ksgv报表使用说明

KILL Shield Gateway-Vrius 报表分析系统
使用手册
北京冠群金辰软件有限公司
目录
第一章 KILL Shield Gateway-Vrius报表分析系统介绍 (1)
KILL Shield Gateway-Vrius报表分析系统的组成 (1)
报表分析系统的安装 (1)
报表分析系统的卸载 (4)
报表分析系统的修复 (5)
第二章报表分析系统的使用 (6)
日志服务工具的使用 (6)
报表分析系统的使用 (13)
第一章 KILL Shield Gateway-Vrius报表分析系统介绍
KILL Shield Gateway-Vrius可提供详尽、完整的过滤日志报告。

为确保KILL Shield Gateway-Vrius不会因用户进行大量查询、统计工作占用过多资源，导致其工作效率降低，特单独提供报表分析系统。

该系统安装在windows 2000、XP环境下，可将KILL Shield Gateway-Vrius的过滤日志下载到本地查看，根据这些数据生成图形化统计报表，形象直观，并可进行数据挖掘，帮助管理员分析、调整相应的过滤策略。

下面详细介绍。

KILL Shield Gateway-Vrius报表分析系统的组成
KILL Shield Gateway-Vrius报表分析系统包括以下部分：
Apache服务管理器
KSGV日志服务系统用于设置要下载哪些KILL Shield Gateway-Vrius的日志、下载模式，以及进行日志下载并将日志导入到数据库中，以便进行分析。

KILL邮件安全网关报表分析系统用于提供SMTP协议过滤报表、SMTP垃圾邮件报表、SMTP内容过滤报表、SMTP病毒过滤报表、SMTP正常邮件报表、POP3
病毒过滤报表、HTTP病毒过滤报表等，并可进行报表数据维护、报表用户管理、
下载日志等管理工作。

卸载程序用于卸载KILL Shield Gateway-Vrius报表分析系统。

下面以Windows XP Professional系统为例介绍该报表分析系统的安装和使用。

报表分析系统的安装
1) 报表分析系统的安装步骤
报表分析系统的安装组件主要包括：Apache_2.0.48、mysql_3.23.38、PHP_4.3.5、Java 2 Runtime Environment SE v1.4.2_03以及日志服务程序。

如果用户在此之前已经安装了Apache、mysql、PHP中一种以上的程序，请您卸载后再安装本安装程序。

报表分析系统的安装步骤如下：
1. 运行安装程序setup.exe，出现欢迎界面。

点击“下一步”，出现许可协议界面。

2. 阅读许可协议。

要安装本报表分析系统，必须接受许可协议。

否则退出安装程序。

点击“是”接受协议。

进入文件夹选择界面。

3. 选择安装文件路径，默认路径指向系统盘，如C:\Program Files\KSGV。

如果用户想自定义安装路径，则点击“浏览”选择报表分析系统的安装路径。

点击“下一步”，选择安装方式。

4. 选择安装类型，这里有典型、压缩、自定义三种可供选择。

其中，典型安装是安装最常用的选项，建议大多数用户使用。

压缩安装只安装程序所需的最少选项。

自定义安装可选择需要安装的选项，一般建议高级用户使用。

点击“下一步”，进入程序文件夹选择界面。

5. 选择安装程序文件夹，安装程序将在“开始”菜单的“程序”文件夹中添加程序图标，默认的程序文件夹名称为“KILL邮件安全网关报表分析系统”。

可以输入新的文件夹名称或从“现有文件夹”列表中选择一个。

点击“下一步”，显示安装进度。

6. 安装进度达到100%后会弹出几个DOS程序窗口，分别安装Apache和mysql服务并启动它们，执行完毕后会消失。

以后每次开机系统会自动启动这些服务。

出现“完成安装”界面，点击“完成”结束安装。

注：这时从“开始”，“程序”中选择“赤霄过滤网关报表分析系统”-〉“Apache服务
管理”和“Mysql服务管理”，可看到任务栏多了两个程序图标，前者是ApacheMonitor，管理Apache服务，后者是winmysqladmin，管理mysql服务，此时状态都为正常启动。

如果安装到此步骤时两个服务都停止，状态为，说明用户在此之前已经安装了Apache、mysql，导致与本安装程序有冲突，或者用户没有将此前安装的Apache、mysql完全卸载。

注：每次开机都会运行ApacheMonitor、winmysqladmin、日志服务三个程序，管理员可通过任务栏处的三个图标得知程序运行状态，确保KILL过滤网关报表分析系统正常运行。

2) 安装过程中可能出现的问题及解决方法
如果用户在安装之前已经安装了Internet信息服务(IIS)、Apache及mysql，则安装程序会自动检测并在出现欢迎界面之前弹出提示。

