产品定位
eSight是面向企业的一体化融合运维管理解决方案,可实现交换机、路由器、WLAN、防火墙、视频监控、服务器、存储、微波、PON设备以及服务器操作系统和虚拟资源的统一管理,为企业ICT设备提供集中化管理、可视化监控、智能化分析等功能,有效帮助企业提高运维效率、降低运维成本、提升资源使用率,有效保障企业ICT系统稳定运行。
产品特点
eSight特点包括全网设备统一管理、可靠性高、管理容量大、轻量化低成本以及开放集成等。
可靠性高、管理容量大
- 基于服务化架构,支持单机、双机主备、多节点多活架构部署,服务级故障隔离,降低业务中断时长。
- Scale-out架构,支撑后续按需扩展。
- 灵活支持从几十、几百、几千、几万不同管理规模,支持小规模、大规模不同场景一套共管诉求。
轻量级、Web化,减少系统维护与升级成本
eSight采用B/S架构,客户端无需安装任何插件,可随时随地访问。当系统升级或维护时只需更新服务器端软件,减少系统维护与升级成本。
开放、易集成
开放式架构,基于RESTful API接口,方便外部系统对接集成。
逻辑架构
eSight采用服务化架构, 逻辑架构包括开放集成服务、运维分析服务、设备管理服务、基础管理服务、南向设备接入服务。
eSight逻辑架构如图2-1所示。
外部接口
eSight提供南向接口、北向接口等多种外部接口。
eSight提供的外部接口如图2-2所示。
eSight对外提供的接口描述如下:
- IF1:南向接口,用于eSight与设备之间的对接,完成eSight对设备的管理功能。eSight支持的南向接口类型,包括SNMP、STelnet、FTP(服务端)、SFTP(客户端/服务端)、IPMI、HTTP(客户端)/HTTPS(REST/Redfish客户端、服务端)、LwM2M、WebSocket、SocketPing、ICMP、WebPing、WebTrace、SSDP、syslog。
- IF2:北向接口,eSight支持与上层管理系统的集成。上层OSS或第三方系统可通过RESTful、SNMP、FTP或Kafka接口,获取eSight系统中管理的资源、告警、性能等信息。eSight支持与Syslog服务器对接,将eSight日志转发到Syslog服务器。
- IF3:外部认证服务器集成接口,eSight支持与企业自建认证服务器对接,使用认证服务器中的用户登录eSight系统,支持的对接协议包括LDAP、RADIUS和SSO。
- IF4:消息通知接口,eSight支持与企业已有邮箱服务器或短信网关对接,将收到的重要告警、事件、报表等以电子邮件或短信方式通知客户。
- IF5:用户接口,即界面UI,系统管理员及操作人员通过此接口使用eSight所提供的各项功能。
功能特性
介绍eSight的功能特性,包括每个特性的定义、价值、应用场景和功能等。
个人中心
工作区
介绍工作区的定义、价值描述、应用场景、功能介绍和技术原理等内容。
定义
管理员通过工作区创建视图展示网络数据,掌握全网及关键资源告警、性能状态等信息。视图由多种widget组成,在视图中各区域以列表、曲线图、柱状图等方式展现设备状态、全网状态等信息。
价值描述
管理员通过工作区上的视图展示设备关键数据,方便监控设备状态,及时发现设备的异常状态并支持跳转至对应的性能指标监控页面或者告警页面进行处理,从而保证设备的正常运行。
应用场景
在日常维护中,运维人员在工作区集中创建场景化运维视图,必要时可以在大屏幕中演示或汇报网络的运行状态。
- 在日常维护中,运维人员通过在工作区创建场景化监控运维视图,查看网络流量、资源状态等视图信息,全方位的监控整个网络的运行情况,运维人员可以分析网络的健康状态及趋势,排查网络隐患并及时预警和调整。
- 在日常维护中,因业务需要,运维人员通过自定义场景化运维保障视图,支撑各类活动的网络保障任务,运维人员可以在保障前做相应准备,保障中实时监控网络运行态势。
功能介绍
工作区提供的功能主要包括:首页视图、视图管理。
- 首页视图集中展示,可调整视图顺序,设置为默认显示,方便切换。
- 支持对预置视图的修改和删除。
图3-1 工作区首页
图3-2 视图管理
- 支持新建、修改、删除自定义视图。
图3-3 自定义视图
个人设置
介绍个人设置的定义、价值、功能等基本信息。
定义
