”。 配置要用于显示的任何过滤器。 可以保存当前设置。 请参阅第 54 页的“保存日志配置设置”。
7
单击“查看日志”。 事件数据将显示在窗格的底部。
查看计算机状态日志
计算机状态日志包括有关安全网络中的计算机的状态(或清单)信息。 可以过滤这些信息以便只显示特定类型的客户端状态事件。还可以指定高级过滤器 以限制显示内容。 计算机状态日志显示网络中受感染的计算机。这些计算机需要手动处理。例如,您 可能必须从 Symantec 网站下载工具才能清除特定风险。手动清除计算机的风险后, 可以使用计算机状态日志更改受感染的状态。 请参阅第 95 页的“管理清除风险的日常工作流程”。 表 5-3 介绍了计算机状态日志的设置。 表 5-3 过滤器 时间范围
计算机状态日志的设置
说明
设置发现风险以包括在日志显示中的时间范围。 如果选择“设置特定日期”,则必须设置“上一次签入时间”。
上一次签入时间
计算机上次签入其父服务器的时间。 仅在选择“设置特定日期”时间范围时才可用。
定义日期
仅包括具有此特定病毒定义日期的计算机。
62
使用日志 查看计算机状态日志
过滤器
防病毒产品版本 防病毒扫描引擎版本 防火墙产品版本 防火墙策略文件 联机 自动防护状态 限制 服务器组
说明
仅包括具有此 Symantec AntiVirus 产品版本的计算机。 仅包括具有此扫描引擎版本的计算机。 仅包括具有此 Symantec Client Firewall 版本的计算机。 仅包括具有此防火墙策略名的计算机。 包括所有计算机、仅连接到其父服务器的计算机,或未连接到其父服务器的计算机。 包括具有任何自动防护状态的计算机,或者仅启用、禁用自动防护或状态未知的计算机。 指定日志显示的每页应包括的事件数。 指定特定服务器组名称和/或通配符 (?、*)。例如,要指定以 je 开头的服务器组名称,请键入 je*,并用逗号分隔各项。 默认情况下,包括所有服务器组。
客户端组
指定特定客户端组名称和/或通配符 (?、*)。例如,要指定以 er 结尾的客户端组名称,请键入 *er,并用逗号分隔各项。 默认情况下,包括所有客户端组。 父服务器
指定特定父服务器名称和/或通配符 (?、*)。例如,要指定其中包括字符串 tion 的父服务器名 称,请键入 *tion*,并用逗号分隔各项。 默认情况下,包括所有父服务器。
计算机
指定特定计算机名称和/或通配符 (?、*)。例如,要指定称为 1machine、2machine、3machine 等的计算机,请键入 ?machine,并用逗号分隔各项。 默认情况下,包括所有计算机。
IP 地址
指定特定 IP 地址和/或通配符 (?、*)。用逗号分隔各项。 默认情况下,包括所有 IP 地址。
用户
page 28
指定特定用户和/或通配符 (?、*)。用逗号分隔各项。 默认情况下,包括所有用户。
仅感染 排序顺序 查看 计算机类型
仅指定受感染的计算机。 指定日志显示中列的排序顺序,按升序或降序排序。 在报告中显示 Symantec AntiVirus 版本或 Symantec Client Firewall 版本。 仅包括父服务器或一级管理服务器。默认设置为所有。
使用日志 使用日志中的事件
63
查看计算机状态日志
1 2 3 4 5
选择报告服务器并确保已登录。 请参阅第 13 页的“登录到报告”。 在“日志”选项卡上,单击“计算机状态日志”。 在“要使用哪些过滤器设置”下的“使用保存的过滤器”列表框中,选择现有 过滤器或使用默认过滤器。 如果要在显示中使用其他过滤器,请单击“高级设置”。 配置要用于显示的任何过滤器。 可以保存当前设置。 请参阅第 54 页的“保存日志配置设置”。
6
单击“查看日志”。
使用日志中的事件
可以显示日志中事件的详细信息。此外,还可以采用几种不同的格式导出日志数 据。也可以删除日志项。
显示事件详细信息
可以显示日志中所列事件的详细信息。 图 5-1 显示了“事件详细信息”窗口样本。
64
使用日志 使用日志中的事件
图 5-1
“事件详细信息”窗口样本
显示事件详细信息
1 2
选择报告服务器并确保已登录。 请参阅第 13 页的“登录到报告”。 在“日志”选项卡上,执行以下操作之一:
■
单击“风险日志”。
使用日志 使用日志中的事件
65
■ ■
单击“扫描日志”。 单击“计算机状态日志”。
3 4 5 6
在“要使用哪些过滤器设置”下的“过滤器”列表框中,选择一个现有过滤 器,或使用默认过滤器。 更改任意基本设置或高级设置。 单击“查看日志”。 日志将显示在页面底部。 在“事件”列中,在要查看其详细信息的事件旁边,单击“详细信息”图标。
导出日志事件
可以采用两种格式(分隔或日志读取器)导出事件日志。您可能希望在电子表格应 用程序中查看日志数据。分隔格式会将日志导出为电子表格应用程序可以读取的文 件。 您还可能希望在删除任何日志记录前导出日志。使用“日志读取器格式”选项可以 将事件数据重新插入报告数据库中,而不必进行数据库恢复。 导出日志 1 2
选择报告服务器并确保已登录。 请参阅第 13 页的“登录到报告”。 在“日志”选项卡上,执行以下操作之一:
■ ■ ■
单击“风险日志”。 单击“扫描日志”。 单击“计算机状态日志”。
page 29
3 4 5
更改任意基本设置或高级设置。 单击“查看日志”。 单击“导出此日志”。 66
使用日志 使用日志中的事件
6
选择导出选项。 选项
分隔格式
定义
采用分隔格式可将事件数据导出为以特殊字符(如逗号或分 号)分隔的信息。然后,您可以将这种格式的信息导入电子表 格应用程序(如 Microsoft Excel)中。 日志读取器代理可以读取这种格式。以此格式导出事件后,可 以将相应文件复制到报告服务器的以下目录中:\Program Files\Symantec\Reporting Server\Upload。日志读取器代理 将在下一次运行时处理这些事件数据。
日志读取器格式
如果选择分隔格式,请在“字段分隔符”文本框中键入特殊字符。
7
单击“导出”。 将在一个新窗口中显示“导出事件数据”消息。该消息指出了导出文件的位 置。 导出文件位于 \Program Files\Symantec\Reporting Server\Web\Temp 中。
8
单击“关闭窗口”,关闭“导出事件数据”窗口。
删除日志事件
可以删除日志中的事件。通常情况下,只有在网络中运行测试数据时,才需要删除 事件。 删除之前,请首先确保通过导出数据备份了事件数据。 请参阅第 65 页的“导出日志事件”。 删除日志事件
1 2
选择报告服务器并确保已登录。 请参阅第 13 页的“登录到报告”。 在“日志”选项卡上,执行以下操作之一:
■ ■ ■
单击“风险日志”。 单击“扫描日志”。 单击“计算机状态日志”。 3 4
在“要使用哪些过滤器设置”下的“过滤器”列表框中,选择一个现有过滤 器,或使用默认过滤器。 更改任意基本设置或高级设置。
使用日志 使用日志中的事件
67
5 6
单击“查看日志”。 日志将显示在页面底部。 执行下列操作之一:
■ ■
选中要从日志中删除的个别事件旁边的框。 单击“全选”,以选中本页显示的所有事件。只能选中显示的事件进行删 除。 单击“全部不选”,可取消选中所有选定项。
7 8 9
单击向右箭头,可显示更多事件供您选择、删除。 单击“删除所选条目”。 单击“确定”。 将从报告数据库中删除所有选定事件。当您再次显示日志时,其中将不再显示 这些事件。您生成的任何报告中都不会出现这些事件。
