迪普UMC统一管理中心配置指导

1. 初始化安装

1.1 概览

通过此实验，您将学习到：

安装UMC 软件

添加联动设备

查看业务日志

1.2 网络拓扑

Client

172.16.0.4/24

Server 172.16.0.5/24

eth0_0

eth0_1

UMC 10.99.0.4/24

meth0_0

10.99.0.155/24

描述：

FW 处于透明模式，Client 与Server 进行包过滤实验，FW 输出相应日志到UMC 。

1.3 配置1：安装UMC 软件

1）安装前准备

准备工作

?确保所安装服务器与当地时间一致

?调研服务器硬件配置

?建议关闭360安全卫士、本地防火墙等安全软件

?调研服务器开放端口，防止与UMC端口冲突

?如重新安装UMC，需卸载软件，且手动删除安装目录所有文件

?系统支持2003/2008/2012 server 64系统，需使用Administrator权限安

装

软件要求

?推荐操作系统：Server2003/2008/2012 64位系统

?使用IE7.0及以上版本，高版本的IE需要使用兼容模式

?本地无冲突软件（Mysql数据库服务、Apache或Apache TomCat、HTTP）

硬件要求

?内存2G及以上（2G内存实际可用1.8G，小于1.8G可能正常无法使用）

?CPU双核及以上

?硬盘空间推荐160G及以上（根据使用情况而定）

?不支持虚拟机（虚拟机磁盘为共享磁盘，磁盘转速不够；内存分配方式与物

理机不一致）

安装文件

?UMC-B5.0.74-win-x64（安装文件）

?UMC_UMC-NET-50.dp_lic（临时License）

2）安装UMC

双击“UMC-B5.0.74-win-x64.exe”，进行初始化安装，选择语言为“简体中文”

安装向导

接受协议

选择服务端口

注意：设置UMC的WEB页面访问端口，后期不得更改。安装目录

注意：安装目录为英文目录（无汉字）。安装软件

3）验证安装结果

验证安装结果,需要以管理员权限运行该软件（若服务未正常启动，则安装失败，需卸载重新安装）

?说明：点击上图的“UMC 统一安全管理服务器”图标即可登录。

?注意：如果某一服务无法启动，请检查本地环境。

1.4 配置2：添加联动设备

4）登陆WEB页面

输入“http://localhost”，初始用户名：admin，密码：UMCAdministrator

5）注册UMC

导入临时License

6）添加设备

点击“添加”，输入需添加设备的IP地址及名称，点击“确定”

等待UMC与设备通信，直到设备状态为“正常”

添加设备，注意事项：

①设备与UMC可以通信

②设备开启SNMP的V1或V2版本，且设备上的读、写团体与UMC上的一致7）完成时间同步

进行时间同步（使设备本地时间与UMC一致）

1.5 配置3：查看业务日志

8）查看FW包过滤日志

查看包过滤日志明细

功能验证：

Client与Server进行安全隔离（参考FW手册），UMC可查相应日志。

2. 常见问题

常见问题（一）

故障现象：点击系统任务栏上的UMC图标，数据库服务状态为关闭，且无法正常启动。

1）UMC数据库服务使用的端口号3308是否已经被占用（netstat -ano|findstr "3308"）。

2）进入UMC安装目录下的数据库目录，以默认安装目录为例。C:\Program Files\UMC\database\data\，查看该目录下是否存在err文件或log文件，并查看这些文件内容，看是否有相关错误信息，并根据错误信息定位UMC 数据库服务启动失败原因。

常见问题（二）

故障现象：点击系统任务栏上的UMC图标，Web服务状态为关闭，且无法正常启动。

1）UMC安装目录为中文目录。目前UMC安装目录只支持英文目录，不支持中文目录，如果将UMC安装到中文目录则会导致Web服务不能启动。

2）进入UMC安装目录的server目录下的日志目录，即C:\Program Files\UMC\ server\logs\，该目录下有相关日志文件，请参考日志文件内容判断启动失败原因。

