目录1 介绍 (1)1.1 特性简介 (1)1.2 注意事项 (1)2 配置举例 (1)2.1 组网需求 (1)2.2 配置步骤 (2)2.2.1 配置前检查 (2)2.2.2 安装FreeBSD系统 (2)2.2.3 安装采集器 (28)2.2.4 配置Quidway S3952P-EI (32)2.2.5 配置FTP服务器 (33)2.2.6 配置XLog UBAS软件 (33)2.2.7 验证结果 (39)2.3 故障排除举例 (39)2.3.1 故障现象 (39)3 相关资料 (41)3.1 相关协议和标准 (41)3.2 其它相关资料 (41)XLog 用户行为审计系统配置举例关键词：XLog、UBAS、DIG日志、DIG摘要日志摘要：XLog 用户行为审计系统和设备以及采集器配合可以对产生的NAT、Flow、NetStream、DIG以及DIG摘要日志进行统计；本文主要阐述了XLog 用户行为审计系统和采集器配合产生DIG日志和DIG摘要日志的组网、安装和配置过程。

缩略语：XLog、UBAS、DIG日志、DIG摘要日志1 介绍1.1 特性简介XLog 用户行为审计系统通过和设备以及采集器配合，接收并统计网络日志信息，可以采集到网络中的流量信息，同时也支持HTTP、SMTP以及FTP的内容摘要信息的采集，为用户提供直观详细的网络流量审计功能，从而掌握用户的网络行为。

1.2 注意事项XLog服务器的操作系统为Windows Server 2003 + SP1 或Windows 2000 Server + SP4)，数据库为SQL Server2000+SP3(或SP4)，客户端IE的版本应在5.5版本以上；另外本文仅阐述了FreeBSD系统的安装，XLog的安装请参考《XLog用户行为审计系统安装指导》，Windows Server 2003 的安装请另行查阅资料。

2 配置举例以采集器的DIG日志和DIG摘要日志与XLog的用户行为审计系统配合为例，说明FreeBSD和采集器的安装以及设备和XLog 用户行为审计系统的配置。

2.1 组网需求图 1 X Log UBAS系统采集DIG日志典型组网图图1为XLog UBAS系统配合采集器采集网络中的流量及摘要信息的组网图。

其中采集器的网卡VR1的IP地址不需要和局域网路由可达；其他所有网卡的地址都需要和网络路由可达。

局域网用户通过交换机上网，产生的流量都镜像到一个以太网口上，采集器的网卡VR1就连接在这个以太网口上，从而可以采集到本局域网所有用户的流量信息和部分应用的摘要信息；采集器再利用另一块网卡VR0将生成的日志文件通过交换机传给XLog服务器192.168.4.50供XLog管理员进行日志审计。

