网御网络审计系统后台维护培训

纲要 1、主要进程介绍 2、常用工具介绍 3、常用命令使用 4、常见问题排查 5、linux常用命令 6、其他维护

进程介绍 进程名 对应可执行程序 功能描述 dumWish sh /ge_driver/install_driver.sh 捕获网络数据 nsdpf /apps/rtx/run_env/bin/nsdpf 系统主程序，包括协议分析和策略处理以及流量统计等 flowcollect /apps/rtx/run_env/bin/flowcellect 流量统计进程，主要负责定时操作的功能，比如统计流量到数据库，实时流量计算等。 RtxScan /apps/rtx/run_env/bin/RtxScan 包括检查机器账号上下线状态、系统运行状态和机器名获取等功能。 parse_post /apps/rtx/run_env/bin/parse_post Post协议类，内容审计处理进程，如：发帖内容、webmail内容审计 Autobackup /apps/rtx/run_env/bin/autobackup 日志自动备份进程

进程介绍 LogManage /apps/rtx/run_env/bin/LogManage 日志管理进程，如删除过期行为日志和内容日志 RepairTable /apps/rtx/run_env/bin/ RepairTable 数据库表自动修复进程 LogContentAnalyse /apps/rtx/run_env/bin/LogContentAnalyse 日志处理进程，负责把日志写到数据库里面 rtxdog /apps/rtx/run_env/bin/rtxdog 进程看护进程，负责对主要进程进行检测，发现进程不存在时，会主动启动进程 sendAlarm /apps/rtx/run_env/bin/sendAlarm 报警进程，负责对各种报警条件进行报警 lighttpd /apps/bin/lighttpdctl restart 页面进程 RunState /apps/rtx/run_env/bin/RunState 软件状态检测进程，如对软件系统资源、磁盘使用等信息

纲要 1、主要进程介绍 2、常用工具介绍 3、常用命令使用 4、常见问题排查 5、 linux常用命令 6、其他维护

常用工具介绍 一、查看共享内存信息look_shm 路径：/apps/rtx/run_env/bin 使用方法：

常用工具介绍 二、观察系统日志 read_logs 路径：/apps/rtx/run_env/bin 使用方法：

常用工具介绍 三、查看连接数处理showstat 路径：/apps/rtx/run_env/bin 使用方法：

常用工具介绍 四、清除共享内存dropshm 路径：/apps/rtx/run_env/bin 使用方法： [root@localhost bin]# ./dropshm 清除共享内存之前，必须先停止软件

常用工具介绍 五、查看加密狗信息get_usbdog_info 路径：/apps/rtx/run_env/bin 使用方法： 其他常用工具请参考相关维护文档

纲要 1、主要进程介绍 2、常用工具介绍 3、常用命令使用 4、常见问题排查 5、linux常用命令 6、其他维护

常用命令使用 一、查看软件进程 ps aux|grep nsdpf 或ps -eLf | grep nsdpf 二、查看网卡流量： watch -n1 -d ifconfig eth0

常用命令使用 三、查看数据状态 mysql -e ‘show processlist‘ 查看数据库状态，检查是否有修表状态

常用命令使用 四、Linux 后台抓包命令 1、切换网卡状态 （默认在/ge_driver目录下） ./smode -d eth0 -m 0 2、抓包命令 tcpdump -s 60000 -i eth0 -w log.pcap host 192.168.10.9 3、使用wireshark打开录制的数据包 4、实时查看网卡数据包 tcpdump –i eth0

常用命令使用 五、 top命令的使用

纲要 1、主要进程介绍 2、常用工具介绍 3、常用命令使用 4、常见问题排查 5、linux常用命令 6、其他维护

常见问题排查 问题1：软件产品界面无数据 排查步骤和方法： 1、查看软件进程是否都存在。 主要检查进程nsdpf dumWish LogContentAnalyse 如果进程不存在，请在相应的目录下手动启动进程查看错误信息 2、查看相关捕包网卡配置。 3、查看数据库状态 4、查看捕包网卡是否有流量 5、抓包确认镜像数据是否正确

常见问题排查 问题2：软件产品界面无http日志数据、有https、QQ、P2P等日志数据 排查步骤和方法： 1、镜像是否为单向数据，排查方法抓包查看数据是否为双向。使用抓包工具：wireshark，或直接使用tcpdump 2、在/apps/rtx/run_env/bin目录下手动启动nsdpf，查看是否正常加载http模块

