入侵检测 (eTrust Intrusion Detection)-6
第 6 章 汇总网络活动
入侵检测 (eTrust Intrusion Detection) 的另一个重要功能就是它的报告功能。用入侵检测 (eTrust Intrusion Detection) 可以获得与网络中特定活动有关的详细信息和特定协议、用户或用户组的总体网络使用情况。此外,通过“深入”功能还可以查看与报告中特定项目有关的详细信息。本章将介绍入侵检测 (eTrust Intrusion Detection) 已包括的网络活动和定义的所有预定义报告,以及如何定制它们。
6.1 入侵检测 (eTrust Intrusion Detection) 报告介绍
在入侵检测 (eTrust Intrusion Detection) 中已经有了许多反映网络活动和定义的报告。用入侵检测 (eTrust Intrusion Detection) 收集的当前数据或者历史数据都可以生成报告。此外,还可以为特定时间范围和特定“站”创建报告。用户可以在屏幕上查看、打印报告、使用电子邮件发送或者用一些格式保存它们。
为了增强入侵检测 (eTrust Intrusion Detection)的报告功能,报告浏览器组件已经添加到入侵检测 (eTrust Intrusion Detection) 的软件中。用报告浏览器可以查看入侵检测 (eTrust Intrusion Detection) 的报告器或者计划器在任何计算机上生成的报告—即使在该机器上没有安装入侵检测 (eTrust Intrusion Detection)。
6.1.1 报告是如何生成的?
报告可基于快照或者统计数据库。统计数据库是一个内部数据库,入侵检测 (eTrust Intrusion Detection) 在其中存储统计信息。数据是按用户定义的时间间隔添加到该文件中的(参见“设置”、“选项”,“高级”)。快照是特别用于报告的文件,它包含快照拍摄时记录的所有数据。快照可以自动或手工拍摄。
6.1.2 如何创建报告?
创建报告的方式有三种:使用报告器、创建查询或者使用报告计划器来生成计划报告。下面是这些报告生成方式的说明:
查询报告---“查询”报告反映了网络流量的当前状态。在生成“查询”报告时将自动拍摄快照以便生成报告。在报告生成后,快照文件将删除。
报告器 --- 报告器可以提供包含历史或当前累积数据的报告。在激活报告器时需要指定用于生成报告的快照和统计数据库文件。要使用当前数据,需拍摄快照,更新统计文件,或者可以选择保存的任何历史快照和统计文件。
报告计划器-- 用计划器可以在预先确定的时间生成报告。用计划选项可以定义要在每天、每周或者任何时间生成的一些报告。在到达预定的时间后,入侵检测 (eTrust Intrusion Detection) 将拍摄“快照”,类似于在预定义时间生成查询。
6.1.3 可以使用什么类型的报告?
入侵检测 (eTrust Intrusion Detection) 包括许多符合不同需要的报告。为了方便使用,报告划分为组。下面是报告类型的说明:
统计报告 --- 根据客户和协议对网络活动汇总。
常规报告 --- 包括常规报告、时段报告和反映安全冲突的报告。同时包括以金额价值反映网络使用情况的记帐报告。
网上冲浪报告-- 包括有关 Web 活动的报告、有关 URL 访问的报告和有关 URL 类别的报告。
协议流量报告--每组协议都有一组自己的报告,它们显示了某个时间段内的流量情况和活动量最大的用户。
事件报告 ---包括记录和阻塞的事件报告。
定义报告 -- 包括与程序定义有关的报告,例如定义的网络对象、行为和规则类型的报告。
6.1.4 外部报告工具
入侵检测 (eTrust Intrusion Detection) 目前包括了输出日志文件以便在外部报告工具(例如 WebTrends 和 Telemate)中创建报告的选项。在入侵检测 (eTrust Intrusion Detection) 中可以定义每个文件的记录数和更新日志文件的频率。在 Telemate 和 WebTrends 中可以从收集的日志文件手工生成报告,或者用计划选项自动创建报告,该选项可以在特定的时间生成报告。
6.2 保存数据用于报告生成
报告可以基于快照或者统计数据库。统计数据库是内部数据库,入侵检测 (eTrust Intrusion Detection) 在预定的时间间隔用它存储统计信息(参见“设置”、“选项”、“高级”)。快照文件包含快照拍摄时的所有日志数据和阻塞数据。
6.2.1 拍摄快照
用“拍摄快照”命令可以将“树”和“视图”窗口中的当前数据保存到数据库中。该命令创建称为“快照”的“冷冻数据”文件,然后将它保存为数据库文件以用于生成报告。在此之后可以用该文件中的信息来生成报告。
拍摄快照步骤为:
1. 在“功能”菜单上选择“报告”以显示“报告”菜单。
2. 选择“捕获快照”查看快照数据库列表。
3. 选择现有的数据库或者创建新数据库。
4. 单击“保存”。
6.2.2 将网络统计数据复制到数据库中
在运行时,入侵检测 (eTrust Intrusion Detection) 自动在固定时间间隔将网络统计数据保存到 StatDB.mdb 数据库中。选择“设置”、“选项”、“高级”可以更改时间间隔。用“复制统计数据”命令可以用上一次清除统计数据之后累积的信息来更新数据库。在此之后可以检索该信息并生成报告。
复制统计数据:
1. 在“功能”菜单上选择“报告”以显示“报告”菜单。
2. 选择“复制统计数据”查看统计数据数据库列表。
3. 选择现有的数据库或者输入新数据库名称。
4. 单击“保存”。
6.3 使用报告器
