CMMI-門(mén)禁系統(tǒng)平臺(tái)用戶(hù)手冊(cè)

廣州市XXxxxxxxx門(mén)禁系統(tǒng)平臺(tái)

用戶(hù)手冊(cè)

廣東XXX技術(shù)股份有限公司

年月日

版權(quán)聲明

廣東XXX技術(shù)股份有限公司版權(quán)所有，并保留對(duì)本手冊(cè)及本聲明的最終解釋

權(quán)和修改權(quán)。

本文檔是廣州XXXXXXXXX門(mén)禁系統(tǒng)平臺(tái)用戶(hù)手冊(cè),本文檔中出現(xiàn)的任何文字?jǐn)?/p>

述、文檔格式、插圖、照片、方法、過(guò)程等內(nèi)容除另有特別注明外，其著作權(quán)或

其他相關(guān)權(quán)利均屬于廣東奧迪安監(jiān)控技術(shù)股份有限公司。未經(jīng)廣東奧迪安監(jiān)控技

術(shù)股份有限公司書(shū)面同意，任何人不得以任何方式或形式對(duì)本手冊(cè)內(nèi)的任何部分

進(jìn)行復(fù)制、摘錄、備份、修改、傳播、翻譯成其它語(yǔ)言、將其全部或部分用于商

業(yè)用途。本文檔中的信息歸廣東奧迪安監(jiān)控技術(shù)股份有限公司所有并受著作權(quán)法

保護(hù)。

免責(zé)聲明

本手冊(cè)依據(jù)現(xiàn)有信息制作，其內(nèi)容如有更改，恕不另行通知。若因使用或不能

使用本產(chǎn)品而產(chǎn)生的任何損害（包括間接個(gè)人損害、商業(yè)利潤(rùn)損失、營(yíng)業(yè)中斷、

商業(yè)信息遺失或其它任何金錢(qián)上的損失），本公司不負(fù)任何損害賠償責(zé)任。

信息更新

本文檔及其相關(guān)計(jì)算機(jī)軟件程序僅用于為最終用戶(hù)提供信息,并且隨時(shí)可由

廣東XXX技術(shù)股份有限公司更改或撤回。

出版時(shí)間

本文檔于年月由廣東XXX技術(shù)股份有限公司編寫(xiě)。

1系統(tǒng)概述

1.1產(chǎn)品介紹

ADASBT平臺(tái)（簡(jiǎn)稱(chēng)SBT平臺(tái)）能夠?qū)崟r(shí)采集企業(yè)和組織中各種不同廠商的安全設(shè)備、網(wǎng)

絡(luò)設(shè)備、主機(jī)、操作系統(tǒng)以及各種應(yīng)用系統(tǒng)產(chǎn)生的日志、事件、告警等信息，并將數(shù)據(jù)信息

進(jìn)行集中存儲(chǔ)、統(tǒng)一管理。

SBT平臺(tái)采用大數(shù)據(jù)分布式存儲(chǔ)和計(jì)算架構(gòu)，通過(guò)采集企業(yè)內(nèi)部基礎(chǔ)數(shù)據(jù)（含核心應(yīng)用），

利用數(shù)據(jù)建模、行為識(shí)別、關(guān)聯(lián)分析、機(jī)器學(xué)習(xí)等技術(shù)，提供全量日志極速檢索和大數(shù)據(jù)日

志分析功能，實(shí)現(xiàn)對(duì)已知/未知安全威脅事件的感知及告警響應(yīng)，實(shí)現(xiàn)企業(yè)信息化數(shù)據(jù)的集

中存儲(chǔ)、隨想隨查、關(guān)聯(lián)分析、可視化展現(xiàn)等功能。

SBT平臺(tái)可廣泛應(yīng)用于包括IT運(yùn)維管理、智能運(yùn)維、安全分析、業(yè)務(wù)服務(wù)管理、用戶(hù)

行為、精準(zhǔn)營(yíng)銷(xiāo)等領(lǐng)域，有效提升企業(yè)競(jìng)爭(zhēng)力。SBT平臺(tái)可替代日志管理和SIEM系統(tǒng)，或

作為已有SOC的合理補(bǔ)充。它適用于金融行業(yè)、運(yùn)營(yíng)蔻、制造業(yè)等一些大中型企業(yè)。

1.2WEB系統(tǒng)登錄

在瀏覽器地址欄輸入：htlp:〃:9000/index/home即可訪問(wèn)系統(tǒng)。

■SystexBeaconTowero也臺(tái)

系統(tǒng)內(nèi)置系統(tǒng)管理員角色，默認(rèn)登錄用戶(hù)名admin,密碼由實(shí)施人員提供，登錄后請(qǐng)先

修改密碼。系統(tǒng)管理員角色具備系統(tǒng)配置、用戶(hù)管理、權(quán)限管理、日志審計(jì)操作等權(quán)限。

輸入用戶(hù)名、密碼即可登錄，登錄后的首頁(yè)界面結(jié)構(gòu)如下：

高危事件為近24小時(shí)高危告警次數(shù)，高危資產(chǎn)為近24小時(shí)產(chǎn)生過(guò)高危告警的資產(chǎn)數(shù)量,

