H3C SecCenter A1000 开局指导书(V1.00)

H3C SecCenter A1000安全管理中心
开局指导书
Deployment Instructions for XXX Beta Test
(仅供内部使用)(For internal use)
拟制： Drafted by: 谢剑平 日期： Date: 2007/04/10 审核：
Reviewed by: 吕振峰 日期： Date: 2007/04/10 审核：
Reviewed by: 日期： Date: yyyy/mm/dd 批准：
Approved by:
日期： Date:
yyyy/mm/dd
华为3Com 技术有限公司
Huawei-3Com Technologies Co., Ltd.
版权所有 侵权必究 All rights reserved
修订记录Revision Records
目录 Catalog
1. 介绍Introduction (5)
1.1.系统介绍Instruction to the System (6)
1.2.组网介绍Introduction to Networking (6)
1.3.系统结构介绍Introduction to System Architecture (8)
硬件规格 (8)
SecCenter A1000支持的数据采集方式 (9)
SecCenter A1000与其它系统的通讯 (11)
2. 业务配置Service Configuration (11)
2.1.SecCenter A1000网络接口出厂配置 (11)
2.2.SecCenter A1000系统的远程访问方式 (12)
2.3.SecCenter A1000系统启动及关机 (13)
2.4.SecCenter A1000的部署位置 (14)
2.5.SecCenter A1000的网络接口配置 (15)
2.6.通过Web方式登录SecCenter A1000 (17)
SecCenter A1000 Web客户端的软件需求 (17)
2.7.SecCenter A1000 License授权操作指南 (18)
2.8.配置设备的syslog主机地址 (20)
2.8.1.设备启用license方法 (21)
2.9.SecCenter A1000采集端口配置 (22)
2.10.SecCenter A1000接收网流报文操作指南 (24)
Stream (24)
2.10.2.SecPath防火墙二进制流日志 (24)
flow/CFlow (24)
2.10.4.网流报文正常接收验证 (25)
2.11.Windows主机操作指南 (26)
2.11.1.手动增加Windows主机方法 (26)
2.11.2.主机启用license方法 (27)
2.11.3.Windows WMI接口测试 (28)
2.11.4.主机采集监视策略设置 (29)
2.12.Unix主机操作指南 (31)
2.12.1.手动增加Unix主机方法 (31)
2.12.2.主机启用license、采集监视及策略配置方法 (32)
2.12.3.Unix主机的syslog发送、SSH接口配置方法 (32)
2.13.数据库DB Audit操作指南 (32)
3. 目前还存在的问题，需要安装维护中注意的事项Current Problems and Matters Deserving Attention in Installation and Maintenance (33)
3.1.报告数据滞后问题 (33)
3.2.报告无数据输出问题 (33)
3.3.Forensics查询数据滞后问题 (33)
3.4.手动删除设备后不能再自动发现设备问题 (33)
3.5.进程重新启动问题 (34)
3.6.License失效问题 (34)
3.7.DB Audit功能无操作成功提示问题 (35)
3.8.Unix主机使用SSH接口无连接测试问题 (36)
4. 扩容及升级Expansion and Upgrade Method (37)
4.1.采用外部存储系统保存原始数据配置方法 (37)
4.2.SecCenter A1000系统升级方法 (38)
4.3.分布式部署SecCenter A1000 (42)
4.3.1.分布式部署SecCenter A1000组网方式 (42)
4.3.2.分布式部署SecCenter A1000软件定制方法 (43)
4.3.3.分布式部署方式下的license授权问题 (48)
开局指导书
Customer sites Deployment Instructions
关键词：Key words:
防火墙、IPS、IDS、Windows主机、Unix主机、Syslog、NetStream、NetFlow、数据库、法规遵从报告、Web管理界面、数据库审计。

摘要：Abstract:
本文介绍了SecCenter A1000产品V200R003在开局过程中设备如何安装配置、如何升级系统、如何配置license、如何演示系统、以及整个开局过程中的注意事项。

