中國(guó)移動(dòng)云市場(chǎng)日志審計(jì)系統(tǒng)產(chǎn)品操作手冊(cè)

日志審計(jì)系統(tǒng)產(chǎn)品操作手冊(cè)2023/2/3目錄\l“_TOC_250051“修訂名目 3\l“_TOC_250050“范圍 3\l“_TOC_250049“應(yīng)用介紹 3\l“_TOC_250048“相關(guān)術(shù)語(yǔ)與縮略語(yǔ)解釋 4\l“_TOC_250047“產(chǎn)品的主要功能概述 4\l“_TOC_250046“功能使用說(shuō)明 5\l“_TOC_250045“登錄 5\l“_TOC_250044“主題 6\l“_TOC_250043“狀態(tài) 6\l“_TOC_250042“添加圖表 7\l“_TOC_250041“調(diào)整圖表位置 7\l“_TOC_250040“圖表數(shù)據(jù)鉆取 8\l“_TOC_250039“6.4. 分析 10\l“_TOC_250038“添加分析組 10\l“_TOC_250037“添加自定義圖表 11\l“_TOC_250036“自定義圖表預(yù)覽功能 12\l“_TOC_250035“自定義圖表查詢統(tǒng)計(jì)條件 13\l“_TOC_250034“6.5. 審計(jì) 16\l“_TOC_250033“大事查詢 16\l“_TOC_250032“原始日志 21\l“_TOC_250031“關(guān)聯(lián)大事 24\l“_TOC_250030“內(nèi)部審計(jì) 25\l“_TOC_250029“6.6. 資產(chǎn) 26\l“_TOC_250028“資產(chǎn)列表 26\l“_TOC_250027“資產(chǎn)類型 33\l“_TOC_250026“6.7. 規(guī)章 34\l“_TOC_250025“解析規(guī)章 34\l“_TOC_250024“告警規(guī)章 36\l“_TOC_250023“過(guò)濾規(guī)章 37\l“_TOC_250022“關(guān)聯(lián)規(guī)章 40\l“_TOC_250021“授權(quán)規(guī)章 42\l“_TOC_250020“角色列表 43\l“_TOC_250019“登錄策略 44\l“_TOC_250018“6.8. 報(bào)表 46\l“_TOC_250017“添加報(bào)表 46\l“_TOC_250016“預(yù)覽/下載/生成報(bào)表 47\l“_TOC_250015“6.9. 告警 47\l“_TOC_250014“鉆取告警關(guān)聯(lián)大事 47\l“_TOC_250013“告警通知 48\l“_TOC_250012“郵箱設(shè)置 49\l“_TOC_250011“6.10. 網(wǎng)絡(luò) 49\l“_TOC_250010“網(wǎng)絡(luò)設(shè)置 49\l“_TOC_250009“通信設(shè)置 50\l“_TOC_250008“雙機(jī)配置 52\l“_TOC_250007“級(jí)聯(lián)治理 53\l“_TOC_250006“6.11. 系統(tǒng) 54\l“_TOC_250005“采集器治理 54\l“_TOC_250004“插件中心 56\l“_TOC_250003“學(xué)問(wèn)庫(kù) 56\l“_TOC_250002“日志摘要 57\l“_TOC_250001“數(shù)據(jù)備份 59\l“_TOC_250000“應(yīng)用常見問(wèn)題 61修訂名目日期日期修訂者版本號(hào)說(shuō)明2023/8/222023/8/22張猛1.0文檔創(chuàng)立范圍建恒信安日志審計(jì)系統(tǒng)配置治理時(shí)的必備手冊(cè)。應(yīng)用介紹審計(jì)的力氣。通過(guò)********意篡改或刪除而在安全大事發(fā)生時(shí)無(wú)據(jù)可查的狀況發(fā)生。*******強(qiáng)大的日志審計(jì)力氣可以為組織審計(jì)人員供給日志實(shí)時(shí)監(jiān)控完成，大大削減信息部門的工作量。