68
使用日志 使用日志中的事件
6
配置报告代理
本章节包括下列主题:
■ ■ ■ ■ ■ ■
关于报告代理 配置报告代理 指定电子邮件通知参数 为磁盘已满检查指定通知
page 30
参数 使用代理日志 用于代理配置的注册表键
关于报告代理
报告软件通过其代理服务收集安全网络的计算机中的事件。该代理服务由用于收集 事件和将事件发送到报告服务器的几个组件组成。一些代理位于报告服务器,其他 代理位于一级管理服务器。如果在报告服务器和一级管理服务器是同一台计算机的 环境中使用报告,则所有代理都位于单独的计算机上。 如果安全环境中有二级服务器,并且您希望从这些二级服务器收集计算机状态(清 单)事件,则必须在这些服务器上安装报告代理。 有关安装报告代理的信息,请参阅《Symantec Client Security 安装指南》或 《Symantec AntiVirus 安装指南》。 表 6-1 介绍了报告代理。 70
配置报告代理 关于报告代理
表 6-1 代理 说明
报告代理
日志读取器(计算机状 计算机状态的日志读取器代理运行在报告服务器上,并处理从计算机状态代理发送的清单文 态) 件。这些清单文件包含有关父服务器和客户端的状态信息。 通常,不需要更改日志读取器(计算机状态)的轮询频率。 日志读取器(事件) 事件的日志读取器代理运行在报告服务器上,并处理从日志发送器代理发送的日志文件中所 包含的事件。 如果您更改了日志读取器(事件)的轮询频率,则可能会降低性能,原因是如果日志发送器 已经发布了大量事件,那么该代理的处理时间可能会超过所配置的轮询频率。 警报代理 警报代理运行在报告服务器上,并检查其他代理的状态,如果已经为通知配置了这些代理, 则会发出通知。 该代理还监控报告数据库可用的磁盘空间。如果报告服务器上的当前可用磁盘空间低于 100 MB,则警报代理会在数据库中记录一个警报并发出电子邮件通知。 您可以在“代理通知”页上更改 100 MB 的默认值。 调度报告代理 调度报告代理运行在报告服务器上,并跟踪每个特定病毒定义版本的客户端数。该代理还创 建您配置的调度报告和默认调度报告,以监控将病毒定义分装到网络中的计算机的情况。 您可能希望增加或缩短此代理的签入间隔,以增加或缩短为安全网络更新病毒定义统计信息 的时间。 病毒类别代理 病毒类别代理运行在报告服务器上。它监控 Symantec 安全响应中心网站,以获取有关风险 的信息。该代理收集的信息包括:ThreatCon 级别、风险严重性(类别 1 到类别 5)以及发 现风险的时间。 数据库维护代理运行在报告服务器上,并以特定间隔删除旧记录和压缩重复的事件。该代理 对以下各项执行维护:日志文件、事件、压缩事件、警报、未签入的客户端、已删除或重命 名的客户端、旧病毒定义历史记录、扫描、未使用的病毒定义记录、EICAR 事件和不活动的 用户。 请参阅第 87 页的“配置报告数据库维护代理”。 数据库备份 数据库备份代理运行在报告服务器上,并创建数据库记录的备份文件。该文件位于 \Program Files\Common Files\Symantec Shared\Reporting Agents\Win32\Backup\BACKUP_<date>_<time>。 您可能希望根据数据库中的数据量更改备份之间的间隔。例如,如果您有大量数据,可能希 望更频繁地调度备份。还可能有在组织中进行审核的要求,这些要求需要以特定间隔进行数 据库备份。 请参阅第 89 页的“配置报告数据库备份选项”。
数据库维护
配置报告代理 配置报告代理
71
代理
日志发送器
说明
日志发送器代理运行在一级管理服务器上,并从安全产品的日志文件中收集有关事件的信息。 该代理根据 ALLUSERSPROFILE 环境变量检测日志文件的位置。通常,日志文件的位于 \..\Application Data\Symantec\Symantec Antivirus Corporate Edition\7.5\logs。 该日志发送器代理还总计病毒和防火墙事件,并保存同一事件的重复实例数的计数。可以配 置在日志发送器向报告服务器发送总计的记录之前日志发送器需要等待的时间。 还可以将“总计冗余事件的时间间隔”设置为 0 来关闭总计。 请参阅第 78 页的“配置事件聚合”。
page 31
计算机状态
计算机状态代理运行在父服务器和二级服务器上,并收集有关父服务器和客户端的状态信息。 该代理收集清单文件中的状态信息,并将该文件上载到报告服务器。 配置报告代理
管理员(或任何配置为具有管理员权限的用户)都可以配置每个报告代理运行的频 率。运行报告代理时,它从安全网络中的报告服务器、一级管理服务器、二级管理 服务器和客户机收集信息。然后,当您生成报告时,报告功能将使用此信息。 还可以配置在发生以下情况时要通过电子邮件发送的通知:任何代理在特定时间后 未完成成功运行。(如果警报代理关闭,则会不发送通知,原因是警报代理负责发 送通知。) 管理员还可以检查代理状态,并配置调度代理运行的频率。此外,管理员还可以配 置代理的日志记录和跟踪,以帮助解决代理运行时出现的所有问题。
代理调度和状态检查
每个代理都是基于默认调度运行的,您可以更改默认调度。报告软件会每分钟检查 一次每个代理的下一次运行时间,可以对该时间进行配置。如果代理下一次运行的 时间是现在或过去某个时刻,则代理会立即运行,并会遵循其已配置的轮询频率。 然后,报告软件通过将该频率值与当前时间相加,自动计算出下一次运行时间。 当代理遵循预定运行时间时,代理状态被视为启动或正在运行。 除了代理频率和下一次运行时间外,每个代理还有一个可配置的“警告在”时间 段。如果当前时间减去代理的“警告在”时间段后所得差晚于上一次的运行时间, 代理状态将被视为停止或未运行。例如,如果当前时间为 10:00,“警告在”时间 段为 30 分钟,而代理上一次的运行时间早于 9:30,则报告软件会声明:该代理处 于停止状态。“代理状态”页的代理名称旁的红色图标表示代理处于停止状态。 如果发现代理处于停止状态,则应检查以下项目:
■ ■
代理的调度和状态检查参数的配置 代理日志
72
配置报告代理 配置报告代理
此外,警报代理会按照其调度定期运行,并确定何时发出代理停止通知。警报代理 在运行过程中,会对每个代理的状态进行计算(当前时间减去每个代理的“警告 在”时间段)。如果计算所得时间晚于该代理上一次的运行时间,则警报代理会针 对该代理发出通知。 如果要确保在代理停止后立即发出通知,应将警报代理的频率配置为较短时段,这 样,它就可以及时获知代理的停止状态。 警报代理也负责发送安全产品的相关通知。 注意: 如果警报代理自身也处于停止状态,则不会发送任何通知。 请参阅第 45 页的“配置警报”。 通常情况下,应当使用提供的代理调度的默认值。但是,您可能希望根据安全网络 的要求更改这些值。 注意: 如果日志文件包含大量事件,则日志发送器代理的首次运行时间可能会超过其 预定频率。 如果要解决某个代理出现的问题,也可以禁用该代理,以免它运行。 表 6-2 显示了代理调度和状态检查参数的摘要信息。 表 6-2 参数
运行间隔
代理调度和状态检查参数 说明
代理运行的频率。报告软件通过将此值与当前时间相加,自动计算出下 一次运行时间。还可以通过指定定期调度的下一次运行,来更改下一次 运行时间。 可以通过“代理配置”页配置每个代理的运行频率。