告警總數(shù)為近24小時(shí)總告警次數(shù)。

2.實(shí)時(shí)安全事件地域分布地圖

在地圖上呈現(xiàn)過(guò)去30分鐘有外網(wǎng)源IP或外網(wǎng)目標(biāo)IP的告警事件。點(diǎn)擊地圖可進(jìn)入‘地域

分析”頁(yè)面。如需詳細(xì)了解該圖表，請(qǐng)查看“地域分析”部分說(shuō)明。

3.實(shí)時(shí)安全告警事件

列表顯示最新5筆告警事件，從上往下按時(shí)間倒序排列，每筆最新告警事件顯示在列表

第一行數(shù)據(jù)。

4.近七天各領(lǐng)域安全趨勢(shì)

圖表顯示前7天到昨天為止的各領(lǐng)域的安全趨勢(shì)。

5.近7天整體安全趨勢(shì)

圖表顯示前7天到昨天為止的整體安全評(píng)分，即8大領(lǐng)域安全評(píng)分的平均分。

列表顯示前7天到昨天為止的最低整體安全評(píng)分的TOP5,顯示對(duì)應(yīng)日期及評(píng)分，按照

評(píng)分從低到高排序。

6.近7天告警數(shù)量趨勢(shì)

圖表顯示前7天到昨天為止的每日告警數(shù)量。

列表顯示前7天到昨天為止產(chǎn)生告警數(shù)量最多的任務(wù)名稱(chēng)、次數(shù)以及占比。

7.近7天資產(chǎn)告警趨勢(shì)

圖表顯示前7天到昨天為止的每日產(chǎn)生告警的資產(chǎn)數(shù)量

列表顯示前7天到昨天為止評(píng)分最低的資產(chǎn)TOP5,顯示資產(chǎn)名稱(chēng)及對(duì)應(yīng)評(píng)分。資產(chǎn)評(píng)

分算法同8大領(lǐng)域評(píng)分算法：總分為100分，發(fā)生告警事件則扣分，其中每個(gè)高危告警扣5

分，每個(gè)中危告警扣1分，每個(gè)低危告警扣0.5分。

8.近7天告警類(lèi)型數(shù)據(jù)分布

圖表顯示前7天到昨天為止高、中、低等級(jí)的告警事件的數(shù)量占比分布，高/中/低告警

數(shù)量占比二高/中〃氐告警數(shù)量/告警總數(shù)量。

3數(shù)據(jù)搜索

數(shù)據(jù)搜索功能采取google式搜索方式，所有類(lèi)型的三志均可在一個(gè)搜索界面上進(jìn)行搜

索，支持全文檢索、字段匹配、模糊查詢(xún)、正則表達(dá)式等搜索語(yǔ)法，僅需幾秒鐘就能從海量

數(shù)據(jù)中搜索出于"關(guān)鍵字’相關(guān)的日志信息。

數(shù)據(jù)搜索分為常規(guī)搜索、高級(jí)搜索。其中高級(jí)搜索支持通過(guò)SQL語(yǔ)句進(jìn)行可編程的日志

分析統(tǒng)計(jì)。

3.1常規(guī)搜索

點(diǎn)擊"數(shù)據(jù)搜索“進(jìn)入數(shù)據(jù)搜索的常規(guī)搜索頁(yè)面（見(jiàn)下圖），可對(duì)接入SBT平臺(tái)的原始

日志數(shù)據(jù)進(jìn)行檢索。

SYSTEXQnm

Qnm

8森武力送拷

B日

刈，…——W，

曰志類(lèi)型選擇默認(rèn)顯示所有分類(lèi)，一級(jí)菜單為8大類(lèi)，二級(jí)菜單為各大類(lèi)下的日志類(lèi)型

（顯示Index中文名）。下拉菜單中僅包含用戶(hù)有權(quán)限訪問(wèn)的日志類(lèi)型，即時(shí)用戶(hù)選擇“所

有分類(lèi)11,搜索結(jié)果也僅顯示用戶(hù)有權(quán)限訪問(wèn)的日志數(shù)據(jù)。

時(shí)間控件默認(rèn)顯示近4天，點(diǎn)擊時(shí)間控件可按需選擇或自行編輯時(shí)間范圍。

搜索輸入框的具體使用說(shuō)明可點(diǎn)擊輸入框右側(cè)的“？”圖標(biāo)進(jìn)入使用幫助頁(yè)面（見(jiàn)下圖）。

a/0梅建中陽(yáng)澄陽(yáng)

下列的邏8旗作將旨在連接多個(gè)搜索條件（NOTM講），都用作多個(gè)搜索條件的關(guān)聯(lián),運(yùn)算符兩邊的條件可以有三種3

zk.vwwma喻

3.SU些

選用不同的投裝條件和蹈闡I符實(shí)現(xiàn)靈活的搜索力能

關(guān)”S案

■W入入1?盤(pán)長(zhǎng)的關(guān)■字巴曲本的大文分期爾義■舊分局,所以切詞回藤中文（單主3字）皿喇.忙累舄1?四或11?用下曲為$言之

AND

WsM.支持VMM的連按左右砌的裳勺必陽(yáng)向時(shí)溫足才會(huì)腕幽.交聆只■字=加$K?v咖關(guān)EQiCV?WMM?a，?含.