报告器可以提供包含历史或当前累积数据的报告。
在激活报告器时需要指定将用于生成报告的快照和统计数据库文件。使用当前数据的方法是拍摄快照和更新统计数据文件,或者可以使用现有的快照或统计数据库。
报告过程如下:
1. 为报告选择数据库。您可以选择当前或历史数据。
2. 选择报告类型。
3. 查看、打印或输出报告,或者将数据报告到其它应用程序。
6.3.1 启动报告器
在启动报告器后,需要为报告选择数据库。
启动报告器:
1. 在“功能”菜单上选择“报告”。
2. 从出现的菜单中选择“启动报告器”。
3. 在“启动报告器”对话框中选择“捕获快照”和“更新统计数据”(我们建议两者都选)。
l “拍摄快照”选项使用“树”和“视图”窗口中的当前数据来创建报告。
l “更新统计数据”选项包括从上一次自动更新后添加的新统计数据(默认为每 120 分钟)。
4. 单击“确定”查看快照数据库列表。
5. 选择存储数据的文件名。
6. 单击“保存”。“入侵检测 (eTrust Intrusion Detection) 报告器”对话框出现。
7. 按照下面“创建报告”中的步骤选择报告类型并配置报告参数。
友好提示 — 由于报告器是单独的程序,因此可以独立于入侵检测 (eTrust Intrusion Detection) 激活它。方法在“开始”菜单上选择“程序”、“入侵检测 (eTrust Intrusion Detection)”、“报告器”。
6.3.2 为报告选择数据库
在启动报告器后,系统将提示选择报告基于的数据库。您可以根据需要的报告更改该数据库。
为报告选择数据库:
1. 打开报告器。
2. 选择“打开数据库”,然后单击“快照”或“统计”。
3. 选择数据库,然后单击“确定”。现在可以根据该数据库选择报告。
6.3.3 创建报告
报告器从存储在“快照”和“统计数据库”中的数据生成报告。然后可以将报告打印到文件或打印机、查看报告或者将报告输出为不同的文件格式。
创建报告:
1. 启动报告器,然后为报告选择数据库。
2. 选择报告类型。报告的描述将出现在对话框的底部。
3. 单击“选项”按钮定义报告的参数。参见本章后面的“定义报告参数”以获得更多细节。定义报告属性,然后单击“确定”。
4. 选择下列行为之一:预览、打印、输出或者将报告数据输出到数据库。
5. 单击“关闭”关闭报告器。
6.3.4 定义报告参数
入侵检测 (eTrust Intrusion Detection) 允许通过定义不同的参数来创建更精确和有用的报告。例如,用户可以决定将包括在报告中的网络对象、应用报告的时间以及数据如何存储在报告中。
定义报告参数:
1. 选择报告类型。
2. 单击“选项”显示“排序和选择”对话框。该对话框中可用的选项卡取决于选定的报告类型。如图所示。
3. 单击“客户”选项卡以便为将应用的报告选择站。可以选择所有站、单个站 或者网络对象。
4. 单击“服务器”选项卡为服务器定义报告。可以选择为特定的服务器地址、所有可用的服务器地址或者网络对象创建报告。
注意:用网络对象可以为特定的域、IP 地址范围或者网络对象中定义的任何其它组生成报告。
5. 在“排列顺序”框中选择站出现在报告中的顺序。您可以选择 IP 地址、DNS 名称、MAC 地址或者活动。只有与选定报告有关的选项才有效。
6. 单击“规则”选项卡确定将包括在报告中的规则。单击“全选”可以选择所有规则,或者单击“全部取消选择”以便选择特定的规则。
7. 单击“URL 类别”选项卡为特定的报告选择类别。单击“全选”可以选择所有可用的类别,或者单击“全部取消选择”以便选择单个类别。
8. 如果选择每用户“记帐”报告,那么请单击“记帐”选项卡以定义代表特定服务 1M Bytes 数据的货币价值。通过这种方式可以创建将网络流量使用情况转换为货币价值的报告。
9. 在“报告小标题”框中可以键入报告的描述以便识别报告。
10. 选择“保留设置”以保留报告参数供将来使用。
11. 单击“确定”接受对参数的改动。现在就可以查看、打印、输出报告数据,或者将报告输出为不同的文件格式。
6.4 创建用户报告
通过“Crystal Reports 设计器”可以根据快照或统计数据库创建自己的报告,然后将这些报告添加到入侵检测 (eTrust Intrusion Detection) 的报告列表中。
为此,您需要 Crystal Reports? 和入侵检测 (eTrust Intrusion Detection) 数据库方案,从入侵检测 (eTrust Intrusion Detection) 的 web 站点的“维护”页上可以找到它们。用 Crystal Reports 和方案可以创建报告模板,然后可以将模板添加到报告列表的“用户定义”报告中。
定义用户报告有下列步骤:
1. 从入侵检测 (eTrust Intrusion Detection) 维护站点下载入侵检测 (eTrust Intrusion Detection) 报告器数据库方案。本文档介绍不同的数据库和字段之间的连接。
2. 在 Crystal Reports 程序中选择入侵检测 (eTrust Intrusion Detection) 为快照和统计数据创建的 .mdb 文件,然后用这些文件设计自己的报告。
3. 在报告就绪后,请打开入侵检测 (eTrust Intrusion Detection) 报告器并定义用户报告。
6.4.1 关于数据库
“报告”数据库包含两个数据库文件:“快照”文件和“统计数据”文件。统计数据文件是由入侵检测 (eTrust Intrusion Detection) 根据用户预定义的时间间隔自动更新的,并且包括统计数据帧。每个帧都对应于数据收集的时间,并且包括从前一统计数据帧到当前统计数据帧的数据更新。
