跳至主内容

配置 控制中心 设置

完成初始设置后,您需要配置 控制中心 设置。作为公司管理员,您可以执行以下操作:

  • 配置邮件、代理和其他常规设置。

  • 运行或计划 控制中心 数据库备份。

  • 安装安全证书。

邮件服务器

控制中心 需要外部邮件服务器来发送电子邮件通信。

注意

建议创建一个专用邮件账户供 控制中心 .

要启用 控制中心 发送电子邮件功能:

  1. 登录 GravityZone 控制中心 .

  2. 通过左侧菜单进入 配置 页面。

  3. 选择 邮件服务器 选项卡。

  4. 选择 邮件服务器设置 并配置以下必要参数:

    • 邮件服务器(SMTP)

      输入用于发送邮件的邮件服务器IP地址或主机名。

    • 端口

      输入连接邮件服务器所用的端口号。

    • 加密类型

      若邮件服务器要求加密连接,请从菜单选择相应类型(SSL、TLS或STARTTLS)。

    • 发件邮箱

      输入希望在邮件发件人字段显示的邮箱地址(发件人邮箱)。

    • 使用身份验证

      若邮件服务器要求身份验证,请勾选此复选框。

      您必须指定有效的用户名/电子邮件地址和密码。

  5. 点击 保存 .

控制中心 会在您保存时自动验证邮件设置。若提供的设置无法通过验证,错误消息将提示错误配置项。请修正设置后重试。

代理

若贵公司通过代理服务器连接互联网,则必须配置代理设置:

  1. 登录 GravityZone 控制中心 .

  2. 通过左侧菜单进入 配置 页面。

  3. 选择 代理 标签页。

  4. 勾选 使用代理设置 并配置以下必要参数:

    • 地址 - 输入代理服务器的IP地址。

    • 端口 - 输入连接代理服务器所用的端口号。

    • 用户名 - 输入代理服务器认可的用户名。

    • 密码 - 输入上述指定用户的有效密码。

  5. 点击 保存 .

其他设置

配置 页面 > 其他设置 选项卡中可配置以下通用偏好:

  • 当需要不可用的组件包时

    可通过选择下列选项之一配置自动处理方案:

    • 自动下载该软件包

    • 通知管理员且不下载

  • 并行部署

    管理员可通过运行安装任务远程部署安全组件。

    使用此选项指定单次可执行的最大同时部署数量。

    例如,若最大并行部署数设为10,且远程客户端安装任务分配给100台计算机时, 控制中心 将首先通过网络发送10个安装包。

    这种情况下,客户端安装最多同时在10台计算机上执行,其余子任务均处于待处理状态。

    每当一个子任务完成,系统会发送另一个安装包,依此类推。

  • 对所有账户强制启用双因素认证

    双因素认证(2FA)为 GravityZone 账户增加额外安全层,要求除 控制中心 凭据外还需提供认证码。

    此功能需下载并安装Google Authenticator、Microsoft Authenticator或任何符合 RFC6238 标准的两因素TOTP(基于时间的一次性密码算法)认证应用至用户移动设备,再将应用与 GravityZone 账户并在每次 控制中心 登录时使用。认证应用每30秒生成一个六位数验证码。要完成 控制中心 登录,用户在输入密码后还需提供认证应用生成的六位数验证码。

    创建公司时默认启用双因素认证。之后在登录时,配置窗口会提示用户启用此功能。用户仅有三次跳过启用2FA的机会。第四次登录尝试时将无法跳过2FA配置,且用户将被禁止登录。

    若需为贵公司所有 GravityZone 账户解除2FA强制要求,只需取消勾选该选项。变更生效前将显示确认提示。此后用户仍保持2FA激活状态,但可通过账户设置自行关闭。

    注意

    • 您可在 账户 页面查看用户账户的2FA状态。

    • 若启用2FA的用户无法登录 GravityZone (因新设备或丢失密钥),您可通过用户账户页面的 登录安全 模块重置其双因素认证设置。详见 本节 .

  • 用户信任浏览器

    此选项允许信任用于连接 控制中心 的浏览器。在登录界面勾选 信任此浏览器 后,在有效期届满前用户无需重复输入六位数验证码。

    最长可选间隔为 90天 。间隔到期后,用户除凭据外必须重新输入验证码。若选择 永不 ,浏览器不被信任且用户无法跳过双因素认证。

  • NTP服务器设置 .

