LogBase日志管理綜合審計(jì)系統(tǒng)用戶手冊(cè)V3.6版

1、LogBase日志管理綜合審計(jì)系統(tǒng)使用手冊(cè)LriGBasez日志專家杭州思福迪信息技術(shù)有限公司SAFET YBASE INFOTECH CO丄 TD2011.07E'LogBase日志管理綜合審計(jì)系統(tǒng)v3.6使用手冊(cè)版權(quán)聲明?版權(quán)所有2005-2011，杭州思福迪信息技術(shù)有限公司 本文中出現(xiàn)的任何文字?jǐn)⑹觥⑽臋n格式、插圖、照片、方法、過(guò) 程等內(nèi)容，除另有特別注明，版權(quán)均屬杭州思福迪信息技術(shù)有限公 司所有，受到有關(guān)產(chǎn)權(quán)及版權(quán)法保護(hù)。任何個(gè)人、機(jī)構(gòu)未經(jīng)杭州思 福迪信息技術(shù)有限公司的書(shū)面授權(quán)許可，不得以任何方式復(fù)制或引 用本文件的任何片斷。商標(biāo)信息Safetybase Log Audit S

2、ystem、Logbase等是杭州思福迪信息技術(shù)有限公司的商標(biāo)。杭州思福迪信息技術(shù)有限公司第1頁(yè)共62頁(yè)LogBase日志管理綜合審計(jì)系統(tǒng) v3.6使用手冊(cè)目錄版權(quán)聲明1商標(biāo)信息1目錄2前言4文檔范圍 錯(cuò)誤！未定義書(shū)簽。獲得幫助 錯(cuò)誤！未定義書(shū)簽。格式約定 錯(cuò)誤！未定義書(shū)簽。一、基本信息 錯(cuò)誤！未定義書(shū)簽。二、安裝方法 52.1準(zhǔn)備工作52.2接入網(wǎng)絡(luò)5三、LOGBASE串口配置7四、系統(tǒng)管理174.1 登錄 LOGBASE174.2系統(tǒng)用戶174.3系統(tǒng)組194.4當(dāng)前用戶214.5日志權(quán)限224.6告警接口 254.7系統(tǒng)設(shè)置264.8設(shè)備管理28五、數(shù)據(jù)管理305.1數(shù)據(jù)備份305.2數(shù)

3、據(jù)恢復(fù)305.3歸檔設(shè)置31六、對(duì)象管理3-6.1自定義日志 336.2日志導(dǎo)入導(dǎo)出336.3探測(cè)器配置34七、規(guī)貝U定義 407.1配置管理407.2導(dǎo)入導(dǎo)出43八、實(shí)時(shí)審計(jì)448.1監(jiān)控總圖448.2主機(jī)監(jiān)控458.3系統(tǒng)監(jiān)控478.4分類(lèi)監(jiān)控478.5最新告警日志488.6最新重要日志5C8.7最新原始日志518.8最新系統(tǒng)日志52九、綜合審計(jì)549.1動(dòng)態(tài)報(bào)表549.2靜態(tài)報(bào)表55十、日志查詢5610.1條件查詢561C.2查詢?nèi)蝿?wù)5710.3查詢模版58杭州思福迪信息技術(shù)有限公司第4頁(yè)共62頁(yè)刖言歡迎使用杭州思福迪信息有限公司竭誠(chéng)為您提供的新一代網(wǎng)絡(luò)安全產(chǎn)品思福迪日志管理綜合審計(jì)系統(tǒng)

4、隨著互聯(lián)網(wǎng)的飛速發(fā)展，客戶對(duì)網(wǎng)絡(luò)系統(tǒng)中的安全設(shè)備和網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)和運(yùn)行狀況進(jìn)行全面的監(jiān)測(cè)、分析、評(píng)估是保障網(wǎng)絡(luò)安全的重要手段。網(wǎng)絡(luò)安全是動(dòng)態(tài)的，對(duì)已經(jīng)建立的系統(tǒng)，如果沒(méi)有實(shí)時(shí)的、集中的、可視化 審計(jì)，就不能有效/及時(shí)的評(píng)估系統(tǒng)究竟是不是安全的，并及時(shí)發(fā)現(xiàn)安全隱患,所以網(wǎng)絡(luò)安全需要集中的審計(jì)系統(tǒng)。如果不能將在同一網(wǎng)絡(luò)中多個(gè)相同或者 不同廠商的產(chǎn)品實(shí)現(xiàn)技術(shù)上互操作，實(shí)現(xiàn)集中的審計(jì)，就無(wú)法發(fā)揮有效的安 全性，就無(wú)法有效管理。安全審計(jì)系統(tǒng)就可以滿足這些要求，對(duì)網(wǎng)絡(luò)中的各 種設(shè)備和系統(tǒng)進(jìn)行集中的、可視的綜合審計(jì)，及時(shí)發(fā)現(xiàn)安全隱患，提高安全 系統(tǒng)成效。該產(chǎn)品是一款分布式，跨平臺(tái)的網(wǎng)絡(luò)日志管理審計(jì)系統(tǒng)，