每个统计数据帧都包括下列表:
l TotalStatistics 表:该表包括每个站的当前数据记录,并且不断更新。该表用于不使用历史数据的报告。
l Client/Server/User 表:这些表包含客户、服务器和用户统计信息,例如 IP 地址和 MAC 地址。
l Service ID 表:该表指向显示使用的服务类型的“服务名”表。
l TimeStamp 表:该表指向 TimeStamp 表,它显示获得帧的时间。
快照文件提供了在入侵检测 (eTrust Intrusion Detection) 中触发的所有事件概要。事件可以是阻塞事件、日志事件或者记录下来但没有数据的事件。基于该数据库的报告可以为入侵检测 (eTrust Intrusion Detection) 用户提供监控其网络趋势和异常情况的信息。快照数据库是在特别请求的时间保存的(手工或者在计划的时间),并且包括在该时间的所有入侵检测 (eTrust Intrusion Detection) 事件。
快照数据库包括两个主要的表:阻塞会话表和快照表。
l 阻塞会话表包括的记录描述了数据库中的所有阻塞事件,并有指向阻塞器名称表、客户站表、服务器站表和阻塞 HTTP 会话表的指针。
l 快照表记录了发生的每个事件(阻塞器表中的事件除外),而且有许多字段。几乎所有表都指向其它表,例如,服务 ID 表指向服务名称表,客户 ID 表指向客户站表,事件表指向各色字符串表,等等。
下面四个字段对不同的协议有不同的含义:
l UserSender
l UserRecipient
l NewsGroup
l Subject
在入侵检测 (eTrust Intrusion Detection) 报告器数据库文档中可以找到每个协议每个字段的含义说明。
6.4.2 在 Crystal Reports 中创建报告
在阅读了入侵检测 (eTrust Intrusion Detection) 报告器数据库文档后就可以准备用 Crystal Reports 创建报告了。Crystal Reports 程序可以指导您创建新报告。
创建新报告步骤如下:
1. 打开“Crystal Reporter”。
2. 单击“新建报告”。
3. 选择报告类型,例如“标准”或“深入”。
4. 选择数据文件:StatDB.mdb 或 snapshot.mdb。
5. 选择报告所需的表,例如,对于要为前十个活动量最大的站显示总协议数据量的报告来说,需要总统计数据和客户表。
6. 定义表之间的链接。
7. 选择表中使用的字段,为每个字段选择排序参数,然后选择用于确定报告中不同总和的字段。
8. 选择图类型并确定图形参数。然后选择将用于创建图形的字段。
9. 对报告指定名称,然后选择报告样式。
10. 预览并保存报告以便在入侵检测 (eTrust Intrusion Detection) 报告器中使用。
6.4.3 将用户报告合并到入侵检测 (eTrust Intrusion Detection) 报告器中
在 Crystal Reports 程序中创建了报告后,通过下列步骤可以将报告包括在入侵检测 (eTrust Intrusion Detection) 报告器中。
将用户报告添加到入侵检测 (eTrust Intrusion Detection) 报告中
1. 在入侵检测 (eTrust Intrusion Detection) 中选择“开始”、“程序”、“Computer Associates 入侵检测”、“报告器”。
2. 在“入侵检测报告器”对话框中单击“用户报告”,然后单击“添加”。“用户报告”对话框将显示在下面的页面上。如图所示。
3. 在“报告名称”框中键入标识报告的名称。在使用入侵检测 (eTrust Intrusion Detection) 报告器或者计划器应用程序时,该名称将显示在“用户定义”类别之下。
4. 在“报告文件”框中键入为报告创建的Crystal Reports 的 rpt 文件路径,或者单击“浏览”搜索 .rpt 文件。
5. 在“描述”框中键入报告的描述。当在报告列表中选择报告后,该描述将显示出来。
6. 单击“使用统计数据”或者“使用快照”,然后选择报告将使用的数据库,并且选择相应的过滤器。
7. 单击“确定”。新报告将出现在报告列表底部的“用户定义”文件夹中。现在就可以查看报告、输出报告数据、输出报告、打印报告或者计划在特定的时间生成报告了。如图所示。
注意:入侵检测 (eTrust Intrusion Detection)对用户添加的报告不支持设置参数的功能。例如,创建的报告可以说明即将进入特定分类站点的人员,以及在详细的三维饼图中显示该数据。您无法选择诸如为报告定义特定分类站点的参数,而在入侵检测 (eTrust Intrusion Detection) 提供的报告中是可以的。
6.5 预览报告
在生成了报告后可以在屏幕上查看报告。报告数据将以字节或千字节显示,并且包括百分比指示(如果可行)。在报告标题中可以看到排序参数。
预览报告
1. 在“报告器”对话框中选择报告类型,然后单击“预览报告”。报告的示例将显示在下面。
2. 用箭头按钮滚动到报告。
3.从“报告”工具栏中选择下列选项之一:
设置打印机属性。
显示特定客户的详细统计数据。
打印报告。
输出报告。“输出”对话框出现。
友好提示 — 将指针(放大镜)放在报告的项目上,然后双击可以看到与该项目有关的更多信息。
6.6 计划报告
用报告计划器可以在预定义的时间生成报告。计划器可以定义在每日、每周、每月或每年生成报告。报告计划器是独立的应用程序,当入侵检测 (eTrust Intrusion Detection) 不运行时也可以调用它。但是,这样只能查看和配置报告。要生成报告,必须在入侵检测 (eTrust Intrusion Detection) 内激活计划器(选择“功能”、“启动报告日程管理”)。