缩略语清单：List of abbreviations:
1. 介绍Introduction
目前网络中的主要设备（防火墙、VPN网关、IPS、IDS、交换机、路由器、反垃圾邮件系统、病毒防护系统）都可以产生日志（syslog），日志中包含了很多重要的网络运行信息，包括网络的安全、性能、资源使用情况等，传统的日志服务器可以接收这些日志信息，但只能简单的保存和按原始格式显示，主要是用于事后分析使用。

由于网络中会包含很多不同厂商和不同类型的设备，这些设备的日志格式都不统一，所以显示的结果通常杂乱无章，再加上日志产生的速度很快，看的速度有可能还跟不上系统接收的速度，所以简单的日志接收和未经解析的原始日志显示对用户没有太多的实际意义。

同时对历史数据的检索也只能使用简单的按字符串、时间、IP地址等查询方式，不能进行复杂的查询。

SecCenter A1000产品的推出就是为了解决安全管理中的上述问题。

SecCenter A1000是一种基于硬件的盒式设备，可实现原始安全信息的存档和检索、生成内部审计、法规遵从报告等功能，解决了传统日志服务器的存档、检索、报告生成等问题。

同时SecCenter A1000可实现实时安全状况监视信息、安全事件关联分析、实时告警等实时信息显示等功能，实现网络安全状况的实时监视。

解决了传统日志服务器不能实时过滤、深入分析日志的问题。

SecCenter A1000能使IT及安全管理员脱离繁琐的手工管理工作，提高工作效率，集中精力用于更有价值的活动，保障网络的安全。

1.1. 系统介绍Instruction to the System
SecCenter A1000安装在一台PC服务器上，运行Windows Server 2003 Web Edition操作系统，在Windows系统下再安装SecCenter A1000应用软件，系统结构如下图所示：
SecCenter A1000系统构架
1.2. 组网介绍Introduction to Networking
集中式部署方式组网
SecCenter A1000出厂时的缺省配置就是集中式部署方式。

采用集中式部署组网方式，设备直接与SecCenter A1000连接（从设备到SecCenter A1000在网络上可达），接收syslog日志、网流报文。

SecCenter A1000解析、保存统计设备的原始事件信息到SecCenter A1000的硬盘，也可以外接网络存储设备（可选）保存原始事件数据。

用户通过Web浏览器访问SecCenter A1000的应用、管理界面。

集中式部署方式SecCenter A1000单机事件处理能力为每秒5000事件。

集中式部署方式组网图
分布式部署方式组网
分布式部署组网方式是将若干个集中式部署的SecCenter A1000（地区级SecCenter）集中起来向一个中心级的SecCenter A1000汇总事件信息数据，这样对于大型的网络可以解决事件处理的性能问题，分布式组网情况下整个系统的事件处理能力将大大提高。

也便于用户管理处于不同地区网络中的事件。

采用分布式部署方式，SecCenter A1000的应用软件需要重新安装，具体细节见扩容及升级部分;
分布式部署方式组网图
1.3. 系统结构介绍 Introduction to System Architecture
硬件规格
使用双CPU 2.8GHz Xeon 处理器，内存2个DDRII-400 DIMM ，一个1个10/100Mbps 以太网接口作为管理接口，4个10/100/1000Mbps 以太网接口作为业务接口，一块400GB ，7200转企业级SATA 磁盘。

机箱高度1U （43.6mm ），外形尺寸（高×宽×深）43.6mm ×430mm ×685mm （不带挂耳或机柜滑轨）。

整机功耗400W ，电源模块电压0V ～127V/200V ～240V AC ，电流 8.2A/4.1A ，频率50Hz/60Hz ，电源功率500W 。

重量14.0kg ，工作环境温度10°C ～35°C ，工作环境湿度20%～80%（未凝结），贮存环境温度-40°C ～+70°C ，贮存环境湿度10%～90%（未凝结），海拔-60m ～+2000m 。