个人设置是系统提供的关于个人相关设置功能的集合,例如用户管理提供的修改密码、修改个人信息和个人登录IP地址控制等功能,管理员首页提供的惯用设置功能。
价值描述
个人设置提供用户个性化定制功能,以便于用户根据自身习惯,调整客户端惯用设置(例如日期和时间格式)和个人相关设置(例如密码)等,提升用户体验。
应用场景
个人设置应用场景包括修改密码、修改个人信息、个人登录IP地址控制以及惯用设置等。
- 修改密码
为了提高系统安全性,建议定期修改用户密码。
- 修改个人信息
当用户手机号码、电子邮箱、登录欢迎信息、会话自动注销等待时间等信息发生变更时,可修改个人信息。
- 个人登录IP地址控制
用户可以查看当前帐号允许登录的IP地址控制范围。
- 惯用设置
当系统默认设置的日期、时间格式或数字格式不符合用户使用习惯或当客户端时区与服务端时区不一致时,用户可自行设置。当用户打开多个不同系统的主窗口时,用户可自行设置不同系统的主窗口标题,以便快速定位不同系统的主窗口。
功能介绍
个人设置提供的功能主要包括:修改密码、修改个人信息、个人登录IP地址控制、惯用设置等。
- 用户可根据需要修改密码。
- 用户可根据需要修改手机号码、电子邮箱、登录欢迎信息及会话自动注销等待时间等个人信息。
- 用户可查看或修改自己的登录IP地址控制策略。
- 惯用设置包括日期和时区设置、时间格式设置、数字格式设置和主窗口标题设置。
维护中心
资源管理
介绍资源分组、资源接入、链路管理、上下电管理、服务年限信息管理相关业务功能的定义、价值描述、应用场景、功能介绍等。
资源分组
本章节介绍资源分组的定义、价值描述、应用场景、功能介绍以及可获得性等。
定义
价值描述
在运维过程中,运维人员通过将资源进行分类和分组,一方面在用户授权时,提供分组数据,实现用户对资源的分域管理,提升系统的安全性;另一方面在用户设置告警/事件/告警日志等过滤条件时,提供设备分组,便于快速过滤特定类型设备的告警/事件/告警日志,满足用户个性化监控需求。
应用场景
资源分组功能的应用场景主要有两种:用户权限管理和设置告警/事件/告警日志等过滤条件。
- 管理员在进行用户权限管理时,会为用户分配管理对象以及对应的操作权限。管理员可以选择资源分组中已创建的分组作为管理对象,快速实现对资源的分域管理。
- 用户设置告警/事件/告警日志等过滤条件时,可以指定资源分组中已创建的设备分组为告警源/事件源,便于快速过滤特定类型设备的告警/事件/告警日志。
功能介绍
用户通过配置不同的分组类型和分组对资源进行分类和分组,实现对资源的统一和高效管理。
- 用户可以配置不同的分组类型,将具有共同特征的分组划分为一种分组类型,包括创建、修改、删除分组类型。
- 在每个分组类型下,用户可以配置分组规则进行资源自动分组,或者手动增加成员进行分组,将资源划分为不同的集合,包括创建、修改、删除分组。
链路管理
介绍链路管理的定义、价值、应用场景、功能、可获得性、技术原理、依赖与限制。
定义
链路管理可以直观展示网络设备之间、服务器设备之间、视频设备之间、微波设备之间以及PON设备之间的链路连接,并支持对链路进行发现、监控和配置。
eSight支持的链路及对应发现方式详细说明如下:
|
链路类型 |
链路含义 |
链路来源 |
|---|---|---|
|
线缆 |
通过物理线缆直接连接两台设备形成的链路。 |
|
|
二层链路 |
设备物理端口之间实际物理连接的链路。 |
|
|
IP链路 |
链路两端接口的IP地址为一对30位子网掩码的链路。 |
|
|
CSP链路 |
CSP设备与CloudIVS设备之间的特殊虚拟链路。 |
手动创建 |
|
通用链路 |
不属于上述四种类型的链路统称为通用链路。 |
|
价值描述
链路管理可以对设备间链路进行统一的监控管理、实现对链路的实时监控、且同一站点内设备间链路信息统一可视。
- 链路管理支持自动发现链路和手动创建设备间链路,运维人员可以通过链路管理对设备间链路进行统一的监控管理。
- 链路列表提供可视化监控能力,运维人员可以通过不同颜色的状态标识来了解链路的运行状态,实现对链路的实时监控,提升运维效率。
- 链路管理提供基于拓扑的链路运维能力,实现同一站点内设备间链路信息统一可视,父子链路关系一目了然。
应用场景
链路管理服务的应用场景包括链路统一监控和链路故障定位。
- 链路统一监控