下一次运行
代理下一次运行的时间。报告软件通过将频率与当前时间相加,来自动 计算该时间。 可通过“代理配置”页配置每个代理的下一次运行时间。
警告在
报告软件在确定某个代理是否处于停止状态时,需要从当前时间中减去 这个时间值。如果计算所得时间晚于代理的上一次运行时间,则代理状 态将被视为停止。 可通过“代理配置”页配置每个代理的“警告在”时间。
注意: 组合日志读取器、日志发送器和报告界面的轮询频率可产生报告中显示的事件 数据。通常情况下,不要更改默认值。
page 32
配置报告代理 配置报告代理
73
检查代理状态
可以检查报告服务器上本地代理的状态,以及安装在一级和二级管理服务器上的远 程代理的状态。 对于报告服务器上的本地代理,在报告窗格中的“代理状态”页上,处于运行状态 的代理旁边会显示绿色图标。关闭的代理旁边会显示红色图标。 注意: 根据配置代理的频率和“警告在”期的方式,“代理状态”页上代理的状态可 能并不反映其当前状态。此外,在远程代理完成其首次运行之前,Symantec 系统 中心控制台中的远程代理状态会不可用。 请确保代理调度的值未配置为大于代理的状态检查值。(状态检查值是“代理通 知”页上的“警告在”值。)例如,如果将日志发送器代理设置为每两小时运行一 次,但将日志发送器的“警告在”值配置为一小时,则“代理状态”页在实际已经 将日志发送器代理配置为不运行时将其显示为关闭。 代理旁边可能会由于以下原因而显示红色图标:
■
代理不在其调度时间运行。例如,代理服务已停止或安装代理服务的计算机已 关闭。如果还原报告数据库,则代理服务自动停止,且必须重新启动它。 代理的轮询周期超过了代理的状态检查(“警告在”)值。 代理在运行时出现故障,且“警告在”期过期。 “警告在”期过期之前,代理被视为处于运行状态,且“代理状态”页上的图 标是绿色的。“警告在”期过期之后,图标变成红色,表示代理被视为关闭。 此时发出已配置的任何通知。
■ ■
74
配置报告代理 配置报告代理
检查本地代理的状态
1 2
选择报告服务器并确保已登录。 请参阅第 13 页的“登录到报告”。 在“管理”选项卡上,单击“代理状态”。
远程代理可能会由于以下各种原因而无法签入报告服务器:
■ ■
运行代理的计算机已关闭。 代理可能安装不正确。
配置报告代理 配置报告代理
75
检查远程代理的状态
1 2
在 Symantec 系统中心控制台的左窗格中,单击要查看其代理状态的服务器或 服务器组的名称。 在工具栏中,单击报告图标。
3
单击“确定”。
指定代理的调度选项
通常情况下,不需要为具有轮询频率(以分钟计)的代理配置调度选项。对于按天 或按周轮询的代理(如数据库维护代理),可能需要配置运行时间才能使这些代理 在所选时间或日期轮询。 注意: 首次安装报告时,可能需要将“日志发送器”和“日志读取器”代理设置为每 分钟轮询一次,才能在“代理状态”页上显示这些代理的状态。否则,代理状态将 在代理运行时才准确(默认调度为 10 分钟)。 可以使用 Symantec 系统中心控制台中的选项来强制“日志读取器”、“日志发送 器”和“计算机状态”代理立即运行。在“立即运行”模式中,这些代理连续运行 5 分钟。5 分钟后,每个代理都返回到其调度模式。 也可以在日志发送器代理上禁用事件聚合。 76
配置报告代理 配置报告代理
为本地代理指定调度选项
1 2
选择报告服务器并确保已登录。 请参阅第 13 页的“登录到报告”。 在“管理
page 33
”选项卡上,单击“代理配置”。
3
在“编辑”列下的要更改调度运行时间的代理旁边,单击图标。
4
执行以下一个或全部两个操作:
■
在“运行间隔”旁边的文本框中,键入所需数字,然后在列表框中选择用 于调度代理的分钟、小时、天、周或月。 在“下一次运行”旁边的选择下拉框中,选择启动下一次代理运行的小时 和分钟。
■
5
单击“保存”。
配置报告代理 配置报告代理
77
指定远程代理的调度选项
1 2 3
在 Symantec 系统中心控制台左窗格中的“系统等级”下,右键单击要为其配 置代理调度的服务器。 单击“所有任务”>“报告配置”>“配置报告代理”。 在“计算机状态”下的“扫描库存的时间间隔”文本框中,键入计算机状态代 理应该在此时间之后检查服务器及其客户端的状态的分钟数。默认值为 1 分 钟。 如果配置一级管理服务器上的远程代理,请在“日志发送器”下的“处理日志 的时间间隔”框中,键入日志发送器代理应该在此时间之后扫描事件日志的分 钟数。默认值为 10 分钟。 单击“确定”。
4
5 1 2
立即运行日志发送器代理、计算机状态代理和日志读取器代理 在 Symantec 系统中心控制台左窗格中的“系统等级”下,右键单击要为其立 即运行日志发送器和日志读取器代理的服务器。 单击“所有任务”>“报告配置”>“立即运行”。 日志发送器和日志读取器代理会立即运行。在代理运行并以最新日志信息更新 报告服务器后,代理会返回到其以前的调度。如果调度指明代理应该已经运 行,则代理会立即运行然后遵守其下一次调度运行时间。
禁用代理
可以通过禁用本地代理,来阻止它运行。(无法禁用远程代理。)例如,如果在运 行自己的数据库维护脚本,可能想禁用数据库维护代理。如果没有为安全网络中的 事件配置警报,可能不想使用警报代理。 注意: 如果禁用日志读取器(针对计算机状态或事件),报告将不会正确。 禁用代理
1 2 3 4 5 6
选择报告服务器并确保已登录。 请参阅第 13 页的“登录到报告”。 在“管理”选项卡上,单击“代理配置”。 针对要禁用的代理,单击“编辑”图标。 选中“禁用代理”。 如果出现警告对话框,请单击“确定”。 单击“保存”。
78
配置报告代理 配置报告代理
配置事件聚合
您可以确定在总计冗余病毒和防火墙事件之前,日志发送器代理等待的时间。默认 设置为 5 分钟。 日志发送器代理会将第一个出现的病毒或防火墙事件发送给报告服务器。在指定时 间段内,它不会向报告服务器发送其他任何类似事件。指定时间段后,日志发送器 代理会发送一个事件,其中包括在等待期间发生的相同事件的计数。 注意: 第一次发生的事件包含了受影响文件的位置。包含聚合数的事件中仅包括该位 置。如果病毒感染了不同位置的文件,并且您希望知道这些位置的具体信息,则可 以查看受感染计算机上的日志文件。 如果安全网络中存在爆发,则可能需要延长代理在总计事件之前等待的时间。如果 代理每分钟都总计事件,出现爆发时就会有许多总计的事件。总计的事件越少,占 用的网络带宽就越少,报告数据库需要的空间也越小
page 34
。 如果要确保能看到同一事件的所有实例,则可以禁用聚合。 配置事件聚合 1 2 3
在 Symantec 系统中心控制台中,在左窗格的“系统等级”下,右键单击运行 日志发送器代理的一级管理服务器。 单击“所有任务”>“报告配置”>“配置报告代理”。 在“日志发送器”下的“总计冗余事件的时间间隔”框中,键入分钟数,日志 发送器代理在等待此时间后,会总计冗余病毒和防火墙事件。 取值范围是 0 到 60 分钟。要禁用聚合,请将该值设为 0。
4
单击“确定”。
配置日志发送器和计算机状态代理的语言选项