注意:在入侵检测 (eTrust Intrusion Detection) 不运行时是无法计划报告的。入侵检测 (eTrust Intrusion Detection) 的状态显示在“配置”页的顶部。
报告计划器可以每 15 分钟创建报告。
6.6.1 启动报告计划器
当入侵检测 (eTrust Intrusion Detection) 运行或者不运行时都可以启动报告计划器。但是,如果入侵检测 (eTrust Intrusion Detection) 不运行,那么只能查看旧的报告和配置新报告。在激活入侵检测 (eTrust Intrusion Detection) 之前不能生成新报告。
启动报告计划器
单击“开始”、“程序”、“入侵检测 (eTrust Intrusion Detection)”、“报告计划程序”。
或者,
启动入侵检测(eTrust Intrusion Detection)后在“功能”菜单上选择“启动报告日程安排”。
或者,
当启动入侵检测 (eTrust Intrusion Detection)时自动启动计划器,方法是选择“设置”、“选项”、“设置”,选中“启用报告时间安排”。
按照下面小节中的指导可以配置和查看计划的报告。
6.6.2 计划报告
用报告计划器可以在预定的时间生成入侵检测 (eTrust Intrusion Detection) 中可以找到的任何报告。
计划报告步骤如下:
1. 启动报告计划器。“报告计划器”对话框显示。
2. 选择“安排好的报告”选项卡,然后单击“添加”按钮添加报告。
3. 在“报告配置”对话框中滚动查找报告类型。
4. 在“做什么”框中选择下列选项:
格式 从下拉列表中选择报告的格式。
打印 打印选定的报告。在“报告计划器”窗口中选择“文件”、“打印”以便设置打印机参数。
保存以供过后查看 将报告保存到入侵检测 (eTrust Intrusion Detection) 目录中的“计划器”文件夹中。该目录包含报告的历史记录。用“格式”选项可以决定报告的格式。例如,可以选择将报告保存为“Crystal Reports”(在入侵检测中使用“预览报告”命令时出现的格式)或者 Word 文档。
覆盖用户定义文件 将选定报告的最新副本复制到用户定义的位置。也可以对报告指定新名称。
发邮件给 通过电子邮件将报告发送到指定地址。请在电子邮件选项旁的框中输入电子邮件地址。
5. 在“生成时间”框中确定报告时间。报告生成可以计划在每日、每周、每月或者每年,方法是单击适当的选项卡,然后选择需要的时间。报告可以计划为 15 分钟间隔。也可以选择在发生工作区切换时创建报告。
6. 单击“选项”定义计划报告的参数。“排序和选择”对话框出现。有关详细的指导,请参见本章前面的“定义报告参数”。
7. 单击“确定”将报告包括在“计划报告”页中的列表中。报告将在预定的时间生成,并且显示在“查看”选项卡中。参见下一节可以获得有关查看已生成报告的细节。
8. 如果要取消计划报告,先在“计划报告”页中选择报告,然后单击“删除”。
9. 单击“属性”可以查看和修改计划报告的属性。
10. 从“文件”菜单中选择“打印设置”以打印报告。
友好提示 — 同样也可以选择报告,然后单击鼠标右键以添加、删除报告或者查看报告属性。
6.6.3 查看计划报告
用入侵检测 (eTrust Intrusion Detection) 的报告计划器可以计划在特定的时间生成报告。在生成报告之后可以直接在报告计划器中查看报告。
查看报告
1. 生成计划报告。参见“计划报告”中的详细信息。
2. 在“报告计划器”对话框中选择“查看输出”选项卡以显示已生成报告列表。
“查看输出”窗口将显示报告名称、报告生成的时间和有关报告的任何说明。报告名称旁的图标显示了输出类型。
3. 选择报告,然后选择保存、查看、删除或打印报告。
注意:如果在创建或查看计划报告时出现错误,那么“查看”页中的“备注”列中将显示错误消息
入侵检测 (eTrust Intrusion Detection) 的另一个重要功能就是它的报告功能。用入侵检测 (eTrust Intrusion Detection) 可以获得与网络中特定活动有关的详细信息和特定协议、用户或用户组的总体网络使用情况。此外,通过“深入”功能还可以查看与报告中特定项目有关的详细信息。本章将介绍入侵检测 (eTrust Intrusion Detection) 已包括的网络活动和定义的所有预定义报告,以及如何定制它们。
6.1 入侵检测 (eTrust Intrusion Detection) 报告介绍
在入侵检测 (eTrust Intrusion Detection) 中已经有了许多反映网络活动和定义的报告。用入侵检测 (eTrust Intrusion Detection) 收集的当前数据或者历史数据都可以生成报告。此外,还可以为特定时间范围和特定“站”创建报告。用户可以在屏幕上查看、打印报告、使用电子邮件发送或者用一些格式保存它们。
为了增强入侵检测 (eTrust Intrusion Detection)的报告功能,报告浏览器组件已经添加到入侵检测 (eTrust Intrusion Detection) 的软件中。用报告浏览器可以查看入侵检测 (eTrust Intrusion Detection) 的报告器或者计划器在任何计算机上生成的报告—即使在该机器上没有安装入侵检测 (eTrust Intrusion Detection)。
6.1.1 报告是如何生成的?
