[技術分享]凌群推出HPE NonStop系統監控系統Watchlog3.0使用心得分享

作者/謝孟宏

作者簡歷 作者擁有超過20年IT服務資歷,現職凌群電腦NSK服務總處系統工程師,主要負責HPE NonStop證券、銀行客戶系統維運服務,專長為HPE NonStop系統整合。 前言 凌群電腦針對NonStop使用環境推出Watchlog 3.0監控解決方案,為用戶提供完整的系統登入、操作紀錄及歷史資料稽核管理的功能。本文將詳細介紹Watchlog 3.0產品相關架構與設定。 Watchlog整體架構如下圖所示。

《圖一》
NonStop端Watchlog環境設定及說明 Watchlog產品架構可搭配下列連線組合加以應用:
  • Watchlog產品+TELNET
  • Watchlog產品+SSH+STN
  • Watchlog產品+SSH over TELNET
  • Watchlog產品+SSH+STN+RSA雙因子認證
  • Watchlog產品+SSH over TELNET+RSA雙因子認證
一、Watchlog元件簡介
  • DISPATCH:負責session連線,並檢查輸入帳號/密碼相關系統驗證工作。支援dynamic與static window兩種連線方式,程式也提供TACL、OSH、Pathway block mode選項。
  • WAT:負責接手DISPATCH認證後的主程式工作,負責核心程式的操作。
  • ACL:負責檢查是否有權限可以執行指令動作,包含:時間、工具、指令及使用者檢查。
  • PEEKLOG:負責操作紀錄寫入工作,包含DISPATCH登入認證紀錄及WAT操作紀錄。
  • WATRPT:負責產製DISPATCH及WAT報表,供稽核及操作查詢使用。
  • WATCOM:負責Watchlog連線管理及設定的管理者介面程式。
  • WSYSCOM:產品License檔案,紀錄使用環境的相關資訊,包含系統名稱、node number及產品使用期限。
二、Watchlog架構概述
  • CLIENT環境設定 支援dynamic及static連線方式。通常選擇Telnet服務作為提供Client連線的管理。dynamic由系統管控每個window的連線,選擇static window,則需要預先規劃每個window的使用環境,包含:window名稱、service名稱、process名稱、CPU、delay、WATCFG來源、SSHFLAG…等相關參數;若SSH over Telnet環境,考量管理機制,可以設定一個service對應一個window的配置方式。(此架構window不提供指定特定IP對應)
  • 提供CLIENT端連線認證 當Client端啟動連線到NonStop系統,Watchlog的DISPATCH程式會自動啟動,此為提供使用者/密碼認證服務的程式,於WATCFG內將相關參數設定好,即可選擇結合SSH加密連線及雙因子認證的架構,提供更為完善及更為安全的認證機制;過程中,會把登入的紀錄交給PEEKLOG做紀錄,如Default記錄名稱為Dyymmddn,其中yymmdd為年月日,n為序號,當檔案空間不夠紀錄的時候,會自動產生下一個檔案。
  • 提供使用者操作環境及記錄 當通過DISPATCH認證處理,Session會轉手給WAT主程式管控,DISPATCH程式將會自動停止,WAT為核心程式,與NonStop作業系統逕行溝通,它的角色模擬了TACL功能,中間多了操作紀錄的側錄功能,當執行的每一個動作,不論成功與否,都會將操作紀錄交給PEEKLOG程式做紀錄。Default記錄名稱為Hyymmddn,其中yymmdd為年月日,n為序號,當檔案空間不夠紀錄的時候,會自動產生下一個檔案。
  • 提供安控機制 當有嚴謹安控需求,可以啟動Watchlog的ACL(Access Control List)安控程式及相關環境,此ACL加值功能,提供設定分層分群提供不同服務範圍的機制,使系統使用安全層級往上提升。使用前須完成相關環境設定,包含:RULEFILE及KEYWORD內容設定。
  • 提供系統管理者管理介面 Watchlog產品提供WATCOM管理介面程式,使管理者可藉此介面,查詢WAT目前資源使用情形,若已達WAT管理數量上線,即可再新增WAT數量提供服務,亦可針對Client端連線狀態及Window操作做管理,可中斷異常使用情形的操作,補足Watchlog產品自動管理功能外的人為管理機制。
  • 提供紀錄查詢及報表 Watchlog產品提供WATRPT報表程式,分別可以針對Dyymmddn及Hyymmddn產製DISPATCH連線報表及WAT操作紀錄的報表,提供相關過濾條件的機制,篩選出特定時間及特定需求的歷史資料紀錄,亦可以提供給系統管理者或稽核單位相關系統有用的紀錄資料,以確保系統使用安全。
  • Watchlog產品合法使用檢查 WSYSCOM為Watchlog產品的認證檔案,購買產品時,會一併附上正確內容的認證檔案;當啟動Watchlog環境或是進入WATCOM時,會檢查是否為合法使用環境,若非法環境或認證檔案不存在,將會產生相關錯誤訊息。
  • 將LOG下傳到DBMaker環境功能(選用) Watchlog產品結合凌群自有研發的DBMaker資料庫產品,可將Watchlog相關LOG,利用發送(Sender)程式下載到Windows作業環境下的DBMaker資料庫進行儲存,使用者亦可利用Windows環境查詢相關LOG資料並產製報表;優點是既減少使用NonStop系統資源(包含:CPU及磁碟機空間),而DBMaker提供的圖形化操作介面,一般人接受度高,也較易上手。
三、啟動Watchlog環境
  • START TELSERV環境 提供Client連線環境 唯在使用Static window環境下,Service與Window一對一設定時,需在Service內去指定”Program”及”Param”參數,範例如下: Program................ $.WATNOBJ.DISPATCH Param.................. CONFIG $.WATCFG.WNSCFG;OSS 1;DELAY 5;NAME $;CPU 0 [說明]: 其中DELAY 5表示:當DISPATCH程式啟動5分鐘內使用者沒有進行登入程序時,DISPATCH程式會自動停止,待使用者有需求時在行重新啟動。
  • START WAT環境 RUN $.WATOBY.OWATS 01 [檔案內容範例] CLEAR ALL PARAM LOG-TERM $xNUL PARAM ACL-SWITCH OFF PARAM ACL-ACLFAIL-POLICY DENY PARAM ACL-NOKEYWORD-POLICY DENY PARAM SPECIFIED-CPU ON PARAM STORE-WRITE-OP OFF PARAM IPUSER-FILE WATCFG.DPUSER PARAM TACL-BUILTIN-FILE WATCFG.BUILTIN PARAM LOG-FILE WATLOG.WXSLG%1% PARAM PEEKLOG-PROCNAME $PXS%1% PARAM ACL-PROCNAME $AXS%1% PARAM LOG-SECURITY-CODE NCNC RUN WATNOBJ.WAT /NAME $XS%1%,CPU 1,NOWAIT,PRI 180,TERM $xNUL,& IN $ZHOME,OUT $ZHOME/ RUN $.WATOBY.OWATSACL 01 [檔案內容範例] CLEAR ALL PARAM KEYWORD-FILE WATCFG.KEYWORD PARAM RULES-FILE WATCFG.RULEFILE PARAM TRACEON 0 PARAM LOG-FILE WATLOG.AXSLG%1% PARAM LOG-SECURITY-CODE NCNC RUN WATNOBJ.ACL/NAME $AXS%1%,CPU 1,NOWAIT,PRI 180,TERM $xNUL,& IN $ZHOME,OUT $ZHOME/ RUN $.WATOBY.OWATSPK 01 [檔案內容範例] CLEAR ALL PARAM TERM-ON 0 PARAM LOG-TERM $xNUL PARAM KEEP-DAY 30 PARAM TRACEON 0 PARAM LOG-FILE WATLOG.PXSLG%1% PARAM DISCTRL-PATH WXSFIL%1% PARAM OUTPUT-PATH WXSFIL PARAM EXTENT 1050 PARAM MAX-EXTENT 244 PARAM LOG-SECURITY-CODE NCNC RUN WATNOBJ.PEEKLOG/NAME $PXS%1%,CPU 1,NOWAIT,PRI 180,TERM $xNUL, & IN $ZHOME,OUT $ZHOME/ [說明]:
    • 依序啟動WAT、ACL、PEEKLOG程式,等待提供服務。
    • ACL可由ACL-SWITCH參數決定使用與否。
    • STORE-WRITE-OP參數決定LOG紀錄的內容,設定OFF僅記錄INPUT指令;設定為ON時,除了INPUT資料記錄外連同OUTPUT資料會一併寫入LOG。
    • LOG-SECURITY-CODE可依需求,設定建立LOG檔案的權限。
    • LOG檔案大小,可以藉由EXTENT及MAX-EXTENT參數決定。
Client端連線軟體設定(DRSE) 一、安裝DRSE版本2.06.10以上的版本(支援SSH連線) 二、新增連線profile
  • 於Session分頁填入新session名稱(ex:NSX-profile)