整机外观
（1）
（2）
（3）
（4）（5）（6）
（1）
(1) 挂耳
(2) 面板
(3) 键锁
(4) 电源指示灯 (5) 告警指示灯
(6) 定位指示灯
整机外观图
背视图
（1）
（2）
（3）（4）（
5）（7）（8）（9）（10）（11）
（6）
(1) 交流电源输入
(2) 电源模块
(3) 鼠标、键盘接口
(4) 串口1 (5) 串口2 (6) USB接口（2个）
(7) 千兆网口1、2 (8) 千兆网口3、4 (9) 百兆网口
(10) 显示器接口(11) PCI-X扩展槽
背视图
SecCenter A1000支持的数据采集方式
SecCenter A1000除了支持接收各种设备的Syslog日志外，还支持很多其它的数据采集方式，包括：Windows WMI接口、SSH接口、Netflow、NetStream、ODBC等，如下图所示：
SecCenter A1000支持的数据采集方式
SecCenter A1000支持的协议简介：
Syslog
Syslog是一种工业标准的协议，可用来记录设备的日志。

在UNIX系统，路由器、交换机等网络设备中，系统日志（System Log）记录系统中任何时间发生的大小事
件。

管理者可以通过查看系统记录，随时掌握系统状况。

UNIX的系统日志是通过
syslogd这个进程记录系统有关事件记录，也可以记录应用程序运作事件。

通过适当
的配置，我们还可以实现运行syslog协议的机器间通信，通过分析这些网络行为日
志，藉以追踪掌握与设备和网络有关的状况。

最新版本的syslog协议标准在RFC3164中定义。

Netflow
Netflow是Cisco公司提出的按网流中IP包的N元组（源IP地址、目的IP地址、源端口、目的端口、协议号、ToS、接口ID、源自治系统、目的自治系统）信息作为键
值进行统计、分析。

使用Netflow技术可实现分析网络中的流量瓶颈、找出安全隐患、
实现流量计费等功能。

有关Netflow的详细信息可参考cisco网站资料：/go/netflow NetStream
NetStream是公司Huawei和H3C公司提出的一种网流技术，与cisco netflow技术的作用类似，在实现方式上不同。

Windows WMI
WMI（Windows Management Instrumentation）是Microsoft公司为MMC和脚本程序提供了一个访问操作系统构成单元的公共接口。

有了WMI，工具软件和脚本程序访
问操作系统的不同部分时不需要使用不同的API；相反，操作系统的不同部分都可以
插入WMI，工具软件和WMI可以方便地读写WMI。

SSH
最初的SSH是由芬兰的一家公司开发的。

但是因为受版权和加密算法的限制，现在很多人都转而使用OpenSSH。

OpenSSH是SSH的替代软件包，而且是免费的。

SSH是英文Secure Shell的简写形式。

通过使用SSH，你可以把所有传输的数据进行加密，这样"中间人"这种攻击方式就不可能实现了，而且也能够防止DNS欺骗
和IP欺骗。

使用SSH，还有一个额外的好处就是传输的数据是经过压缩的，所以可
以加快传输的速度。

SSH有很多功能，它既可以代替Telnet，又可以为FTP、Pop、
甚至为PPP提供一个安全的"通道"。

ODBC
ODBC是Open Database Connectivity的缩写，是MICROSOFT提出的数据库访问接口标准。

ODBC定义了访问数据库的API一个规范，这些API独立于不同厂商的
DBMS，也独立于具体的编程语言（但是MICROSOFT的ODBC文档是用C语言描述
的，许多实际的ODBC驱动程序也是用C语言写就的。

）ODBC规范后来被X/OPEN
和ISO/IEC采纳，作为SQL标准的一部分，具体内容可以参看《ISO/IEC 9075-3:1995
(E) Call-Level Interface (SQL/CLI)》等相关的标准文件。

SecCenter A1000与其它系统的通讯
SecCenter A1000通过SMTP和SNMP协议发送告警信息
使用协议：SMTP协议、SNMP协议
第3方应用系统可通过XML接口查询SecCenter A1000的内部数据
使用协议：XML协议
2. 业务配置Service Configuration
2.1. SecCenter A1000网络接口出厂配置
SecCenter A1000是基于PC服务器硬件平台开发的盒式产品，运行Windows Server 2003 Web操作系统。