5、通過(guò)對(duì)網(wǎng)絡(luò)設(shè) 備、服務(wù)器、數(shù)據(jù)庫(kù)、應(yīng)用服務(wù)等通用計(jì)算機(jī)軟硬件系統(tǒng)以及各種特定業(yè)務(wù) 系統(tǒng)在運(yùn)行過(guò)程中產(chǎn)生的日志、狀態(tài)、操作等信息的采集，在實(shí)時(shí)分析的基 礎(chǔ)上，監(jiān)測(cè)并發(fā)現(xiàn)各種異常事件，準(zhǔn)確發(fā)出實(shí)時(shí)告警。審計(jì)系統(tǒng)同時(shí)提供對(duì) 存儲(chǔ)的歷史日志數(shù)據(jù)進(jìn)行數(shù)據(jù)挖掘和關(guān)聯(lián)分析，通過(guò)可視化的界面和報(bào)表向 管理人員提供準(zhǔn)確、詳盡的統(tǒng)計(jì)分析數(shù)據(jù)和異常分析報(bào)告，協(xié)助管理人員及 時(shí)發(fā)現(xiàn)安全漏洞，采取有效措施，提高整個(gè)計(jì)算機(jī)應(yīng)用系統(tǒng)的安全等級(jí)。、安裝方法2.1準(zhǔn)備工作在安裝LOGBASE之前，請(qǐng)打開(kāi)LOGBASE的隨機(jī)配件盒，查看配件 清單，核對(duì)LOGBASE配件是否完整。除配件盒內(nèi)物品外，還需要進(jìn)行以下準(zhǔn)備工作：IP地址

6、請(qǐng)?jiān)诰W(wǎng)絡(luò)中給 LOGBASE 預(yù)留1個(gè)管理IP地址。 臨時(shí)計(jì)算機(jī)一一配置 LOGBASE需要一臺(tái)臨時(shí)管理用計(jì)算機(jī)，LOGBASE配置時(shí)可以通過(guò)串口連接；超級(jí)終端軟件能夠連接串口的終端軟件（比如 Win dows的超級(jí)終端軟件、Putty、SecureCRT 等）；瀏覽器一一請(qǐng)確定計(jì)算機(jī)系統(tǒng)已安裝IE瀏覽器（建議使用IE7.0以上版本）；22接入網(wǎng)絡(luò)請(qǐng)將LOGBASE按如圖2.1所示的拓?fù)浣Y(jié)構(gòu)方式接入網(wǎng)絡(luò)，此圖考慮的 是通常情況，在具體應(yīng)用時(shí)，請(qǐng)根據(jù)自己網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)加以調(diào)整。網(wǎng)絡(luò)探針審計(jì)貝LOGBASE_t 機(jī)SYSLOGSNNPTrap< Opsec Lea丿.：卜協(xié)議型探鈾圖2.1

7、LOGBASE 的網(wǎng)絡(luò)接入拓?fù)浣Y(jié)構(gòu)圖接入網(wǎng)絡(luò)時(shí)，請(qǐng)注意以下幾點(diǎn)：使用網(wǎng)絡(luò)直連線連接交換機(jī)和LOGBASE的LAN1 口。將LOGBASE接入網(wǎng)絡(luò)后請(qǐng)立即修改其網(wǎng)絡(luò)配置，適應(yīng)所在網(wǎng)絡(luò)。LOGBASE的網(wǎng)絡(luò)設(shè)置默認(rèn)如表 2:表2 LOGBASE的工作網(wǎng)口默認(rèn)設(shè)置IPMASK默認(rèn)網(wǎng)關(guān)54三、LOGBASE串口配置F面以Windows自帶的超級(jí)終端軟件為例，詳細(xì)介紹實(shí)際連接過(guò)程:（1）設(shè)置端口屬性，如圖3.1所示:圖3.1超級(jí)終端連接端口設(shè)置窗口（2）點(diǎn)擊【確定】后按回車(chē)鍵，出現(xiàn)提示符logi n:這時(shí)輸入控制臺(tái)管理員的用戶名和密碼

8、（默認(rèn)菜單用戶名：admin，默認(rèn)密碼：safetybase ），如圖3.2所示：ad伯rLogBase-Audn-De'.-1ce login： LogBaje-Aud1t-Device login： -Audit-Dev1ce login;Password:3.2配置菜單用戶登錄登錄成功后，如圖 3.3所示:+：-。曲匚亡（2Qll-01-2Bi-+|丄$亡£眄日匸已：111 nEWoizk par am亡匕亡gI 2. Sec 鄴卻te血defaulc 口包匸e切豈y13,Sec Device StKiaiI 4.Set Device Conso丄亡 Admin Pas

9、BordI 5.Set Device Consale Shell PasswordI 6.Set Web Adnin PasswordI7t Set Lo$ SetVez 1 Parauetez18.$ec Log Setver Z P4£am4t.eE| OrEKitr_ip IIS«c system n±tuark pazamtitet|IIII IIIHlI+1+3.3登錄成功顯示配置菜單(3) 成功登錄后，可以看到配置菜單如圖3.3所示：1、 Set system network parameter: 配置相關(guān)網(wǎng)卡參數(shù);2、Set system defau

10、lt gateway :配置默認(rèn)網(wǎng)關(guān)參數(shù)；3、Set Device Serial :配置設(shè)備串口號(hào)；4、 Set Device Con sole Admin Password設(shè)置串口菜單管理密碼；5、 Set Device Con sole Shell Password設(shè)置串口命令行管理密碼;6、Set Web Admin Password ;設(shè)置 Web 管理員密碼；7、 Set Log Server 1 Parameter;設(shè)置日志服務(wù)器 1參數(shù)；8、 Set Log Server 2 Parameter;設(shè)置日志服務(wù)器 2參數(shù)；0、Exit :退出配置菜單;(4) 選擇【1】，回車(chē)；如圖

11、3.4所示:+呂號(hào)ysteiTi netTOrk parameterIbSet I c.SetId. Set |e*Set IfSet | g Set Ih.Set |i.Setsystem system system system system system system systeELnettJOtk network network network network network network netwrk1 paiajaetei：2 paramet.已工3 parmnetsr4 paianeter5 parmieter6 parajaeter7 paweter8 parajaeteiI

12、CLExit to previous menuIS-et system netwek 0 pacanetet:+圖3.4網(wǎng)絡(luò)接口配置列表選擇相應(yīng)網(wǎng)卡(如 a)，配置網(wǎng)絡(luò)參數(shù)，如圖3.5所示:第10頁(yè)共62頁(yè)+ 血七 呂tho neEwk parameter -+1.Device IP Addxtss: 192.166.1,16I 2.Device NetMask: 255.255.255.CI 3.Save and Active Network SettingIO»Exit to ptevious menuHHI Device IP Addressi 192,166.1.184I I