运维人员需要监控链路的运行状态信息,eSight提供链路资源监控功能,实现链路运行状态快速查看。
- 链路故障定位
运维人员通过eSight对链路故障进行诊断,eSight可结合链路上设备、端口的告警辅助运维人员分析定位链路故障原因。
功能介绍
链路管理支持发现链路、创建链路、管理链路、监控链路和配置链路。
发现链路
支持手工发现网络设备、服务器设备、视频设备、微波设备以及PON设备的链路。
创建链路
- 通过选择链路类型、设备和端口手工创建链路。
- 通过Excel导入的方式,批量创建设备之间的规划链路。
管理链路
链路接入eSight后,可查看基本信息,执行快速搜索、导出、删除、定位到拓扑等操作。
监控链路
实时监控链路的状态和信息,包括链路状态、名称 、带宽、两端网元名称、网元IP、网元MAC以及两端端口IP、端口管理状态和端口运行状态。
配置链路
- 查看链路信息
查看链路的详细信息,包括链路状态、名称、类型、带宽、创建时间、更新时间、来源以及两端网元名称、网元IP、网元MAC、端口名称、端口IP、端口别名、端口管理状态、端口运行状态。
图3-5 查看链路信息
- 导出链路信息
导出链路的详细信息,包括链路状态、名称、类型、带宽、创建时间、更新时间、来源以及两端网元名称、网元IP、网元MAC、端口名称、端口IP、端口别名、端口管理状态、端口运行状态。
- 隐藏链路
如果用户不想显示某条链路,可在链路管理中将其隐藏,隐藏后在网管中就不会再显示此链路。
- 查看和恢复隐藏链路
查看当前系统中被隐藏的链路,也可对隐藏的链路进行恢复显示操作。
- 删除链路
将网管中的链路以及相关数据彻底清除。对于自动发现的链路,当用户执行“自动发现”后,可再次显示在网管中。
- 名称显示规则
链路名称按照设置的规则显示在链路列表和拓扑中。如:按照“A端网元_A端端口_Z端网元_Z端端口”显示。各字段之间使用“_”连接。
名称显示规则仅对自动发现的链路名称有效。
功能介绍
上下电管理的功能包括:
服务年限信息管理
介绍服务年限信息管理的定义、价值、应用场景、功能、可获得性、技术原理、依赖与限制。
定义
服务年限信息指eSight及其所管理设备的服务年限信息,如生产日期、服务起始时间、服务时长及当前状态。服务年限信息管理用于跟踪网元、部件和本机(本机指eSight自身软件或硬件)的生命周期管理,非维保时间或SnS(Subscription and Support)年费时间管理。
价值描述
服务年限信息管理致力于构筑一套eSight及其所管理设备服务年限信息可查询系统,帮助用户了解现网设备及eSight的服务年限信息,以便分析设备及软件老旧情况,及时更新设备或升级软件,减少网络风险,降低人工维护成本。
应用场景
服务年限信息管理主要用于产品例行巡检或例行维护时对eSight及其所管理设备的服务年限信息进行排查统计。
功能介绍
服务年限信息管理提供查看、导入、导出服务年限信息及设置告警上报等功能。
- 查看网元、部件和本机的服务年限信息及历史变更记录,包括服务起始时间、服务时长等。
- 当服务年限信息变更时,可以通过导入功能进行刷新。
- 可以导出服务年限信息,用于分析设备老旧情况或变更设备服务年限信息。
图3-6 查看服务年限信息
- 设置告警上报,通过开关控制是否上报服务年限信息相关告警。告警上报开关默认关闭。
- 开关打开时:当设备或本机接近或超过服务年限及服务年限信息有缺失时,eSight会上报服务年限信息相关告警。
- 开关关闭时:不上报服务年限信息相关告警。
图3-7 服务年限信息相关告警
监控中心
告警监控
告警管理的基本信息,包括定义、价值描述、应用场景、功能介绍、可获得性、技术原理等内容。
定义
运维人员通过告警管理对系统自身或管理对象上报的告警或事件进行监控和管理。告警管理提供了丰富的监控和处理规则,还可以将故障通知给运维人员,帮助高效监控、快速定位和处理网络故障,从而保证业务正常运行。
告警和事件
系统自身或管理对象检测到自身存在异常或正常运行时的重要状态变化,将分别以告警或事件显示在告警管理界面中。管理对象指接入告警管理系统的对象或网元。告警和事件的定义等信息如表3-12所示。
|
名称 |
含义 |
区别 |
共同点 |
|---|---|---|---|
|
告警 |
系统自身或管理对象检测到故障而产生的通知。 |
|
以通知方式提示用户。 |
|
