更新时间:2024-07-04
1功能简介
网监对接就是将无线控制器上零散的原始数据进行整合处理。按照网监的要求生成网监需要的“日志数据”,然后上传到网监平台。
下图较为详细的表述了原始数据是如何通过各种配置完成日志的生成和上传网监。
1.1应用场景
需要网监审计的公共场所。
1.2适用版本
NAC3.13.0
1.3配置思路
简述配置此功能的几大步骤。
1、确认NAC开启相关服务并更新到最新
2、确认AP开启无线信息采集
3、配置网监配置基本信息
4、配置接入配置信息
5、配置AP基础信息
6、配置场所信息
7、配置对接策略
8、配置日志构造
9、配置日志上传
10、配置安全场所
2注意事项
2.1业务影响范围
配置网监对接对业务没有明显影响。
2.2配置注意事项
1、NAC配置完成,还需要当地网监平台上报设备信息,联系当地网监局接口技术人员处理并确认。
3配置步骤
3.1网监对接条件
3.1.1序列号
确认审计序列号处于已授权的状态。最好是让应用识别&URL识别序列号也处于已授权且未过期的效果。
3.1.2开启相关服务
如下截图,确认相关服务有开启。
3.1.3确认应用识别和审计日志
确认应用识别和审计日志有生效(注意集中转发和本地转发的配置。具体配置参考审计的配置)
3.1.4开启无线信息采集
AP组参数里确认接入点开启了信息采集。
3.1.5URL和应用识别库需尽量更新到最新
3.2网监配置
3.2.1接入配置
要确定用哪种方式对接到哪个地区的网监平台,可以通过接入配置来实现。在接入云端以后,新增接入配置时则可以更新并使用云端的标准模板。通过配置模板参数,可以选择对接到网监平台的的方式。以对接广州派博为例,我们点击使用广州派博就会出来一条广州派博的策略,根据需求我们就能点进这条策略进行修改
3.2.2配置AP基础信息
点击策略上的“配置”进入配置界面,点击“AP基础信息”进行配置所有需要上报给网监的AP信息。【AP基础信息】中必要的字段含义如下:
如果只有少量AP需要添加的话可以手动的配置相关信息。如果需要添加的AP信息量比较大的话就需要通过【cvs导入】来导入信息。【cvs导入】会覆盖掉【AP基础信息】里面原有的数据,所以导入前需要确认【AP基础信息】中的信息可以被覆盖。
点击【cvs导入】的编辑,找到“下载示例文件”,下载后的文件使用excel 打开的话可能会出现乱码的情况,可以使用notepad++或者WPS打开。打开后可以只填写“MAC地址”、“经度”、“纬度”、“场所编码”,其他项直接留空即可。
点击导入,选择对应的文件,导入后在设置表格字段的类型。在“MAC地址”、“经度”、“纬度”、“场所编码”四项数据上面的选项中选择对应的数据类型。最后点击提交。提交后【AP基础信息】中的数据就会生成,如下图:
3.2.3配置场所信息
配置所有需要上报给网监的场所信息。如果是客户只有一个场所则enable字段默认为0即可。如果客户是类似于网吧,连锁酒店等场所等拥有多个场所时,enable字段就值为1,total字段按照实际场所数量进行填写。
如果所是多场所的时候会有多个场所信息,每个场所一个[siteX](X代表场所信息编号)以及后面包含的信息;每个场所的IP地址范围需要按照实际的范围来配置(特别注意);每个场所的场所编码都是不一样的。这个可以和网监平台确认一下这个编码是我们自己分配还是平台进行分配。
3.2.4配置对接策略
1、确认需要传递的数据,数据格式中列出来的数据类型比较多。但是是不是所有的数据类型都要传递呢?