相關(guān)術(shù)語(yǔ)與縮略語(yǔ)解釋產(chǎn)品的主要功能概述首頁(yè)呈現(xiàn)首頁(yè)呈現(xiàn)為用戶供給了一個(gè)從用戶自身業(yè)務(wù)需要?jiǎng)由硎褂帽鞠到y(tǒng)的快速入口角色的用戶建立不同維度的圖表，并支持內(nèi)置皮膚及語(yǔ)言包。大事查詢用戶可自定義查詢策略，基于資源類型、大事類型、大事名稱、時(shí)間級(jí)別、來(lái)源地址、目的地址等信息進(jìn)展組成查詢，并支持模糊查詢。原始日志用戶可自定義查詢策略，基于資源類型、日志級(jí)別、應(yīng)用名稱、設(shè)備地址、準(zhǔn)時(shí)間段等信息進(jìn)展組合查詢，并支持模糊查詢。告警治理********別安全大事，進(jìn)展日志審計(jì)。********告警規(guī)章具有如下特性：規(guī)章分為系統(tǒng)預(yù)定義規(guī)章和用戶自定義規(guī)章兩大類動(dòng)響應(yīng)動(dòng)作修訂告警規(guī)章無(wú)需重啟系統(tǒng)或者某個(gè)模塊，規(guī)章一旦被應(yīng)用馬上生效在審計(jì)出安全大事并告警后，監(jiān)控治理人員能夠準(zhǔn)時(shí)進(jìn)展響應(yīng)處理〔發(fā)送郵件、SNMPTrap、執(zhí)行程序腳本，等等。關(guān)聯(lián)規(guī)章、解析規(guī)章統(tǒng)計(jì)數(shù)量的日志進(jìn)展告警系統(tǒng)通過(guò)腳本方式能夠?qū)χ付〞r(shí)間范圍內(nèi)的歷史日志進(jìn)展相關(guān)性分析存在的入侵與違規(guī)。資產(chǎn)治理系統(tǒng)能夠?qū)徲?jì)數(shù)據(jù)源以資產(chǎn)的形式進(jìn)展統(tǒng)一的維護(hù)資產(chǎn)清單和具體信息，可以查看每個(gè)審計(jì)數(shù)據(jù)源的日志和告警信息。用戶可通過(guò)手動(dòng)方式添加資產(chǎn)信息〔資產(chǎn)名稱、資產(chǎn)ip、設(shè)備類別、設(shè)備類型、采集器〕,從而進(jìn)展資產(chǎn)的日志采集解析。日志轉(zhuǎn)發(fā)配置完成，系統(tǒng)支持自動(dòng)獵取錄入資產(chǎn)信息。統(tǒng)計(jì)分析度實(shí)時(shí)進(jìn)展安全大事統(tǒng)計(jì)分析，并以柱狀圖、餅圖等形式進(jìn)展可視化呈現(xiàn)。報(bào)表治理可以自定義報(bào)表。用戶治理員和審計(jì)治理員。治理。學(xué)問(wèn)庫(kù)治理為企事業(yè)單位搭建海量學(xué)問(wèn)集中存儲(chǔ)，實(shí)現(xiàn)統(tǒng)一的漏洞庫(kù)、預(yù)警公布操作、安全公告、漏洞庫(kù)升級(jí)等。授權(quán)治理兩個(gè)維度進(jìn)展定義，從而到達(dá)對(duì)每一臺(tái)設(shè)備、每一項(xiàng)功能進(jìn)展操作的把握粒度。采集器治理采集引擎是****************現(xiàn)日志審計(jì)。********可以對(duì)全部注冊(cè)了的通用采集引擎的工作狀態(tài)進(jìn)展實(shí)時(shí)監(jiān)控動(dòng)、停頓，以及配置采集器發(fā)送什么類型的日志到********治理中心，等等。系統(tǒng)設(shè)置置等。系統(tǒng)具有系統(tǒng)自身運(yùn)行監(jiān)控與告警、系統(tǒng)日志記錄等功能用戶類型用戶名密碼操作員用戶類型用戶名密碼操作員admin********賬號(hào)治理員****************審計(jì)治理員audit********登錄圖1系統(tǒng)預(yù)設(shè)賬戶列表如下，可依據(jù)需要選擇登錄：表1主題自定義主題圖標(biāo)〔點(diǎn)擊‘+’自定義。圖2狀態(tài)登入系統(tǒng)默認(rèn)進(jìn)入‘狀態(tài)’菜單項(xiàng)，概括顯示系統(tǒng)主要統(tǒng)計(jì)信息。