OR

—重?如莪Nfi的連*左右而加情畫(huà)只”任■一方融昆m金??財(cái),班天.字OR*?t,sK.vw$K-v???rrwKV

NOT

TO3EM..SMMMWWF5MM日不才關(guān)SWT關(guān)./，“川WTSKzviM^moKV??KEa^m&e.

ANDNOT

ORNOT

支持條鐘的3

0

0ML稱(chēng)號(hào)內(nèi)融?素季列遇例后制MWVJFHW同與X3I遂行=*運(yùn)K

$

CVmiOMIEe>WT.?-V5JWn?UQE,.日.MMWR中酶ey

?

關(guān)閉

搜索按鈕：點(diǎn)擊觸發(fā)謖索操作，搜索結(jié)果滿(mǎn)足日志類(lèi)型、時(shí)間范圍、搜索框輸入條件及

用戶(hù)權(quán)限的限制。

Ml7/03.190000-2017/0W)O&CObott-%0$Q7t

RI-H?,R1.W1?”的15CW)

O刈，④皿由上處XWWQ—由QQN0E2,即加2乜”如一-—廿RN

(^tmesUmp2017-03-22135721530

.version1

|—|

message?0411MX^7-OJ-Z21)X07437(INFO|mcnrout^rr?*72.2O17032^.1i$aO6.4(U27*n^mtKiAtfoQry5M?n?rm*r\?rvaMrtionacctnetm?t4/9(?P<?nrUI

2017/01"0000-2O17/Ol/?3OOCO

@2017032213572353096041134"""工"1158^7437PNFOjmonroutotr?H72.20170i22_13S805.40!27?mgmt^GflnfoQfySMmamwtvwIdef3notT"Ar^t妁mA

Ind^v:eMnk|Type1PMH無(wú)

9604113420170122115S;18W2nNfO]monroue^fWO2017032213s51757(78*maml^GAnfoQfy96Sm?m?tfv?r??SdMm?cctnc€mttAra!”土霍玲2

O2017-03-22135435412

IndeveMnkTypeI091P必?zé)o

公…….一960CJ342O17sMJJ734582M5】2Z?o*R42刈70322m733aMOMgEtPENoQfy”-gvtrMaUxancdi”程

@20vs-221M?1.iaPJ.

%0411y2017-03-2211:3^59522(INFO)monr<MC?rr?*1920170122HJW29MUmQEXfUfoQfy494n?ms?<verI-“anccsstJM3?廣多善CM

。2017?和2211的1”7H

查看日志包括原始日志、解析日志兩種方式。搜索結(jié)果默認(rèn)顯示原始日志（見(jiàn)下圖），

顯示日志時(shí)間以及源日志消息，源日志消息包含message信息及對(duì)應(yīng)的index、type和path

值。點(diǎn)擊“展開(kāi)”按鈕可顯示該行日志的解析字段。

其中，通過(guò)filebeat接入的日志數(shù)據(jù)可顯示該日志前后50筆日志數(shù)據(jù)記錄。點(diǎn)擊“事件

上下文按鈕“，則在新頁(yè)面打開(kāi)數(shù)據(jù)搜索頁(yè)面，并自動(dòng)填入搜索條件，日志類(lèi)型選擇為“所

有分類(lèi)”，時(shí)間控件中顯示的時(shí)間即為搜索結(jié)果所包含的時(shí)間范圍，搜索輸入框即為實(shí)際搜

索的條件；搜索結(jié)果自動(dòng)定位到上一頁(yè)面的跳轉(zhuǎn)事件上，并突出顯示該事件；搜索結(jié)果為事

件的上下文，即為該事件在接入之前所在源文件中的前君50筆日志記錄；若前后記錄不足

50筆，則按實(shí)際的數(shù)量展示。

“BS

點(diǎn)擊“解析日志”將切換至解析日志頁(yè)面（見(jiàn)下圖i。

點(diǎn)擊“顯示/隱藏字段”圖標(biāo)彈出選擇顯示/隱藏字段窗口，點(diǎn)擊字段即可選中顯示為藍(lán)

色，再次點(diǎn)擊取消選中。藍(lán)色選中字段均為在頁(yè)面中可顯示的字段。

點(diǎn)擊“下載”按鈕，可選擇搜索結(jié)果導(dǎo)出的范圍，點(diǎn)擊”確定“后直接將搜索結(jié)果以csv

格式導(dǎo)出至本地。

3.2高級(jí)搜索

點(diǎn)擊常規(guī)搜索頁(yè)面右上角“高級(jí)搜索“按鈕，進(jìn)入高級(jí)搜索頁(yè)面。

在高級(jí)搜索頁(yè)面，可實(shí)現(xiàn)在搜索框中直接使用SQL語(yǔ)句進(jìn)行搜索和簡(jiǎn)單的統(tǒng)計(jì)，如時(shí)