    NTP服务器用于同步所有 GravityZone 设备间的时间。系统提供了默认NTP服务器地址,您可在 NTP服务器地址 字段中修改。

    注意

    为使 GravityZone 设备与NTP服务器通信,必须开放123(UDP)端口。

  • 启用Syslog .

    开启此功能后, GravityZone 将向使用Syslog协议的日志服务器发送通知。通过此方式,您可更好地监控 GravityZone 事件。

    启用远程Syslog服务器日志记录步骤:

    1. 勾选 启用Syslog 复选框。

    2. 输入服务器名称/IP、首选协议及Syslog监听端口。

    3. 选择发送至Syslog服务器的数据格式:

      • JSON格式 。JSON是一种轻量级数据交换格式,完全独立于编程语言。JSON以人类可读的文本格式呈现数据。在该格式中,每个事件的详细信息被结构化存储为对象,每个对象由名称/值对构成。

        示例: 

        {
    "名称":"新设备登录",
    "创建时间":"YYYY-MM-DDThh:mm:ss+hh:ss",
    "公司名称":"公司名",
    "用户名称":"用户名",
    "操作系统":"系统名",
    "浏览器版本":"浏览器版本",
    "浏览器名称":"浏览器名",
    "请求时间":"DD MMM YYYY, hh:mm:ss +hh:ss",
    "设备IP":"计算机IP"
}

        更多信息请参阅 www.json.org .

        这是 GravityZone .

      • 通用事件格式(CEF) 。CEF是由ArcSight开发的一种开放标准,可简化日志管理。

        例如: 

        CEF:0|Bitdefender|GZ|<GZ版本号>|NNNNN|新设备登录|3|start=MMM DD YYYY hh:mm:ss+hh:mm
BitdefenderGZCompanyName=公司名称 suser=用户名
BitdefenderGZLoginOS=操作系统名称
BitdefenderGZAuthenticationBrowserName=浏览器名称
BitdefenderGZAuthenticationBrowserVersion=浏览器版本号
dvchost=计算机IP

        更多信息请参考 《ArcSight通用事件格式(CEF)实施标准》 .

      通知 章节中(管理员指南),您可以查看每种格式可用的通知类型。

    4. 点击 add.png 添加 按钮(位于 操作 列)。

点击 保存 以应用更改。

备份

为确保所有 控制中心 数据安全,您可能需要备份 GravityZone 数据库。您可以随时手动执行数据库备份,也可以设置定期备份计划,使其按指定时间间隔自动运行。

每次数据库备份命令会生成一个 tgz 文件(GZIP压缩的Tar归档文件)保存至备份设置中指定的位置。

当多名管理员对 控制中心 设置拥有管理权限时,您还可以配置 通知设置 ,以便在每次数据库备份完成时收到提醒。更多信息请参阅 配置通知设置 .

创建数据库备份

执行数据库备份的步骤如下:

  1. 进入 配置 页面,位于 控制中心 内,点击 备份 选项卡。

  2. 点击表格上方的 backup.png 立即备份 按钮,将弹出配置窗口。

  3. 选择备份归档文件的保存位置类型:

    • 本地 ,用于将备份归档保存至 GravityZone 设备。此时需指定 GravityZone 设备上用于保存归档的具体目录路径。

      GravityZone 设备采用Linux目录结构。例如,您可以选择将备份创建到 tmp 目录。此时,请在 /tmp 路径 字段 中输入。

    • FTP ,用于将备份存档保存至FTP服务器。此时,请在以下字段中输入FTP详细信息。

    • 网络 ,用于将备份存档保存至网络共享。此时,请输入目标网络路径(例如 \\计算机\文件夹 )、域名及域用户凭据。

  4. 您可选择同时备份终端更新暂存设置及已发布软件包状态。 暂存备份 选项仅对启用暂存功能的环境可用,且可能需要较大存储空间。

  5. 点击 测试设置 按钮。文本通知将提示您所设配置是否有效。

    创建备份需确保所有设置均有效。

  6. 点击 生成 备份 页面将显示。新备份条目将添加至列表,请检查该备份的 状态 。备份完成后,您可在指定位置找到 tgz 格式的存档文件。

    注意

    • 备份 页面显示的列表中包含所有已创建备份的日志记录。这些日志不提供对备份归档文件的访问,仅展示已创建备份的详细信息。

    • 包含暂存设置的数据库备份可能需要较大存储空间,且耗时比常规备份更长。

要安排数据库备份计划:

  1. 前往 配置 页面中的 控制中心 并点击 备份 标签页。

  2. 点击表格上方的 backup_settings.png 备份设置 按钮,将弹出配置窗口。

  3. 选择 计划备份 .