圖3添加圖表按需選擇圖表類型，并點(diǎn)擊‘保存’完成圖表的添加。4圖5調(diào)整圖表位置要可任意轉(zhuǎn)變圖表大小可顯示位置。圖6圖7調(diào)整完圖表布局點(diǎn)擊系統(tǒng)右上角‘保存整頁(yè)’按鈕，保存修改的圖表布局。圖8圖表數(shù)據(jù)鉆取菜單項(xiàng)‘狀態(tài)’頁(yè)面最上邊局局部別顯示‘告警總數(shù)’，‘資產(chǎn)總數(shù)’，‘大事總統(tǒng)計(jì)數(shù)據(jù)。圖9圖10〔如折線圖的數(shù)據(jù)點(diǎn)，餅圖的數(shù)據(jù)扇面，柱狀圖的〕可下鉆到對(duì)應(yīng)數(shù)據(jù)的具體信息。每種圖表均支持實(shí)時(shí)刷和大屏顯示，可點(diǎn)擊圖表顯示框右上角相應(yīng)圖標(biāo)實(shí)施操作。圖11分析系統(tǒng)菜單項(xiàng)‘分析’詳情。12添加分析組選擇添加組并填寫‘組名稱’點(diǎn)擊‘創(chuàng)立1314添加自定義圖表進(jìn)入菜單項(xiàng)‘分析’的任意子項(xiàng)，點(diǎn)擊右上角‘添加圖表’按鈕，點(diǎn)擊‘自定義’進(jìn)入自定義圖表界面，可選擇諸如選擇統(tǒng)計(jì)類型/X/Y/查詢條/TOPN/時(shí)間范圍等數(shù)據(jù)統(tǒng)計(jì)信息，填寫圖表名，點(diǎn)擊‘保存創(chuàng)立’完成自定義圖表的操作。1516自定義圖表預(yù)覽功能1718自定義圖表查詢統(tǒng)計(jì)條件大事過(guò)濾條件和關(guān)鍵字等進(jìn)展搜尋，并將條件保存〔需要添加查詢條件名稱。再次進(jìn)入自定義圖表頁(yè)面〔4.3點(diǎn)擊‘預(yù)覽’查看圖表，也可點(diǎn)擊保存完成自定義圖表查詢統(tǒng)計(jì)條件的操作。192021222324審計(jì)大事查詢菜單項(xiàng)‘審計(jì)’‘大事查詢’詳情。25選擇過(guò)濾關(guān)鍵字按條件過(guò)濾大事。2627點(diǎn)擊已選擇的條件可刪除該條件的限制。28全文檢索果中關(guān)鍵字高亮藍(lán)色背景顯示。支持多個(gè)關(guān)鍵字搜尋，多個(gè)關(guān)鍵字用‘|’分割。2930鉆取關(guān)聯(lián)數(shù)據(jù)詳情。3132保存查詢條件擊‘保存’可將該搜尋條件保存，便利快捷查詢。33查看已保存的查詢條件34原始日志35選擇過(guò)濾關(guān)鍵字系統(tǒng)內(nèi)置指標(biāo)進(jìn)展的條件分類，支持多項(xiàng)選擇，便利原始日志的條件過(guò)濾查詢。36全文檢索在原始日志搜尋輸入框內(nèi)輸入關(guān)鍵字，可查詢包含關(guān)鍵字內(nèi)容的日志數(shù)用‘|’分割。37關(guān)聯(lián)大事查看關(guān)聯(lián)大事：菜單項(xiàng)‘審計(jì)’386.5.3.1.鉆取關(guān)聯(lián)大事點(diǎn)擊關(guān)聯(lián)大事列表左側(cè)‘查看’圖表，可查看該關(guān)聯(lián)大事的詳情。3940內(nèi)部審計(jì)查看和檢索內(nèi)部審計(jì)大事：菜單項(xiàng)‘審計(jì)’41資產(chǎn)資產(chǎn)列表查看資產(chǎn)列表：菜單項(xiàng)‘資產(chǎn)’‘資產(chǎn)列表’。圖42資產(chǎn)組治理資產(chǎn)添加/編輯點(diǎn)擊資產(chǎn)列表上方‘添加’圖標(biāo)，進(jìn)入添加資產(chǎn)界面。點(diǎn)擊每條資產(chǎn)信息‘操作’列中的‘編輯’圖標(biāo)，進(jìn)入編輯資產(chǎn)界面，可依據(jù)需要對(duì)需要修改的項(xiàng)進(jìn)展編輯，點(diǎn)擊提交完成資產(chǎn)編輯操作。圖43圖44模板下載點(diǎn)擊系統(tǒng)右上角‘模板下載’按鈕，即可下載資產(chǎn)模板。圖45批量導(dǎo)入資產(chǎn)點(diǎn)擊系統(tǒng)右上角‘導(dǎo)入資產(chǎn)’按鈕，選擇要導(dǎo)入的xlsx資產(chǎn)文件，點(diǎn)擊提交，完成批量導(dǎo)入資產(chǎn)的操作。