間、類(lèi)型、嚴(yán)重等級(jí)、IP、日志源等多維度日志的統(tǒng)計(jì)分析C

Q數(shù)據(jù)搜索

2017/03/19OOXX)■2017/03/2300:00

:SELECTCOUHT(?)FBJOMdl>2*

2GROUPBYhost

|授孝結(jié)果：1條，搜幸耗的3ms

hostCOUNTO

8124.0

2000/01/0100:00-2017/03/2300:00

1SELECTCOURTS)FR￡MJG*

2GROUPBY.type

|按委皚軍3條,搏手耗打：4m5

T

_typeCOUNT(")

核心主機(jī)異室時(shí)間登錄3118.0

內(nèi)網(wǎng)主機(jī)掃題21.0

核心主機(jī)密碼臬力破茶3.0

點(diǎn)擊右上角"使用幫助"可查看高級(jí)搜索使用說(shuō)明。

Q惠級(jí)搜案使用說(shuō)明

本痍*功腳到請(qǐng)法USQL調(diào)法第仙，鼻驚使用方法《1下:

基破搜索：

SELECT字SS1,字段Z字段3FROMindexS?WHERE條件

例:SELECT?FROMwinjcpbeafWHEREtype^'system9ANDmessagelike

字段：字購(gòu)tUWS為字(如：type.typ*,?pe、*pyF),tfi可用indude/exclude(如：indudeCpe，exdudeC*ype，),indudefty^^,exdudeCtype'))

includef?pe'):字監(jiān)以pe結(jié)碑所有字段

exdude('>pn:排除字段名包含ypffi所有手段

includeftr,XexcluCenypel:除了type以外所有以ty?母的手段

條件:條件可以為第TW*,也可為多個(gè)條件的怛合,常用的關(guān)鍵字如下：AND/OR:用于連線2個(gè)或多個(gè)條件

AND/OR:用于連接2個(gè)或多個(gè)條杵

UKE:用于鎮(zhèn)索列中幀定模式，如：UKE>rror'.UKE%type%'.UKE?type''，在UKEiB句中，%KF均可作為通配符使用

IN:允許在條件清句中規(guī)定多個(gè)值

BETWEEN:BETWEEN.AND會(huì)選取介于兩個(gè)值之何的B3R范Bl,這些值可以JHSH1.文本或者日劇

GAft：

avgO:返叵/值列K平均值,NULL僮不包括在計(jì)翼中

countO：返回匹配猖定條件的行故

sum。:返回?cái)?shù)值列的AW

maxO：返所列中砒I大9

minO：返回TW/Jvffl

groupby:用于儂合計(jì)的數(shù)，根據(jù)一個(gè)或多個(gè)列對(duì)恬戢集進(jìn)行分館

______ORDERBY:根據(jù)指定的?網(wǎng)結(jié)果集進(jìn)行排序，默認(rèn)按Wi升》對(duì)記錄迸行捧序,如果您希9按照常序?qū)τ涗涍M(jìn)行琲序，可以使用DESC關(guān)?字

關(guān)閉

點(diǎn)擊“顯示/隱藏字段”圖標(biāo)彈出選擇顯示/隱藏字段窗口，點(diǎn)擊字段即可選中顯示為藍(lán)

色，再次點(diǎn)擊取消選中。藍(lán)色選中字段均為在頁(yè)面中可顯示的字段。

點(diǎn)擊“下載”按鈕，可選擇搜索結(jié)果導(dǎo)出的范圍，點(diǎn)擊”確定“后直接將搜索結(jié)果以csv

格式導(dǎo)出至本地。

4告警管理

針對(duì)安全事件的關(guān)聯(lián)分析，SBT可通過(guò)制定卡片和任務(wù)進(jìn)行告警監(jiān)控，達(dá)到安全預(yù)警和