13、圖3.5網(wǎng)卡參數(shù)配置（5）選擇【Device IP Address】，回車(chē)；配置【1-2】項(xiàng)輸入為L(zhǎng)OGBASE 系統(tǒng)預(yù)留的管理IP地址、子網(wǎng)掩碼，選擇【3】保持配置即可；選擇【0】返 回上級(jí)菜單；（6）在上級(jí)菜單中（如圖3.4 ），選擇【b】、【c-i】配置ETH1、ETH2ETH8 的網(wǎng)絡(luò)參數(shù)，配置內(nèi)容同 ETH0 :選擇3保持配置即可；選擇0返回 上級(jí)菜單；第11頁(yè)共62頁(yè)+I軒fcl翩就卻卅雖臥隣蜩嗣恒也*Device (2011-01-28)I 2.Set3. SetI 4. SetI 5.Set 16.SetI 7.Set18.setsystemDeviceDeviceDevice

14、WebL口gLogdefaultSerialConsoleConsolegatewayAilniin PasswordShell PasswordAdmin PasswordServer 1 Patajuegi:s&Evec 2 ParamotstI O.Exit+I Set systeia netwoEk paEameteKDi+i圖3.6串口配置主菜單3.7所示:(7) 串口配置主菜單中選擇【2】，Set System default gateway :設(shè)置設(shè)備默認(rèn)網(wǎng)關(guān)地址；回車(chē)；如圖Set system： default grateTjayI 2.Save and Active

15、Default GateVay SettingIO.Exit to prEvioua menuIbefault Gateway: 54Di+圖3.7設(shè)備網(wǎng)關(guān)配置界面(8) 串口配置主菜單中選擇【3】，Set Device Serial :配置設(shè)備串口號(hào)；回車(chē)；如圖3.8所示：+一“ Device Serial Check一一+l.Get original seKial nuoibedI 2. Input check serial ntuubeLIO.Exit to previous menuTHI Get ocigLn&l secial ntuabtrI IIIi

16、 III111IT H+圖3.8設(shè)備串口號(hào)配置界面(9) 選擇【Get original serial number】，回車(chē)；即可獲取該設(shè)備的串口序 列號(hào)信息，將該序列號(hào)發(fā)送給生產(chǎn)廠家，申請(qǐng)相應(yīng)的激活號(hào)碼，然后選擇【In put check serial number】，輸入激活號(hào)碼完成設(shè)備注冊(cè)，重啟設(shè)備。%設(shè)備序列號(hào)注冊(cè)工作，通常在設(shè)備出廠時(shí)已經(jīng)完成。因此，在設(shè)備 安裝時(shí)不需要用戶自行配置此項(xiàng)。(10 )串口配置主菜單中選擇【Set Device Con sole Admin Password 】設(shè) 置串口菜單管理密碼；如圖 3.9所示:+Dence (2011-01-28)I lb Set

17、 system network parameter12.Set jystea default gateway| 4 Set Device Console Ailniin Pa3SBorcI5.Set Device Console Shell Password I 6.Set WebI 7 Set LO*IB,LogIO.EklcAdmin PasswordSezvet 1 PadServer 2 P«l + t III十 專-i-+ I十1-+Ok ><Can.cel>+ 1-+第14頁(yè)共62頁(yè)第#頁(yè)共62頁(yè)圖3.9串口菜單登錄密碼配置(11 )首先輸入舊的密碼，并

18、連續(xù)兩次輸入新的密碼，完成串口菜單登錄密碼的修改。為了確認(rèn)設(shè)備安全，請(qǐng)用戶及時(shí)更新串口登錄密碼。第#頁(yè)共62頁(yè)第#頁(yè)共62頁(yè)】設(shè)置串口命令行模式管理密碼；如圖3.10所示:(12 )串口配置主菜單中選擇【 Set Device Con sole Shell Password第#頁(yè)共62頁(yè)+Il.Set system networkI 2 Set systeia defaultI 3. Set. Device Serial 丨4+名電匸D色電匚口丄色Device (2011-01-28) pacametecgateuay-+5. Set Device Console Shell Password

19、lI 6.Set WebI 7*Set LogIB.Set LogI O.ExitAdmin PasswordServet 1 Pa+-Server 2 Pal +-Iiut OLDI + I<Caiicel>+-4-sword圖3.10串口命令行模式登錄密碼配置(13 )首先輸入舊的密碼，并連續(xù)兩次輸入新的密碼，完成串口命令行模式登錄密碼的修改。為了確認(rèn)設(shè)備安全,請(qǐng)用戶及時(shí)更新串口命令行模式登錄密碼。(14 )串口配置主菜單中選擇【 Set Web Admin Password】初始化 WEB管理界面登錄密碼；如圖3.11所示:systen system Device Dewic

20、e DeviceneworM default. SerialConsoleConsoleDevice (2011-01-28) pataneurgatewayAdmin PasswordShell Password6Set Web Admin Passwoi17*Set Log Server 1 Pa+IBSet Log Setvex 2 PalI 0.Exit|+|T<CanceL>Inut NEF passwrd+-+-+0在用戶忘記進(jìn)行初始化配置。圖3.11初始化WEB管理密碼Web密碼Web管理界面登錄密碼后，可通過(guò)該選項(xiàng)對(duì)（15 ）串口配置主菜單中選擇【 Set Log

21、Server 1 Parameter】，回車(chē)；配置日志服務(wù)器參數(shù)。 選擇發(fā)送方法、輸入服務(wù)器IP并保存配置。如圖（3.12） 所示：+-Device (2011-01-28> Set log setver 0 iiarameter已nd Log M巴izhod:喘山罰IRLogsetver IP Address: 127*0a 0.1I 13,.Save and Active Logserver: SettingI l|O-Exit to previous menu+I Send Log Method: SLA5圖3.12日志服務(wù)器配置界面%系統(tǒng)提供兩種日志發(fā)送方法（LOGBASE :