虽然SecCenter A1000有键盘、鼠标、显示器、USB接口，但是出厂时并未附带键盘、鼠标、显示器。

SecCenter A1000是通过网络接口采用远程登录方式使用的，SecCenter A1000的5个网络接口在出厂时都已经配置了IP地址（见下图），用户可通过SecCenter A1000的任意一个网络接口登录访问SecCenter A1000的远程桌面或Web UI。

SecCenter A1000网络接口的出厂缺省配置如下：
SecCenter A1000网络接口的出厂配置
注意：百兆以太网接口推荐只作为控制台接口使用，建议在一般情况下不要修改这个接口的地址配置。

因为如果修改了地址又没有记住的话就无法访问SecCenter A1000设备了。

2.2. SecCenter A1000系统的远程访问方式
SecCenter A1000的远程访问方式
远程桌面登录方式：
●使用一台运行Windows操作系统（Windows 2000、Windows XP、Windows Server 2003）
的普通PC机。

通过交换机、Hub或直连网线将PC机与SecCenter A1000的百兆网口相连。

●配置PC机的网卡IP地址，使其与SecCenter A1000百兆网口的IP地址处于同一网段。

SecCenter A1000百兆网口出厂时配置的IP地址为192.168.0.1，掩码255.255.255.0，所以
PC机的网卡IP地址可以是192.168.0.2～192.168.0.254，掩码为255.255.255.0。

●打开SecCenter A1000的电源开关，大约2分钟后系统启动完毕。

确认PC机网口已经与
SecCenter A1000正常连接（观察SecCenter A1000的百兆网口，绿灯闪烁表示连接正常），
这时就可以进行远程桌面连接了。

●在PC机的Windows界面，点击[开始/程序/附件/通讯/远程桌面连接]，出现远程桌面连接
对话框，输入SecCenter A1000的百兆网口的地址（192.168.0.1），点击<连接>按钮登录
到SecCenter A1000桌面。

远程桌面连接程序界面
●登录到SecCenter A1000后，需要输入系统登录用户名和密码。

登录用户名为
Administrator，登录密码出厂设置为sca1000@。

这个用户名和密码是Windows Server
2003操作系统的系统管理员用户和密码，可在Windows Server 2003操作系统用户管理界
面中修改这个密码。

●登录成功后出现SecCenter A1000的系统桌面，SecCenter A1000采用Windows Server
2003 Web版作为操作系统。

2.3. SecCenter A1000系统启动及关机
启动：
为SecCenter A1000连接好电源线，按前面板右侧的电源开关按钮，大约2分钟后系统可以启动完毕，可通过远程登录访问SecCenter A1000。

关机：
远程登录到SecCenter A1000的桌面，在SecCenter A1000桌面，选择Start->Shutdown按钮弹出Shut Down Windows对话框，在对话框中选择Shut down，添写Comment内容后按OK按钮可正常关机；
SecCenter A1000关机操作对话框
2.4. SecCenter A1000的部署位置
一般情况下，SecCenter A1000部署在防火墙后面，接收防火墙、IDS、路由器、交换机和应用服务器发送的日志信息和NetStream信息。

SecCenter A1000可以部署在防火墙后的信任区域，一般情况下不需要从外网访问。

如果需要从外网的非信任区域访问，可将SecCenter A1000部署在DMZ区域。

下0是SecCenter A1000的典型部署位置示意图：
SecCenter A1000典型组网
2.5. SecCenter A1000的网络接口配置
远程登录到SecCenter A1000的桌面后，可配置千兆以太网接口地址。

SecCenter A1000的千兆以太网接口用来与设备通讯和供Web客户端访问，可根据具体组网情况选择一个部署SecCenter A1000的位置，并配置相应的IP地址。

配置网卡IP地址操作步骤如下：
在SecCenter A1000的远程桌面，打开[控制面板（control panel）/网络连接（Network Connections）]，出现网络连接对话框，下0所示。

选择要修改的网卡（作管理接口的百兆网卡下面有：Intel 8255xER PCI Adapter标注，千兆网卡下面有Brodcom NetXtreme Gigabit Ethernet标注）。

网络连接（Network Connections）对话框
用鼠标右键点击网卡图标弹出右键菜单，选择Properties菜单项弹出网卡属性设置对话
框，如下0所示。

