GMSMPI网络行为监控系统用户使用手册.doc

GM-SMP-I网络行为监控系统用户使用手册目录第一章 操作使用说明 21.1 基本操作 21.2 关于记录导出 51.3 记录内容的查看 51.4 记录的快速删除 7第一章 功能菜单和按钮使用介绍 82.1 系统设置 82.1.1 系统管理 82.1.2 引擎配置 122.1.3 封网设置 132.1.4 聊天内容监控 172.1.5 设置监控点 202.1.6 远程用户查询分级权限设置 212.1.7 引擎停止/启动 222.1.8 系统退出 222.2 主机设置 222.2.1 刷新主机 222.2.2 按IP查找远程主机 222.2.3 扫描网络主机 232.2.4  修改主机名称 232.2.5 导入/导出主机列表 242.3 数据管理 242.3.1  记录查询 242.3.2 记录删除 252.3.3 当前记录导出 262.3.4 上网统计 262.3.5 历史数据 262.3.6 WEB资料（邮件）关键字分析 272.4 辅助工具 272.4.1 交换机环境监控 282.4.2 无线网络环境监控 282.4.3 现场观察 292.4.4 流量察看 302.4.5 数据库修复 312.4.6 磁盘可用空间查看 312.4.7 网卡配置信息查看 31第二章 版权声明 32第三章 用户需知 33第一章 操作使用说明本软件本着精巧、实用的原则，即使非专业计算机用户也很快能上手操作，界面设计简单、美观，非常适宜对计算机操作不熟练的人员使用。

1.1 基本操作系统安装成功后，首次运行后可根据客户的系统启动选项设置，可实现监控机开启时自动启动监控系统，或双击桌面的《信息安全网络监控系统》图标，手工启动监控系统；系统根据用户的设置，也可同时自动启动远程日志查看服务端程序，该程序会自动记录使用远程客户端程序查看数据记录的操作过程显示的主界面如下图所示： 主界面左边显示的是计算机列表，非常直观的显示被监控各部门和各台计算机的互联网通信记录分类和记录信息条目数量，图中主机名前图标上有红叉的表示该主机当前不被监控  当鼠标指向本地网络时，按鼠标右键跳出窗口：即可非常方便的配置部门、人员名称等信息1）能够自己添加、修改、删除公司的部门，如软件部，市场部等等；（2）用户能够根据IP、MAC地址自定义与机器对应的被监控微机的名字，如：00-0b-5f-33-43-00对应张三，并且指定此人所属的部门，如市场部门，并可灵活地进行删除修改；（3）可以将现有主机列表的部门主机进行导出或导入；（4）删除现有系统主机列表中记录的所有主机               系统中扫描主机列表功能是为了便于系统使用者能够将当前已联网但未进行互联网通信的计算机列入系统的主机表列中开发的操作。

请注意：采用该功能记录的主机并不能表明能够被监控，只有监控机的侦听点选取正确，并被设置为被监控，才能对被监控机器实现监控  特别说明：1、系统正常运行情况下，若未先设定监控的主机，，系统会自动检测出局域网内的上网通信计算机，并在授权监控点数内自动记录如果系统检测到网内有计算机上网通信，则点击“刷新主机”按钮后会自动显示其IP和MAC地址，用户第一次使用时候当然也可以鼠标右键点击“扫描网络获得主机列表”，这样可能扫描出被监控范围网络内的计算机的名称（被扫描机器的防火墙关闭状态下），并记入主机列表中计算机名与MAC地址或IP地址是一一对应的如果机器多于授权点， 那么系统默认只能监控最多授权点的主机，对多出的机器则不监控 这时候客户可以在菜单“系统设置”中的“设置监控点”中设置哪些机器被监控，哪些不需监控对曾被监控的机器，后又设置为不监控，而且已经有记录，则该机器仍然会在主机列表中出现，其记录也仍然存在；只有其对应的所有记录被删除，才能将该主机从主机列表中删除掉2、在基于网卡MAC地址监控模式下，不论被监控计算机是否已做了名字命名，当该计算机的IP发生改变，该计算机的被监控记录仍然会被自动归入系统确认的MAC地址下，即仅对应于该计算机名字（即计算机名字与MAC地址被绑定），但记录中仍然会显示实时记录的IP地址。

3、“删除所有主机列表”只是删除这些主机名称，但没有删除这些主机上网时被监控记录的数据记录，除非进行记录的删除操作用户可以点击“刷新”按钮或者“扫描网络主机列表”重新获得这些主机名称（这时用户定义的机器名会丢失，需重新定义），或可从原导出的主机列表文件导入，则可以保留原来定义的分组名、机器名字当进行涉及主机删除有关操作时，务必对系统设置的监控点进行重新设置 当鼠标指向部门或列表中的被监控计算机时，有上述类似的操作功能 主界面右边显示的是监控系统实时记录被监控计算机进行互联网通信的信息记录所列出的记录按记录类型、时间、MAC地址等顺序列出，点击每栏表头可实现该栏目的记录按升序或降序排列方式显示记录，并以分页形式提供记录浏览或全部显示 每条记录的信息内容包括：1.         类     型：记录的信息类型；（参阅1.5节）2.         时     间：该记录产生的日期、时间；3.         MAC地址：该记录的被监控计算机网卡MAC地址数据；4.         源IP地址：该记录的被监控计算机实时配置的IP地址数据；5.         目标IP地址：该记录的被监控计算机所访问网站或网页的IP地址数据；6.         内     容：访问网站或通信内容记录提示；7.         访问网页的地址：记录所访问网站或网页的域名和路径；8.         用 户 名：记录被监控者使用邮件管理器、FTP登录等操作的登陆用户名； 进入监控状态后，若被监控范围网络中在授权点数内有未被记录的计算机上网进行互联网通信，监控系统会自动将该机列入监控计算机列表中的其他主机分组中，并自动记录该机网络通信的信息。