22、LOGBASE專用日志格式、 SYSLOG :標(biāo)準(zhǔn)SYSLOG協(xié)議日志格式）將日志發(fā)送到其它的日志服務(wù)器； 系統(tǒng)同時(shí)支持兩個(gè)日志服務(wù)器的配置。第19頁(yè)共62頁(yè)四、系統(tǒng)管理4.1 登錄 LOGBASE打開(kāi) IE 瀏覽器，輸入 LOGBAS地址，(如 https :/),以LOGBAS管理員角色登錄，默認(rèn)用戶名：admin ;密碼：safetybase;如圖4.1所示，點(diǎn)擊【登錄系統(tǒng)】：99 g 日志管理綜合審計(jì)系統(tǒng)H 古冑 *SBfetySa&BAudlE SystemI圖4.1登錄界面0請(qǐng)及時(shí)修改系統(tǒng)默認(rèn)密碼。密碼連續(xù)輸入錯(cuò)誤三次，登錄頁(yè)面會(huì)自動(dòng)關(guān)閉；登錄成功后1

23、0分鐘未進(jìn)行任何操作，系統(tǒng)會(huì)超時(shí)退出；4.2系統(tǒng)用戶選擇導(dǎo)航條上【系統(tǒng)管理】一 【系統(tǒng)用戶】；查看當(dāng)前系統(tǒng)用戶列表,并可執(zhí)行【添加】或【刪除】系統(tǒng)用戶操作：如圖4.2所示第21頁(yè)共62頁(yè)*馥祜飛軸 w韭話紳里誡”期融 mta理軸1尊:翳理 *d科蜒4利儷3ISKi*彳mA捕劭 ?謁群 .：耀口-我if« «Tfl圖4.2系統(tǒng)用戶點(diǎn)擊【添加】，產(chǎn)生一個(gè)新的系統(tǒng)用戶：輸入新用戶的基本信息、賦予功 能權(quán)限和隸屬組；如圖 4.3所示系統(tǒng)管理員可根據(jù)用戶的崗位職權(quán)來(lái)分配相應(yīng)用戶帳號(hào)的功能權(quán)限，保障LOGBASE審計(jì)系統(tǒng)的安全及用戶網(wǎng)絡(luò)信息的安全。用戶添加入用戶組后，此用戶將自動(dòng)繼承用

24、戶組的所有日志權(quán)限；LogBase-不*:用L爭(zhēng)即!1MA自陽(yáng)戶& BEK®I旨書(shū)EC口a用處妞O WM第23頁(yè)共62頁(yè)圖4.3添加系統(tǒng)用戶圖4.4配置用戶功能權(quán)限密碼長(zhǎng)度建議 8位以上的字母、數(shù)字、大小寫(xiě)、特殊字符；對(duì)功能權(quán) 限設(shè)置應(yīng)該規(guī)范，系統(tǒng)用戶與管理員用戶的權(quán)限設(shè)置必須權(quán)限分明。以防止 越權(quán)行為；4.3系統(tǒng)組選擇導(dǎo)航條上【系統(tǒng)管理】一 【用戶組】；可查看并添加/刪除用戶組;如圖4.5所示:LogB&se Elsa十吝占 如工：.匸 一 丫昨i IW»PtarnHimttllb.圖4.5系統(tǒng)用戶組0*添加系統(tǒng)用戶組只需添加組名及組描述，組名具有唯一性；

25、對(duì)系統(tǒng)用戶組的權(quán)限管理請(qǐng)見(jiàn)后節(jié)【組日志權(quán)限管理】中的介紹；選擇導(dǎo)航條上【系統(tǒng)管理】一 【主機(jī)組】；可查看并添加/刪除主機(jī)組;如圖4.6所示：Hr 切削融晉ijBS觀RRa AtRre®cBWiJbRfra佩Di列靜Hf&豈耶3*砂» AA1H第25頁(yè)共62頁(yè)第#頁(yè)共62頁(yè)圖4.6主機(jī)組列表在主機(jī)組列表頁(yè)面上， 點(diǎn)擊【添加】，新增主機(jī)組名，并勾選主機(jī)至主機(jī)組, 如圖4.7所示：Log Ba se書(shū)鼻甘I戟”曹評(píng)板JHUbS呂倉(cāng)曹尺滬寶* m蜩h+d. «Krt口+勺*忖*計(jì)甲F審電審計(jì)Etg&iSillTsndMKEyiCLfikl1RL IffiL

26、LlNjSJJiS*1rr口iftLH!.!. i(>T(iOn1 皚 JflLZoLZinEEOlIBO. L4I. F. ISBOdJ圖4.7:添加主機(jī)組0*:用戶在主機(jī)組列表中，可以批量導(dǎo)入主機(jī)及主機(jī)組信息。點(diǎn)擊【主機(jī)配置】可以新增主機(jī)信息?！局鳈C(jī)配置】?jī)?nèi)容同【實(shí)時(shí)審計(jì)】一【監(jiān)控總圖】一 【主機(jī)監(jiān)控】里的【主機(jī)配置】一致；4.4當(dāng)前用戶選擇導(dǎo)航條上【系統(tǒng)管理】一 【當(dāng)前用戶】、【修改密碼】；針對(duì)當(dāng)前用 戶的基本內(nèi)容及密碼進(jìn)行修改等；如圖4.8所示：i 1目戶i 1目戶fc毬肝第26頁(yè)共62頁(yè)第#頁(yè)共62頁(yè)+ +圖4.8修改本用戶信息圖4.9：修改用戶密碼0*點(diǎn)擊【恢復(fù)】，可放棄修改