防御效果。并可以郵件等方式進(jìn)行實(shí)時(shí)告警通知。

告警管理包括卡片管理和任務(wù)管理。

卡片管理主要設(shè)置各種告警規(guī)則，任何監(jiān)控告警規(guī)則均可以以卡片形式插入式導(dǎo)入，如

密碼暴力破解、異常時(shí)間登錄、內(nèi)網(wǎng)端口掃描等。

在任務(wù)管理頁(yè)面，使用已導(dǎo)入的卡片告警規(guī)則進(jìn)行任務(wù)的配置，根據(jù)實(shí)際情況選擇告警

級(jí)別、告警類(lèi)別、告警條件、告警模式、告警信息、告警觸發(fā)動(dòng)作、數(shù)據(jù)源、關(guān)鍵字、排程

時(shí)間計(jì)劃等內(nèi)容的設(shè)置，滿(mǎn)足規(guī)則條件的事件生成告警并觸發(fā)動(dòng)作。

4.1卡片管理

卡片管理主要設(shè)置各種告警規(guī)則，任何監(jiān)控告警規(guī)則均可以以卡片形式插入式導(dǎo)入，如

密碼暴力破解、異常時(shí)間登錄、內(nèi)網(wǎng)端口掃描等。

卡片類(lèi)型分為實(shí)時(shí)和排程兩種。進(jìn)入卡片管理頁(yè)面后，系統(tǒng)自動(dòng)查詢(xún)所有卡片配置并顯

示當(dāng)前卡片清單，可通過(guò)卡片搜索框過(guò)濾卡片相關(guān)的配置信息。

用戶(hù)可通過(guò)卡片管理模塊實(shí)現(xiàn)對(duì)卡片的新增、修改、刪除查詢(xún)功能。

MHKZZBMHI

點(diǎn)擊新增或修改按鈕,進(jìn)入卡片配罟界面（見(jiàn)下圖）C如需配罟請(qǐng)聯(lián)系實(shí)施人員協(xié)助進(jìn)

行。

卡片配國(guó)X

名稱(chēng)：

福述：

主函數(shù)：

jar包■入:

xml■入：選取文件未選擇文件■

卡片類(lèi)里：

運(yùn)行內(nèi)存(G)：

堇■行為：

就肖

點(diǎn)擊刪除按鈕時(shí)，系統(tǒng)會(huì)判斷該卡片是否被任務(wù)所引用。如果卡片被引用，則彈窗提示

"該卡片被任務(wù)所引用,不能刪除”；卡片刪除時(shí)會(huì)連同上傳的jar包和XML文件一并刪除。

4.2任務(wù)管理

在任務(wù)管理頁(yè)面，使用已導(dǎo)入的卡片告警規(guī)則進(jìn)行任務(wù)的配置，根據(jù)實(shí)際情況選擇告警

級(jí)別、告警類(lèi)別、告警條，牛、告警模式、告警信息、告警觸發(fā)動(dòng)作、數(shù)據(jù)源、關(guān)鍵字、排程

時(shí)間計(jì)劃等內(nèi)容的設(shè)置，滿(mǎn)足規(guī)則條件的事件生成告警并觸發(fā)動(dòng)作。

進(jìn)入任務(wù)管理頁(yè)面，系統(tǒng)自動(dòng)查詢(xún)所有任務(wù)配置并顯示任務(wù)清單，可通過(guò)任務(wù)搜索框進(jìn)

行條件過(guò)濾查詢(xún)。

Qir

E

I121QED

NV■071…，in*V皿AM》ZM??.Ml

.09inOA<aM>/M??

MIIVWI?09inU(GM)/*a??.Ml

.HinW(GM)z?a???RO

w.KMsawcm》zaa??.Ml

eMMiniMi.DVmOO(JUR)/?a??

otaae*.??/!????則SM》/?a??.Ml

?6SR/?a??.Ml

■BMAM)ZM??.Ml

■“A-LO<BM>?■

點(diǎn)擊新增或修改按鈕，進(jìn)入任務(wù)設(shè)置頁(yè)面，如需配置請(qǐng)聯(lián)系實(shí)施人員協(xié)助進(jìn)行。

5告警搜索/實(shí)時(shí)告警

告警是指系統(tǒng)根據(jù)自定義的任務(wù)管理里具體的規(guī)則條件與原始日志數(shù)據(jù)進(jìn)行匹配對(duì)匹

配規(guī)則條件的事件生成告警，同時(shí)觸發(fā)告警響應(yīng)動(dòng)作。

5.1告警搜索

用戶(hù)進(jìn)入告警搜索頁(yè)面，可對(duì)所有產(chǎn)生的告警進(jìn)行查詢(xún)。可以根據(jù)告警時(shí)間、告警等級(jí)、

告警類(lèi)別、告警名稱(chēng)、源P、目標(biāo)IP等進(jìn)行查詢(xún)。輸入搜索條件后，點(diǎn)擊“搜索”按鈕，則會(huì)

顯示查詢(xún)結(jié)果的告警列表。

?it騫實(shí)學(xué)

Ql?91m1

MMftWMBMS

02言2*X??(IWX12W?1M11J*1B<I511

?warni2in

?SMUJt1H2XL2U

jnT-m^siH2iam

MKitnm?muJatrawam2p—w?i)

。：皿3

0Itt11214

C4U9oryMl

4MMMDMAT2M

?MV?j

告警類(lèi)型默認(rèn)選擇所有類(lèi)型，類(lèi)型對(duì)應(yīng)于任務(wù)管理模塊里每個(gè)任務(wù)配置的告警標(biāo)題。下