事件 |
系统自身或管理对象在正常运行状态下产生且需要主动提示用户的通知。 |
告警级别
告警级别用来表示故障的严重程度、重要性和紧迫性,帮助运维人员在大量告警中快速识别告警的重要程度,采取相应的处理策略,运维人员也可以根据需要调整告警的级别。
告警的级别说明如表3-13所示。
|
告警级别 |
缺省颜色 |
说明 |
处理策略 |
|---|---|---|---|
|
紧急 |
|
已经影响业务,需要立即采取纠正措施。 |
需要紧急处理,否则有业务中断或系统瘫痪的风险。 |
|
重要 |
|
已经影响业务,如果不及时处理会产生较为严重后果。 |
需要及时处理,否则会影响重要业务运行。 |
|
次要 |
|
目前对业务影响轻微,但需要采取纠正措施,以防止更为严重的故障发生。 |
需要查找告警原因,消除故障隐患。 |
|
提示 |
|
检测到潜在的或即将发生的影响业务的故障,但是目前对业务还没有影响。 |
可根据告警了解网络和网元的运行状态,视具体情况进行处理。 |
告警状态
告警的状态分类如表3-14所示。
|
状态名称 |
告警状态 |
说明 |
|---|---|---|
|
确认状态 |
已确认、未确认 |
初始确认状态为“未确认”。当用户已经看到此告警并纳入到处理计划中,此时对告警进行“确认”操作,告警变为“已确认”状态;当此告警暂时不处理但需要后续关注或者其他用户进行处理时,用户可以进行“反确认”操作,则告警恢复为“未确认”状态。用户也可以通过配置“自动确认规则”来实现告警自动确认。 |
|
清除状态 |
已清除、未清除 |
初始清除状态为“未清除”。当修复了引起告警的故障,对应的清除通知自动上报到告警管理系统后,告警状态将变为“已清除”。部分告警修复后,清除通知无法自动上报至告警管理系统,则用户需确认故障修复后手工执行“清除”操作。“已清除”告警的背景色在界面中显示为绿色。 |
|
维护状态 |
正常态、维护态 |
|
|
失效状态 |
有效告警、无效告警 |
|
事件状态
事件的状态分类如表3-15所示。
|
状态名称 |
事件状态 |
说明 |
|---|---|---|
|
维护状态 |
正常态、维护态 |
事件的维护状态是固定的,在监控或查询事件时,可通过过滤条件将维护态事件过滤掉,运维人员不用耗费时间关注这类事件。 说明:
|
当前告警和历史告警
当前告警和历史告警的说明如表3-16所示。
|
名称 |
说明 |
|---|---|
|
当前告警 |
包括:未确认未清除告警、已确认未清除告警、未确认已清除告警。用户可监控当前告警,及时发现故障,并作相应操作,通知给运维人员处理。 |
|
历史告警 |
已确认已清除告警。用户可对历史告警进行分析,优化系统的性能。 |
告警和事件的类型
用户可以设置告警或事件的某些类型为过滤条件进行查询,以便进行分析、处理。
告警和事件的类型说明如表3-17所示。
|
名称 |
说明 |
|---|---|
|
通信告警 |
网元内部、网元之间、网元与管理系统之间、管理系统之间的通信失败而引起的告警。如:设备通信中断告警。 |
|
业务质量告警 |
业务质量退化问题而引起的告警。如:设备拥塞告警。 |
|
处理错误告警 |
软件或处理过程错误而引起的告警。如:版本不匹配告警。 |
|
设备告警 |
物理资源故障而引起的告警。如:单板故障告警。 |
|
环境告警 |
设备所处环境出现问题而引起的告警。如:硬件温度过高而产生的温度告警。 |
|
完整性告警 |
请求的操作不能正常提供。如:非法的修改、增加和删除用户信息。 |
|
操作告警 |
所需服务因不可用、故障或错误调用等问题无法正常运行而引起的告警。如:服务拒绝、服务退出、程序性错误。 |
|
物理资源告警 |
物理资源受到破坏而引起的告警。如:电缆破损、非法闯入机房。 |
|
安全告警 |
安全服务或机制检测到有关安全方面的问题发生。如:鉴权失败、机密泄露、非法访问。 |
|
时间域告警 |
某事在不应该发生的时间内发生。如:信息延迟、密钥失效、在非授权时间段访问资源。 |
|
属性值改变 |
管理对象的属性值发生变化。如:属性增加、减少和改变。 |
|
对象创建 |
管理对象的实例被创建。 |
|
对象删除 |
管理对象的实例被删除。 |
|
关系改变 |
管理对象的关系属性发生变化。 |
|
状态改变 |