网卡属性设置对话框
双击列表中的Internel Protocol(TCP/IP)项，弹出Internel Protocol(TCP/IP) Prpperties对话框，如下0所示。

输入要修改的新的IP地址、网络掩码、默认网关，点击<OK>按钮完成修改。

IP地址配置对话框
2.6. 通过Web方式登录SecCenter A1000
SecCenter A1000的Web界面可以从五个网络接口的任意一个登录，只要该接口配置了IP并保证登录的PC机可以ping通这个网络接口即可。

建议用户使用千兆以太网接口登录SecCenter A1000的Web界面。

SecCenter A1000 Web客户端的软件需求
●操作系统为Windows 2000、Windows XP、Windows Server 2003
●浏览器为Internet Explorer 6.0以上版本
●安装Java运行环境（JRE 1.5）
●安装Adobe Reader 6.0以上版本
浏览器Java运行环境插件安装
通过Web浏览器访问SecCenter A1000需要浏览器安装Java运行环境，版本为Java 2 Runtime Environment JRE v1.5 以上。

JRE会在随机光盘中提供，执行jre-1_5_0_09-windows-i586-p.exe 安装程序即可安装。

Adobe Reader浏览器插件安装
SecCenter A1000可以生成多种格式的报表，通过安装相应的浏览器插件，可以在浏览器上直接打开这些报表。

对于PDF格式的报表，需要安装Adobe Reader 6.0及以上版本的软件浏览；在随机光盘AdobeReader目录中执行安装程序AdbeRdr60_enu_full.exe进行安装。

使用浏览器登录SecCenter A1000的Web界面
打开SecCenter A1000Web客户端的IE浏览器，在地址栏输入http:// <SecCenter A1000的IP地址> :9216，会出现SecCenter A1000的Web登录界面，如下0所示。

Web登录界面
如果使用出厂设置，在User Name中输入“admin”，在Password中输入“sca1000@”，即可进入SecCenter A1000的应用系统界面。

2.7. SecCenter A1000 License授权操作指南
SecCenter A1000出厂时设备没有License授权，使用设备前需要根据用户购买的license数量生成相应的license。

被SecCenter A1000管理的设备及主机在使用前需要确认License启用。

获得License方法
1.开机获取SecCenter A1000设备的设备标识后发给H3C
2.H3C根据用户购买的license数量为客户生成license授权字符串及签名
3.用户使用生成的license授权字符串及签名给SecCenter A1000进行license授权
获取SecCenter A1000设备的设备标识操作方式
使用Web UI远程登录SecCenter A1000，选择点击Licenses按钮弹出license管理对话框。

在Web界面启动License配置对话框
在license管理对话框中选择Options页面，将System Identifier（系统标识）字符串拷贝出来发送给H3C。

拷贝System Identifier（系统标识）字符串
使用生成的license授权字符串及签名给SecCenter A1000进行license授权方法
将System identifier拷贝出来发送给H3C后，H3C会根据用户购买的license数量为其生成license 授权字符串及签名。

授权字符串及签名返回格式如下：
System Identifier:
NIC Info: 001143006028|000f3d800ccb|
HardDisk Id: tzNqYZFR1TJ19FeaQWdror6fuias5rG7
License Info:
Type: Trial License for 90 days
eCare:
Modules: SIEM
Devices: 10 Hosts: 10
Device Edits: 2 Host Edits: 2
License: GQYTIGA1DGGI2DKHE1TMGU2TKGM
Signature:
G2W3Tux23mtPiMGuH/G59CdeQnrNnRSmlRxPPJ48y4U+gJQI0cJNVY99t/L9bpYrLF6iA5keU7qLrUkXg4XONAKKEkuU 9al7i19sQsNUaq+rQSCBCU9i+w4La97ZytFjQudWDtgY3Ct/TSjcSoaIYg/DTlc3JewsqkHTzNNbh5w=
打开license管理对话框，选择Licenses页面再点击下面的“New”按钮弹出license增加页面：
使用授权字符串及签名完成License授权
选择Enter Manually方式，将H3C返回的授权字符串及签名中的License和Signature拷贝到对话框中的相应输入栏后按“Add”按钮即可完成license授权。

