略過巡覽連結首頁 > 產品與服務 > 技術分享

技術分享

友善列印友善列印

[技術分享]凌群推出HPE NonStop系統監控系統Watchlog3.0使用心得分享

作者/謝孟宏
作者簡歷

作者擁有超過20年IT服務資歷,現職凌群電腦NSK服務總處系統工程師,主要負責HPE NonStop證券、銀行客戶系統維運服務,專長為HPE NonStop系統整合。

前言

凌群電腦針對NonStop使用環境推出Watchlog 3.0監控解決方案,為用戶提供完整的系統登入、操作紀錄及歷史資料稽核管理的功能。本文將詳細介紹Watchlog 3.0產品相關架構與設定。

Watchlog整體架構如下圖所示。


《圖一》


NonStop端Watchlog環境設定及說明

Watchlog產品架構可搭配下列連線組合加以應用:
  • Watchlog產品+TELNET
  • Watchlog產品+SSH+STN
  • Watchlog產品+SSH over TELNET
  • Watchlog產品+SSH+STN+RSA雙因子認證
  • Watchlog產品+SSH over TELNET+RSA雙因子認證


一、Watchlog元件簡介

  • DISPATCH:負責session連線,並檢查輸入帳號/密碼相關系統驗證工作。支援dynamic與static window兩種連線方式,程式也提供TACL、OSH、Pathway block mode選項。
  • WAT:負責接手DISPATCH認證後的主程式工作,負責核心程式的操作。
  • ACL:負責檢查是否有權限可以執行指令動作,包含:時間、工具、指令及使用者檢查。
  • PEEKLOG:負責操作紀錄寫入工作,包含DISPATCH登入認證紀錄及WAT操作紀錄。
  • WATRPT:負責產製DISPATCH及WAT報表,供稽核及操作查詢使用。
  • WATCOM:負責Watchlog連線管理及設定的管理者介面程式。
  • WSYSCOM:產品License檔案,紀錄使用環境的相關資訊,包含系統名稱、node number及產品使用期限。


二、Watchlog架構概述

  • CLIENT環境設定

    支援dynamic及static連線方式。通常選擇Telnet服務作為提供Client連線的管理。dynamic由系統管控每個window的連線,選擇static window,則需要預先規劃每個window的使用環境,包含:window名稱、service名稱、process名稱、CPU、delay、WATCFG來源、SSHFLAG…等相關參數;若SSH over Telnet環境,考量管理機制,可以設定一個service對應一個window的配置方式。(此架構window不提供指定特定IP對應)


  • 提供CLIENT端連線認證

    當Client端啟動連線到NonStop系統,Watchlog的DISPATCH程式會自動啟動,此為提供使用者/密碼認證服務的程式,於WATCFG內將相關參數設定好,即可選擇結合SSH加密連線及雙因子認證的架構,提供更為完善及更為安全的認證機制;過程中,會把登入的紀錄交給PEEKLOG做紀錄,如Default記錄名稱為Dyymmddn,其中yymmdd為年月日,n為序號,當檔案空間不夠紀錄的時候,會自動產生下一個檔案。


  • 提供使用者操作環境及記錄

    當通過DISPATCH認證處理,Session會轉手給WAT主程式管控,DISPATCH程式將會自動停止,WAT為核心程式,與NonStop作業系統逕行溝通,它的角色模擬了TACL功能,中間多了操作紀錄的側錄功能,當執行的每一個動作,不論成功與否,都會將操作紀錄交給PEEKLOG程式做紀錄。Default記錄名稱為Hyymmddn,其中yymmdd為年月日,n為序號,當檔案空間不夠紀錄的時候,會自動產生下一個檔案。


  • 提供安控機制

    當有嚴謹安控需求,可以啟動Watchlog的ACL(Access Control List)安控程式及相關環境,此ACL加值功能,提供設定分層分群提供不同服務範圍的機制,使系統使用安全層級往上提升。使用前須完成相關環境設定,包含:RULEFILE及KEYWORD內容設定。


  • 提供系統管理者管理介面

    Watchlog產品提供WATCOM管理介面程式,使管理者可藉此介面,查詢WAT目前資源使用情形,若已達WAT管理數量上線,即可再新增WAT數量提供服務,亦可針對Client端連線狀態及Window操作做管理,可中斷異常使用情形的操作,補足Watchlog產品自動管理功能外的人為管理機制。


  • 提供紀錄查詢及報表

    Watchlog產品提供WATRPT報表程式,分別可以針對Dyymmddn及Hyymmddn產製DISPATCH連線報表及WAT操作紀錄的報表,提供相關過濾條件的機制,篩選出特定時間及特定需求的歷史資料紀錄,亦可以提供給系統管理者或稽核單位相關系統有用的紀錄資料,以確保系統使用安全。


  • Watchlog產品合法使用檢查

    WSYSCOM為Watchlog產品的認證檔案,購買產品時,會一併附上正確內容的認證檔案;當啟動Watchlog環境或是進入WATCOM時,會檢查是否為合法使用環境,若非法環境或認證檔案不存在,將會產生相關錯誤訊息。


  • 將LOG下傳到DBMaker環境功能(選用)

    Watchlog產品結合凌群自有研發的DBMaker資料庫產品,可將Watchlog相關LOG,利用發送(Sender)程式下載到Windows作業環境下的DBMaker資料庫進行儲存,使用者亦可利用Windows環境查詢相關LOG資料並產製報表;優點是既減少使用NonStop系統資源(包含:CPU及磁碟機空間),而DBMaker提供的圖形化操作介面,一般人接受度高,也較易上手。