并不是所有的数据都要传递。一般来说和网监平台确定好需要传递那些数据。
如果网监平台说你们可以传那些数据就传那些数据。那么我们只需要传递“特征采集日志”、“上网日志”、“终端上下线日志”、“场所资料”、“场所状态”、“设备资料”这些就可以了。主要传递的是嗅探数据(特征采集日志)、审计日志(上网日志)、用户认证日志(上下线日志)、场所的基础信息(需要定期上报状态)、AP的信息基础信息(需要定期上报状态)这些信息即可。其他的没有强调就不要配置。
如果网监平台有规定那就按照网监的要求配置对应的数据。
2、例如下图,是一部分对接策略的配置。total的值为8,说明对接网监的时候需要给网监发送8种类型的日志。
第一种日志的名称是上网行为日志(主要是终端上网行为产生的日志),日志内容的来源只有1个,来源为action(具体含义参考【接入配置】-【配置】-【日志来源】-【数据来源】中有定义)。
日志的类型被定义为XWRZ,系统会自动生成一个临时文件,将上网行为日志数据写入这个临时文件。生成临时文件时开始计时,超过300s(max_time)或1000条(max_count)上网行为数据后就将临时文件转换为日志文件并上传到网监。
日志文件的文件名按照格式要求,其中时间、随机数、都是变量。而其他的都是常量。
在设置日志文件名中的时间、随机数需要引用变量(变量在【接入配置】-【配置】-【日志来源】-【参数变量】中有定义)于是用file_year指代年份file_year前后各有一个@用来表示file_year是一个变量。以此类推。
3、对接策略中的关联数据来源类型的配置说明:
对接日志数据来源,分为两类:
第一类:从设备原有的日志里过滤得来,如终端上下线日志、上网日志;该类日志根据所配置的规则,过滤出对接所需要的日志
• source_id:用于标识匹配出来的一类日志,将会在nm_logtype.ini里用到
• 源数据过滤规则,用于匹配网监需处理的日志类型:
• 日志类型:即aclog里接收到的日志类型的frame_type,如url日志为10,具体可见nm_frametype.ini,若没有配置frame_type,那就匹配所有的日志
• 应用类型:type分为tag/type/app三类;tag--为一类标签,type--大类,app--小类;id为每个tag、每个大类或小类的id
• url类型: 属于哪个url类型,一般用于过滤url日志里的不同类型
• 自定义过滤条件:设定日志里任一字段的值,分别设置key值和value值
• 如上各条件的关系为"与"关系,即要同时满足才算匹配上;nm-capture抓过来的每条日志只匹配一条规则,只要匹配上就不再往下匹配
第二类:需要网监对接后台自己触发产生的日志的,比如,心跳日志、厂商基础信息、场所基础信息日志、ap基础信息,这类要配置产生日志的触发器,这类来源无法直接通过增加配置项就支持,如果要新增触发项,那需修改libnm_trigger.so
• source_id:用于标识所匹配的一类日志,将会在nm_logtype.ini里用到
• interval:触发产生日志的时间间隔,单位为s,若为空或者为0,则只产生一次
3.2.5日志构造
日志构造的主要作用就是将数据来源中的整理好的数据按照构造好的格式生成日志文件。
配置好了对接策略之后我们切换到【接入配置】-【配置】-【日志构造】中可以看到我们之前配置好的日志配置文件。我们需要在这个配置文件中配置日志文件的内容。
点开一个配置文件的“编辑文件”,可以编辑日志文件中每条日志的格式。可以参考02 数据内容格式要求中的描述。配置里面的格式一般来说分为两种、一种是类似派博的那种。一种是类似任子行的那种。
如果不太确定的话可以通过找网监确认日志文件的格式。这里我们以任子行为例。对应的变量信息都可以在【接入配置】-【配置】-【日志来源】-【参数变量】中查找到。
{
“SERVICE_CODE”:"@netbar_wacode@",
"SERVICE_NAME":"@place_name@",
"ADDRESS":"@site_address@",
"ZIP":"",
“BUSINESS_NATURE”:“1”,
"PRINCIPAL":"@law_name@",
“PRINCIPAL_TEL”:“”
……
}
从上面我们可以看到@之间是变量的名称;不允许为空的字段一定要填写变量(例如“SERVICE_CODE”:"@netbar_wacode@",);允许为空的字段可以填写(例如"ADDRESS":"@site_address@",)、也可以不填写(例如"ZIP":"",):有些字段的值是唯一的那么可以直接填写为常量(例如“BUSINESS_NATURE”:“1”,)。
3.2.6日志上传
日志上传的主要作用就是将生成出来的日志,按照网监的要求上传到对应的服务器上。
其中需要网监提供的信息为FTP服务器的IP、端口、账户、密码、加密密码(如果需要加密);是否需要索引文件、上传时是否需要上传到特定路径、上传文件是否打包、上传文件是否加密等数据,可查看数据上报要求。
3.2.7安全场所配置
安全场所是将用户上网数据通过控制器上报并对接到网监平台的基本配置。一个安全场所代表了一个对接的区域。建立安全场所时,通过配置“接入位置”来选择对接到网监平台的区域,选择“接入配置”来确定用于对接的网监配置。
独立控制器多个区域多个ap根据需要可以对接到不同网监平台。只需新增多个安全场所,每个场所的接入位置选择不同ap,然后选择ap所在区域对应的网监平台代表的接入配置。
我们以所有设备对接一个场所为例没配置如下。
4效果演示
网监对接成功,联系网监平台技术人员确认是否收到相关日志信息,设备在网监平台是否正常上线。