管理对象的状态属性发生变化。 |
|
路由改变 |
路由发生变化。 |
|
保护倒换 |
倒换引起的告警或事件。 |
|
越限 |
当性能指标达到阈值时,上报该类告警或事件。 |
|
文件传输状态 |
文件传输成功/失败后上报该类告警或事件。 |
|
备份状态 |
管理对象的备份状态发生变化。 |
|
心跳 |
发送心跳通知。 |
价值描述
告警管理致力于适配不断演进的复杂网络的监控和运维,不仅能支撑传统网络的故障监控与处理,还能对新一代网络NFV(Network Functions Virtualization)、SDN(Software-Defined Networking)进行故障监控,提升网络运维效率。
告警管理系统的价值包括:
- 提供多领域、多厂商数据采集能力,支持从下层第三方系统采集网元的告警信息,然后将处理后的告警集中显示在监控界面中,运维人员在日常工作中可在统一的监控界面上集中监控告警。
- 提供了多样化的告警过滤方式,帮助运维人员快速筛选所关注的告警,提高监控效率。
- 支持灵活的告警规则配置,将海量的告警进行关联和压缩,减少告警噪声,实现精准监控。
- 提供灵活的告警实时上报接口,将告警数据上报给上级网管,方便运维人员集中监控告警。
应用场景
告警管理全景图描绘不同运维场景下的告警操作任务。用户可以根据实际场景,执行对应的运维任务。
告警管理全景图如图3-67所示。
功能介绍
告警管理提供了丰富的监控和处理规则:通过配置告警/事件可以帮助用户压缩告警量、实现告警实时通知、满足个性化监控需要;多个监控页面为用户提供多样、便捷的监控与处理方式;在告警数据的日常维护方面,提供了可设置的保障机制,避免因数据库存储满而影响新告警的上报。
可配置的告警/事件规则说明请参见表3-18。
|
功能 |
描述 |
|---|---|
|
配置告警/事件 |
告警管理提供告警相关规则和设置的可视化管理界面。主备双机场景,主备站点的告警规则每小时同步一次,主备双机倒换后,告警规则5分钟内完成全量同步。
|
|
告警远程通知 |
通过告警远程通知功能,告警管理能够实时的将告警/事件信息通过短消息或电子邮件的方式发送给用户,以便用户在任意时间都能实时掌握告警/事件情况,及时处理重要告警/事件。 |
|
个性化监控 |
告警管理提供了多种告警/事件的显示方式和声音提示规则。用户可以根据需要修改告警视听规则,通过不同的通知方式获取最新的告警/事件信息。
|
监控告警/事件和处理告警的具体方式说明请参见表3-19。
|
功能 |
描述 |
|---|---|
|
监控和查看告警/事件 |
在告警管理中,运维人员可以监控和查看告警/事件,以便实时了解系统中的告警/事件状况并采取相应的措施。
|
|
处理告警 |
在告警管理中,运维人员可以对告警进行操作处理,以辅助故障处理。例如确认告警、清除告警等操作。告警处理的主要操作如下:
|
告警数据管理等日常维护的相关功能说明请参见表3-20。
|
功能 |
描述 |
|---|---|
|
性能优化和统计 |
通过对历史告警、被屏蔽告警的分析,和对告警数据的统计,可了解设备的运行情况及检查规则配置的合理性,也可利用统计数据做进一步分析以发现设备运行中的潜在问题。
|
|
告警/事件数据管理 |
|
|
维护经验管理 |
处理告警后,及时将处理经验记录在维护经验库中,以便在后续维护工作中进行参考或对其他人的维护工作提供借鉴和指导。维护经验支持导入或导出。 |
技术原理
介绍告警处理机制和告警/事件内部处理流程。
告警处理机制
告警管理提供了3种告警处理机制,请参见表3-21。
|
机制 |
描述 |
|---|---|
|
告警归并规则 |
为帮助用户提高监控、处理告警的效率,告警管理提供了告警归并规则,即将指定字段(定位信息、告警ID等)全相同的告警归并成一条告警。该规则仅用于在“当前告警”页面监控和查看告警,且仅对当前告警生效。 具体执行方案如下:
|
|
告警满处理规则 |
为了避免因当前告警过多影响系统性能,告警管理功能提供了告警满处理规则。当数据库中的当前告警数量达到上限阈值时,按以下规则将部分告警转为历史告警,当告警数量恢复到上限阈值的90%时,停止满处理。
|
|
告警转储规则 |
为避免告警数据库数据过多,系统每2分钟按以下规则对事件、被屏蔽告警、历史告警数据进行转储处理,被转储的告警/事件在告警/事件列表中无法查询到。