拉菜單僅包含已產(chǎn)生過(guò)告警的告警標(biāo)題，未產(chǎn)生過(guò)告警的告警標(biāo)題不會(huì)顯示。

時(shí)間控件默認(rèn)顯示過(guò)去7天，點(diǎn)擊時(shí)間控件可按需選擇或自行編輯時(shí)間范圍。

告警列表包含的信息有：告警時(shí)間、告警級(jí)別、告警來(lái)源（任務(wù)名稱(chēng)）、告警信息。告

警列表分頁(yè)顯示，默認(rèn)按照告警發(fā)送時(shí)間倒序顯示。

點(diǎn)擊“展開(kāi)”按鈕，可查看告警的詳細(xì)信息。

點(diǎn)擊“下載”按鈕，可選擇搜索結(jié)果導(dǎo)出的范圍，點(diǎn)擊”確定“后直接將搜索結(jié)果以csv

格式導(dǎo)出至本地C

5.2實(shí)時(shí)告警

實(shí)時(shí)告警頁(yè)面顯示近12個(gè)小時(shí)的告警數(shù)量分布情況以及最新20條告警詳情。

owmwi

M117UZ，Ao?>mr?

“dBW*HUo?*E4M0^^《bMwnMIJJM_ji9??4?*<kM9??Q.4"^F3<*.lN：11dXg.

l0?AiKK*w*.UArMilR?I*LHUU，?S*

ZAA^AvMJin^.9xfnnjM.wwt.actweMAAi.ar-LtJLLJjM.cpu.uaMQMaMaM.ran.MM^.OMatK.C^aFfJUMC.^lBX：IJOlaM.Mdt.*.

.nUM<e>W：1Xi?M_mdL廿.

”Himi?2v?n，ZMV

“d?s^/VMJo^attjparnmnaM.Wwt.Knon-fne&AMr-lVM1-UM_<pu.uMag?<M>M.?w>.MMgfOMJtt_C|W2UM?_?p?IN：1J9^aM_Mdi_t|O?s

其中，最新20條告警詳情不會(huì)自動(dòng)刷新，如果您想看到最新的告警列表,請(qǐng)手動(dòng)刷新當(dāng)

前頁(yè)面。

6告警儀表板

6.1概覽

該頁(yè)面針對(duì)只接入數(shù)據(jù)不使用告警管理模塊即不配置規(guī)則告警的用戶(hù)使用。該頁(yè)面包含

今日日志概況、過(guò)去7日流量使用、主機(jī)概況、安全設(shè)備概況四個(gè)部分。

1.今日日志概況

今日日志概況

日志類(lèi)型?？丛斍?/p>

日志總量

286.15萬(wàn)

linux-syslog■

接入設(shè)密數(shù)?windows-metricbeat

4linux-mecricbeat-

今日日志概況統(tǒng)計(jì)今天所有接入的日志數(shù)量，當(dāng)日志數(shù)量大于等于1萬(wàn)時(shí)，如日志總量

為234567,則顯示23.46萬(wàn)，采用四舍五入的方式；小于1萬(wàn)時(shí)，則按正常方式顯示

接入設(shè)備數(shù)量為今天接入的所有日志對(duì)應(yīng)的設(shè)備IP數(shù)量。

餅狀圖按照index統(tǒng)計(jì)今天的日志數(shù)量，當(dāng)index的數(shù)量大于11時(shí)，則在餅圖中顯示

TOP10及其他，其他則為除了TOP10以外的所有index統(tǒng)計(jì)之和。

點(diǎn)擊“查看詳情”在新的標(biāo)簽頁(yè)打開(kāi)“數(shù)據(jù)源統(tǒng)計(jì)"頁(yè)面

2.過(guò)去7曰流量使用

直看詳情

過(guò)去7日流量使用

W2G

今日流量

039G

3.97%

左邊柱形圖統(tǒng)計(jì)過(guò)去7日每日使用的流量大小（不包括今天），紅色虛線代表每日流量許

可，超出許可的用紅色柱形表示。

右邊環(huán)形圖統(tǒng)計(jì)今天到當(dāng)前為止使用的流量大小，環(huán)形圖表示今天已使用的流量大小與

今日許可流量的比值，用百分比表示。

點(diǎn)擊“查看詳情”在新的標(biāo)簽頁(yè)打開(kāi)“許可管理”頁(yè)面

3.主機(jī)概況（近24小時(shí)）

主機(jī)4L況（近24/人酎）

用戶(hù)■亶昆

202”22”0

用戶(hù)an笈條用尸TOP5

UMT02UMfO3UW04UMTC6

主機(jī)概況部分統(tǒng)計(jì)近24小時(shí)的主機(jī)相關(guān)事件，包含設(shè)備重啟/宕機(jī)次數(shù)、新啟動(dòng)的服

務(wù)數(shù)、用戶(hù)變更（新增、修改）的事件數(shù)量、用戶(hù)組變更（新增、修改）的事件數(shù)量，點(diǎn)擊

數(shù)值彈窗顯示對(duì)應(yīng)的原始日志信息。

用戶(hù)登錄曲線圖顯示成功登錄、失敗登錄的日志數(shù)量隨時(shí)間變化的趨勢(shì)走向。其中左側(cè)

左邊坐標(biāo)為成功登錄，右側(cè)坐標(biāo)為失敗登錄。

登錄用戶(hù)T0P5顯示近24小時(shí)登錄次數(shù)（成功和失敗）最多的前5個(gè)用戶(hù)，包括用戶(hù)

名和登錄次數(shù)。

點(diǎn)擊“查看詳情”跳轉(zhuǎn)到“主機(jī)監(jiān)控總覽”頁(yè)面

4.安全設(shè)備概況（近24小時(shí)）

安全&??況

1???