    《圖二》
  • Properties分頁,填入SSH連線資訊。包含Host Address/Port Number,Secure Socket需勾選,並於SSH Configuration之Service Name填選對應到SSH2內設定連線的USER名稱。其中,不再對此SSH連線做二次認證,故,Password/Keyboard Interactive無須打勾。

    《圖三》
  • 填選完畢,請將此設定存檔。
  • 連線,確認該PROFILE可與NonStop端的SSH建立連線,並Forwarding至TELNET環境,如下圖所示。

《圖四》
導入Watchlog經驗分享 導入WATHCLOG產品時,需先確認下列事項:
  • 決定是否需要搭配SSH及RSA雙因子認證機制。
  • 決定使用STN或TELSERV環境。
  • 決定使用Static / Dynamic window環境。
  • 決定是否將LOG下傳到LOG Server環境使用。
  • 決定是否使用ACL安控機制。
綜合以上的思考,決定未來產品環境架構,再進行導入產品的規畫。規畫內容包含:
  • 產品相關檔案放置的位置(object、configure file、obey file、log file、報表暫存檔…等)
  • 系統資源配置(CPU、PROCESS NAME、檔案大小、檔案權限…等)。
  • 提供服務的OBJECT數量。
  • 收集連接SSH及RSA環境資訊,並於CONFIG中設定相關參數。
  • 訂好自動清LOG的機制。(避免佔用NonStop磁碟機資源)
Watchlog 3.0支援SSH與RSA機制,讓操作機制更形安全完善,此外也同時支援TACL、OSH、BLOCK mode模式,讓NonStop環境需求皆得以滿足,針對歷史資料的收集與查詢也提供相關的報表程式,讓管理者能在第一時間揪出系統異常使用者,不失為NonStop環境安全監控最好的搭配選擇。 產品聯絡人:張先生TEL: (04)2202-1221分機: 4512 參考資料 Watchlog產品使用手冊