2.8. 配置设备的syslog主机地址
设置H3C的SecPath防火墙、VPN网关、路由器、交换机的Syslog Server IP地址为SecCenter A1000的IP地址，这样这些设备发出的Syslog就可以被SecCenter A1000接收。

例：SecPath防火墙的日志配置命令：
info-center loghost 192.168.1.1
配置设备的syslog服务器地址指向SecCenter A1000的网络接口地址
2.8.1. 设备启用license方法
SecCenter A1000接收到设备发来的syslog报文后会根据报文内容自动识别设备，自动识别设备后处于未授权状态，需要手工进行授权，才可正常接收解析设备发来的syslog日志。

“UnknownDeviceId”为未授权设备
选择一个未授权设备，如下图中的“UnknownDeviceId”，双击该设备图标会弹出License授权对话框，如下图所示：
设备License授权对话框
在License中选择“Now”，点击<OK>按钮，设备授权成功，License显示为：“Permanent”
如下图所示：
授权后设备License状态显示为“Permanent”
一个设备授权成功后将消耗SecCenter A1000的一个Device License，而且如果这个设备修改了IP地址，原来消耗掉的License也将不被释放，新IP地址将消耗掉另外一个License。

2.9. SecCenter A1000采集端口配置
SecCenter A1000可接收多种格式的报文，包括Syslog、Netflow、NetStream、防火墙二进制流日志，这些报文都是UDP格式的，SecCenter A1000接收这些报文需要配置监听端口。

出厂配置中系统只配置了syslog的监听端口514。

如果需要接收其它报文，需要增加监听端口。

给SecCenter A1000增加监听的配置如下：
1.首先登录SecCenter A1000的远程桌面
2.在SecCenter A1000远程桌面上选择Start->Programs->SecCenter A1000 v2.5->Configure Syslog
Server启动SecCenter A1000 Syslog Server Configure程序，选择Syslog Ports Tab页进行监听端口配置。

在SecCenter A1000的远程桌面启动监听端口配置
选择Syslog Ports Table页面进行监听端口配置
除了已经存在的syslog server的514端口，还可以选择增加Unix Hosts监听端口、NetStream监听端口、Comware Binary监听端口（就是SecPath防火墙二进制流日志监听端口）、Netflow/Cflow 监听端口。

Unix Hosts也是syslog格式的日志，但是由于514端口已经被接收设备日志的syslog server占用，
所以接收Unix Hosts Syslog日志需要选择其它端口（例如1514），这样就导致Unix主机缺省配置下发出的syslog日志（发往514目的端口）不能被接收。

需要修改Unix主机的配置，使Unix主机发日志使用SecCenter A1000配置的监听端口（例如1514）。

2.10. SecCenter A1000接收网流报文操作指南
2.10.1. NetStream
SecCenter A1000通过NetStream协议接收H3C网络设备的NetStream网流信息
使用协议：NetStream协议（H3C公司）
接收设备NetStream报文的步骤
●在SecCenter A1000的Syslog Server Configure配置中增加NetStream监听端口（详见2.9
SecCenter A1000采集端口配置）。

●设备先向SecCenter A1000发送syslog日志信息，SecCenter A1000识别该IP地址的设备为可
以支持的设备。

●在SecCenter A1000上为这个设备授权License，使其能够正常接收报文。

●SecCenter A1000可正常接收和解析设备发来的NetStream报文。

2.10.2. SecPath防火墙二进制流日志
SecCenter A1000通过H3C Firewall Binary Flow协议接收H3C防火墙设备的网流信息
使用协议：H3C Firewall Binary Flow（H3C公司）
接收设备SecPath防火墙二进制流日志报文的步骤
●在SecCenter A1000的Syslog Server Configure配置中增加Comware Binary监听端口（详见2.9
SecCenter A1000采集端口配置）。