27、內(nèi)容，恢復(fù)原用戶信息；擁有【系統(tǒng)用戶】 功能權(quán)限的帳號(hào)可以在【系統(tǒng)用戶】列表中修改其它所有用戶的詳細(xì)信息、 功能權(quán)限、隸屬組、密碼等信息。'初始化時(shí)，應(yīng)該立即修改審計(jì)系統(tǒng)默認(rèn)系統(tǒng)配置，以安全的保證系統(tǒng) 管理員的唯一性；以上操作適用與當(dāng)前登錄的所有用戶；A 安全性考慮密碼長(zhǎng)度建議 8位以上的字母、數(shù)字、大小寫(xiě)、特殊字符; 系統(tǒng)用戶必須從管理制度上保障；以確保系統(tǒng)的安全性；4.5日志權(quán)限選擇導(dǎo)航條上【系統(tǒng)管理】一 【日志權(quán)限】；可分別針對(duì)用戶或用戶組 進(jìn)行日志管理權(quán)限的配置，如圖4.10所示：IflrFwbu.戶圖4.10用戶日志權(quán)限管理% *此系統(tǒng)用戶列表只顯示未加入【系統(tǒng)用戶組】的系統(tǒng)

28、用戶，已添加入 【系統(tǒng)用戶組】的系統(tǒng)用戶的日志權(quán)限不能獨(dú)立管理，只能繼承所屬組的日 志權(quán)限。詳情請(qǐng)參見(jiàn)下節(jié)【組權(quán)限】；系統(tǒng)用戶移出用戶組后，將恢復(fù)默認(rèn)日 志權(quán)限。若直接刪除用戶組，組中的用戶仍保持原有的日志權(quán)限，直到該用 戶加入其它用戶組，繼承新的日志權(quán)限；點(diǎn)擊【修改】，操作所選定帳號(hào)的日志權(quán)限管理，如圖4.11所示:A SURF-t&Ji *8ita ««!T4E£UB立啊aIM弧1£詢專orrttutlfl-B-prF專prrrrnKauHE-Rrr恤泗專RrrMCElHRrrPrrutHbP廣rrrprrWHS®Orr3ET9&#

29、163;rFuranJtKMHV m«. miesb町存cExtum啟針對(duì)所有日志類(lèi)型,都可選擇【全部允許】、【全部限制】及【部分允許】，圖4.11修改用戶日志權(quán)限若選擇【全部允許】、【全部限制】相應(yīng)【操作】功能為灰色不可用?！救吭试S】指此用戶可以操作此類(lèi)日志的所有功能（實(shí)時(shí)、綜合、查 詢）；【全部限制】指此用戶將看不到此類(lèi)日志的任何信息、更無(wú)法審計(jì)；【部分允許】指根據(jù)條件來(lái)限制此用戶可操作某些發(fā)生地址IP的此類(lèi)日志;若選擇【部分允許】，點(diǎn)擊相應(yīng)【操作】，如圖4.12所示:_ SV.YffH3!側(cè)亦' Fl fc«/ Mito巳 MUI F彳 Tjli*1 HXM

30、i TTLJSVlHif4C* !* r*03J叩事兩產(chǎn)*單¥ehi用EMWmi la i羽:1 iw W 11 1mJ1匸一亠圖4.12設(shè)置【部分允許】權(quán)限勾選【允許部分IP】，可以選擇輸入單個(gè)IP或IP段；保存設(shè)置后， 此用戶將只能操作這段IP內(nèi)的此類(lèi)日志內(nèi)容；勾選【限制部分IP】同理推之;選擇導(dǎo)航條上【日志權(quán)限】一 【組權(quán)限】如圖4.13所示：H.&R內(nèi)甲）=*吐W齊iiel1旺芒圖4.13組權(quán)限管理0*組日志權(quán)限管理操作同用戶日志權(quán)限管理操作，【組權(quán)限】中的權(quán)限設(shè)置，組內(nèi)的所有用戶會(huì)完全繼承該組的日志權(quán)限。系統(tǒng)用戶移出用戶組后， 將恢復(fù)默認(rèn)日志權(quán)限。若直接刪除用戶組，

31、組中的用戶仍保持原有組的日志 權(quán)限，直到該用戶加入其它用戶組，繼承新的日志權(quán)限；點(diǎn)擊相關(guān)組的【修改】操作，執(zhí)行組日志權(quán)限管理。如圖4.14所示:圖4.14修改組日志權(quán)限辛* _i&UBl.+£.曲SMJRX iftpwA，m 口t.耳zx4* Q_Mnmirn e0jBILLI Qr廠hmsESjuq耳廠im日或tiiwiiarTTFflE鼻r組日志權(quán)限管理操作方法同用戶日志權(quán)限管理，詳細(xì)操作方法請(qǐng)參見(jiàn)上 節(jié)【用戶日志權(quán)限管理】操作說(shuō)明;4.6告警接口選擇導(dǎo)航條上【系統(tǒng)管理】一【告警接口】，如圖4.15所示:J耳I*耳聊a* snn*tHQI1N+J.口-L ItaH Fi

32、BiTSlLn 險(xiǎn)*世 riCVd+ MKBQ-MB-A-fl I" - Iat圖（1）郵件告警接口凰看BUtJk：1圖（2）SNMP告警接口5T沁odE號(hào)EKF. 151. .口 h314第30頁(yè)共62頁(yè)第#頁(yè)共62頁(yè)圖4.15告警接口SNMP 告警、SYSLOGLOGBASE默認(rèn)提供三種告警接口： 郵件告警、 告警；配置成功后，系統(tǒng)會(huì)自動(dòng)將用戶自定義的告警日志信息通過(guò)郵件或其 它兩種方式發(fā)送給用戶。有關(guān)告警日志配置的內(nèi)容，請(qǐng)參見(jiàn)【規(guī)則定義】章 節(jié);4.7系統(tǒng)設(shè)置選擇導(dǎo)航條上 【系統(tǒng)管理】一【系統(tǒng)設(shè)置】，配置管理【日志顯示】、【超 時(shí)設(shè)置】、【配置管理】、【認(rèn)證方式】等內(nèi)容。選擇【