  4. 配置备份间隔(每日、每周或每月)及开始时间。

    例如,可设置每周五22:00开始执行备份。

  5. 配置计划备份的存储位置。

  6. 选择备份归档文件的存储位置类型:

    • 本地 ,用于将备份归档保存至 GravityZone 设备。此时需指定 GravityZone 设备上用于存储归档文件的具体目录路径。

      GravityZone 设备采用Linux目录结构。例如,您可以选择将备份创建至 tmp 目录。此时,请在 /tmp 路径 字段 中输入。

    • FTP ,用于将备份存档保存至FTP服务器。此时,请在以下字段中输入FTP详细信息。

    • 网络共享 ,用于将备份存档保存至网络共享位置。此时,请输入目标网络路径(例如 \\计算机\文件夹 )、域名及域用户凭据。

  7. 您还可以选择同时备份终端更新暂存设置及已发布软件包状态。 暂存备份 选项仅适用于启用暂存功能的环境,且可能需要大量存储空间。

  8. 点击 测试设置 按钮。文本通知将提示您所设配置是否有效。

    创建备份需确保所有设置均有效。

  9. 点击 保存 以创建计划备份。

恢复数据库备份

当您的 GravityZone 实例因各种原因运行异常(更新失败、界面故障、文件损坏、错误等)时,您可通过以下方式从备份副本恢复 GravityZone 数据库:

  • 同一台设备

  • 全新 GravityZone 镜像

  • 副本集功能

请选择最适合您情况的选项,并仅在仔细阅读下文所述先决条件后继续执行恢复流程。

将数据库恢复到同一台 GravityZone 虚拟设备

先决条件

  • 通过SSH连接到 GravityZone 设备,需使用 root 权限。

    您可以使用 putty bdadmin 的凭据通过SSH连接设备,然后执行命令 sudo su 切换至 root 账户。

  • 自备份以来 GravityZone 基础设施未发生变更。

  • 备份日期晚于2017年4月30日且 GravityZone 版本高于6.2.1-30。若不符合,请联系技术支持团队。

  • 在分布式架构中 GravityZone 未配置为使用数据库复制(副本集)。

    请按以下步骤验证配置:

    1. 打开 /etc/mongodb.conf 文件。

    2. 确认 replSet 未配置,如下例所示: 

      #replSet = 集合名称

    注意

    若需在启用副本集时恢复数据库,请参阅install.deployment.root.backup.restore.replica。

  • 无CLI进程正在运行。

    为确保所有CLI进程已停止,请执行以下命令: 

    #killall -9 perl

  • 设备上已安装 mongoconsole 软件包。

    运行以下命令验证是否满足条件: 

    #/opt/bitdefender/bin/mongoshellrestore --version

    该命令应无报错返回,否则执行: 

    #apt-get update#apt-get install --upgrade mongoconsole
恢复数据库

  1. 进入存放数据库归档文件的目录: 

    #cd /备份目录

    ,其中 备份目录 为包含备份文件的路径。

    例如: 

    #cd /tmp/backup

  2. 恢复数据库。 

    #/opt/bitdefender/bin/mongoshellrestore -u bd -p 'GZ数据库密码' \

--authenticationDatabase admin --gzip --drop --archive < \

gz-backup-$YYYY-$MM-$DD(时间戳).tar.gz

    重要提示

    请确保将 GZ数据库密码 替换为 GravityZone 数据库服务器 的实际密码,并将归档文件名中的时间戳变量替换为实际日期。

    例如,实际日期应显示如下: 

    gz-backup-2019-05-17(1495004926).tar.gz

  3. (可选)如需在GravityZone控制台中重新下载先前发布的工具包,请运行以下命令:

    /opt/bitdefender/bin/mongoshell-ubd-p'GZ_db密码'--eval'db.endpointKits.update({state:{$ne:1}},{$set:{internalState:1,isProcessing:true,"applianceIds.downloaded":[],"applianceIds.published":[]}},{multi:true})'--quietdevdb

    注意

    启用此选项可能会根据您之前的更新暂存设置生成大量数据并耗时较长。

  4. 重启设备。

    数据库恢复现已完成。

从已停用的 GravityZone 虚拟设备恢复数据库

前提条件

  • 全新 GravityZone 虚拟设备安装:

    • 需与旧设备保持相同IP地址

    • 且仅安装 数据库服务器 角色。

  • 通过SSH连接到 GravityZone 虚拟设备,需使用 root 权限。

  • 自备份创建以来, GravityZone 基础设施未发生变更。

  • 备份日期需晚于2017年4月30日。

  • 在分布式架构中, GravityZone 未配置使用数据库复制(副本集)。

    如果在您的 GravityZone 环境中使用副本集,则其他设备实例上也安装了 数据库服务器 角色。

    要在启用副本集时恢复数据库,请参阅《副本集环境中的数据库恢复》。

恢复数据库

  1. 通过SSH连接到 GravityZone 设备,并切换至 root .

  2. 停止VASync服务: 

    #stop vasync

  3. 停止CLI: 

    ## killall -9 perl

  4. 转到备份所在位置: 

    #cd /备份目录

    ,其中 备份目录 为备份文件所在路径。

    例如: 

    #cd /tmp/backup

  5. 恢复数据库。 

    #/opt/bitdefender/bin/mongoshellrestore -u bd -p 'GZ_db_password' \

--authenticationDatabase=admin --gzip --drop \

--archive='/home/bdadmin/gz-backup-$YYYY-$MM-$DD(时间戳).tar.gz

    重要提示

    请确保将 GZ_db_password 替换为 GravityZone 数据库服务器 的实际密码,并将归档文件名中的时间戳变量替换为实际日期。

    例如,实际日期应如下所示: 

    gz-backup-2019-05-17(1495004926).tar.gz

  6. 恢复旧设备ID: 

    #/opt/bitdefender/bin/mongoshell -u bd -p 'GZ-db_password' \

––eval print(db.applianceInstalls.findOne({name:'db'}).\

applianceId)" --quiet > /opt/bitdefender/etc/applianceid

    重要提示

    请确保将 GZ_db_password 替换为 GravityZone 数据库服务器 .

  7. 移除旧角色的引用。 

    #/opt/bitdefender/bin/mongoshell -u bd -p 'GZ_db_password' --eval\

'db.applianceInstalls.remove({ip:db.applianceInstalls.findOne(

{name:"db"}).ip,name:{"$ne": "db"}});' --quiet devdb

    重要

    请确保将 GZ_db_password 替换为 GravityZone 数据库服务器 .

  8. 启动VASync: 

    #start vasync

  9. (可选)如需在GravityZone控制台中重新下载之前发布的工具包,请运行以下命令:

    /opt/bitdefender/bin/mongoshell-ubd-p'GZ_db_password'--eval'db.endpointKits.update({state:{$ne:1}},{$set:{internalState:1,isProcessing:true,"applianceIds.downloaded":[],"applianceIds.published":[]}},{multi:true})'--quietdevdb

    注意

    启用此选项可能会根据您之前的更新暂存设置生成大量数据并耗时较长。

  10. 启动CLI: 

    #/opt/bitdefender/eltiw/installer

  11. 安装其他角色。 

    #dpkg -l gz*

    注意数据库架构已成功升级至最新版本: 

    > db.settings.findOne().database
{
"previousVersion" : "000-002-009",
"ranCleanUpVersions" : {
"b0469c84f5bf0bec0b989ae37161b986" : "000-002-008"
},
"updateInProgress" : false,
"updateTimestamp" : 1456825625581,
"version" : "000-002-011"
}

  12. 重启设备。

    数据库恢复现已完成。

使用暂存设置恢复数据库

先决条件

  • 需将 数据库 更新服务器 角色分别安装在不同设备上

  • 全新安装的 GravityZone 虚拟设备,需保持与旧设备相同的IP地址且仅安装 数据库服务器 角色。可从 此处 下载 GravityZone .

  • 通过 SSH 连接 GravityZone 虚拟设备,需使用

  • root 权限。 自备份创建以来,

  • GravityZone

  • 基础设施未发生变更。 备份日期需晚于2017年4月30日。 尚未配置为使用数据库复制(副本集)。如果在您的 GravityZone 环境中使用副本集,则还需在其他设备实例上安装 数据库服务器 角色。

恢复数据库和暂存设置

按以下步骤恢复数据库:

  1. 下载虚拟设备。

  2. 安装 数据库服务器 角色。

    有关安装 数据库服务器 角色的更多信息,请参阅 部署与设置 GravityZone 虚拟设备 .