圖46鉆取資產(chǎn)大事大事。圖47圖48WMI進(jìn)入編輯/添加資產(chǎn)界面〔6.1.2，填寫‘資產(chǎn)名稱’‘資產(chǎn)IPWMIWMI配置界面，填寫配置項(xiàng)內(nèi)容，點(diǎn)擊‘測(cè)試連接’按鈕，測(cè)試通過(guò)之后顯示‘提交’按鈕。點(diǎn)擊‘提交’完成配置WMI操作。圖491圖50JDBC進(jìn)入編輯/添加資產(chǎn)界面〔6.1.2，填寫‘資產(chǎn)名稱’‘資產(chǎn)IP選項(xiàng)’按鈕，選擇‘啟動(dòng)JDBC’項(xiàng)，顯示JDBC配置界面，填寫配置項(xiàng)內(nèi)容，點(diǎn)擊‘可用性測(cè)試’按鈕，測(cè)試通過(guò)之后顯示‘提交’按鈕。點(diǎn)擊‘提交’完成配置JDBC操作。圖51圖52圖53SNMPCPU/內(nèi)存/網(wǎng)絡(luò)流量信息進(jìn)入編輯/添加資產(chǎn)界面〔6.1.2，填寫‘資產(chǎn)名稱’‘資產(chǎn)IP選項(xiàng)’按鈕，選擇‘啟動(dòng)SNMP’項(xiàng)，顯示SNMP配置界面，填寫配置項(xiàng)內(nèi)容，點(diǎn)擊‘測(cè)試連接’按鈕，測(cè)試通過(guò)之后顯示‘提交’按鈕。點(diǎn)擊‘提交’完成配置SNMP操作。圖54圖551Windows必需開啟wmi資產(chǎn)類型添加資產(chǎn)類型資產(chǎn)類型〔資產(chǎn)類型支持多個(gè)填寫〕點(diǎn)擊‘提交’完成添加資產(chǎn)類型的操作。圖56圖57刪除資產(chǎn)類型每條資產(chǎn)類型左側(cè)的復(fù)選框則可選中該條資產(chǎn)點(diǎn)擊資產(chǎn)列表右上角刪除按擊每條資產(chǎn)類型‘操作’列‘刪除’圖標(biāo)，系統(tǒng)提示：確定要?jiǎng)h除嗎？點(diǎn)擊確定，完成刪除資產(chǎn)類型的操作。系統(tǒng)內(nèi)置的資產(chǎn)類型不支持刪除。圖58規(guī)章解析規(guī)章圖59添加解析規(guī)章寫相應(yīng)的添加項(xiàng)，上傳解析規(guī)章文件點(diǎn)擊‘可用性測(cè)試’，測(cè)試通過(guò)則顯示‘提交’按鈕，可點(diǎn)擊‘提交’完成添加解析規(guī)章的操作。圖60圖61告警規(guī)章圖62添加告警規(guī)章相應(yīng)的添加項(xiàng)點(diǎn)擊‘提交’完成添加告警規(guī)章的操作。圖63圖64過(guò)濾規(guī)章圖65添加過(guò)濾規(guī)章點(diǎn)擊過(guò)濾規(guī)章列表右上角‘添加過(guò)濾規(guī)章’圖標(biāo)，進(jìn)入添加過(guò)濾規(guī)章界面，可點(diǎn)擊‘提交’完成添加過(guò)濾規(guī)章的操作。圖66圖67圖68圖69啟動(dòng)/暫停過(guò)濾規(guī)章點(diǎn)擊過(guò)濾規(guī)章列表標(biāo)題行左側(cè)的復(fù)選框，可選中該頁(yè)全部過(guò)濾規(guī)章，點(diǎn)擊每條過(guò)濾規(guī)章左側(cè)的復(fù)選框則可選中該條過(guò)濾規(guī)章點(diǎn)擊過(guò)濾規(guī)章列表右上角‘多項(xiàng)選擇停頓/多項(xiàng)選擇開啟’按鈕，系統(tǒng)提示：確定停頓/開啟所選項(xiàng)嗎？點(diǎn)擊‘確定’，完成批量停頓/開啟過(guò)濾規(guī)章的操作。點(diǎn)擊每條過(guò)濾規(guī)章‘操作’列‘開啟/停頓’圖/開啟此項(xiàng)嗎？點(diǎn)擊‘確定’，完成停頓/開啟過(guò)濾規(guī)章的操作。關(guān)聯(lián)規(guī)章圖70添加關(guān)聯(lián)規(guī)章要求填寫相應(yīng)的添加項(xiàng)點(diǎn)擊‘下一步’進(jìn)入下一環(huán)節(jié)添加，或者點(diǎn)擊‘提交’完成添加關(guān)聯(lián)規(guī)章操作。