33、日志顯示】，如圖4.16所示：耳腳tr*SEM口dl«n圖4.16日志顯示列管理管理員可在此選擇設(shè)置所有日志類(lèi)型的日志字段顯示，在此勾選的字 段會(huì)在【實(shí)時(shí)審計(jì)】 欄的日志列表中呈現(xiàn)出來(lái)。當(dāng)作一種類(lèi)型的日志查詢時(shí),字段同此處設(shè)置的一致，但做多種類(lèi)型日志的多重查詢時(shí)，顯示出的日志列 表將取不同類(lèi)型日志的相同的字段。選擇您需要修改顯示列的日志類(lèi)型，點(diǎn)擊【設(shè)置】日志字段顯示，如圖4.17所示：石弭號(hào)PElprr時(shí)嶼r謝口rrffiMW廠巳再點(diǎn)S!r3LEAirbUrttkipp口rrpFF?SMffiFF?r1HHW.rewtunr聊內(nèi)曲irq暮riH曲徉rrrrr廣理口W*口圖4.17 :

34、設(shè)置日志顯示列管理員可在此勾選日志的顯示字段，點(diǎn)擊確定后，將在【實(shí)時(shí)審計(jì)】 【最新日志】中更改日志的顯示字段為管理員勾選的字段。選擇【超時(shí)設(shè)置】，如圖4.18所示:祗 e1 1+m圖4.18:頁(yè)面超時(shí)設(shè)置在超時(shí)時(shí)間設(shè)置中輸入等待時(shí)間即可。如果在設(shè)定時(shí)間內(nèi)管理頁(yè)面 沒(méi)有任何動(dòng)作，系統(tǒng)將超時(shí)退出，返回登錄頁(yè)面。選擇【配置管理】，如圖4.19所示：柱癥S種號(hào)Hi I:ri- 圖4.19系統(tǒng)配置管理配置文件導(dǎo)入到 LOGBASE上。選擇【認(rèn)證方式】，如圖4.20所示:第34頁(yè)共62頁(yè)第#頁(yè)共62頁(yè)系統(tǒng)支持本地認(rèn)證和圖4.20系統(tǒng)認(rèn)證方式Radius認(rèn)證兩種方式。默認(rèn)選擇是本地認(rèn)證方式,如果需要第三方

35、Radius服務(wù)器認(rèn)證，如圖 4.21所示: rr鉗* .證靂Kuta uiUi血 Idl . 1.MlQi1|. jUj:."圖4.21Radius認(rèn)證配置4.8設(shè)備管理選擇導(dǎo)航條上【系統(tǒng)管理】一【設(shè)備管理】，如圖4.22所示:圖4.22啟停設(shè)備0用戶可以在頁(yè)面上重啟設(shè)備或者關(guān)閉設(shè)備。選擇導(dǎo)航條上【系統(tǒng)管理】一 【時(shí)間同步】，如圖4.23所示:第#頁(yè)共62頁(yè)第35頁(yè)共62頁(yè)滬由 If 單 円住尸 "-rMfiB it l«h hit*» tKAA.曰 口nqfa*. IJl naL«L時(shí)AIL1黃9HiMl 1*14 1JEsS!I2t-iA

36、ftHMIiMINE >.HI i-M-U LLlj-.BAIH1W第#頁(yè)共62頁(yè)WWW圖4.23配置系統(tǒng)時(shí)間同步可以通過(guò)此功能與外部時(shí)間服務(wù)器進(jìn)行同步，點(diǎn)擊【立即同步】立即與時(shí)間同步服務(wù)器同步。點(diǎn)擊【同步配置】，可配置同步時(shí)間服務(wù)器，如圖 4.24所示:flO. ri. 146.44圖4.24時(shí)間服務(wù)器配置填寫(xiě)時(shí)間同步服務(wù)器IP地址，設(shè)置同步間隔時(shí)間，點(diǎn)擊確定保存配置。五、數(shù)據(jù)管理5.1數(shù)據(jù)備份選擇導(dǎo)航條上【數(shù)據(jù)管理】一 【數(shù)據(jù)備份】一 【日志備份】，如圖5.1所示:第37頁(yè)共62頁(yè)3 eiwi* nvit ”日s?f«n nrium "Mb£j xfri

37、ita-畳片良+L M<V日耳也 KSv-MKIi町:BafiRj-gaJai jPWi «M 產(chǎn)賈lft rMiHBlS氏 ©塞«&H9EWX*<MXFM iWi第#頁(yè)共62頁(yè)第#頁(yè)共62頁(yè)圖5.1日志備份%管理員可自主選擇日志類(lèi)型、時(shí)間范圍來(lái)備份日志數(shù)據(jù)，并可以選擇 備份、備份并刪除或直接刪除日志數(shù)據(jù)。故使用此項(xiàng)功能權(quán)限的管理員需謹(jǐn) 慎。備份任務(wù)完成后可下載，或者選擇刪除這個(gè)備份任務(wù)。日志備份功能是備份文本形式的日志，文件備份功能是備份動(dòng)態(tài)顯示操作 的回放文件。5.2數(shù)據(jù)恢復(fù)【數(shù)據(jù)恢復(fù)】一 【日志恢復(fù)】，如圖5.2選擇導(dǎo)航條上【數(shù)據(jù)管理】一