转储后的文件符合以下任一规则,将会被删除。
|
告警内部处理流程
告警内部处理流程是指告警上报至告警管理后,告警管理对告警的内部处理流程,包括进行屏蔽、级别重定义等操作。
告警内部处理流程如图3-68所示。
告警内部流程说明请参见表3-22。
|
操作 |
说明 |
|---|---|
|
告警屏蔽 |
将符合屏蔽规则的告警丢弃(不进入数据库)或记录在被屏蔽告警数据表中,不再进行后续的告警预处理。 |
|
告警变更 |
根据上报的变更告警,更新当前告警信息,例如清除告警、修改级别等。 |
|
级别和类型重定义 |
将符合级别和类型重定义规则的告警进行重定义处理。 |
|
远程通知 |
当符合远程通知规则的告警上报时,发送邮件或短消息通知运维人员。 |
|
自动确认 |
将符合自动确认规则的告警进行自动确认,自动确认后的告警记录在历史告警数据表中。 |
|
入数据库 |
经过以上步骤处理的告警记录到数据库中。告警预处理中被屏蔽告警或转历史的告警将不会进行告警后处理,直接实时通知。 |
|
告警归并 |
将符合归并条件的告警进行归并。 |
|
实时通知 |
实时刷新告警界面中的告警信息。 |
事件内部处理流程
事件内部处理流程如图3-69所示。
事件内部流程说明请参见表3-23。
|
操作 |
说明 |
|---|---|
|
事件屏蔽 |
将符合屏蔽规则的事件丢弃(不进入数据库),不再进行后续的处理。 |
|
级别和类型重定义 |
将符合级别和类型重定义规则的事件进行重定义处理。 |
|
远程通知 |
当符合远程通知规则的事件上报时,发送邮件或短消息通知运维人员。 |
|
入数据库 |
将经过以上步骤处理的事件记录到数据库中。 |
|
实时通知 |
实时刷新事件日志中的事件信息。 |
运营中心
报表管理
介绍报表管理的基本信息,包括定义、价值、常见的应用场景、主要功能等。
定义
报表管理提供端到端的数据分析框架和报表展现平台。管理员可自主选择报表的图表形式、数据维度、度量等,快速生成所需的报表,实现快速灵活自助式数据分析、数据导出。
价值描述
通过动态展示多图多表、多维度、多度量的业务数据报表,可以实现管理员快速灵活自助式数据分析,帮助管理员聚焦于关键指标的健康状况监控,监控业务KPI(Key Performance Indicator),快速掌握业务整体健康状况,支撑运维决策。
应用场景
运维人员可使用报表管理有效分析业务数据,监控业务KPI。
业务数据查看分析:
- 每天通过查看报表数据,全面掌握各业务的运行情况,了解设备运行状态。
- 在日常维护中通过自定义报表,对业务数据进行数据关联、交叉比对、分析问题。
业务数据导出:
- 导出业务报表数据进行业务数据汇报。
- 定期邮件接收业务报表数据,远程监控业务运行,并进行数据归档,积累历史数据。
功能描述
介绍报表管理为用户提供的功能。
- 报表管理
- 支持业务预置报表和Widget,预置报表支持富文本和自定义图片。
图3-80 预置报表和Widget
- 支持通过拖拽图标的方式快速自定义报表,包括业务预置的Widget、表格、折线图、饼图、柱状图、图片、富文本多种形式。
图3-81 图表类型
- 支持自主选择图表的形式、数据源、维度、度量。
- 支持导出Excel和PDF格式的报表,以及报表中单个图表的数据。
- 支持将所关注的报表添加到“我的收藏”。
- 支持业务预置报表和Widget,预置报表支持富文本和自定义图片。
- 报表周期任务
-
支持周期报表任务的创建、启用、禁用。
-
支持设定周期报表数据统计的时间范围。
- 支持通过周期迭代性任务定期生成报表,并发送邮件通知指定用户。
- 支持导出周期任务中的报表,对历史报表数据进行分析。
-
系统管理
安全管理
本章节介绍了安全管理的基本信息,包括安全管理的定义、价值描述、应用场景、功能介绍和技术原理等内容。
定义
安全管理功能支持管理用户的权限、认证方式、会话、用户策略等功能,以保障用户在自己的权限内使用系统和管理对象。
进行安全管理操作前,先了解安全管理相关的概念,如权限、管理对象、用户和角色、操作权限和操作集、区域等概念,有助于理解各操作执行的原因。
权限
权限定义了“用户在什么对象上可以执行哪些操作”。
权限要素包括执行者、执行对象和操作,如图3-82所示。
- 权限的执行者为用户。