常见问题（三）

故障现象：点击系统任务栏上的UMC图标，后台服务状态为关闭，且无法正常启动。

如果在系统中安装有360或杀毒软件等类似功能的工具，在UMC安装过程中可能会提示某些操作是否允许，必须选择允许UMC安装后后台服务才能正常启动。

常见问题（四）

故障现象：接收日志过程中发现UMCcam.exe或者UMCuagns.exe在windows 页面上报错。

检查该服务器是否存在VC环境；如有，则需协商卸载。

常见问题（五）

故障现象：关闭UMC的所有服务并数据库初始化，无法完成数据库初始化。

UMC数据库初始化时，请先停止除数据库服务之外的所有UMC服务，但数据库服务不能停，否则将导致数据库初始化操作不能顺利完成，最终可能导致UMC数据库被破坏。

常见问题（六）

故障现象：某一时刻某种日志终止。

确认设备是否将相关日志发送到UMC，如果是，则可能是UMC数据库中相关业务的数据库表已经损坏，请重新启动UMC数据库服务，损坏的数据库表将被修复。

常见问题（七）

故障现象：无法成功注册UMC的License。

1）申请License时，即与所安装的服务器做了绑定，后期如果更换服务器，则此License失效。

2）需通过相关途径重新申请。

常见问题（八）

UMC描述文件导入路径。

1）APP：http://127.0.0.1/UMC/uag/UagServiceUpgrade.action，或点击快捷方式【网络监控】->【区域业务分析】->【服务定义】->。

2）URL：http://127.0.0.1/UMC/dev/DevUrlRuleUpgradeFile.action，或点击快捷方式【网络监控】->【区域业务分析】->【Web应用分析】->。

3）IPS：http://127.0.0.1/UMC/ips/IpsRuleUpgrade.action，或点击快捷方式【攻击监控】->【综合分析】->【规则列表】->。

常见问题（九）

流量分析相关功能：使用抓包工具已经获取到设备发向UMC的数据包，但UMC 后台不能将相关的数据正常解析，页面上不能显示。

1）请确认UMC后台服务状态是否正常。

2）请确认是否已经将系统防火墙关闭，如果UMC被安装在虚拟机中，请确认是否已经将虚拟机防火墙关闭。

3）如果在UMC端能抓到9502报文的情况下，仍然显示不出流量，请确认设备时间是否与UMC的时间同步，如果不一样，请将设备时间与UMC时间同步，再在设备流量分析配置UMC地址的页面上再次点击确定，以免流量分析功上报日志时报文中仍然包含的是老时间。

4）如上述情况均正常，则可能是设备发送的日志与UMC可以接受的日志格式不同导致UMC后台不能正常解析日志信息，请确认设备版本和UMC版本是否一致。

常见问题（十）

故障现象：设备已经成功添加到UMC上，状态为“正常”，但cpu使用率等参数为空。

1）确保设备的SNMP读写团体字信息，与UMC添加设备的读写团体字信息一致。

2）重新开启并下发设备的“SNMP配置”（默认使用SNMPv1和SNMPv2c版

本）。

常见问题（十一）

打开电脑“资源管理器”查看进程“UMCflow.exe”如果存在多个此进程，说明在重启UMC时出错，导致UMC重复的启动了“UMCflow.exe”进程。

停止UMC服务，将“UMCflow.exe”进程删除，在启动UMC服务。

常见问题（十二）

重启UMC服务需注意。

停用顺序为“UMC后台服务->UMC WEB服务->UMC数据库服务”在每停用一项服务时请点击右上角的刷新按钮以确认已经停止服务。重新启用UMC服务时顺序“UMC数据库服务->UMC WEB服务->UMC后台服务”。

常见问题（十三）

注册License后，导入info文件异常。

使用IE浏览器下载，部分浏览器自带下载工具会篡改文件内容。

常见问题（十四）

时间同步的重要性。

1）未同步将导致日志显示滞后，或异常。

2）同步前请勿有审计动作（避免未老化），及向UMC发送日志。

3）UMC数据分析依靠时间维护，错误的时间将对UMC产生严重影响。