日志分析管理用户使用手册

日志分析管理系统

使用手册

山东矩阵软件工程有限公司

2013年12月

1. 系统登录 (3)

2 系统首页 (3)

3 日志查询 (4)

4 配置管理 (7)

4.1 日志对象管理 (7)

4.2 事件库管理 (12)

4.3 模板库管理 (14)

4.4 过滤规则管理 (14)

4.5 报警规则管理 (16)

4.6用户管理 (18)

4.7 负责人员组 (19)

4.8 参数管理 (21)

4.9 数据库备份管理 (21)

4.10 服务管理 (22)

5 报表统计 (23)

1. 系统登录

系统登录默认URL为：地址：端口/LAMS

例如：http://192.168.1.10:8000/LAMS

默认用户名：001 默认密码：admin，登录页面如下所示：

2 系统首页

登录成功，进入系统首页，系统首页主要是对系统收集的日志进行概括性质的展示，在首页你可以做一下工作：

1.查看每个日志设备接收的日志系统，进入每个设备，按进程

名字，日志等级，查看日志详细信息。

2.使用系统常用快捷的统计功能，进行常用查看。

3.使用系统常用报表功能，查看统计报表。

4.查看常用统计图，直观了解系统日志接收情况。

5.查看系统实时日志信息。

左侧为快捷查询，简易报表展示，点击相应的按钮展示相应的报表或者查询。如下图所示

3 日志查询

日志查询功能为用户提供简洁的查询功能，用户通过查询功能可

以查询全部的日志信息，主机设备的日志信息，网络设备的日志信息，告警日志信息，未关联事件的日志信息，用户登录日志信息，用户变更日志信息等，模块页面如下：

系统左半部分为功能菜单，右边界面为系统便捷展示，主要为接收日志TOP10展示，报警日志TOP10展示，用户登录统计，登录失败统计，超级用户登录统计。

由于查询页面功能大体相似，以综合日志查询功能菜单为例，介绍查询功能使用：

上述界面为综合日志查询界面：

开始日期：日志接收的时间大于该日期。

结束日期：日志接收的时间小于该日期。

严重性：选择日志的级别。

查询对象：选择查询的日志主机设备（多选）

解析类型：选择日志设备类型。

主机IP：日志产生的设备地址。

进程：产生日志的进程，支持模糊查询。

信息：日志包含的信息，支持模糊查询。

查询结果页面如下所示：

在查询结果中，依次展示日志的接收时间，日志设备IP，进程名字，产生模块，严重升级，事件描述。

单击可以查看日志的详细信息，单击可以查看日志事件的详细描述。

如果该条信息没有描述，说明该条日志信息在系统事件库中没有匹配

到，在该条日志最后单击可以将该条信息根据关键字匹配加入到日志事件库中，如下图所示：

在事件库管理窗口中，单击，填写该条信息的“关键字”字段，“日志描述”字段后，单击按钮，即可添加如事件库，以后接收到的此条信息，可以显示添加的日志描述。

4 配置管理

4.1 日志对象管理

日志对象管理，在添加新的日志接收设备时使用，下面以添加主机设备192.168.0.1为例，说用日志对象管理的使用，系统操作界面如下：

添加一个日志主机，需要进行两步操作：1.增加日志源2.在增加的日志源的基础上增加日志模块，界面如下

分组主要对日志源进行分类，可以根据设备类别进行创建

日志源，即一个主机设备，日志来源

日志模块，主机下的日志，日志可以有多种，系统日志syslog 只是其中一种。

1.在选定的日志分组上右键单击，选择“增加日志源”，在右

边界面填写，日志源的对象编码，对象名称，顺序，IP地

址，负责人员组，展示界面如下：

对象编码：设备的编码，依习惯而定。

对象名称：一般为主机系统名称。

展示顺寻：排序使用。

IP地址：设备的IP地址。

负责人员组：选择负责人员组，可不选，即默认。

填写完毕后,单击按钮完成日志源的添加，提示信息如下：

2. 添加日志模块，在添加后的日志源上单击右键，选择“添加日志模块”展示页面如下：

对象编码：设备的编码

对象名称：由于只有一个日志模块，一般与日志源的名字相同。IP地址：继承自日志源，不用填写。

解析类型：选择设备的类型。

过滤规则：选择该模块的过滤规则，不选即采用默认规则。

填写完毕后,单击按钮完成日志模块的添加，提示信息如

下：

上述说明即为一个设备的添加过程，多个设备依次添加即可。

注意：添加完毕后，必须重新启动系统的“日志收集”服务,操作如下：

进入“后台管理”-“系统管理”-“服务管理”界面:

在“日志收集”服务，单击完“停止”后，单击“启动”按钮即可。

4.2 事件库管理

事件库是用来对单条日志进行匹配，对该条日志的内容进行进一步说明，若有提醒方案，对用户进行提醒并且提供处理措施的一个数据汇总。如用户在使用过程中发现库中没有的事件，可以在事件库管理板块对事件库进行添加。该模块并且提供事件库的编辑与删除功能可对事件库进行维护。

1·添加事件的时候先选中解析类型，选择需要添加的系统类型

2·点击添加按钮之后弹出添加的弹出框，填写当中的内容。其中

关键字在Windows系统中为日志的编号为数字，在其他系统中为能唯一识别日志信息的字符串。可用性为是否可用，日志查询为是否可提供查询，日志级别选择当前日志的级别，模板库选择当前的模板库，日志描述填写对该日志的描述信息。Pri填写当前日志syslog发送的pri数值。填写完毕之后点击添加完成添加新事件。