当日志发送器和计算机状态代理读取日志和解释计算机状态信息时,它们会自动检 测父服务器上的操作系统使用的语言。但是,如果使用的是混合环境(即父服务器 使用英语,而父服务器上连接的所有客户端使用另一种语言),则应指定父服务器 上连接的客户端的语言。否则,您在日志和报告中看到的信息可能为乱码。 在安装报告服务器或在远程计算机上安装报告代理的过程中,可以指定语言选项。 请参阅《Symantec Client Security 安装指南》或《Symantec AntiVirus 安装指南》。 可以指定以下语言:
■ ■ ■
Latin 1 日语 朝鲜语
配置报告代理 配置报告代理
79
■ ■ ■ ■
匈牙利语或波兰语 俄语 简体中文 繁体中文
“报告代理选项”对话框包含 Latin 1 语言的完整列表。 配置日志发送器和计算机状态代理的语言选项
1 2 3 4
在 Symantec 系统中心控制台的左窗格中,右键单击“系统等级”下的父服务 器。 单击“所有任务”>“报告配置”>“配置报告代理”。 在“语言”下的列表框中,选择向选定父服务器报告的客户端的语言。 单击“确定”。
为病毒类别代理配置代理设置
病毒类别代理从 Symantec 网站检索信息。如果报告服务器安装在使用代理服务器 访问 Internet 的计算机上,则应为病毒类别代理配置代理设置。 为病毒类别代理配置代理设置
1 2 3 4
选择报告服务器并确保已登录。 请参阅第 13 页的“登录到报告”。 在“管理”选项卡上,单击“代理配置”。 单击病毒类别代理旁边的“编辑”图标。 在“要使用哪些代理设置”下,执行以下操作:
■
在“HTTP 代理”框中,以 <DNS 名称>:<端口号> 格式键入代理服务器的 名称。 在“代理用户”框中,键入有权访问该代理服务器的用户 ID。 在“代理密码”框中,键入有权访问该代理服务器的用户 ID 对应的密码。
■ ■
5
单击“保存”。
指定代理的通知选项
可能需要配置可以发送给负责监控安全网络的管理员的通知。通知会向用户发出代 理关闭的警报。代理关闭可能是因为计算机关闭或因为代理安装不正确。代理关闭 也可能是因为代理参数配置不正确。
80
配置报告代理 指定电子邮件通知参数
除了为代理指定通知外,还可以指定达到“磁盘已满”限制 (100 MB) 时要发送的通 知。“磁盘已满”限制是报告服务器上可用的磁盘空间量。如果可用磁盘空间低
page 35
于 100 MB,则日志发送器代理和计算机状态代理无法将文件上载到报告服务器。 指定本地或远程代理的通知
1 2
选择报告服务器并确保已登录。 请参阅第 13 页的“登录到报告”。 在“管理”选项卡上,单击“代理通知”。
3 4 5
在“编辑”列下要为其配置通知的代理旁边,单击“编辑”图标。 在“要使用哪些通知设置”下的“警告在”旁边的文本框中键入值,然后在下 拉菜单中选择在上次运行时间后声明代理关闭要等待的分钟、小时或天。 对于除警报代理以外的任何代理,执行以下操作:
■ ■
选中或取消选中“启用电子邮件响应”。 在“通知电子邮件”框中,键入该代理的通知接收人的电子邮件地址。 如果想包括多个收件人,请用逗号分隔每个电子邮件地址。
6
单击“保存”。
指定电子邮件通知参数
可以为警报代理指定电子邮件服务器信息,在发送有关安全网络中的事件通知或有 关报告代理状态通知时会用到该信息。
配置报告代理 为磁盘已满检查指定通知参数
81
指定电子邮件通知参数
1 2 3 4
选择报告服务器并确保已登录。 请参阅第 13 页的“登录到报告”。 在“管理”选项卡上,单击“代理配置”。 单击警报代理旁边的“编辑”图标。 在“要使用哪些邮件通知参数”下,执行以下操作:
■ ■
在“SMTP 服务器”框中,键入电子邮件服务器的路径。 在“邮件‘发件人’地址”框中,键入一个地址,该地址应显示为警报代理所 产生的通知电子邮件的返回地址。 在“报告 URL”框中,键入报告服务器 URL。 该 URL 必须正确,才能确保警报显示在警报事件日志中。电子邮件通知中 也会显示该 URL。 在“批处理文件”框中,键入发出通知时应运行的批处理文件的名称。 该批处理文件位于 \Program Files\Common Files\Symantec Shared\Reporting Agent\Win 32 中。您必须拥有管理员权限,才能写入此 目录。
■
■
5
单击“保存”。
为磁盘已满检查指定通知参数
除了配置报告代理状态的通知外,还可以配置适当的通知,以便在报告服务器的可 用磁盘空间量低于某个数值时警告用户。 为磁盘已满检查配置通知
1 2 3 4 5 6 7
选择报告服务器并确保已登录。 请参阅第 13 页的“登录到报告”。 在“管理”选项卡上,单击“代理通知”。 单击“磁盘已满检查”旁边的“更改”图标。 在“要使用哪些通知设置”下的“可用空间少于以下值时警告”文本框中,输 入通知要使用的可用磁盘空间阈值。 选中“启用电子邮件响应”。 在“通知电子邮件”框中,键入该代理的通知接收人的电子邮件地址。 如果想包括多个收件人,请用逗号分隔每个电子邮件地址。 单击“保存”。
82
配置报告代理 使用代理日志
使用代理日志
每个报告代理都有一个日志文件,可以使用该文件排除代理活动中的问题。例如
page 36
, 如果某个代理处于停止状态,您可以查看代理日志中是否记录有错误,或者是否存 在新条目。如果没有新条目,则表明该代理运行不正常。 代理日志位于 \Program Files\Common Files\Symantec Shared\Reporting Agents\Win32 目录。 表 6-3 代理名称
日志读取器(计算机状态) 日志读取器(事件) 警报 调度报告 病毒类别代理 数据库维护 数据库备份 日志发送器 计算机状态
代理名称和对应日志名称 日志名称
LogReaderInventory_<date>.log LogReaderEvents_<date>.log notag_<date>.log history_<date>.log viruscat_<date>.log DBmaint_<date>.log \Backup\Backup_<date>\backup.dat logsender_<date>.log Parent_Inv_<date>.log
您可以指定报告软件删除代理日志的频率,以及是否为该代理启用跟踪。跟踪功能 可在代理日志中提供用于排错的其他信息。
启用或禁用代理跟踪
报告软件维护所有报告代理的日志。如果任何一个代理状态表明代理已关闭,则可 能需要查看日志文件。日志包含可能已经发生的任何错误。同样,如果日志不包含 任何新条目,则代理可能安装不正确或安装代理的计算机已关闭。 日志文件每周删除一次。如果计算机磁盘空间有限,则可能需要更频繁地删除日志 文件。 日志文件可能配置用于跟踪,其中包括日志中的调试信息。代理一直关闭时可能需 要对特定代理启用跟踪。或者可能需要对日志读取器启用跟踪,以确定本地代理是 否将信息插入报告数据库中。 如果数据库维护出现问题,则可能需要对数据库维护代理启用跟踪。 请参阅第 87 页的“配置报告数据库维护代理”。
配置报告代理 使用代理日志
83
但是,请勿长时间启用跟踪,除非您怀疑出现了问题。 对本地代理启用或禁用跟踪
1 2 3 4 5 1 2 3 4 5
选择报告服务器并确保已登录。 请参阅第 13 页的“登录到报告”。 在“管理”选项卡上,单击“代理配置”。 在“更改”列中要对其配置跟踪的代理旁边,单击“更改”图标。 在“要将哪些设置用于记录和跟踪”下,选中或取消选中“跟踪”。 单击“保存”。