38、 所示：L咖*騎.His vniX himt ' * nwA'H c vfMivT事時(shí)f U軸F- EIjLHHdi1S. 土jl >4AT-Im-H-ri ii n *taia 133MTKE：<i!&XUJ彳 4|_ i'uniia.x - - j aIRJIIP0如HflS 汁也pMa.fflKI FITXM0圖5.2日志恢復(fù)LOGBASE審計(jì)系統(tǒng)中；LOGBASE審計(jì)系統(tǒng)中。7日志恢復(fù)是將日志備份文件重新加載到文件恢復(fù)是將【文件備份】的文件重新加載到5.3歸檔設(shè)置選擇導(dǎo)航條上【數(shù)據(jù)管理】一 【歸檔設(shè)置】一 【歸檔策略】，如圖5.3所示：中掃粗

39、逵日0矗略rar-ttf+Menrtt i» 18<fT 胃+unr岸*"5 It±上 nwr-第39頁(yè)共62頁(yè)第#頁(yè)共62頁(yè)圖5.3數(shù)據(jù)歸檔配置歸檔策略功能是當(dāng)磁盤(pán)存儲(chǔ)空間達(dá)到觸發(fā)條件后，自動(dòng)處理日志文件。可選擇的處理方式為：自動(dòng)丟棄、本地保存、FTP上傳、SFTP上傳。觸發(fā)條件在【磁盤(pán)配額】 中設(shè)置。若不設(shè)置，默認(rèn)為當(dāng)磁盤(pán)存儲(chǔ)空間達(dá)到 100% 時(shí)出發(fā)歸檔機(jī)制。A宀若不設(shè)置歸檔策略，默認(rèn)策略為自動(dòng)丟棄。一旦磁盤(pán)存儲(chǔ)空間達(dá)到100%之后，將會(huì)自動(dòng)覆蓋時(shí)間最早的日志。第40頁(yè)共62頁(yè)第41頁(yè)共62頁(yè)選擇左側(cè)導(dǎo)航欄上的【磁盤(pán)配額】如圖 5.4所示:tig*i日

40、電JfE* 事“urni：住豈呦皿口當(dāng)MkM2H91*rr&t-k. J rhiM第#頁(yè)共62頁(yè)第#頁(yè)共62頁(yè)圖5.4磁盤(pán)配額用戶可以通過(guò)磁盤(pán)配額設(shè)置每種協(xié)議日志的磁盤(pán)存儲(chǔ)空間。選擇左側(cè)導(dǎo)航欄上的【存儲(chǔ)周期】如圖 5.5所示：LogBasfir-p.i -,：-. mmw- - *-P 如亡甘甘曹1 口£"1nf4l 刊"7iff Itp -hfliNa.iMitrri x -fA, WlffiL圖5.5：存儲(chǔ)周期配置存儲(chǔ)周期也是自動(dòng)歸檔的周期。如設(shè)定存儲(chǔ)周期為100天，那么100天前的數(shù)據(jù)就會(huì)被歸檔，以選定的歸檔方式進(jìn)行處理。用戶可以選擇是否清 除已經(jīng)歸

41、檔的在線數(shù)據(jù)。六、對(duì)象管理【自定義日志】一 【日志列表】，如圖6.1自定義日志選擇導(dǎo)航條上【對(duì)象管理】一6.1所示：亠 HKH-ITK-Ji i-iULu；IT耳"i IltMB'E!- .：|j4-SH-sIPM-HjBtfeunT啊|grg(4Efl圖6.1自定義日志服務(wù)管理添加、刪除自定義服務(wù)類(lèi)型；點(diǎn)擊相應(yīng)序號(hào)，可查看相關(guān)已有自定義服務(wù)的配置；自定義日志的添加接口并沒(méi)有在管理頁(yè)面上，如有需要，請(qǐng) 聯(lián)系廠商售后工程師。6.2日志導(dǎo)入導(dǎo)出選擇導(dǎo)航條上【對(duì)象管理】一 【自定義日志】一 【日志導(dǎo)出】，如圖6.2所示：Hicairif-K列拿無(wú) IISHE-Q A,B,L命 rr

42、ww.iMi圖6.2導(dǎo)出自定義日志配置管理員可勾選需要導(dǎo)出的自定義服務(wù)類(lèi)型，并導(dǎo)出保存在PC中。點(diǎn)擊【日志導(dǎo)入】，可以選擇需要導(dǎo)入的自定義日志的文件，并可以選擇是否要覆蓋主機(jī)中相同ID的服務(wù)配置，如圖 6.3所示:玄 "''1- 口lit 0405 MI. 電用日劃i HEWt HE4K 3 工ff*4EHa*1!*|；4afl-iite：4Jj£O圖6.3導(dǎo)入自定義日志配置6.3探測(cè)器配置選擇導(dǎo)航條上【對(duì)象管理】一 【探測(cè)器配置】一 【DEFAULT】；可看 到探測(cè)器列表及模塊列表，修改或刪除已有探測(cè)器、添加新的探測(cè)器及相應(yīng) 的模塊。如圖6.4所示：圖6.

43、4探測(cè)器配置0*每個(gè)探測(cè)器有不同的模塊列表，在刪除探測(cè)器時(shí)，此探測(cè)器下的所有模塊會(huì)同時(shí)全部刪除；A當(dāng)您需要安裝軟件探測(cè)器來(lái)采集日志時(shí)，必須先配置好相應(yīng)探測(cè)器和模塊；點(diǎn)擊【添加】新探測(cè)器，如圖6.5所示:圖6.5添加探測(cè)器ALOGBASE探測(cè)器包括硬件探測(cè)器和軟件探測(cè)器兩類(lèi)；每個(gè)探測(cè)器 需配置唯一的編號(hào)（ID）。安裝的各類(lèi)探測(cè)器需與探測(cè)器配置（ID、密碼）保持一致才能保證連接；CPU、MEM 項(xiàng)表示探測(cè)器的性能達(dá)到某個(gè)閥值，系統(tǒng)會(huì)自動(dòng)產(chǎn)生告 警日志信息；優(yōu)先級(jí)項(xiàng)表示該探測(cè)器的優(yōu)先級(jí)別；配置完成新的探測(cè)器后，繼續(xù)配置相應(yīng)模塊；如圖 6.6所示:flUWS | MA-砒|BJltf. j'n