报告可基于快照或者统计数据库。统计数据库是一个内部数据库,入侵检测 (eTrust Intrusion Detection) 在其中存储统计信息。数据是按用户定义的时间间隔添加到该文件中的(参见“设置”、“选项”,“高级”)。快照是特别用于报告的文件,它包含快照拍摄时记录的所有数据。快照可以自动或手工拍摄。
6.1.2 如何创建报告?
创建报告的方式有三种:使用报告器、创建查询或者使用报告计划器来生成计划报告。下面是这些报告生成方式的说明:
查询报告---“查询”报告反映了网络流量的当前状态。在生成“查询”报告时将自动拍摄快照以便生成报告。在报告生成后,快照文件将删除。
报告器 --- 报告器可以提供包含历史或当前累积数据的报告。在激活报告器时需要指定用于生成报告的快照和统计数据库文件。要使用当前数据,需拍摄快照,更新统计文件,或者可以选择保存的任何历史快照和统计文件。
报告计划器-- 用计划器可以在预先确定的时间生成报告。用计划选项可以定义要在每天、每周或者任何时间生成的一些报告。在到达预定的时间后,入侵检测 (eTrust Intrusion Detection) 将拍摄“快照”,类似于在预定义时间生成查询。
6.1.3 可以使用什么类型的报告?
入侵检测 (eTrust Intrusion Detection) 包括许多符合不同需要的报告。为了方便使用,报告划分为组。下面是报告类型的说明:
统计报告 --- 根据客户和协议对网络活动汇总。
常规报告 --- 包括常规报告、时段报告和反映安全冲突的报告。同时包括以金额价值反映网络使用情况的记帐报告。
网上冲浪报告-- 包括有关 Web 活动的报告、有关 URL 访问的报告和有关 URL 类别的报告。
协议流量报告--每组协议都有一组自己的报告,它们显示了某个时间段内的流量情况和活动量最大的用户。
事件报告 ---包括记录和阻塞的事件报告。
定义报告 -- 包括与程序定义有关的报告,例如定义的网络对象、行为和规则类型的报告。
6.1.4 外部报告工具
入侵检测 (eTrust Intrusion Detection) 目前包括了输出日志文件以便在外部报告工具(例如 WebTrends 和 Telemate)中创建报告的选项。在入侵检测 (eTrust Intrusion Detection) 中可以定义每个文件的记录数和更新日志文件的频率。在 Telemate 和 WebTrends 中可以从收集的日志文件手工生成报告,或者用计划选项自动创建报告,该选项可以在特定的时间生成报告。
6.2 保存数据用于报告生成
报告可以基于快照或者统计数据库。统计数据库是内部数据库,入侵检测 (eTrust Intrusion Detection) 在预定的时间间隔用它存储统计信息(参见“设置”、“选项”、“高级”)。快照文件包含快照拍摄时的所有日志数据和阻塞数据。
6.2.1 拍摄快照
用“拍摄快照”命令可以将“树”和“视图”窗口中的当前数据保存到数据库中。该命令创建称为“快照”的“冷冻数据”文件,然后将它保存为数据库文件以用于生成报告。在此之后可以用该文件中的信息来生成报告。
拍摄快照步骤为:
1. 在“功能”菜单上选择“报告”以显示“报告”菜单。
2. 选择“捕获快照”查看快照数据库列表。
3. 选择现有的数据库或者创建新数据库。
4. 单击“保存”。
6.2.2 将网络统计数据复制到数据库中
在运行时,入侵检测 (eTrust Intrusion Detection) 自动在固定时间间隔将网络统计数据保存到 StatDB.mdb 数据库中。选择“设置”、“选项”、“高级”可以更改时间间隔。用“复制统计数据”命令可以用上一次清除统计数据之后累积的信息来更新数据库。在此之后可以检索该信息并生成报告。
复制统计数据:
1. 在“功能”菜单上选择“报告”以显示“报告”菜单。
2. 选择“复制统计数据”查看统计数据数据库列表。
3. 选择现有的数据库或者输入新数据库名称。
4. 单击“保存”。
6.3 使用报告器
报告器可以提供包含历史或当前累积数据的报告。
在激活报告器时需要指定将用于生成报告的快照和统计数据库文件。使用当前数据的方法是拍摄快照和更新统计数据文件,或者可以使用现有的快照或统计数据库。
报告过程如下:
1. 为报告选择数据库。您可以选择当前或历史数据。
2. 选择报告类型。
3. 查看、打印或输出报告,或者将数据报告到其它应用程序。
6.3.1 启动报告器
在启动报告器后,需要为报告选择数据库。
启动报告器:
1. 在“功能”菜单上选择“报告”。
2. 从出现的菜单中选择“启动报告器”。
3. 在“启动报告器”对话框中选择“捕获快照”和“更新统计数据”(我们建议两者都选)。
l “拍摄快照”选项使用“树”和“视图”窗口中的当前数据来创建报告。
l “更新统计数据”选项包括从上一次自动更新后添加的新统计数据(默认为每 120 分钟)。