对远程代理启用或禁用跟踪 在 Symantec 系统中心控制台左窗格中的“系统等级”下,右键单击安装远程 代理的一级或二级管理服务器。 单击“所有任务”>“报告配置”>“配置报告代理”。 在“计算机状态”下,选中“启用跟踪”。 如果要在一级管理服务器上配置跟踪,请在“日志发送器”下,选中或取消选 中“启用跟踪”。 单击“确定”。
删除代理日志
默认情况下,代理日志在 7 天后删除。如果要更快地清除日志或如果要等待较长时 间再删除日志,则可以更改天数。 可以在报告的“管理”功能中为本地代理指定删除选项。请使用 Symantec 系统中 心控制台为远程代理(“计算机状态”和“日志发送器”)指定删除选项。 为本地代理配置删除日志前的时间
1 2 3 4 5
选择报告服务器并确保已登录。 请参阅第 13 页的“登录到报告”。 在“管理”选项卡上,单击“代理配置”。 在“更改”列中要为其配置跟踪的代理旁边,单击图标。 在“要将哪些设置用于记录和跟踪”下的“在下列时间后删除日志”旁边,输 入要在此时间后删除该代理的日志的天数。 单击“保存”。
84
配置报告代理 用于代理配置的注册表键
为远程代理配置删除日志前的时间
1 2 3 4
在 Symantec 系统中心控制台左窗格中的“系统等级”下,右键单击安装远程 代理的一级或二级管理服务器。 单击“所有任务”>“报告配置”>“配置报告代理”。 在“计算机状态”下的“在下列时间后删除日志”文本框中,键入要在此时间 后
page 37
删除该代理的日志的天数。 如果配置在一级管理服务器上删除日志前的时间,请在“日志发送器”下的 “在下列时间后删除日志”文本框中,键入要在此时间后删除该代理的日志的 天数。 单击“确定”。
5
用于代理配置的注册表键
可以通过 Windows 注册表配置用于代理文件处理的参数。这些参数只能通过注册 表进行配置。 还可以通过注册表配置代理调度。调度参数通过报告用户界面提供。
关于代理处理文件所用的注册表键
默认情况下,日志发送器代理会在日志发送器所在计算机中的可用磁盘空间低于 100 MB 时停止处理文件。当达到 100 MB 限制时,日志发送器代理会在其日志中记 录低磁盘空间错误,并等待下一轮询周期以便再次检查磁盘空间。 注意: 报告服务器上还存在 100 MB 的阈值。如果报告服务器的可用磁盘空间低于 100 MB,则日志发送器代理会继续发送文件,但报告服务器不会对这些文件进行处 理。您可以配置通知以便您和其他用户能够收到有关报告服务器可用磁盘空间的警 报。 请参阅第 81 页的“为磁盘已满检查指定通知参数”。 默认情况下,日志发送器和计算机状态代理会处理日志文件,并创建 2 MB 的临时 文件以上载到报告数据库中。 您可以通过在 HKEY_LOCAL_MACHINE\SOFTWARE\INTEL\LANDesk\VirusProtect6\CurrentVersion\Reporting 下添加新的 DWORD 值来更改日志发送器所在计算机中的最小磁盘空间值。 默认情况下,日志发送器在处理 2,000 个记录后会休眠一秒种。当日志发送器休眠 时,它会释放 CPU。如果您在报告服务器计算机上运行其他应用程序时,则可能希 望更改这些默认设置。
配置报告代理 用于代理配置的注册表键
85
您可以通过将新的 DWORD 值添加到注册表中的 HKEY_LOCAL_MACHINE\SOFTW ARE\INTEL \LANDeskVirusPr \ otect6\Curr ersion entV \Reporting \LogSender\LocalData 下来更改这些默认设置。 表 6-4 介绍了用于代理配置的注册表键。 表 6-4 注册表键
MinDiskSize
代理处理文件所用的注册表键 说明
配置触发日志发送器代理停止处理文件的可用磁盘空间量 (MB)。默 认值为 100 MB。 配置日志发送器代理和计算机状态代理上载到报告数据库中的临时 文件的大小(以字节计)。默认值为 2,000,000 字节。 配置日志发送器在休眠和释放 CPU 之前处理的记录数。默认值为 2,000 个记录。 配置日志发送器在处理了 BatchProcessSize 指定的文件数后停止处 理文件和释放 CPU 的秒数。默认值为 1 秒。 FileSizeLimit
BatchProcessSize
Sleep
关于用于代理调度的注册表键
您可以通过报告 UI 配置代理调度。不过,您也许还希望通过注册表修改调度参数。 这些注册表键仅适用于日志发送器和计算机状态代理。 表 6-5 描述了用于代理调度的注册表键。 表 6-5 注册表键
NextRun
用于代理调度的注册表键 说明
配置日志发送器和计算机状态代理下次运行的时间。其格式为 YYY-MM-DD hh:mm:ss。 指定日志发送器和计算机状态代理保持立即运行模式的 DWORD 值。在代理开始运行后,该值逐秒递减,直至减少到 0 为止。默认 值为 300 秒(5 分钟)。 配置 RunNow 下次生效的时间。只有 RunNow 值大于 0 才适用。 其格式为 YYY-MM-DD hh:mm:ss。 配置代理运行的频率(以秒为单位)。日志发送器和计算机状态代 理每次运行的默认值为 60 秒。
RunNow
RunNowNextRun
page 38
Frequency
NextRun、RunNow 和 RunNowNextRun 注册表键位于以下目录下:
■
HKEY_LOCAL_MA CHINE\SOFTW ARE\INTEL \LANDeskVirusPotect6\Curr er \R \ r entV sion eporting v ory \In ent \LocalData
86
配置报告代理 用于代理配置的注册表键
■
HKEY_L OCAL_MA CHINE\SOFTW ARE\INTEL \LANDeskVirusPot t6\C entV sion eport \LogSender alDat \ r ec urr er \R ing \Loc a
Frequency 注册表键位于以下目录下:
■ ■
HKEY_LOCAL_MACHINE\SOFTW ARE\INTEL \LANDeskVirusProtect6\CurrentV \ ersion \Reporting\Inventory HKEY_LOCAL_MACHINE\SOFTW ARE\INTEL \LANDeskVirusProtect6\CurrentV \ ersion \Reporting\LogSender
7
维护报告数据库
本章节包括下列主题:
■ ■ ■ ■ ■
关于数据库维护 配置报告数据库维护代理 配置报告数据库备份选项 恢复 MSDE 报告数据库 调整数据库服务器内存分配
关于数据库维护
数据库接收并存储连续的数据流。数据库也生成连续的日志文件流。维护数据库以 便存储的数据和日志文件不会耗尽可用磁盘空间,并且不会导致运行这些数据库的 计算机崩溃。 报告数据库接收并存储连续的客户端清单流、扫描时间、风险事件时间等等。在报 告服务器上运行的所有报告代理(如数据库维护和备份代理)都在运行时生成日志 文件。因此,需要了解默认数据库维护设置、理解其含义,并在报告数据库消耗的 磁盘空间似乎连续增长的情况下更改这些设置。同样,如果在风险活动中有较大使 用高峰,则可能需要从数据库中删除某些数据以保护服务器上的可用磁盘空间。
配置报告数据库维护代理