如图。

其中，由于Internet信息服务（IIS）的默认端口为80，本安装程序中的Apache服务器的端口也是80，为避免冲突，需采取如下三种措施中的任意一种：
1. 更改IIS端口
在“控制面板”中选择“管理工具”，运行“Internet信息服务”，然后右键单击“默认Web站点”选择“属性”，将“TCP端口”更改为非80即可。

如图示。

2. 禁用IIS服务
在“管理工具”中选择“服务”，禁用“IIS Admin Service”服务即可。

3. 卸载IIS
在“添加/删除程序”中选择“添加/删除Windows组件”，然后卸载“Internet信息服务（IIS）”即可。

注意！除了第三种外，如果用户按照前两种措施处理后再安装本程序，依然会弹出“启用了Internet信息服务(IIS)”的警告，此时可以不用理会。

报表分析系统的卸载
KILL Shield Gateway-Vrius报表分析系统的卸载步骤如下：
I. 请先关闭ApacheMonitor、winmysqladmin、日志服务三个程序。

II. 在“开始”-〉“程序”-〉“KILL邮件安全网关报表分析系统”中点击“KSGV卸载程序”，会提示输入卸载密码，默认的密码为123，具体如下图所示。

密码输入完毕后，点击“下一步”，将自动进行卸载。

III. 开始卸载。

其间会弹出几个DOS程序窗口，分别提示停止Apache和mysql服务并卸载它们，执行完毕后会消失。

IV. 完成卸载。

报表分析系统的修复
报表分析系统安装完成后，如遇到问题，也可尝试进行修复。

修复工作将尝试安装以前安装程序安装的所有功能。

步骤为：
1. 运行安装程序 setup.exe，或者在“开始”-〉“程序”-〉“KILL邮件安全网关报表分析系统”中点击“KSGV卸载程序”，出现如“报表分析系统的卸载”中所示界面。

2. 选择“修复”，点击“下一步”，将显示安装进度，直至最后显示“安装完成”界面。

第二章报表分析系统的使用
前面提到，KILL Shield Gateway-Vrius报表分析系统主要包括日志服务系统和KILL邮件安全网关报表分析系统等，用于进行报表分析和数据库维护。

下面介绍它们的使用。

日志服务工具的使用
日志服务工具设置下载日志和报表数据库的维护，包括状态信息、下载日志，KSGV配置，下载模式，单位地址说明，用户管理，数据维护，配置导入导出等。

要查看根据下载的日志做出的分析和统计，还需要通过Web方式登录到报表分析系统，具体请参见本章“报表分析系统的使用”一节的介绍。

日志服务工具的启动
安装完KILL Shield Gateway-Vrius报表分析系统后，每次启动机器时，日志服务工具都
会自动启动，并在系统栏中显示一个图标。

用户只需双击该图标，即可打开管理界面。

如果该工具没有启动，也可以直接点击“程序”-〉“KILL邮件安全网关报表分析系统”-〉“KSGV日志服务”，打开日志服务管理界面。

如图。

如下图所示：
其中，要实现下载，首先须配置要从哪些KSGV上下载日志信息，以及如何下载。

这
是在“KSG配置”和“下载模式”标签页中设置的。

说明如下。

状态信息
显示和数据库的连接情况和日志下载信息等，包括从哪个KSGV系统下载、下载的日志大小、记录的时间范围、记录数、有效记录数等。

如图所示。

志大小、记录的时间范围、记录数、有效记录数等。

如图所示。

有效记录是指不在报表中使用的类型和格式不正确的数据后的记录数，读取记录数是
指从日志文件中读了多少条指定时间范围的记录。

KSG配置
在日志服务系统中，点击“KSG配置”选项卡，设置要从哪些KSGV系统中下载日志。

该日志服务系统可汇总多台KILL Shield Gateway-Vrius的日志数据。

用户可增加新的KILL Shield Gateway-Vrius系统，也可编辑、删除已有KSG系统。

增加
在“KSG配置”中点击“增加”按钮，弹出界面如图。

在“主机名”编辑框中输入要从哪台KILL Shield Gateway-Vrius中下载日志，可输入完整主机名或IP地址。

在“用户名”和“用户密码”编辑框中，输入下载日志所需提供的用户名和密码。

该用户名和密码必须与被下载KILL Shield Gateway-Vrius所设置的审计用户名和密码相同（在KILL Shield Gateway-Vrius管理界面的“管理”-“用户管理”页面中设置）。