4. 单击“确定”查看快照数据库列表。
5. 选择存储数据的文件名。
6. 单击“保存”。“入侵检测 (eTrust Intrusion Detection) 报告器”对话框出现。
7. 按照下面“创建报告”中的步骤选择报告类型并配置报告参数。
友好提示 — 由于报告器是单独的程序,因此可以独立于入侵检测 (eTrust Intrusion Detection) 激活它。方法在“开始”菜单上选择“程序”、“入侵检测 (eTrust Intrusion Detection)”、“报告器”。
6.3.2 为报告选择数据库
在启动报告器后,系统将提示选择报告基于的数据库。您可以根据需要的报告更改该数据库。
为报告选择数据库:
1. 打开报告器。
2. 选择“打开数据库”,然后单击“快照”或“统计”。
3. 选择数据库,然后单击“确定”。现在可以根据该数据库选择报告。
6.3.3 创建报告
报告器从存储在“快照”和“统计数据库”中的数据生成报告。然后可以将报告打印到文件或打印机、查看报告或者将报告输出为不同的文件格式。
创建报告:
1. 启动报告器,然后为报告选择数据库。
2. 选择报告类型。报告的描述将出现在对话框的底部。
3. 单击“选项”按钮定义报告的参数。参见本章后面的“定义报告参数”以获得更多细节。定义报告属性,然后单击“确定”。
4. 选择下列行为之一:预览、打印、输出或者将报告数据输出到数据库。
5. 单击“关闭”关闭报告器。
6.3.4 定义报告参数
入侵检测 (eTrust Intrusion Detection) 允许通过定义不同的参数来创建更精确和有用的报告。例如,用户可以决定将包括在报告中的网络对象、应用报告的时间以及数据如何存储在报告中。
定义报告参数:
1. 选择报告类型。
2. 单击“选项”显示“排序和选择”对话框。该对话框中可用的选项卡取决于选定的报告类型。如图所示。
3. 单击“客户”选项卡以便为将应用的报告选择站。可以选择所有站、单个站 或者网络对象。
4. 单击“服务器”选项卡为服务器定义报告。可以选择为特定的服务器地址、所有可用的服务器地址或者网络对象创建报告。
注意:用网络对象可以为特定的域、IP 地址范围或者网络对象中定义的任何其它组生成报告。
5. 在“排列顺序”框中选择站出现在报告中的顺序。您可以选择 IP 地址、DNS 名称、MAC 地址或者活动。只有与选定报告有关的选项才有效。
6. 单击“规则”选项卡确定将包括在报告中的规则。单击“全选”可以选择所有规则,或者单击“全部取消选择”以便选择特定的规则。
7. 单击“URL 类别”选项卡为特定的报告选择类别。单击“全选”可以选择所有可用的类别,或者单击“全部取消选择”以便选择单个类别。
8. 如果选择每用户“记帐”报告,那么请单击“记帐”选项卡以定义代表特定服务 1M Bytes 数据的货币价值。通过这种方式可以创建将网络流量使用情况转换为货币价值的报告。
9. 在“报告小标题”框中可以键入报告的描述以便识别报告。
10. 选择“保留设置”以保留报告参数供将来使用。
11. 单击“确定”接受对参数的改动。现在就可以查看、打印、输出报告数据,或者将报告输出为不同的文件格式。
6.4 创建用户报告
通过“Crystal Reports 设计器”可以根据快照或统计数据库创建自己的报告,然后将这些报告添加到入侵检测 (eTrust Intrusion Detection) 的报告列表中。
为此,您需要 Crystal Reports? 和入侵检测 (eTrust Intrusion Detection) 数据库方案,从入侵检测 (eTrust Intrusion Detection) 的 web 站点的“维护”页上可以找到它们。用 Crystal Reports 和方案可以创建报告模板,然后可以将模板添加到报告列表的“用户定义”报告中。
定义用户报告有下列步骤:
1. 从入侵检测 (eTrust Intrusion Detection) 维护站点下载入侵检测 (eTrust Intrusion Detection) 报告器数据库方案。本文档介绍不同的数据库和字段之间的连接。
2. 在 Crystal Reports 程序中选择入侵检测 (eTrust Intrusion Detection) 为快照和统计数据创建的 .mdb 文件,然后用这些文件设计自己的报告。
3. 在报告就绪后,请打开入侵检测 (eTrust Intrusion Detection) 报告器并定义用户报告。
6.4.1 关于数据库
“报告”数据库包含两个数据库文件:“快照”文件和“统计数据”文件。统计数据文件是由入侵检测 (eTrust Intrusion Detection) 根据用户预定义的时间间隔自动更新的,并且包括统计数据帧。每个帧都对应于数据收集的时间,并且包括从前一统计数据帧到当前统计数据帧的数据更新。
每个统计数据帧都包括下列表:
l TotalStatistics 表:该表包括每个站的当前数据记录,并且不断更新。该表用于不使用历史数据的报告。
l Client/Server/User 表:这些表包含客户、服务器和用户统计信息,例如 IP 地址和 MAC 地址。
l Service ID 表:该表指向显示使用的服务类型的“服务名”表。
l TimeStamp 表:该表指向 TimeStamp 表,它显示获得帧的时间。
快照文件提供了在入侵检测 (eTrust Intrusion Detection) 中触发的所有事件概要。事件可以是阻塞事件、日志事件或者记录下来但没有数据的事件。基于该数据库的报告可以为入侵检测 (eTrust Intrusion Detection) 用户提供监控其网络趋势和异常情况的信息。快照数据库是在特别请求的时间保存的(手工或者在计划的时间),并且包括在该时间的所有入侵检测 (eTrust Intrusion Detection) 事件。
快照数据库包括两个主要的表:阻塞会话表和快照表。
l 阻塞会话表包括的记录描述了数据库中的所有阻塞事件,并有指向阻塞器名称表、客户站表、服务器站表和阻塞 HTTP 会话表的指针。
l 快照表记录了发生的每个事件(阻塞器表中的事件除外),而且有许多字段。几乎所有表都指向其它表,例如,服务 ID 表指向服务名称表,客户 ID 表指向客户站表,事件表指向各色字符串表,等等。
下面四个字段对不同的协议有不同的含义:
l UserSender
l UserRecipient
l NewsGroup
l Subject
在入侵检测 (eTrust Intrusion Detection) 报告器数据库文档中可以找到每个协议每个字段的含义说明。
6.4.2 在 Crystal Reports 中创建报告
在阅读了入侵检测 (eTrust Intrusion Detection) 报告器数据库文档后就可以准备用 Crystal Reports 创建报告了。Crystal Reports 程序可以指导您创建新报告。
创建新报告步骤如下:
1. 打开“Crystal Reporter”。
2. 单击“新建报告”。
3. 选择报告类型,例如“标准”或“深入”。
4. 选择数据文件:StatDB.mdb 或 snapshot.mdb。
5. 选择报告所需的表,例如,对于要为前十个活动量最大的站显示总协议数据量的报告来说,需要总统计数据和客户表。
6. 定义表之间的链接。
7. 选择表中使用的字段,为每个字段选择排序参数,然后选择用于确定报告中不同总和的字段。
8. 选择图类型并确定图形参数。然后选择将用于创建图形的字段。
9. 对报告指定名称,然后选择报告样式。
10. 预览并保存报告以便在入侵检测 (eTrust Intrusion Detection) 报告器中使用。
6.4.3 将用户报告合并到入侵检测 (eTrust Intrusion Detection) 报告器中
在 Crystal Reports 程序中创建了报告后,通过下列步骤可以将报告包括在入侵检测 (eTrust Intrusion Detection) 报告器中。
将用户报告添加到入侵检测 (eTrust Intrusion Detection) 报告中
1. 在入侵检测 (eTrust Intrusion Detection) 中选择“开始”、“程序”、“Computer Associates 入侵检测”、“报告器”。
2. 在“入侵检测报告器”对话框中单击“用户报告”,然后单击“添加”。“用户报告”对话框将显示在下面的页面上。如图所示。
3. 在“报告名称”框中键入标识报告的名称。在使用入侵检测 (eTrust Intrusion Detection) 报告器或者计划器应用程序时,该名称将显示在“用户定义”类别之下。
4. 在“报告文件”框中键入为报告创建的Crystal Reports 的 rpt 文件路径,或者单击“浏览”搜索 .rpt 文件。
5. 在“描述”框中键入报告的描述。当在报告列表中选择报告后,该描述将显示出来。
6. 单击“使用统计数据”或者“使用快照”,然后选择报告将使用的数据库,并且选择相应的过滤器。
7. 单击“确定”。新报告将出现在报告列表底部的“用户定义”文件夹中。现在就可以查看报告、输出报告数据、输出报告、打印报告或者计划在特定的时间生成报告了。如图所示。
注意:入侵检测 (eTrust Intrusion Detection)对用户添加的报告不支持设置参数的功能。例如,创建的报告可以说明即将进入特定分类站点的人员,以及在详细的三维饼图中显示该数据。您无法选择诸如为报告定义特定分类站点的参数,而在入侵检测 (eTrust Intrusion Detection) 提供的报告中是可以的。
6.5 预览报告
在生成了报告后可以在屏幕上查看报告。报告数据将以字节或千字节显示,并且包括百分比指示(如果可行)。在报告标题中可以看到排序参数。