●设备先向SecCenter A1000发送syslog日志信息，SecCenter A1000识别该IP地址的设备为可
以支持的设备。

●在SecCenter A1000上为这个设备授权License，使其能够正常接收报文。

●SecCenter A1000可正常接收和解析设备发来的SecPath防火墙二进制流日志报文。

2.10.
3. Netflow/CFlow
SecCenter A1000通过Netflow协议接收Cisco网络设备的Netflow网流信息
使用协议：Netflow协议（Cisco公司）
SecCenter A1000通过cFlow协议接收Juniper网络设备的cFlow网流信息
使用协议：cFlow协议（Juniper公司）
接收设备Netflow/CFlow报文的步骤
●在SecCenter A1000的Syslog Server Configure配置中增加Netflow/CFlow监听端口（详见2.9
SecCenter A1000采集端口配置）。

●设备先向SecCenter A1000发送syslog日志信息，SecCenter A1000识别该IP地址的设备为可
以支持的设备。

●在SecCenter A1000上为这个设备授权License，使其能够正常接收报文。

●SecCenter A1000可正常接收和解析设备发来的Netflow/CFlow报文。

2.10.4. 网流报文正常接收验证
以上提到的NetStream、SecPath防火墙二进制流日志、Netflow/Cflow都属于网流日志，在SecCenter A1000中显示输出在NetStream相关的监视器（Monitor）和报告（Report）中。

确认SecCenter A1000是否已经正常接收到了网流报文，可以在Web页面中打开Security Analysis Center画面选择Monitoring页面，在左侧的Monitoring TOC中选择NetStreamView打开网流实时监视画面，如果SecCenter A1000接收到了网流报文，NetStreamView会有实时统计信息显示出来，如下图：
网流统计实时监视画面
2.11. Windows主机操作指南
SecCenter A1000通过WMI接口获得Windows主机的日志信息、设备资产信息。

使用协议：WMI（Windows Management Instrumentation）
2.11.1. 手动增加Windows主机方法
登录SecCenter A1000的Web UI界面，选择Hosts管理页面，点击“Add Hosts”按钮弹出“Add Host”
（增加主机）向导对话框，按提示输入主机的IP地址/主机名、系统管理员账号及密码后可将
Windows主机加入SecCenter A1000的主机列表中，SecCenter A1000可通过WMI接口轮询
Windows主机的安全日志、资产信息。

SecCenter A1000的主机管理页面
在向导画面的System Type选项中选择Windows，按“Apply”按钮后再按“Next”按钮可完成Windows主机的添加。

SecCenter A1000的主机增加向导页面
2.11.2. 主机启用license方法
与设备的License授权一样，在正式确认设备的License之前系统不会采集该Windows主机的日志信息，系统显示该主机为“UnknownHostId”。

未授权License主机显示为“UnknownHostId”
选择一个未授权主机，如下图中的“UnknownHostId”，双击该设备图标会弹出License授权对话框，如下图所示：
主机License授权对话框
在License中选择“Now”，点击<OK>按钮，主机授权成功，License显示为：“Permanent”
如下图所示：
授权后主机License状态显示为“Permanent”
一个主机授权成功后将消耗SecCenter A1000的一个Host License，而且如果这台主机修改了IP地址，原来消耗掉的License也将不被释放，新IP地址将消耗掉另外一个License。

2.11.
3. Windows WMI接口测试
增加Windows主机后可测试WMI接口的可用性，验证SecCenter A1000能否通过WMI接口从
Windows主机获得日志和资产信息。

在主机管理页面中先选择要测试的Windows主机，然后点击“Test WMI”按钮。

Windows主机的WMI接口测试
如果WMI接口测试成功，会返回下面的提示信息：
WMI接口测试成功信息
如果测试失败，有可能是Windows主机已经关机、主机IP地址不可达或用户名密码错误。

2.11.4. 主机采集监视策略设置
主机加入后缺省状态是不采集和不被监视，见下图。

主机加入后缺省状态是不采集和不被监视
点击Monitoring可启动对主机的监视
点击“Policies”按钮可弹出采集策略配置对话框：
选择“Collect All”策略后点击Edit Policy弹出该策略的主机选择画面：
在Collect All策略的主机选择画面中选择要采集日志的主机后按“Save”按钮完成主机的采集策略配置。