- 执行对象是指用户执行操作的系统和管理对象,其中系统是指运维面,管理对象包括物理对象和虚拟对象,如服务器、网络设备和虚拟机等。
- 操作是用户对系统或管理对象执行的动作,分为应用操作和设备操作,应用操作是对系统的操作权限,设备操作是对管理对象的操作权限。
管理对象
管理对象是指用户可管理的物理对象(如服务器、网络设备)和虚拟对象(如虚拟机)。
根据授权时选择管理对象类型的不同,用户的管理对象有所不同,以下举例说明:
- 对象全集:系统中的所有管理对象。
- 子网:子网结构与拓扑视图页面的子网结构一致。选择子网时,用户可管理该子网中的所有管理对象,包括子网中的设备和子网,以及该子网本身。
- 设备:该类型下显示系统可管理的所有设备,可以直接给用户单独授权某一个设备。
- 资源分组:通过资源分组功能按照资源类型配置的资源集合。
用户
用户是使用者在系统中的标识,包括用户名、密码和权限等属性。
- 系统管理员具有对整个系统和所有管理对象的最高权限,使用该用户操作务必谨慎,禁止做任何影响系统安全性的操作,例如共享或扩散系统管理员的用户名和密码。
- 系统管理员的用户名支持重命名。重命名的操作请参见“停用/启用或重命名缺省Web用户”章节。
- 安全管理员:属于“安全管理员组”的用户为安全管理员,可以管理系统中的所有用户。
- 管理员:属于“Administrators”角色的用户为管理员,拥有除“用户管理”、“查询安全日志”和“查看在线用户”之外所有系统操作权限,可以执行权限相应的所有操作。
角色
角色是操作权限和管理对象的集合。
属于同一个角色的用户拥有相同的管理对象和操作权限。属于多个角色的用户拥有这些角色所包含的管理对象和操作权限。
系统提供的缺省角色如表3-25所示。缺省角色不可删除,并且其权限由系统提供,不可修改。
|
角色名称 |
说明 |
|---|---|
|
Administrators |
拥有除“用户管理”、“查询安全日志”和“查看在线用户”之外的所有权限。 |
|
安全管理员组 |
拥有“用户管理”、“License管理”、“查看在线用户”、“查询安全日志”和“更新ACL策略”的权限。 |
|
北向用户组 |
北向接口用户专用,拥有所有北向接口的操作权限和界面配置权限。建议将该角色分配给可以管理所有管理对象的用户。 |
|
文件系统组 |
拥有HOFS(High Available Object File Storage Service)的RESTful接口访问权限,建议将角色分配给需要访问HOFS的RESTful接口的用户。 |
操作权限和操作集
操作权限是指用户可以执行某项具体操作的权限。安全管理员将操作权限分配给角色后,所属该角色的全部用户可以执行相应操作。
操作集是多个操作权限的集合。安全管理员将操作集赋予角色,所属该角色的全部用户即拥有了操作集的所有操作权限。
操作集分为应用操作集和设备操作集:
- 应用操作集:指对系统功能进行相关操作的权限集合,例如查询系统日志。系统提供的缺省应用操作集如表3-26所示。
表3-26 缺省应用操作集信息
操作集名称
说明
应用操作全集
该操作集包含安全管理员权限以外的所有应用操作权限。
故障操作员操作集
该操作集包含:“任务管理”、“设置告警/事件转储”、“设置自动同步规则”和除“删除转储文件”外的“故障管理”操作权限。
故障维护员操作集
该操作集包含:“任务管理”、“设置告警/事件转储”、“设置自动同步规则”和“故障管理”操作权限。
故障监视员操作集
该操作集包含“故障管理”中的“统计告警日志”操作权限。
文件管理操作集
该操作集包含“查看文件信息”、“删除文件”、“上传文件”和“下载文件”操作权限。
- 设备操作集:指对设备进行相关操作的权限集合,如启停交换机等。系统提供了缺省设备操作集“设备操作全集”,该操作集包含了所有的设备操作权限。
区域
区域是从地理位置或管理对象使用情况划分的系统子域。安全管理员可根据业务需求创建不同的区域,并按区域为用户授权,进行权限管理。每个区域都可以创建一个区域管理员角色,属于这个角色的用户为区域管理员。
- 安全管理员管理的区域为系统的默认区域,包括所有用户创建的区域。
- 区域管理员拥有“用户管理”和“查询安全日志”的权限,并不具备其可以授权的权限。
安全管理员需要先为区域管理员角色设置“授权范围-管理对象”和“授权范围-操作权限”。然后区域管理员才能在区域管理员角色的授权范围内,对区域内的用户、角色、管理对象和操作集进行管理。