作为报告管理员的用户可以配置报告数据库维护代理设置。数据库维护代理设置使 用户能够通过指定保存数据的时间来管理数据库的大小。同时,用户还可以指定进 行数据库维护的频率。 表 7-1 介绍了可修改的数据库维护代理参数。可以输入的最大值为 65,536。
88
维护报告数据库 配置报告数据库维护代理
表 7-1 参数
禁用代理 运行间隔
数据库维护代理参数
说明
启用或禁用代理 维护频率 最小值为 1。
下一次运行
下次进行维护的时间 您可以修改日期和时间值以指定下次执行维护操作的准确时间。
删除日志在
日志文件保留时间 日志文件位于 x:\Program Files\Common Files\Symantec Shared\Reporting Agents\Win32\DBmaint_YYYY-MM-DD.log 中。如果在同一日进行维护,则会向与该日对 应的日志文件中附加信息。如果在不同的日期进行维护,则会创建新的日志文件。
跟踪
指定是否在日志文件中生成调试信息 如果您觉得在维护过程中出现了问题,则
page 39
可以启用跟踪以便在日志文件中生成其他调试信息。 启用跟踪后,日志文件的第三个 DBmaint INFO 语句中将显示“跟踪已启用”字样。 无论是否启用跟踪,运行维护测试可能都会很有用。然后,您可以用文本编辑器打开该文件, 查看跟踪生成的附加数据。但是,请勿长时间启用跟踪,除非您怀疑出现了问题。
删除事件在 压缩事件在
在该天数后从数据库中删除风险事件 在该天数后将包含已发现风险的相同事件压缩为一个事件 会对在一个小时时间间隔内发生的包含已发现风险的相同事件进行压缩和计数。不会对受感 染文件名进行压缩。
删除压缩的事件在
在该天数后删除压缩的事件 该值包括事件被压缩前的时间。例如,如果指定在 10 天后删除压缩事件,7 天后压缩事件, 那么会在压缩事件后的三天后删除这些事件。
删除已确认的警报在 删除未确认的警报在 删除客户端在
在该天数后从数据库中删除已确认的警报 在该天数后从数据库中删除未确认的警报 在该天数后删除尚未登记的客户端的相关信息 不会删除客户机记录。 删除扫描在 删除历史记录在
在该天数后从数据库中删除风险扫描 在该天数后删除历史记录
删除未使用的病毒定义 在该天数后从数据库中删除目前尚未被任何计算机使用的有关病毒定义的记录,或存储的计 算机历史记录
维护报告数据库 配置报告数据库备份选项
89
参数
删除 EICAR 事件
说明
在该天数后从数据库中删除包含 EICAR 病毒的病毒事件 EICAR 病毒是一种良性病毒,主要用于测试。
配置报告数据库维护代理
1 2 3 4 5 6 7 8
选择报告服务器并确保已登录。 请参阅第 13 页的“登录到报告”。 在“管理”选项卡上,单击“代理配置”。 在“代理配置”窗格的“数据库维护”行中,单击“编辑”图标。 在“数据库维护代理配置”面板的“运行间隔”框中,指定维护的时间间隔。 在“在下列时间后删除日志”框中,更改或接受默认天数。 选中或取消选中“跟踪”。 在“参数”框中,接受或更改默认值。 单击“保存”。
配置报告数据库备份选项
报告服务器每天都会在默认时间,在默认目录 x:\Program Files\Common Files\Symantec Shared\Reporting Agent\Win32\Backup 中生成报告数据库的完 整备份。您可以更改这两个默认值。备份创建在单独的目录中,且备份目录位于运 行报告服务器的计算机上。如果您使用的是 SQL Server 2000/2005,并希望使用 SQL Server 2000/2005 管理控制台中的内置备份和恢复功能,则可以禁用备份。 如果要将某个远程报告数据库备份到报告服务器上,则必须按照以下方式配置报告 服务器和远程 SQL 服务器:
■ ■
在报告服务器上,为备份文件创建一个共享网络目录。 在 SQL 服务器上,将 SQL 服务器的“登录”帐户从 LocalSystem 更改为运行 SQL 服务器的计算机上的管理帐户。 使用服务管理工具选择 SQL 服务器实例,并更改“登录”帐户属性。 表 7-2 介绍了数据库备份参数。
90
维护报告数据库 配置报告数据库备份选项
表 7-2 选项
禁用代理
数据库备份参数
说明
page 40
启用或禁用代理 如果您管理的是远程 Microsoft SQL Server 上的数据库,则可能需要禁用代理并在磁带或其 他一些本地设备上制作备份。
运行间隔 下一次运行
备份频率 下一次备份的时间 可以修改日期和时间值,以指定下一次备份的准确时间。
删除日志在
日志文件保留时间 日志文件位于 x:\Program Files\Common Files\Symantec Shared\Reporting Agents\Win32 中。日期格式为 backup_YYYY--MM-DD.log。如果备份发生在同一日,则会向与该日对应的 日志文件中附加信息。如果备份发生在不同日期,则会创建新的日志文件。
跟踪
指定是否在日志文件中生成调试信息 如果您觉得数据库备份出现了问题,则可以启用跟踪以便在日志文件中生成其他调试信息。 启用跟踪后,您将在日志开头位置附近看到“跟踪已启用”字样。 无论是否启用跟踪,进行备份测试可能都会很有用。然后,您可以用文本编辑器打开该文件, 查看跟踪生成的附加数据。但是,请勿长时间启用跟踪,除非您怀疑出现了问题。
备份目录
数据库备份目录的名称 每个 backup.dat 文件都创建在单独的名为 BACKUP_date_time 的目录中。日期格式为 YYYYMMDD。时间格式为 HHMMSS。本地数据库的默认目录是 x:\Program Files\Common Files\Symantec Shared\Reporting Agent\Win32\Backup\。 对于远程数据库,该默认目录无效,因此不会进行备份。您必须创建网络共享,并将其指定 为 \\host_name\shared_directory\。例如,如果您在一台名为 test450 的计算机上创建名为 c:\sql_backup\ 的目录,则应指定 \\test450\sql_backup\。另外,您还需要将 SQL 服务器的 “登录”帐户从 LocalSystem 更改为现有管理帐户。
删除备份在
备份文件在备份目录中的保留天数
配置数据库备份选项
1 2 3 4 5
选择报告服务器并确保已登录。 请参阅第 13 页的“登录到报告”。 在“管理”选项卡上,单击“代理配置”。 在“代理配置”窗格的“数据库备份”行中,单击“编辑”图标。 在“数据库备份代理配置”窗格的“运行间隔”框中,指定维护的时间间隔。 在“下一次运行”框中,指定下一次备份的运行时间(可选)。 维护报告数据库 恢复 MSDE 报告数据库
91
6 7 8 9
在“在下列时间后删除日志”框中,接受或更改默认值。 选中或取消选中“跟踪”。 在“备份目录”框中,接受或更改默认值。 在“删除备份在”框中,接受或更改默认值。
10 单击“保存”。
恢复 MSDE 报告数据库