44、utv'rimwrarBjaTqHll*冏用I叩.SP： U巾廠事審第46頁(yè)共62頁(yè)第#頁(yè)共62頁(yè)圖6.6添加探測(cè)器模塊請(qǐng)選擇這個(gè)探測(cè)器所要采集的日志類(lèi)型；一個(gè)探測(cè)器中可以添加多個(gè)模塊，同一種模塊類(lèi)型只能添加一個(gè)。如何采集字段信息可在【自定義服務(wù) 管理】中配置；請(qǐng)正確輸入采集的日志的絕對(duì)路徑，否則日志信息將無(wú)法成功被此探測(cè)器采集；采集時(shí)間間隔默認(rèn)為5秒；若停用此模塊，相應(yīng)日志將不再采集，探測(cè)器仍有效；選擇導(dǎo)航條上【對(duì)象管理】一 【探測(cè)器配置】一 【Syslog自定義】，將 配置的自定義日志類(lèi)型使用SYSLOG協(xié)議采集。如圖6.7所示：lu>g>aM曰亦!R嘗 I*口曰耳1宣

45、如自*Ui1»1廠曲«=Ml蟲(chóng)|祁屮亦1g遠(yuǎn)叭出rIB iiM:H*|iM-圖6.7SYSLOG自定義采集日志選擇導(dǎo)航條上【對(duì)象管理】一 【探測(cè)器配置】一 【Syslog預(yù)定義】，將 使用預(yù)定義SYSLOG日志分割手法采集網(wǎng)絡(luò)設(shè)備的日志。如圖6.8所示：書(shū)"i片F(xiàn)T車(chē)許血M-itT "W«!帀削E*xnhcAkkenl#rEm in i noiMtwaxH-t. n#jb«'i! It£-u6ll圖6.8： syslog預(yù)定義采集系統(tǒng)新增了主流安全及網(wǎng)絡(luò)設(shè)備的syslog日志預(yù)定義功能，該功能把這些日志類(lèi)型定義預(yù)置在

46、設(shè)備中；目前支持的日志類(lèi)型有：TOPSEC日志、ARRAY日志、IPS日志、CISCO2821日志、JUNIPER日志、思科FWSM日 志、SSL日志、安氏FW日志等。選擇導(dǎo)航條上【對(duì)象管理】一 【探測(cè)器配置】一 【流量探測(cè)器】，對(duì)流 量型探測(cè)器的規(guī)則進(jìn)行配置管理。如圖6.9所示： IX£d£罕 BMBrt2. MFJ1A.T1 VrniKiU. 二 vmiKClu.T #1苗irrn圖6.9 :流量型探測(cè)器配置規(guī)則加載：選擇停用或啟用，這里的規(guī)則指的是這個(gè)頁(yè)面的相關(guān)配置 規(guī)則；選擇啟用后相對(duì)應(yīng)的規(guī)則生效；否則探測(cè)器不能工作；SYSLO（操作分割： 該功能只有當(dāng)開(kāi)啟 sen

47、d log server parameter參數(shù)為 syslog方式時(shí)才有意義；LogBase探測(cè)器目前支持兩種方式往主機(jī)發(fā)送日志 分別是slas和syslog;啟用該功能后，當(dāng)發(fā)送信息過(guò)長(zhǎng)時(shí)可以自動(dòng)進(jìn)行分割 成幾條日志進(jìn)行發(fā)送；規(guī)則阻斷：?jiǎn)⒂迷摴δ苄枰诰W(wǎng)口參數(shù)中設(shè)置網(wǎng)卡標(biāo)識(shí)，如ethl ；啟用該功能后設(shè)備會(huì)往該網(wǎng)卡發(fā)送reset包以達(dá)到中斷當(dāng)前連接的目的；特定服務(wù)器：該功能一般用作存在中間件時(shí)的數(shù)據(jù)庫(kù)操作；在此場(chǎng)景下,數(shù)據(jù)庫(kù)操作連接處于長(zhǎng)連接狀態(tài)，即用戶登錄后并不退出；需要在此處填寫(xiě) 數(shù)據(jù)庫(kù)服務(wù)器地址，若有多個(gè)數(shù)據(jù)庫(kù)服務(wù)器地址則用回車(chē)分開(kāi)；模塊加載：該功能指定探測(cè)器采集的協(xié)議，以及協(xié)議對(duì)應(yīng)

48、的端口號(hào)，選 擇啟用或停用來(lái)啟用或停用對(duì)應(yīng)協(xié)議的日志采集功能；若存在多個(gè)端口則用 逗號(hào)分開(kāi)；如圖6.10所示：圖6.10探測(cè)器采集模塊加載協(xié)議配置：TELNET配置：該功能指定登錄提示符，常用的提示符信息已經(jīng)預(yù)置在該配置中；當(dāng)遇到特殊提示符，且不在配置列表中時(shí)，需要在這里手工將提 示符信息添加到末行（默認(rèn)配置不要更改，注意這里的配置對(duì)空格，制表符 敏感）HTTP配置：用以配置協(xié)議相關(guān)參數(shù)用來(lái)標(biāo)識(shí)網(wǎng)頁(yè)郵件和網(wǎng)頁(yè)附件日志， 一般就用默認(rèn)設(shè)置，不需要更改UDP配置：這里輸入IP地址列表，以回車(chē)分隔；用以統(tǒng)計(jì)鏡像口中 UDP 目標(biāo)地址udp flow信息；如圖6.11所示：Lu圖6.11協(xié)議配置七、規(guī)則定義7.1配置管理選擇導(dǎo)航條上【實(shí)時(shí)規(guī)則】 >【配置管理】，如圖7.1所示:LogBase