2.2 配置步骤2.2.1 配置前检查2.2.2 安装FreeBSD系统1. 光盘引导FreeBSD系统FreeBSD的光盘放入光驱，启动计算机，并选择启动设备为光驱图 2 光盘引导2. 选择引导方式使用数字键选择引导方式，默认引导方式是第一种；回车选择第一种引导方式进入下一步回车后，计算机将会自动从光盘引导FreeBSD系统图 4 引导FreeBSD3. 选择安装模式使用上下键进行选择操作，回车或空格即进入此选项；选择‘Standard’方式进行安装图 5 选择安装模式4. 划分分区下图的信息是对将要进行的分区操作的说明；直接回车进入分区编辑界面图 6 提示分区的帮助信息编辑分区使用的工具类似DOS下常用的Fdisk工具；如果计算机上没有其它操作系统，并且允许整个硬盘都用作安装FreeBSD，则直接点击键[A]自动划分分区；注意：此操作将会改变磁盘的分区，可能会导致其它分区数据的全部丢失图7 编辑分区点击键[A]后，分区工具自动将整个磁盘划分出一个分区（下图中有三条记录，第二个是新划分出的分区，第一个和第三个是预留未使用的空间）；再点击键[Q]即可完成分区操作图8 自动分区5. 安装引导管理器分区完成后，进行分区管理器的安装；默认选择‘BootMgr’回车即可图9 安装Boot Manager6. 划分FreeBSD分区下图的信息是对将要进行的分区操作的说明；直接回车进入分区编辑界面图10 提示划分FreeBSD分区划分FreeBSD分区是在之前划分的分区基础上进行的操作；直接点击键[A]使用自动分区功能，程序会根据系统的硬件配置自动划分出最佳的分区方案图11 编辑FreeBSD的分区点击键[A]后，程序会显示出划分分区的结果，如下图；再点击键[Q]即可完成FreeBSD分区的划分图12 自动划分FreeBSD分区7. 选择安装的内容划分完FreeBSD分区后，需要选择将要安装的内容；默认最小安装就可以，直接选择‘Exit’然后回车进入下一步图13 选择安装内容接下来选择FreeBSD的安装内容的位置，因为我们使用的是CD，因此默认选择‘1 CD/DVD’，回车进入下一步图14 选择安装介质以上的安装配置到这里就结束了，下面将进行真正的安装过程；此处程序给出了一个提示确认，选择‘Yes’回车后将进行文件拷贝和配置等操作系统的安装操作图15 提示安装的配置完毕8. FreeBSD的安装过程下图为操作系统自动安装过程的进度提示；需等待数分钟安装完毕后，系统会给出成功的提示信息，直接回车进入系统配置页面图17 提示安装完毕9. 网络的配置提示是否进行网络设备（网卡）的配置；选择‘Yes’回车进入下一步图18 提示是否配置网络设备选择需要配置的网卡，回车进入下一步；一般情况下以太网卡列在最上面的位置，从每条记录的描述信息最后的类型也可判断出网卡的类型图19 选择需要配置的网卡询问是否启用IPv6；我们现有的网络对IPv6的支持比较少，因此我们选择默认的‘No’回车进入下一步图20 询问是否开启IPV6询问是否在此网卡上开启DHCP自动获取地址功能；因为采集器和XLog配合工作需要一个固定的IP，因此选择‘No’回车进入下一步图21 询问是否开启DHCP接着填写网卡的相关配置信息；注意：网关和IP不要填写反了，否则会导致网络不通询问是否立即启动网卡；选择‘Yes’回车进入下一步询问是否将本计算机作为网关；选择‘No’回车进入下一步询问是否配置inet和网络服务；选择‘No’回车进入下一步询问是否使能SSH登录功能；选择‘No’回车进入下一步询问是否允许FTP匿名访问；选择‘No’回车进入下一步询问是否将本机配置为NFS；选择‘No’回车进入下一步询问是否将本机配置为NFS Client；选择‘No’回车进入下一步询问是否自定义控制台设置；选择‘No’回车进入下一步图30 询问是否自定义控制台设置10. 时区的配置接下来配置计算机的时区；选择‘Yes’回车进入下一步图31 询问是否设置本机时区询问计算机时钟是否为UTC时间；选择‘No’回车进入下一步图32 询问计算机时钟是否为UTC时间首先选择计算机所在时区所在的地区；因为计算机所在的的时区是北京东八区，因此选择‘5 Asia’回车进入下一步接着选择计算机所在时区所在的国家或地区；选择‘9 China’回车进入下一步图34 选择国家或地区然后选择计算机所在的时区；选择‘1 east China – Beijing，Guangdong，Shanghai，etc.’回车进入下一步图35 选择时区询问CST时区是否合理；选择‘Yes’回车进入下一步图36 询问CST时区是否合理11. 使能Linux兼容功能询问是否使能与Linux兼容；选择‘Yes’安装Linux兼容包图37 询问是否使能与Linux兼容安装Linux兼容包；需等待一到两分钟图38 安装Linux兼容包12. 安装鼠标询问本系统是否安装有鼠标；本系统没有安装图形界面，因此安装鼠标没有太大意义，选择‘No’回车进入下一步图39 询问是否安装鼠标13. 安装其他包询问是否安装其他包；采集器的运行不需要这些包的支持，直接选择‘No’进入下一步图40 询问是否安装其它包14. 用户和密码等的配置询问是否增加初始的用户；选择‘Yes’回车进入下一步图41 询问是否增加用户选择‘User’选项回车进入下一步填写用户信息，完毕后回车进入下一步提示必须设置系统管理员的密码；回车进入下一步设置系统管理员的密码；回车进入下一步再次重复输入系统管理员的密码；回车进入下一步图46 确认系统管理员的密码15. 最后确认提示是否查看并修改配置；选择‘No’回车进入下一步图47 提示是否查看配置安装完毕回到初始安装界面；选择‘Exit Install’回车退出安装程序图48 安装完毕回到初始安装界面提示是否退出；选择‘Yes’回车，系统会自动重新引导；至此FreeBSD操作系统的安装成功完成图49 提示是否退出16. 启动FreeBSD系统自动引导到下图界面；直接回车进入下一步界面上显示了八种启动方式；默认回车即会开始启动FreeBSD显示登录界面时表示FreeBSD系统启动成功图52 FreeBSD启动成功输入正确的用户名和密码回车后登录系统图53 成功登录FreeBSD2.2.3 安装采集器1. 挂载光盘驱动器将采集器的光盘放入光驱，然后使用“mount /cdrom”命令挂载上光驱图54 挂载光盘驱动器2. 进入采集器程序目录使用“cd /cdrom/h3cprobe”命令进入采集器程序所在的目录；并用“ls”命令列出文件列表图55 进入采集器程序目录3. 查看网卡的信息使用“ifconfig”查看FreeBSD系统下网卡的名字，后面安装采集器时会用到图56 确认网卡信息4. 安装采集器使用命令“./probe_installer.sh”执行采集器程序的安装脚本，进入下图界面；需要输入采集器的安装路径，直接回车默认即可图57 执行安装脚本文件拷贝完毕后，需输入上面步骤查询到的网卡名称；注意：网卡名必须输入正确，否则可能会导致采集器采集不到数据输入监听网卡名，根据提示可以输入多个（性能关系，最多可输入四个网卡名）输入完网卡名后，在提示是否输入其他网卡名时输入“n”即完成了采集器的安装图60 安装完毕，重启系统系统重新启动后，在命令行下输入命令“ps –ax | grep probe”，会至少显示两条信息，其中“grep probe”是输入的命令，而“/usr/local/xlog/probe”就是采集器的进程，如果有则表示安装并启动成功，否则请按以上“安装采集器”的步骤重新安装或咨询研发人员图61 确认采集器是否正常启动2.2.4 配置Quidway S3952P-EI首先根据2.1的组网需求，确定交换机的镜像端口和监听端口1. 创建镜像组#mirroring-group 1 local2. 将镜像端口加入镜像组#//使用下面的命令，可以将离散的端口加入到镜像组中，其中‘both’为同时镜像入方向和出方向的数据mirroring-group 1 mirroring-port Ethernet 1/0/1 Ethernet 1/0/3 both//下面的命令，可以将连续的端口加入到镜像组中，其中‘both’为同时镜像入方向和出方向的数据mirroring-group 1 mirroring-port Ethernet 1/0/5 to Ethernet 1/0/10 both3. 指定监听端口#mirroring-group 1 monitor-port Ethernet 1/0/48配置的最终结果为：所有经过Ethernet1/0/1、Ethernet1/0/3、Ethernet1/0/5到Ethernet1/0/10端口的入方向和出方向的数据都被镜像到Ethernet1/0/48。