预览报告
1. 在“报告器”对话框中选择报告类型,然后单击“预览报告”。报告的示例将显示在下面。
2. 用箭头按钮滚动到报告。
3.从“报告”工具栏中选择下列选项之一:
设置打印机属性。
显示特定客户的详细统计数据。
打印报告。
输出报告。“输出”对话框出现。
友好提示 — 将指针(放大镜)放在报告的项目上,然后双击可以看到与该项目有关的更多信息。
6.6 计划报告
用报告计划器可以在预定义的时间生成报告。计划器可以定义在每日、每周、每月或每年生成报告。报告计划器是独立的应用程序,当入侵检测 (eTrust Intrusion Detection) 不运行时也可以调用它。但是,这样只能查看和配置报告。要生成报告,必须在入侵检测 (eTrust Intrusion Detection) 内激活计划器(选择“功能”、“启动报告日程管理”)。
注意:在入侵检测 (eTrust Intrusion Detection) 不运行时是无法计划报告的。入侵检测 (eTrust Intrusion Detection) 的状态显示在“配置”页的顶部。
报告计划器可以每 15 分钟创建报告。
6.6.1 启动报告计划器
当入侵检测 (eTrust Intrusion Detection) 运行或者不运行时都可以启动报告计划器。但是,如果入侵检测 (eTrust Intrusion Detection) 不运行,那么只能查看旧的报告和配置新报告。在激活入侵检测 (eTrust Intrusion Detection) 之前不能生成新报告。
启动报告计划器
单击“开始”、“程序”、“入侵检测 (eTrust Intrusion Detection)”、“报告计划程序”。
或者,
启动入侵检测(eTrust Intrusion Detection)后在“功能”菜单上选择“启动报告日程安排”。
或者,
当启动入侵检测 (eTrust Intrusion Detection)时自动启动计划器,方法是选择“设置”、“选项”、“设置”,选中“启用报告时间安排”。
按照下面小节中的指导可以配置和查看计划的报告。
6.6.2 计划报告
用报告计划器可以在预定的时间生成入侵检测 (eTrust Intrusion Detection) 中可以找到的任何报告。
计划报告步骤如下:
1. 启动报告计划器。“报告计划器”对话框显示。
2. 选择“安排好的报告”选项卡,然后单击“添加”按钮添加报告。
3. 在“报告配置”对话框中滚动查找报告类型。
4. 在“做什么”框中选择下列选项:
格式 从下拉列表中选择报告的格式。
打印 打印选定的报告。在“报告计划器”窗口中选择“文件”、“打印”以便设置打印机参数。
保存以供过后查看 将报告保存到入侵检测 (eTrust Intrusion Detection) 目录中的“计划器”文件夹中。该目录包含报告的历史记录。用“格式”选项可以决定报告的格式。例如,可以选择将报告保存为“Crystal Reports”(在入侵检测中使用“预览报告”命令时出现的格式)或者 Word 文档。
覆盖用户定义文件 将选定报告的最新副本复制到用户定义的位置。也可以对报告指定新名称。
发邮件给 通过电子邮件将报告发送到指定地址。请在电子邮件选项旁的框中输入电子邮件地址。
5. 在“生成时间”框中确定报告时间。报告生成可以计划在每日、每周、每月或者每年,方法是单击适当的选项卡,然后选择需要的时间。报告可以计划为 15 分钟间隔。也可以选择在发生工作区切换时创建报告。
6. 单击“选项”定义计划报告的参数。“排序和选择”对话框出现。有关详细的指导,请参见本章前面的“定义报告参数”。
7. 单击“确定”将报告包括在“计划报告”页中的列表中。报告将在预定的时间生成,并且显示在“查看”选项卡中。参见下一节可以获得有关查看已生成报告的细节。
8. 如果要取消计划报告,先在“计划报告”页中选择报告,然后单击“删除”。
9. 单击“属性”可以查看和修改计划报告的属性。
10. 从“文件”菜单中选择“打印设置”以打印报告。
友好提示 — 同样也可以选择报告,然后单击鼠标右键以添加、删除报告或者查看报告属性。
6.6.3 查看计划报告
用入侵检测 (eTrust Intrusion Detection) 的报告计划器可以计划在特定的时间生成报告。在生成报告之后可以直接在报告计划器中查看报告。
查看报告
1. 生成计划报告。参见“计划报告”中的详细信息。
2. 在“报告计划器”对话框中选择“查看输出”选项卡以显示已生成报告列表。
“查看输出”窗口将显示报告名称、报告生成的时间和有关报告的任何说明。报告名称旁的图标显示了输出类型。
3. 选择报告,然后选择保存、查看、删除或打印报告。
注意:如果在创建或查看计划报告时出现错误,那么“查看”页中的“备注”列中将显示错误消息
0
相关文章
关注我们