- 授权范围-管理对象:安全管理员设置的区域管理员可以授权的管理对象。
- 授权范围-操作权限:安全管理员设置的区域管理员可以授权的操作权限范围。
- 安全管理员的授权范围
安全管理员的授权范围为系统所有权限。安全管理员根据业务需求为区域管理员设置“授权范围-管理对象”和“授权范围-操作权限”,如图3-85所示。
图3-85 安全管理员的授权范围
- 区域管理员的授权范围
区域管理员的授权范围由安全管理员根据业务需求指定。区域管理员可为本区域内角色,分配其可授权的管理对象和操作权限。如图3-86所示。
图3-86 区域管理员为区域内角色授权
用户策略
用户策略提供了用户访问控制功能,包括设置帐号策略、密码策略、登录IP地址控制和登录时间控制。
价值描述
安全管理通过对用户或角色授权,实现了合理的管理对象分配和权限管理,保证了用户信息和系统的安全性,降低安全风险,提升运维效率。
- 安全管理员通过角色授权的方式实现权限的最小化管理和管理对象的合理分配,以降低安全风险。
- 安全管理员可根据业务需求对整个网络进行区域划分,并分别授予不同人员负责不同区域的用户和业务管理,以提升管理效率。
- 许多用户都有3A(Authentication,Authorization,Accounting)系统,用于集中用户管理、集中认证、集中授权。通过远端认证配置与第三方认证系统对接以后,系统直接通过3A认证协议到3A系统上进行用户认证,保证了用户登录的合法性。
- 用户策略可以有效避免非法用户对系统的入侵,保证用户信息和系统的安全性。
应用场景
安全管理的应用场景包括用系统登录模式设置、用户权限管理、区域管理、个人信息管理、用户监控、SSO(Single sign-on)配置和远端认证配置场景。
- 系统登录模式设置
当系统管理员需要对系统进行维护操作时,为防止其他用户的操作对系统维护造成影响,可设置系统登录模式为单用户模式。维护操作完成后,再将系统登录模式设置为多用户模式。
- 用户权限管理
安全管理员可基于用户的组织结构,组织管理的资源,以及人员职责进行用户授权的规划,并按照规划结果给用户授予相应的操作权限,并根据业务及人员岗位变动,及时调整用户权限。
- 区域管理
对于人员和设备众多的场景,安全管理员的工作会变得繁重,权限维护效率低。安全管理员通过区域划分,将自己的权限划分给区域管理员,由区域管理员代为管理区域内设备和权限。安全管理员可根据业务需求对整个系统进行区域划分,并分别授予不同人员负责不同区域的用户和业务管理,减少安全管理员的工作,提升安全管理的效率。
- 个人信息管理
用户可根据实际情况修改自己的密码和联系方式。
- 修改密码
- 系统管理员首次登录运维面时需修改密码,保证系统安全。
- 为了提高系统安全性,建议定期修改用户密码。
- 修改个人信息
当用户手机号码、电子邮箱、登录欢迎信息等信息发生变更时,可修改个人信息。
- 修改密码
- 用户监控
安全管理员可通过查看在线用户功能,查看用户会话和操作记录,并可对用户进行强制注销。
- 当发现部分用户在执行危险操作时,可以将执行该操作的用户强制注销,保证系统的安全。
- 当用户权限发生变更,并且用户已登录运维面时,可将用户强制注销,保证权限的变更及时生效。
功能介绍
安全管理提供了用户授权和个人信息管理等功能。
安全管理具有以下功能:
- 支持设置系统登录模式。
- 提供用户权限管理功能。
系统支持分权分域管理。分权分域可对管理对象(资源)和操作权限进行划分和管理。可以给用户授予不同的功能域和资源域的权限组合,实现对用户权限管理的有效控制。
- 分域:是将设备节点、业务或数据划分到不同管理域,授权区域管理员对不同管理域进行管理。在区域内,区域管理员可按分权模式进行管理,但不能管理其他区域的设备、业务或数据。
- 分权:分域条件下的鉴权管理方式,是对用户可执行的操作权限的划分,即同一区域不同职责(岗位)的用户对区域内管理对象可执行的操作权限不同。
- 支持配置二次授权。
- 提供区域管理功能。
- 提供用户监控功能,支持强制注销执行非法操作的用户。
- 支持个人信息管理。
- 支持SSO配置。
- 支持远端认证配置。
- 支持设置帐号策略、密码策略、登录IP地址控制策略和登录时间控制策略的功能。
发表评论