圖71啟動(dòng)/暫停關(guān)聯(lián)規(guī)章點(diǎn)擊關(guān)聯(lián)規(guī)章列表標(biāo)題行左側(cè)的復(fù)選框，可選中該頁(yè)全部關(guān)聯(lián)規(guī)章，點(diǎn)擊每條關(guān)聯(lián)規(guī)章左側(cè)的復(fù)選框則可選中該條關(guān)聯(lián)規(guī)章點(diǎn)擊關(guān)聯(lián)規(guī)章列表右上角‘多項(xiàng)選擇停頓/多項(xiàng)選擇開啟’按鈕，系統(tǒng)提示：確定停頓/開啟所選項(xiàng)嗎？點(diǎn)擊‘確定’，完成批量停頓/開啟關(guān)聯(lián)規(guī)章的操作。點(diǎn)擊每條關(guān)聯(lián)規(guī)章‘操作’列‘開啟/停頓’圖/開啟此項(xiàng)嗎？點(diǎn)擊‘確定’，完成停頓/開啟關(guān)聯(lián)規(guī)章的操作。圖72授權(quán)規(guī)章圖73添加授權(quán)規(guī)章和選擇相應(yīng)的添加項(xiàng)點(diǎn)擊‘提交’完成添加授權(quán)規(guī)章的操作。圖74角色列表圖75添加角色應(yīng)的添加項(xiàng)點(diǎn)擊‘提交’完成添加角色的操作。圖76圖77登錄策略圖78添加登錄策略和選擇相應(yīng)的添加項(xiàng)點(diǎn)擊‘提交’完成添加登錄策略的操作。圖79圖80報(bào)表菜單項(xiàng)‘報(bào)表’‘報(bào)表列表’子項(xiàng)。進(jìn)入報(bào)表列表呈現(xiàn)頁(yè)面。81添加報(bào)表傳文件，選擇需要的報(bào)表類型點(diǎn)擊‘提交’完成添加報(bào)表的操作。82預(yù)覽/下載/生成報(bào)表覽/下載’圖標(biāo)，可進(jìn)展報(bào)表的預(yù)覽/下載/生成操作。83告警菜單項(xiàng)‘告警’‘告警信息’子項(xiàng)。進(jìn)入告警信息列表呈現(xiàn)頁(yè)面。84鉆取告警關(guān)聯(lián)大事。8586告警通知菜單項(xiàng)‘告警’‘告警通知’子項(xiàng)。進(jìn)入告警通知列表呈現(xiàn)頁(yè)面。87郵箱設(shè)置‘郵箱設(shè)置’子項(xiàng)。進(jìn)入告警郵箱設(shè)置頁(yè)面，填寫必要SMTP88網(wǎng)絡(luò)網(wǎng)絡(luò)設(shè)置‘網(wǎng)絡(luò)設(shè)置’子項(xiàng)。進(jìn)入網(wǎng)卡列表呈現(xiàn)頁(yè)面。點(diǎn)擊操作列‘編輯’圖標(biāo)，可編輯對(duì)應(yīng)網(wǎng)卡信息。8990通信設(shè)置********設(shè)置列表，SNMP和********超時(shí)時(shí)間設(shè)置頁(yè)面。其中********設(shè)置可添加刪除，全部設(shè)置項(xiàng)均可編輯。916.10.2.1.添加********點(diǎn)擊********設(shè)置模塊的右上角的‘添加’圖標(biāo)，呈現(xiàn)********設(shè)置界面，正確填寫必要信息，點(diǎn)擊‘提交’完成添加********的操作。926.10.2.2. SNMPSNMPSNMP936.10.2.3.編輯********時(shí)間點(diǎn)擊‘********超時(shí)時(shí)間設(shè)置’模塊表格的操作列‘編輯’圖標(biāo)，顯示********超時(shí)時(shí)間設(shè)置界面，編輯完成點(diǎn)擊‘提交’完成編輯********時(shí)間操作。94雙機(jī)配置‘雙機(jī)配置’子項(xiàng)。進(jìn)入雙機(jī)配置界面。選擇模式按功能引導(dǎo)和要求填寫模式配置，最終點(diǎn)擊‘組建’完成雙機(jī)配置操作。95級(jí)聯(lián)治理菜單項(xiàng)‘網(wǎng)絡(luò)’‘通信設(shè)置’子項(xiàng)。進(jìn)入級(jí)聯(lián)治理模塊頁(yè)面。