2234234341234

?危?仲￡■

■caipws勝■次■

1810812323443141809%

1816*12323433421745%

102168123J3424431300%

10216812323423421245%

1815232342324122$%

M4URLTOP5

離危事件婀OP5

或由次??或dbum.

■?次?

hopJJwwwbadeom

DOOSMT1M19S0

hep,?ctwtsoonVexamplMhum

JEftM21M01M

wafUW367hep;/wwws0ur*oom

t2AttIia$M65hsp//wwwS8TcorWS8T_HOME

83wifi>sn?hup^huebancxxWpirsWdlSi79fi/

安全設(shè)備概況統(tǒng)計(jì)近24小時(shí)的安全設(shè)備相關(guān)事件。

防火墻已防護(hù)顯示已坊護(hù)風(fēng)險(xiǎn)連接（防火墻日志中連接被denied掉的日志）的次數(shù)。

點(diǎn)擊“查看詳情”進(jìn)入“防火墻總覽"頁(yè)面，點(diǎn)擊數(shù)值彈窗顯示對(duì)應(yīng)的原始日志信息，

IPS已偵測(cè)顯示IPS所有日志的數(shù)量。

WAF已防護(hù)顯示W(wǎng)AF所有日志的數(shù)量。

高危時(shí)間數(shù)量曲線圖基于IPS和WAF等級(jí)為高或者被blocked掉的日志數(shù)量，統(tǒng)計(jì)各

個(gè)時(shí)間段高危事件發(fā)生的次數(shù)。

被攔截IPTOP5統(tǒng)計(jì)被"denied"或"blocked”次數(shù)最多的5個(gè)被攔截IP,顯示IP地

址、攔截次數(shù)和占比三列。

高危事件類(lèi)型TOP5基于IPS和WAF等級(jí)為高或者被blocked掉的日志數(shù)量統(tǒng)計(jì)發(fā)

生次數(shù)最多的前5個(gè)高危事件，并按照發(fā)生的次數(shù)降序排列，表格包含事件類(lèi)型、事件來(lái)

源及次數(shù)3歹IJ,事件類(lèi)型為原始日志中表示類(lèi)型的字段事件來(lái)源為IPS或WAF。

被攻擊URLTOP5統(tǒng)計(jì)WAF等級(jí)為中、高或被blocked的所有日志數(shù)據(jù)中被攻擊URL

的前5個(gè)，包含攻擊次數(shù)和被攻擊URL兩列，按降序排列。

點(diǎn)擊查看詳情跳轉(zhuǎn)到“安全設(shè)備總覽”頁(yè)面。

6.2告警總覽

告警總覽包含今日實(shí)時(shí)分級(jí)告警總覽、今曰實(shí)時(shí)高危資產(chǎn)TOP10.今日實(shí)時(shí)最新告警

三部分，每2s更新一次。

aftWCcXfi>fiVM

24M)^%vtMtAa?att.vorf-71MjM.wM_action**nMUM_a0?11021

241^3?4RMMtJa?it?_9ort?raUM_“?l?n】?MM_3AJM_4pert?n&aM_-1?21]付.

R"6O?TMMWMK9/^^

24Fl?n]2M.m0?—川認(rèn)一\19<?0^^加1?210乂”?INlUOLaM_tf>Kk.t>pf

1.今日實(shí)時(shí)分級(jí)告警總覽

實(shí)時(shí)統(tǒng)計(jì)今日基于任務(wù)規(guī)則產(chǎn)生的告警，按高、中、低等級(jí)分別統(tǒng)計(jì)并進(jìn)行分級(jí)展示。

點(diǎn)擊餅圖高、中、低任一區(qū)域可鉆取至對(duì)應(yīng)等級(jí)的告警類(lèi)型數(shù)量統(tǒng)計(jì)。

“日nrm—更

，**?正

2.今日實(shí)時(shí)高危資產(chǎn)TOP10

橫向柱形圖顯示今日高危資產(chǎn)的TOP10,按照資產(chǎn)對(duì)應(yīng)的告警數(shù)量進(jìn)行排序。

3.今日實(shí)時(shí)最新告警

實(shí)時(shí)顯示今日最新前20筆基于任務(wù)規(guī)則產(chǎn)生的告警事件。

6.3地域分析

通過(guò)地域分析報(bào)表，可以基于全國(guó)/省市地圖查詢(xún)當(dāng)前系統(tǒng)的告警事件，當(dāng)告警產(chǎn)生時(shí)，

會(huì)通過(guò)源IP、目標(biāo)IP與IP庫(kù)地址進(jìn)行對(duì)照，從而產(chǎn)生由源IP訪問(wèn)目標(biāo)IP的攻擊鏈路圖。