常见问题排查 问题3：基本的封堵策略无效，如封堵某个网站访问 排查步骤和方法： 1、确认产品能正常测试机器数据 2、确认策略设置正确 3、确认软件通讯IP和需要封堵机器IP互通 4、查看是否有封堵日志记录

常见问题排查 问题4：查看软件运行错误日志信息 目录：/appslog/log

常见问题排查 问题5：查看数据错误日志信息 目录：/appslog/db 注：磁盘满了、根分区为只读等都会导致数据库无法启动

常见问题排查 问题6：段错误gdb调试方法 如发现某个软件进程重启频繁，手动启动提示段错误。建议使用gdb命令，把相关gdb信息反馈给研发人员。某个进程提示：Segmentation fault 此时作为非开发人员我们不一定知道解决方法，但是我们可以进一步进行分析和确认，步骤如下： 1、先确认是哪个进程出现：Segmentation fault 2、进入该进程的启动目录（软件大部分进程启动目录为： /apps/rtx/run_env/bin/） 3、在启动目录下执行：killall -9 nsdpf；gdb nsdpf ； 4、输入r 回车； 5、此时nsdpf进程一直在运行，当出现段错误时，gdb会自动退出。 6、此时输入：bt 回车，下面会显示出现段错误的原因。

常见问题排查 问题7：某个webbbs或webmail外发内容后，无法在对应的网页论坛或网页邮件查询到相关内容记录 排查步骤和方法： 1、查看软件是否丢包，确保数据的完整性。 2、确认测试机器数据经过镜像端口。 3、查询其他post内容审计，确认是否由于特征未添加。 导致归类到post类。 4、可抓包确认。

纲要 1、主要进程介绍 2、常用工具介绍 3、常用命令使用 4、常见问题排查 5、linux常用命令 6、其他维护

Linux常用命令 命令 命令参数及格式 命令说明 tar tar –vzcf 目标文件 源文件 压缩命令 tar –vzxf 源文件 解压文件命令 vi vi 文件名 文件编辑命令 rm rm –rf 文件名 删除文件或文件夹命令 cp cp 目标文件 源文件 复制文件并将其放到指定目录 cd cd 目标路径 改变当前路径到目标路径 df 显示硬盘使用率 查看硬盘使用情况 du du －H 查看文件或目录大小 date date mmddhhmmyyyy 修改当前时间 clock clock –w 是系统时间和硬件同步 top 查看cpu和内存使用情况

Linux常用命令 reboot 或init 6 重新启动系统 halt 或init 0 系统关机 ps ps waux 或 ps –eLf 察看系统进程或总线程数 pstree 查看系统进程数 watch –n1 –d ifconfig 查看网卡流量情况，是否有错误数据包，是否有数据包的丢失等 ifconfig 查看网卡配置情况

纲要 1、主要进程介绍 2、常用工具介绍 3、常用命令使用 4、常见问题排查 5、linux常用命令 6、其他维护

其他维护 一、快速格式化磁盘方法 在维护工作中，经常碰到测试机器需要清除大量数据的问题。如果使用rm命令可能会很慢，建议使用：mkfs.ext3命令格式化 注意事项： 1、格式化之前需要卸载整个分区 如：umount /dev/sda5 2、格式化之后需要修改/etc/fstab 如： 3、机器重启之前执行mount –a进行检查。确认修改正确。

其他维护 二、零拷贝和非零拷贝启动方法和机制 1、零拷贝版本有dumWish进程，非零拷贝版本没有dumWish进程。 2、软件启动时会自动检测系统是否加载了dum模块，如果加载了就直接把/apps/rtx/run_env/bin目录下的nsdpf.zero_driver修改为nsdpf。 3、如果未加载了dum模块，直接把/apps/rtx/run_env/bin目录下的nsdpf.no_zero_driver修改为nsdpf。 注： 目前零拷贝版本主要用于intel网卡芯片的硬件。 网桥部署模式也用非零拷贝版本。

其他维护 三：数据库的备份和恢复 1、备份原来数据库 mysqldump rzxdb >rzxdbback.sql 2、恢复原来数据库 mysql rzxdb <rzxdbback.sql 注：备份前停止软件。恢复前保证版本一致性。 备份和恢复时间和数据量大小有关系。

谢 谢 ！