启动了实时监视和采集的主机状态
2.12. Unix主机操作指南
SecCenter A1000通过syslog协议接收Unix、Linux主机的syslog信息
使用协议：syslog
SecCenter A1000通过SSH获取Unix、Linux主机设备资产信息
使用协议：SSH（Secure Shell）
2.12.1. 手动增加Unix主机方法
手动增加Unix主机方法基本上与前面介绍的手动增加Windows主机的方法相同，只是在增加主机向导画面中“System Type”选项选择Unix，用户名和密码选择Unix的根用户（root）权限的用户名和密码。

其它步骤与Windows主机增加相同。

SecCenter A1000的主机增加向导页面（Unix）
2.12.2. 主机启用license、采集监视及策略配置方法
Unix主机的License启用、采集监视启用和采集策略配置方法与Windows主机完全相同，请参考前面的章节。

2.12.
3. Unix主机的syslog发送、SSH接口配置方法
详细步骤见下面的文档
2.1
3. 数据库DB Audit操作指南
SecCenter A1000通过ODBC协议接收Oracle、Microsoft SQL Server的数据库审计日志信息
使用协议：ODBC协议
支持Microsoft SQL Server DB Audit功能的详细操作见下面的文档：
3. 目前还存在的问题，需要安装维护中注意的事项Current Problems and Matters
Deserving Attention in Installation and Maintenance
3.1. 报告数据滞后问题
SecCenter A1000的报告生成可通过Profiles定义，也可以在Security Analysis Center中直接选择即时报告。

报告的数据在系统初次使用一段时间后才会生成，至少两个小时以后报告中才会有数据输出。

如果希望得到有参考价值的统计信息，建议系统运行24小时以后再生成报告。

3.2. 报告无数据输出问题
SecCenter A1000包括7大类近1000种预定义报告，能否生成报告依赖于系统是否能够采集到生成报告需要的信息。

例如：如果系统没有增加任何类型的主机，就无法得到主机相关的报告；如果系统没有收到任何网流报文，也无法生成网流相关的报告。

3.3. Forensics查询数据滞后问题
Forensics目录压缩保留所有的原始数据，SecCenter A1000内部采用每小时更新增量部分的方式保存数据，所以涉及Forensic原始数据查询的功能（Forensic、Drilldown）时间范围应选择至少1个小时以前数据，否则因为系统还没有更新会查不到数据。

3.4. 手动删除设备后不能再自动发现设备问题
在SecCenter A1000设备管理中手动删除一个设备后，设备即使继续向SecCenter A1000发送日志也无法被再次自动发现。

这样处理的目的是为了防止不想监控的设备总向SecCenter A1000发送日志时可以避免系统总是出现弹出窗口。

但是这样处理也带来了上述问题，如果管理员不小心删除了一个设备就无法再监视了。

解决这个问题有两个方法：一个方法是重新启动SecCenter A1000整个系统，另外一个方法是仅仅重新启动采集进程，重新启动后系统就可以再次识别被手动删除的设备了。

重新启动采集进程方法：
登录到SecCenter A1000的远程桌面，用右键点击桌面上的“My Computer”图标，在右键菜单中选择“Manage”启动Computer Management(计算机管理)程序，在Services管理中找到SCA Syslog Service服务，选择Restart重新启动该服务。

SecCenter A1000远程桌面中的计算机管理界面
3.5. 进程重新启动问题
SecCenter A1000在实际使用环境中需要长期运行。

系统由多个进程组成，在长期运行过程中可能会发生个别进程死锁的情况，SecCenter A1000通过Watchdog机制可自动重新启动死锁的进程，自动恢复系统的运行。

系统进程重启期间将会短时间影响数据采集和统计。

3.6. License失效问题
SecCenter A1000的License通过采集系统硬盘ID、网卡MAC地址、软件版本等信息作为系统标识（System ID）用不可逆加密算法生与授权的license文件匹配，所以任何涉及系统标识变化的修改都会引起License失效，License失效后只能联系H3C为其重新生成。

主要引起License失效的几种操作：。