如果您使用的是 Microsoft SQL Server 2000/2005,则可以通过本机管理控制台来 备份和恢复报告数据库。但是,MSDE 未提供用于管理 SQL 服务器和数据库的管理 控制台,因此您必须使用命令行实用程序。MSDE 在 x:\Program Files\Microsoft SQL Server\80\Tools\Binn 目录中安装了一个名为 OSQL 的命令行实用程序。 您可以使用 OSQL 实用程序对 MSDE 数据库运行 Transact-SQL 语句、存储过程和 脚本文件,还可以使用它恢复报告数据库。通常情况下,安装过程会为安装目录设 置路径环境变量,因此您无需通过目录路径来执行命令。有关该实用程序和命令的 参考信息,请访问 Microsoft 网站。搜索 OSQL 实用程序、Transact-SQL 参考和系 统存储过程。 要概括恢复过程,请执行以下步骤:
■
创建要将数据库备份文件 backup.dat 复制到的目录。 一次即可创建该目录。
page 41
创建逻辑转储设备。 使用存储过程,一次即可创建该转储设备。必须首先使用在安装报告服务器时 创建的 sa 帐户登录到 MSDE 服务器。 恢复数据库。 使用 Transact-SQL 命令根据需要恢复数据库。使用在安装报告服务器时创建的 sa 帐户登录到 MSDE 服务器。
■
■
创建要将数据库备份文件复制到的目录
1 2
显示命令提示符。 键入 mkdir backup 或其他目录名称,然后按 Enter。 创建逻辑转储设备
1 2 3 4
显示命令提示符。 键入 osql -U sa -S (local),然后按 Enter。 在密码提示符处,键入 sa 密码,然后按 Enter。 键入 use master,然后按 Enter。 92
维护报告数据库 调整数据库服务器内存分配
5
键入 exec sp_addumpdevice 'disk', 'reporting_bak', 'x:\backup\backup.dat',然后按 Enter。 键入所创建的要将数据库备份文件复制到的目录的名称(如果不是 x:\backup)。
6 7
键入 go,然后按 Enter。 (可选)要删除转储设备,请键入 exec sp_dropdevice reporting_bak,然 后执行 go 命令。 仅在需要删除转储设备时才使用该命令。
8
要退出 OSQL,请键入 exit,然后按 Enter。
恢复 MSDE 报告数据库
1 2 3 4 5
在报告数据库备份目录中,浏览到要恢复的数据库文件。 将 backup.dat 复制到所创建的目录中,以存放数据库备份文件。 键入 osql -U sa -S (local),然后按 Enter。 在密码提示符处,键入 sa 密码,然后按 Enter。 键入 restore database reporting from reporting_bak,然后按 Enter。 如果不是报告,请键入报告数据库的名称。键入所创建的逻辑转储设备的名称 (如果不是 reporting_bak)。 6 7
键入 go,然后按 Enter。 如果设置成功,您将看到一个处理语句以及执行恢复操作的时间。
调整数据库服务器内存分配
Microsoft SQL Server 会根据操作系统报告的内存负载,增大或减小其缓冲池的大 小。只要不进行分页,内存高速缓存就会增加。当其他进程分配内存时,缓冲区管 理器会根据需要释放内存。当 SQL Server 的多个实例或其他重要服务器运行在同 一台计算机上时,服务器之间可能会竞相使用内存。如果您收到普通的内存不足错 误,或希望限制 SQL Server 分配的内存量,则可以修改“最大服务器内存”选项。 有三个内存调整选项:“专用”、“双重用途”和“多重用途”。“专用”选项为 Microsoft SQL Server 提供的内存最大,“多重用途”选项为 Microsoft SQL Server 提供的内存最小。在选择选项并单击“保存”后,用户界面上会显示所分配的内存 量。Microsoft 网站包含有关“最大服务器内存”选项的其他信息。 注意: 在设置数据库服务器内存分配后,请记录并记住该设置。用户界面始终显示 “专用”设置。 维护报告数据库 调整数据库服务器内存分配
93
调整数据库服务器内存分配
1 2 3 4 5
选择报告服务器并确保已登录。 请参阅第 13 页的“登录到报告”。 在“管理
page 42
”选项卡上,单击“数据库调整”。 在“数据库调整”窗口的“系统管理员”框中,键入数据库系统管理员的名称 与密码。 在调整选项右侧,选中最贴切描述该计算机上所运行应用程序数目的内存选 项。 单击“更新数据库”。
94
维护报告数据库 调整数据库服务器内存分配
8
工作流程和用例
本章节包括下列主题:
■ ■ ■ ■ ■ ■
关于工作流程和用例 管理清除风险的日常工作流程 显示安全风险信息的报告和日志 显示扫描信息的报告和日志 显示定义信息的报告和日志 显示配置和状态信息的报告和日志
关于工作流程和用例
工作流程是指为了消除网络中的风险,每天早上可能遵循的过程。用例指用于识别 和显示要查看的信息的操作。可以使用报告和日志来识别和显示该信息。 如果使用报告,则会以类似于摘要的形式,显示客户端和服务器的有关信息。例 如,使用报告可以显示在特定时间感染网络的顶级安全风险。顶级安全风险可能是 RPC.Attack,并且报告中会显示受感染的计算机数量。 如果使用日志,则会显示要识别的更加特定的信息,如计算机名称和用户名。例 如,如果报告将 RPC.Attack 识别为顶级安全风险,则可以使用日志显示受 RPC.Attack 感染的计算机的名称以及登录用户名。 管理清除风险的日常工作流程
清除风险的日常工作流程试图让您的网络免受病毒和安全风险的感染。工作流程的 过程是:识别风险和位置,确定风险的处理方法,然后更新报告数据库,以显示您 已对风险做出了响应。 如果网络中包括 Symantec AntiVirus 8.x 客户端,也可以清除可疑事件。
96
工作流程和用例 显示安全风险信息的报告和日志
管理清除风险的日常工作流程
1 2 3 4 5 6 7 8 9
选择报告服务器并确保已登录。 请参阅第 13 页的“登录到报告”。 在“日志”选项卡上,单击“计算机状态日志”。 在“计算机状态日志”页上,单击“高级设置”。 选中“仅感染”,然后单击“查看日志”。 注意“受感染的计算机”,然后单击“受感染”图标以显示风险列表。 您可以从计算机上清除风险,断开计算机与网络的连接,或接受风险。 再次显示受感染计算机的日志视图,找到您清除风险、断开连接或接受风险的 计算机。 显示主页,注意“静态感染”行中的数值有所减小。 要得到最大的日期范围,请重复该过程,直到“静态感染”行中的两个数值都 变成零为止。
管理清除可疑事件的日常工作流程
1 2 3 4 5 6
选择报告服务器并确保已登录。 请参阅第 13 页的“登录到报告”。 在“日志”选项卡上,单击“风险日志”。 在“风险日志”页上,单击“高级”。 在“采取的操作”列表框中,选择“可疑”。 单击“查看日志”。 在“事件”列表中,执行下列操作之一:
■ ■
选择要删除的事件,然后单击“从数据库中删除所选条目”。 单击“从数据库中删除当前视图中的所有条目”。
7 8
显示主页,注意“可疑”行中的数值有所减小。 根据需要重复该过程。 显示安全风险信息的报告和日志
表 8-1 介绍了您可能想识别的重要安全风险信息,并介绍了如何显示该信息。 工作流程和用例 显示扫描信息的报告和日志
page 43
97
表 8-1 我希望
识别感染了间谍软件或病毒的计算 机。 显示网络中检测到的病毒数量。 识别检测到最多感染的计算机。 识别遇到最多感染的组。 识别遇到最多感染的用户。 安全风险信息 报告或日志