三、啟動Watchlog環境

  • START TELSERV環境

    提供Client連線環境
    唯在使用Static window環境下,Service與Window一對一設定時,需在Service內去指定”Program”及”Param”參數,範例如下:
    Program................ $.WATNOBJ.DISPATCH
    Param.................. CONFIG $.WATCFG.WNSCFG;OSS 1;DELAY 5;NAME $;CPU 0
    [說明]:
    其中DELAY 5表示:當DISPATCH程式啟動5分鐘內使用者沒有進行登入程序時,DISPATCH程式會自動停止,待使用者有需求時在行重新啟動。


  • START WAT環境


    RUN $.WATOBY.OWATS 01
    [檔案內容範例]
    CLEAR ALL
    PARAM LOG-TERM $xNUL
    PARAM ACL-SWITCH OFF
    PARAM ACL-ACLFAIL-POLICY DENY
    PARAM ACL-NOKEYWORD-POLICY DENY
    PARAM SPECIFIED-CPU ON
    PARAM STORE-WRITE-OP OFF
    PARAM IPUSER-FILE WATCFG.DPUSER
    PARAM TACL-BUILTIN-FILE WATCFG.BUILTIN
    PARAM LOG-FILE WATLOG.WXSLG%1%
    PARAM PEEKLOG-PROCNAME $PXS%1%
    PARAM ACL-PROCNAME $AXS%1%
    PARAM LOG-SECURITY-CODE NCNC
    RUN WATNOBJ.WAT /NAME $XS%1%,CPU 1,NOWAIT,PRI 180,TERM $xNUL,&
    IN $ZHOME,OUT $ZHOME/


    RUN $.WATOBY.OWATSACL 01
    [檔案內容範例]
    CLEAR ALL
    PARAM KEYWORD-FILE WATCFG.KEYWORD
    PARAM RULES-FILE WATCFG.RULEFILE
    PARAM TRACEON 0
    PARAM LOG-FILE WATLOG.AXSLG%1%
    PARAM LOG-SECURITY-CODE NCNC
    RUN WATNOBJ.ACL/NAME $AXS%1%,CPU 1,NOWAIT,PRI 180,TERM $xNUL,&
    IN $ZHOME,OUT $ZHOME/


    RUN $.WATOBY.OWATSPK 01
    [檔案內容範例]
    CLEAR ALL
    PARAM TERM-ON 0
    PARAM LOG-TERM $xNUL
    PARAM KEEP-DAY 30
    PARAM TRACEON 0
    PARAM LOG-FILE WATLOG.PXSLG%1%
    PARAM DISCTRL-PATH WXSFIL%1%
    PARAM OUTPUT-PATH WXSFIL
    PARAM EXTENT 1050
    PARAM MAX-EXTENT 244
    PARAM LOG-SECURITY-CODE NCNC
    RUN WATNOBJ.PEEKLOG/NAME $PXS%1%,CPU 1,NOWAIT,PRI 180,TERM $xNUL, &
    IN $ZHOME,OUT $ZHOME/

    [說明]:
    • 依序啟動WAT、ACL、PEEKLOG程式,等待提供服務。
    • ACL可由ACL-SWITCH參數決定使用與否。
    • STORE-WRITE-OP參數決定LOG紀錄的內容,設定OFF僅記錄INPUT指令;設定為ON時,除了INPUT資料記錄外連同OUTPUT資料會一併寫入LOG。
    • LOG-SECURITY-CODE可依需求,設定建立LOG檔案的權限。
    • LOG檔案大小,可以藉由EXTENT及MAX-EXTENT參數決定。


Client端連線軟體設定(DRSE)

一、安裝DRSE版本2.06.10以上的版本(支援SSH連線)

二、新增連線profile
  • 於Session分頁填入新session名稱(ex:NSX-profile)

    《圖二》


  • Properties分頁,填入SSH連線資訊。包含Host Address/Port Number,Secure Socket需勾選,並於SSH Configuration之Service Name填選對應到SSH2內設定連線的USER名稱。其中,不再對此SSH連線做二次認證,故,Password/Keyboard Interactive無須打勾。

    《圖三》


  • 填選完畢,請將此設定存檔。

  • 連線,確認該PROFILE可與NonStop端的SSH建立連線,並Forwarding至TELNET環境,如下圖所示。


《圖四》


導入Watchlog經驗分享

導入WATHCLOG產品時,需先確認下列事項:
  • 決定是否需要搭配SSH及RSA雙因子認證機制。
  • 決定使用STN或TELSERV環境。
  • 決定使用Static / Dynamic window環境。
  • 決定是否將LOG下傳到LOG Server環境使用。
  • 決定是否使用ACL安控機制。


綜合以上的思考,決定未來產品環境架構,再進行導入產品的規畫。規畫內容包含:
  • 產品相關檔案放置的位置(object、configure file、obey file、log file、報表暫存檔…等)
  • 系統資源配置(CPU、PROCESS NAME、檔案大小、檔案權限…等)。
  • 提供服務的OBJECT數量。
  • 收集連接SSH及RSA環境資訊,並於CONFIG中設定相關參數。
  • 訂好自動清LOG的機制。(避免佔用NonStop磁碟機資源)


Watchlog 3.0支援SSH與RSA機制,讓操作機制更形安全完善,此外也同時支援TACL、OSH、BLOCK mode模式,讓NonStop環境需求皆得以滿足,針對歷史資料的收集與查詢也提供相關的報表程式,讓管理者能在第一時間揪出系統異常使用者,不失為NonStop環境安全監控最好的搭配選擇。

產品聯絡人:張先生TEL: (04)2202-1221分機: 4512

參考資料

Watchlog產品使用手冊

 

回上一頁