在“说明”中，对该台主机做简单说明，便于了解该台KILL Shield Gateway-Vrius情况。

编辑
在“KSG配置”页面中，选中一个主机，点击“编辑”按钮，弹出界面同“增加”界面，修改各项内容后点击“确定”，立即生效。

如下图所示：
删除
在“KSG配置”页面中，选中一个主机，点击“删除”，立即生效。

设置下载模式
在日志服务系统中，点击“下载模式”选项卡，设置如何下载日志。

如图所示。

各项含义如下：
自动下载频率：以分钟为单位，设置多长时间日志服务系统尝试从配置的KILL Shield Gateway-Vrius中下载日志数据，输入数字范围必须在30到1440分钟之间。

日志保留天数：下载到报表数据库的日志保存的天数，过期的数据系统会自动删除。

定时整理日志时间：每天整理报表数据库中日志数据的天数，每天到了设定的时间，
系统会自动删除数据库中过期的日志数据。

HTTP代理服务器：如果HTTP下载需使用代理服务器，请在这里输入代理服务器的主机名或IP地址。

HTTP代理端口：代理服务器所提供的代理端口。

HTTP 代理用户名和密码：如代理服务器要求用户认证，请输入授权使用该代理器的用户名和密码。

点击“确定”保存。

报表分析系统将每隔一段时间，从配置的KSGV主机中下载日志。

下载日志
在日志服务系统中，点击“下载日志”选项卡，设置要下载的日志范围，并进行下载。

如图所示。

各项含义如下：
选择KSG：选择要从哪台KSGV上下载数据。

KSGV是在“KSG 配置”中设置的。

时间范围：设置下载那一段时间的日志数据。

存储目录：选择下载的日志文件保存在哪个目录下。

下载并导入：将日志文件下载到本地并导入到数据库中，以便进行分析。

开始下载：将日志下载并保存到上面选择的存储目录。

开始导入：将保存到存储目录中日志文件导入到数据库中，以便进行统计和分析。

保存到存储目录的日志文件可以从上面的下载日志或别的方式得到。

停止动作：中断正在进行的操作（包括上述的下载并导入，下载日志，导入日志）。

单位地址说明
通过配置单位地址说明，可将IP地址（或网段）和单位或部门联系起来，查看报表时可以很直观知道发生过滤事件的主机属于什么单位或部门，从而可迅速判断问题所在位置。

还可以按单位或部门分组进行过滤事件的统计，以便掌握单位或部门所属主机的安全状况。

用户可增加、删除或编辑单位地址说明。

如图所示。

报表用户管理
在日志服务系统中，点击“用户管理”选项卡，设置登录报表分析系统的用户名及密码。

默认用户名和密码为root和ksgadmin。

如图所示。

用户可进行增加、删除或编辑操作。

报表数据维护
报表数据维护可对下载的数据及数据库表进行维护。

包括数据删除、检查及修复数据表、整理及优化数据表。

如图
数据删除：可以根据各种过滤类型的事件数、首次事件时间、末次事件时间决定是否
删除没有用途的数据，防止因数据占用空间过大，导致系统负担过重。

删除数据及关联：此功能除了删除数据外，还要删除存在字典表中的相关数据。

检查及修复表：由于经常对数据表进行大量的写入、修改、删除操作，有可能损坏数
据表，通过此功能可以检测出已损坏的表并修复。

优化整理表：通过优化整理表可以提高查询的速度。

配置导入导出
配置导入导出，可将KSG配置、下载方式、单位地址说明等配置数据导出来保存为cfg文件，便于管理员将来根据这些文件恢复配置。

在该界面中也可以选择一个cfg文件（必须是在本界面中导出的cfg文件），并将其导入。

如图所示。

总结
使用日志服务系统，可快速的下载日志数据并将其导入到数据库中，从而方便报表分析系统进行统计和分析。

要查看病毒过滤、入侵阻断、内容过滤、垃圾邮件、防火墙状态等报表，需登录到报表分析系统查看。

下面详细介绍报表分析系统的使用。

报表分析系统的使用
1. 登录到报表分析系统
用户可从任何一台和安装了KILL Shield Gateway-Vrius报表分析系统联网的机器上，在浏览器的地址栏中键入该机器的主机名或IP地址，如http://报表系统所在主机名或http://报表系统所在主机IP，就可以登录到KILL Shield Gateway-Vrius报表分析系统。

首先出现KILL Shield Gateway-Vrius报表分析系统的登录界面，如下图所示：
KILL Shield Gateway-Vrius的报表分析系统登陆界面必须是授权审计用户才可以浏览KSGV报表分析系统，如果是第一次登录，请在用户名栏中输入“root”，口令为“ksgadmin”。