风险报告
类型
受感染的计算机
选项
日期范围:请选择
风险报告 风险报告 风险报告 风险报告
风险分发图 风险分发图 风险分发图 风险分发图 暂缺
风险名称 计算机 服务器组 用户名 用户名:“按用户名的风险分发图” 中标识的一个或多个用户名称 日期范围:过去 24 小时
挖掘并显示感染程度最深的用户所受 风险日志 感染的类型。 显示过去 24 小时中的安全风险和病 毒威胁活动。 主页
检测操作摘要
挖掘并显示曾攻击过我的网络、严重 风险日志 级别达到 2(及更高)的安全风险的 详细信息。 显示上一月的保护效率。 风险报告
每小时的风险数:过去 暂缺 24 小时
检测操作摘要 风险分发图
设置日期范围:上一月 风险名称 设置日期范围:上一月
识别上一月攻击过我的网络的顶级安 风险报告 全风险。
显示扫描信息的报告和日志
表 8-2 介绍了您可能想识别的重要扫描信息,并介绍了如何显示该信息。 表 8-2 我希望 扫描信息 报告或日志 类型
尚未扫描的计算机
选项
扫描开始时间:上一周
识别上一周没有运行风险扫描的计算 扫描报告 机。 识别工作站上完成预定扫描所需的时 扫描报告 间。 识别所需扫描时间最长的计算机。 扫描日志 扫描分发直方图
分组依据:扫描时间 扫描开始时间:请选择
暂缺
排序顺序:扫描持续时间
98
工作流程和用例 显示定义信息的报告和日志
显示定义信息的报告和日志
表 8-3 介绍了您可能想识别的重要定义信息,并介绍了如何显示该信息。 表 8-3 我希望
识别我的网络中的病毒定义版本。
定义信息 报告或日志
计算机状态报告
类型
病毒定义分发 暂缺
选项
暂缺 病毒定义日期:选择签定日期
识别不符合当前已签定定义集的计算 计算机状态日志 机。 确定在网络中的计算机上部署病毒定 调度报告 义的速率。
单击“状态”旁边的图 暂缺 标,然后使用色码
显示配置和状态信息的报告和日志
表 8-4 介绍了您可能想识别的重要配置和状态信息,并介绍了如何显示该信息
page 44
。 表 8-4 我希望
识别我的网络中的 Symantec AntiVirus 软件的版本。 识别运行旧版本的 Symantec AntiVirus 的计算机。
配置和状态信息 报告或日志
计算机状态报告
类型
选项
Symantec AntiVirus 产 暂缺 品版本 暂缺 SAV 产品版本:选择版本 计算机状态日志
识别启用了“自动防护”的计算机。 计算机状态日志 识别尚未签入父服务器的计算机。 计算机状态报告
暂缺
自动防护状态:关闭
计算机未签入父服务器 设置日期范围:请选择
索引
A
安全风险 报告和日志 96 安全响应中心网站 从主页访问 18
B
报告 安全风险 96 保存 22 保存配置设置 21 打印 22 登录到 13 概述 9, 19 更改密码 14 基本任务 13 计算机状态 30 类型 19 默认配置设置 19 配置用户 41 扫描 28 删除配置设置 21 主页 15 报告代理 代理日志 82 调度 71 跟踪 82 禁用 77 配置 71 数据库维护 参数 87 配置 87 通知选项 79 疑难解答 73 状态检查 71 报告显示 参数 41 报告 调度 33 风险 23 风险定义 98
关于 11 客户端和服务器的状态 98 日志 53 扫描 97 详细信息 20 配置显示 40 报告代理 调度选项 75 关于 69 删除日志 83 注册表键 84 状态检查 73 报告服务器 磁盘已满检查 81 从 Symantec 系统中心控制台中删除 40 端口号 39 访问 13 更改 38 配置 38 手动添加 38 搜索 38 URL 38 指定 URL 39 查看 URL 39 报告显示 配置 40 病毒类别代理 代理设置 79 说明 70
C
磁盘已满检查 81
D
代理设置 79 调度报告 查看 36 创建 35 配置设置 34 删除 36 修改 35 100
索引
调度报告代理 说明 70 调度报告 关于 33
M
MSDE 报告数据库 恢复 91 密码 更改 14 配置规则 44 设置 45
F
风险报告 创建 27 过滤器设置 基本 25 高级 25 类型 23 风险定义 报告和日志 98
R
日志 安全风险 96 查看 54 风险事件 55 过滤 53 计算机状态 61 类型 53 扫描事件 59 删除配置设置 55 事件详细信息 63 日志读取器(清单)代理 说明 70 日志读取器(事件)代理 说明 70 日志发送器代理 说明 71 语言选项 78 日志 保存配置设置 54 风险定义 98 客户端和服务器的状态 98 扫描 97 删除 83 关于 11 删除 66 导出 65 导出格式 66
G
工作流程 管理 95 工作流程 关于 95 报告 关于 20
J
计算机状态报告 创建 32 过滤器设置 高级 31 类型 30 计算机状态代理 说明 71 语言选项 78 警报 查看事件 48 查看事件详细信息 51 类型 46 配置通知 45 取消确认 50 确认 50 警报代理 说明 70 通知参数 80 状态检查 72 警报 配置 45
page 45
S
Symantec 系统中心 配置报告服务器的位置 38 删除报告服务器 40 扫描报告 创建 30 过滤器设置 基本 29 高级 29 类型 28
索引
101
扫描 报告和日志 97 事件 聚合 78 事件日志 54 事件 关于 10 数据库备份 参数 90 关于 89 配置远程 SQL 服务器 89 数据库备份代理 说明 70 数据库服务器内存 调整 92 数据库维护 调整内存分配 92 EICAR 事件 89 跟踪 88 关于 87 恢复 MSDE 报告数据库 91 OSQL 91 配置备份 89 配置代理 87 压缩事件在 88 数据库维护代理 说明 70
主页 自定义 17 自动刷新间隔 40 警报和风险日志的设置 52 主页的设置 51 Y
用户 参数 42 角色 41 密码规则 44 配置 41 删除 44 设置密码 45 添加 43 修改 43 用例 关于 95
Z
主页 安全响应中心链接 18 报告 16 关于 15 主页 查看 15
page 46
博科交换机安装验收报告合同号NKOBJ061225S建行北京分行订购博科交换机SW120xx升级模块两套SW4100升级模块两套分…
第1页第2页第3页第4页第5页第6页第7页第8页第9页第10页第11页第12页第13页第14页第15页第16页第17页第18页第1…
LOGO工程监理有限公司有限公司工程机械竣工评估报告建设单位有限公司设计单位有限公司施工单位有限公司监理单位章有限公司质量监督站总…
XXX污水处理厂在线监控系统建设安装调试报告按照国家环保要求以及《在线监测系统的安装调试规范(试行)》,我公司在建厂后就在总进口和…
贵州洪渡河石垭子水电站工程水力机械辅助设备安装分部工程施工总结报告合同编号SYZJD05广东水电二局股份有限公司贵州洪渡河石垭子水…
实习报告一实习目的安装工程施工工艺实习是完成本课程后的一个重要的实践性环节通过实习培养学生综合运用已学理论知识解决工程实际问题的能…
设备安装验收报告一概述供货单位名称培训厂家名称货物名称数量包装情况货物到院日期到货地点安装日期安装地点培训日期受培训人用户科室该科…
模拟实训报告学院系别专业班级姓名学号指导老师实习日期通过对电路基础模拟电子技术与数字电子技术等几门课程的学习让同学们有了一定的理论…