  3. 停止VASync服务:

    #servicevasyncstop

  4. 停止CLI:

    #killall-9perl

  5. 转到包含数据库存档的位置:

    #cd/备份目录

    其中“备份目录”是指向备份文件存储位置的路径。

    例如: #cd/tmp/backup

  6. 恢复数据库:

    /opt/bitdefender/bin/mongoshellrestore-ubd-p'GZ_db_password'--authenticationDatabaseadmin--gzip--drop--archive<'gz-backup-$YYYY-$MM-$DD(时间戳).tar.gz'

    重要提示

    请确保替换 GZ_db_password GravityZone 数据库服务器 的实际密码,并将归档文件名中的时间戳变量替换为实际日期。

    例如,实际日期应如下所示:

    gz-backup-2019-05-17(1495004926).tar.gz

  7. 通过运行以下命令测试确保输入的密码正确:

    mongoadmin-ubd-p'GZ_db_password'

    注意

    如果收到错误消息,请联系 Bitdefender企业支持 .

  8. 恢复设备ID:

    /opt/bitdefender/bin/mongoshell-ubd-p'GZ_db_password'--eval'print(db.applianceInstalls.findOne({name:"db"}).applianceId);'--quietdevdb>/opt/bitdefender/etc/applianceid

    重要提示

    请确保将 GZ_db_password 替换为 GravityZone 数据库服务器 .

  9. 移除旧角色的引用:

    /opt/bitdefender/bin/mongoshell-ubd-p'GZ_db_password'--eval'db.applianceInstalls.remove({name:{"$ne":"db"}});'--quietdevdb

    重要提示

    请确保将 GZ_db_password 替换为 GravityZone 数据库服务器 .

  10. 启动VASync:

    #servicevasyncstart

  11. (可选)如需在GravityZone控制台重新下载之前发布的工具包,请运行以下命令:

    /opt/bitdefender/bin/mongoshell-ubd-p'GZ_db_password'--eval'db.endpointKits.update({state:{$ne:1}},{$set:{internalState:1,isProcessing:true,"applianceIds.downloaded":[],"applianceIds.published":[]}},{multi:true})'--quietdevdb

    注意

    启用此选项可能会根据您之前的更新暂存设置生成大量数据并耗时较长。

  12. 启动CLI:

    /opt/bitdefender/eltiw/installer

  13. 重启设备。

    数据库恢复现已完成。

要恢复暂存设置,请按以下步骤操作:

  1. 前往包含备份存档的位置。

  2. 复制或移动 gz-backup-staging 存档至设备上您选择的目录,该目录将用于安装 更新服务器 角色。

    例如: /home/bdadmin/backup-staging

  3. 启动CLI:

    /opt/bitdefender/eltiw/installer

  4. 连接到先前创建的现有数据库。

  5. 安装更新服务器角色。

  6. 停止更新服务器服务:

    #servicearrakisstop

  7. 移除产品更新目录:

    #rm-rf/opt/bitdefender/var/data/products/v2

    #rm-rf/opt/bitdefender/var/data/products/bst_nix

    #rm-rf/opt/bitdefender/var/data/products/bst_nix7_update

  8. 解压 gz-backup-staging 存档从其保存位置:

    #tar-xvzfarchive

  9. 复制所有目录:

    #rsync-a-v-r--chown=bitdefender:bitdefender/home/bdadmin/extracted_archive_folder/opt/bitdefender/var/data/products//opt/bitdefender/var/data/products/>/home/bdadmin/rsync_output.txt

    extracted_archive_folder 替换为存档解压的确切位置。

    要检查进程状态,请打开 /home/bdadmin/rsync_output.txt .

  10. 确保复制过程成功完成后,启动更新服务器服务:

    #servicearrakisstart

您可以继续在数据库设备或独立设备上安装其余角色。请确保更新服务器设备上未安装其他角色。

在副本集环境中恢复数据库

若数据库部署于副本集环境,可在 MongoDB在线手册 (仅英文版)查阅官方恢复流程。

注意

该流程需高级技术能力,仅应由受过培训的工程师操作。如遇困难,请联系 技术支持 协助恢复数据库。

访问权限

通过访问权限可基于访问规则向 GravityZone 控制中心 授予Active Directory(AD)用户访问权。AD域集成与同步请参阅 Active Directory 。通过访问规则管理用户账户的详细信息,请参见 用户账户 章节。

本节内容 :