FAQ
主机使用
体检监控问题

1、体检报告:异常登录检查登录IP没有显示IP

monitorhost1

问题解答:

(1)该信息是通过目标主机系统日志来进行获取的:

Windows:登录目标主机,在计算机管理->事务查看器->Windows日志->安全->筛选当前日志:输入ID 4625(登录失败的ID),选择时间范围即可搜索相关日志。

Linux:通过读取/var/log/secure、var/log/auth.log 、/var/log/messages等文件的登录失败日志 ,解析日志获取;

(2)当在系统日志里无法获取到IP时,就会使用主机名等关键词;

2、体检报告:异常登录检查检查结果:发现n次异常登录

monitorhost1

问题解答:

(1)该信息是通过目标主机系统日志来进行获取的:

Windows:登录目标主机,在计算机管理->事务查看器->Windows日志->安全->筛选当前日志:输入ID 4625(登录失败的ID),选择时间范围即可搜索相关日志。

Linux:通过读取/var/log/secure、var/log/auth.log 、/var/log/messages等文件的登录失败日志 ,解析日志获取;

3、体检报告:临时目录权限检查

monitorhost3

问题解答:

(1)Linux默认一般会挂载 /dev/shm

(2)/tmp和/var/tmp这两个不是挂载点,但他们是目录,所以也会检测出来;

(3)如果确认该目录没有风险,可以把它们加入白名单,这样就不会告警了;

4、网卡流量如何监控?

问题解答:

(1)行云管家是对每块网卡单独对应一个IP进行监控的,单独监控该网络流量;

(2)通过映射得到的公网IP不能进行监控的,流量是走的内网,无法进行区分;

5、监控数据存放在哪里,是否会占用主机磁盘空间?

问题解答:

(1)行云管家监控数据是存放在行云管家数据库里的;

(2)行云管家监控数据不会占用用户的磁盘空间;

6、监控数据清理周期是多久?

问题解答:

监控数据只会保留30天的数据,超出时间的数据会进行清理;

7、CPU告警设置里的CPU User、IOWait、System分别是什么意思?

monitorhost7

问题解答:

请参照Linux系统top命令里的%Cpu(s)

us:us, user : time running un-niced user processes 用户空间占用CPU百分比;

sy, system:time running kernel processes 内核空间占用CPU百分比;

wa, IO-wait:time waiting for I/O completion 等待输入输出的CPU时间百分比;

8、监控告警会通知多少次?

问题解答:

在该告警问题清理前,监控告警会通知一次;

9、体检报告:危险端口开放检查是如何检查的?

monitorhost9

问题解答:

危险端口开放检查是通过在行云管家门户服务器里执行以下命令进行查询的:

nmap -T4 -sS -d -n -PN --min-rate=400 --max-rate=600 --max-retries=2 目标主机ip