支持全國(guó)/省市切換及基于地圖、事件軌跡、目標(biāo)IP、告警來(lái)源鉆取具體告警信息。

1.時(shí)間范圍選擇

通過(guò)首頁(yè)進(jìn)入“地域分析”報(bào)表，時(shí)間控件默認(rèn)顯示過(guò)去30分鐘實(shí)時(shí)告警事件。通過(guò)

“全部功能”進(jìn)入"地域分析”報(bào)表，時(shí)間控件默認(rèn)顯示今天實(shí)時(shí)告警事件。點(diǎn)擊時(shí)間控件

可按需選擇或自行編輯時(shí)間范圍。

2.主地圖顯示

通過(guò)“全部功能”進(jìn)入，主地圖顯示全國(guó)地圖；通過(guò)首頁(yè)點(diǎn)擊地圖某一省市進(jìn)入，主地

圖顯示所點(diǎn)省市地圖，報(bào)表根據(jù)時(shí)間范圍及所選全國(guó)/某一省市檢索系統(tǒng)的告警事件并相應(yīng)

顯示。

點(diǎn)擊地圖實(shí)現(xiàn)全國(guó)/省市切換：點(diǎn)擊全國(guó)地圖某一省市可切換主地圖為省市地圖，并在

左上角縮略圖區(qū)域顯示全國(guó)地圖；再次點(diǎn)擊縮略圖區(qū)域的該省市區(qū)塊，則可從省市地圖切換

回主地圖。

如果告警事件中源IP、目標(biāo)IP均存在時(shí)，則在地圖上以從源IP到目標(biāo)IP的箭頭線呈現(xiàn)

告警事件軌跡，點(diǎn)擊箭頭線可鉆取彈窗顯示選擇時(shí)間范圍內(nèi)該條事件軌跡的具體告警事件信

息；

如果告警事件中源IP缺失，則根據(jù)目標(biāo)IP或資產(chǎn)R在地圖上以標(biāo)識(shí)點(diǎn)呈現(xiàn)，點(diǎn)擊標(biāo)

識(shí)點(diǎn)可鉆取彈窗顯示選擇時(shí)間范圍內(nèi)該點(diǎn)的目標(biāo)IP所屬城市/資產(chǎn)IP所屬城市的具體告警事

件信息；

無(wú)告警事件或缺失舊則不顯示箭頭線及標(biāo)識(shí)點(diǎn)。

3.TOP5事件軌跡

列表顯示選擇時(shí)間范圍內(nèi)主地圖區(qū)域所選全國(guó)或某省市的TOP5事件軌跡、次數(shù)。無(wú)

告警則顯示標(biāo)題欄并在數(shù)據(jù)欄顯示暫無(wú)數(shù)據(jù)。

事件軌跡格式為“源城市,目標(biāo)城市”；標(biāo)識(shí)點(diǎn)事件軌跡格式為“目標(biāo)IP所屬城市/

資產(chǎn)IP所屬城市”。

點(diǎn)擊列表數(shù)據(jù)鉆取彈窗顯示選擇時(shí)間范圍內(nèi)該條事件軌跡對(duì)應(yīng)的具體告警事件信息。

4.TOP10事件來(lái)源

列表顯示選擇時(shí)間范圍內(nèi)主地圖區(qū)域所選全國(guó)/某省市的TOP10事件來(lái)源、次數(shù)。無(wú)

告警則顯示標(biāo)題欄并在數(shù)據(jù)欄顯示暫無(wú)數(shù)據(jù)。

色圈標(biāo)識(shí)表示告警事件等級(jí)，紅色表示高、橙色表示中、黃色表示低。

點(diǎn)擊列表數(shù)據(jù)鉆取彈窗顯示選擇時(shí)間范圍內(nèi)該類(lèi)事件來(lái)源的具體告警事件信息°

5.TOP10目標(biāo)IP

列表顯示選擇時(shí)間范圍內(nèi)土地圖區(qū)域所選全國(guó)/某省市的TOP10目標(biāo)IP、次數(shù)。無(wú)告

警則顯示標(biāo)題欄并在數(shù)據(jù)欄顯示暫無(wú)數(shù)據(jù)。

目標(biāo)IP缺失時(shí)，使用資產(chǎn)IP對(duì)照目標(biāo)城市。

點(diǎn)擊列表數(shù)據(jù)則鉆取彈窗顯示選擇時(shí)間范圍內(nèi)該目標(biāo)IP/資產(chǎn)IP的具體告警事件信息。

6.4安全設(shè)備總覽

安全設(shè)備總覽是對(duì)防火墻、IPS和WAF原始日志的統(tǒng)計(jì)報(bào)表。報(bào)表默認(rèn)顯示實(shí)時(shí)模式,

點(diǎn)擊=按鈕可顯示時(shí)間控件,可根據(jù)需要選擇時(shí)間范圍將報(bào)表切換至非實(shí)時(shí)模式，查看歷

史統(tǒng)計(jì)報(bào)表。

。告警儀裊族>安全設(shè)備總優(yōu)