点击按钮，可观察或更新被列入监控的计算机及其分类信息记录数量的统计数若局域网络系统内的计算机数量超过系统授权监控的点数，系统对超过授权点数的机器不记录 当鼠标指向某一记录时，按右键可以选择删除该条记录或查看该记录的内容，或将该条记录的详细内容单独保存，或将该记录中的URL记入过滤网页URL地址的文件中在封网状态下进行访问过滤以及记录汉字乱码的转换等操作其中选择“标题显示为简体中文（GB2312）”或“标题显示为繁体中文（Big5）”时，界面中所有记录标题栏内汉字均被转换为简体汉字或繁体汉字选择UTF-8编码转为标准文字，则仅转换该记录标题内的文字并以新开窗口显示界面底部为系统监控状态指示栏，分别显示系统引擎正在运行或引擎停止，实时显示目前监控记录的全部记录数统计数据，以及当前日期、新记录提示等信息若显示引擎停止，则表明当前监控失效，可点击工具栏中启动引擎重新启动引擎   系统运行时，点击系统运行主界面右上角最小化按钮后，系统运行图标会隐藏在windows视窗桌面的右下角，并显示系统现有的总记录数值再次打开需要管理者密码此时若监控系统的引擎停止，鼠标放在该图标上，会出现提示（图Ａ） 远程服务端程序启动后的小图表也隐置于windows视窗桌面的右下角（图Ｂ）。

 　　　 　　　　    　　　　　　图Ａ　　　　　　　　　　图Ｂ1.2 关于记录导出 为了方便用户灵活的对记录进行编辑、打印，使用菜单栏中的“数据管理”→“当前记录导出”功能，可以非常方便地将主界面所显示的记录数据导出，导出格式可以为excel格式或文本、html格式，以便保存或制作需要的各种报表注意：所导出的数据仅为数据库中留存的信息，而与记录对应的详细日志并未导出选择UTF-8编码转为标准文字，则仅转换该记录标题内的文字并以新开窗口显示1.3 记录内容的查看收发邮件记录的查看：用鼠标点击欲查看的收发邮件记录，系统会利用监控机自身的Outlook Express将记录的邮件还原，供管理使用者阅读MSN、Yahoo通聊天记录的查看：在主界面上，用鼠标点击欲查看的记录，系统会将该记录对应被监控计算机的全部聊天通信内容记录以WEB页的形式、按日期、时间顺序排列再现MSN收发文件以及YAHOO发送文件的查看：在主界面上，用鼠标点击欲查看的文件记录，系统会将该自动打开，供管理者阅读该文件也可由管理者进行删除或保存处理本系统支持2008III（包括TM）、MSN6.0、YAHOO通6.0以上目前所有版本的文件收发监控，若在传递过程中使用续传或网络断开，会影响监控记录文件的完整性。

另外如果在内网通过、MSN、YAHOO通发送文件，系统不能监控记录）本系统目前对于、贸易通等聊天对话记录只能作在某一登录时间段内对话通信的次数统计记录，不能记录和查看其通信对话内容SKYPE的通信仅记录登录，其原因在这些及时通信的聊天对话传输是经过加密处理的，为保障本系统的监控效率，现未对对话通信进行记录和解密处理，敬请用户谅解Web 邮件和WEB资料发送记录的查看：该两种类型记录的信息指被监控计算机操作者，在访问的WEB页面上输入的信息记录，包括登录注册信息、BBS上写入的信息、用WEB MAIL发送的邮件及其附件，简单地说就是在WEB页面写入全部信息内容都会被系统记录下来（包括所有文件），所记录的包括页面中非用户写入的内容其中部分WEB MAIL的记录可能会归入WEB资料发送中）由于这种信息的传送，往往是经过几个步骤进行，因此系统记录的一次通信信息不是一条单一的记录，而是多条记录在这些记录中，可能部分信息在查看时显得比较纷乱，不是一下能看出个究竟但系统忠实记录了该用户发出的信息比如，WEB邮件发送，在记录发送邮件的相关记录中，有登录记录、内容正文记录、附件文件记录等多条记录，其中有一条能够分辨看清用户在WEB页面写入的信息内容，若有附件则可能在另一条记录中。

造成上述情况原因在于，各个服务商所采用的网页编码和格式不同，甚至有加密而我们不可能对每个服务商的编码和格式进行一一解码还原，而且这样做也是不经济的对此，系统仅做原始信息记录，其记录的内容需要人为进行判读在这两类记录的内容中，若因简繁体或UTF-8码的编码出现了记录内容中有乱码，则可点击鼠标右键：选择转换后可正确显示为简体或繁体汉字新版增加了这两类记录资料的关键字分析查询功能，可以根据设定的关键字等方便快捷地查找出有关记录文件信息  这部分内容的阅读，大家可以多试试就会很快明白，对记录的内容就比较辨别阅读了 对于一些单位、企业自己设立的邮件服务系统，未采用标准端口通信，并且在本系统的端口设置中未添加该端口，本监控系统可能会失效 其他类型的记录查看比较简单，这里就不一一叙述 记录查看窍门:被监控机以Web方式所发出的所有信息，都被记录在“Web邮件发送”或“Web资料发送信息类型中可以通过点击工具栏中的“记录查询”，打开查询记录窗口选择相应的被监控机，将过滤条件中信息类型相应的关键词，比如在Web主页地址中填写关键词“BBS”，并选择恰当的日期段，然后点击“确定”即可查看该主机在此时间段内，通过Web。