初次登录后请立即进到KSGV日志服务系统下的“用户管理”修改管理员口令，以确保管理的安全性。

2. 总体报表
登录之后进入的是总体报表分析系统，共分为六大部分，包括总体报表、入侵阻断、SMTP病毒、POP3病毒、HTTP病毒和FTP病毒。

如下图所示：
首先所看到的是在下载时间范围内所有日志的饼状图以及各个过滤类型所占的百分比。

同时在“表状态”选项中可以看到各自的数据表是否正常以及可能损坏的关联表。

如下图所示：
在“总体报表”中又分成两个部分，日期趋势和时段趋势。

各个模块具体的功能如下：
日期趋势
在这一选项中，将会按照所选择下载日志的时间进行排序，同时根据不同的协议将会把某一天内不同协议过滤的数量总数统计出来。

日期可以分别按照升序和降序进行排列。

在“表格”选项中还分别有“饼图”“条形图”“折线图”三个按钮，这三个选项会将在“表格”中看到的数据通过饼状图、条形图和折线图显示出来。

具体界面如下：
时段趋势
上一模块是将日志按照日期排序，而这一模块将是把下载的日志按照时间段（小时）进行排序，从界面上可以很清晰的看到0－23小时内各个时段的过滤情况。

“饼图”、“条形图”、“折线图”分别是将各个时段的日志以饼图、条形图和折线图显示出来。

具体界面如下：
3. 入侵阻断
在“入侵阻断”选项中，首先可以看到的是一个饼状图，上面显示的是被过滤的客户端排在前十位的IP地址。

同时在界面上有三个按钮可将该饼状图转换为棒图和折线图。

具体界面如下：
如果想详细查询具体的日志信息，只需点击“入侵阻断”下面的各个小的模块，下面我们来具体说明一下：
特征码描述
这个选项是根据具体的特征码描述对日志进行排序的。

在界面上可以看到具体的某条
过滤描述的总事件数、特征码编号数、源IP数、目的IP数、协议数、源端口数、目的端口
数、分类数和百分比。

具体如下图所示：
在界面上首先能看到的是一个表格形式的图表，同时可以点击旁边的饼图、条形图和折线图按钮，此时将会以饼图、条形图和折线图描述出来。

如果想查询具体的某个过滤规则描述志，您可以点击表格中具体的数字，此时将会显示具体的信息。

特征码编号
这个选项是根据特征码编号对日志进行总结的，如果您知道某条具体的规律规则，想
查看具体的日志信息，就可以在此处进行查找。

具体界面如下：
其他选项的查询方法同上一模块的查询，这里就不再多介绍了。

同理，源IP、目的IP、协议、源端口、目的端口和处理策略选项均是按照上述的定义
对日志进行表格性的描述，这里也不多描述了。

分类
该选项则是根据日志中具体的过滤类型进行统计的，比如“Misc activity”、“Misc Attack”
等等。

具体界面如下：
日期趋势和时段趋势分别是按照下载日志的日期和时段进行排序统计的。

明细报表就是针对某一特定的查询条件而生成的一个统计报表。

4. SMTP病毒
该选项是针对病毒过滤的日志报表。

其中包括病毒名称、过滤规则、客户端IP、客户端端口、服务端IP、服务端端口、发信地址、收信地址、处理策略、日期趋势、时段趋势和明细报表。

病毒名称将会显示采集的日志中所有被拦截的病毒的名称以及数量、过滤规则数等等。

具体界面如下：
其他选项功能同以上功能介绍。

5. POP3病毒
这个选项是针对POP3协议过滤病毒的报表分析。

具体界面如下：
如果该功能模块没有任何数据或者您输入的某一查询条件没有日志的话则会有一个警告信息，提示数据和为零，不能画图，具体界面如下：
其他具体的功能同上述功能相同。

6. HTTP病毒
该选项是被HTTP协议过滤的病毒的日志统计。

包括病毒名称、过滤规则、客户端IP、客户端端口、服务端IP、服务端端口、操作方式、目标URL、处理策略、日期趋势、时段趋势和明细报表。

您可以选择不同的条件进行查询。

具体界面如下：
其他具体的功能同上述功能相同。

7. FTP病毒
该选项是针对FTP协议过滤的病毒的日志统计。

包括病毒名称、过滤规则、客户端IP、
客户端端口、服务端IP、服务端端口、操作方式、目标URL、处理策略、日期趋势、时段趋势和明细报表。

您可以选择不同的条件进行查询。

具体界面如下：
其他具体的功能同上述功能相同。

8. 总结
至此，用户对KILL Shield Gateway-Vrius报表分析系统已经有了一个全面的了解，包括它强大的报表统计、分析和数据挖掘、维护功能，现在，可以安装、配置KILL Shield Gateway-Vrius及其报表分析系统，充分享受一个安全的网络带来的种种便利。