LogBase日志管理综合审计系统用户手册V6版_第1页
LogBase日志管理综合审计系统用户手册V6版_第2页
LogBase日志管理综合审计系统用户手册V6版_第3页
LogBase日志管理综合审计系统用户手册V6版_第4页
LogBase日志管理综合审计系统用户手册V6版_第5页
已阅读5页,还剩67页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、LogBase日志治理综合审计系统使用手册Lr iGBase日志专家杭州思福迪信息技术SAFET YBASE INFOTECH CO丄 TD2021.07LogBase日志治理综合审计系统 v3.6使用手册版权声明?版权所有2005-2021,杭州思福迪信息技术 本文中出现的任何文字表达、文档格式、插图、照片、方法、过 程等内容,除另有特别注明,版权均属杭州思福迪信息技术有限公 司所有,受到有关产权及版权法保护.任何个人、机构未经杭州思 福迪信息技术的书面授权许可,不得以任何方式复制或引 用本文件的任何片断.商标信息Safetybase Log Audit System、Logbase等是杭州

2、思福迪信息技术的商标.杭州思福迪信息技术第4页共62页版权声明1商标信息1目录2前言4文档范围 错误!未定义书签.获得帮助 错误!未定义书签.格式约定 错误!未定义书签.一、 根本信息 错 误!未定义书签.二、安装方法 52.1准备工作52.2接入网络5三、LOGBASE串口配置7四、系统治理174.1 登录 LOGBASE174.2系统用户174.3系统组194.4当前用户214.5日志权限224.6告警接口 254.7系统设置264.8设备治理28五、数据治理305.1数据备份305.2数据恢复305.3归档设置31六、对象治理3-6.1自定义日志336.2日志导入导出336.3探测器配置

3、34七、规贝U定义 407.1配置治理407.2导入导出43八、实时审计448.1监控总图448.2主机监控458.3系统监控478.4分类监控478.5最新告警日志488.6最新重要日志5C8.7最新原始日志518.8最新系统日志52九、综合审计549.1动态报表549.2静态报表55十、日志查询5610.1条件查询561C.2查询任务5710.3查询模版58刖言欢送使用杭州思福迪信息竭诚为您提供的新一代网络平安产品思福迪日志治理综合审计系统随着互联网的飞速开展,客户对网络系统中的平安设备和网络设备、应用系统和运行状况进行全面的监测、分析、评估是保证网络平安的重要手段.网络平安是动态的,对已

4、经建立的系统,如果没有实时的、集中的、可视化 审计,就不能有效/及时的评估系统究竟是不是平安的,并及时发现平安隐患,所以网络平安需要集中的审计系统.如果不能将在同一网络中多个相同或者 不同厂商的产品实现技术上互操作,实现集中的审计,就无法发挥有效的安 全性,就无法有效治理.平安审计系统就可以满足这些要求,对网络中的各 种设备和系统进行集中的、可视的综合审计,及时发现平安隐患,提升平安 系统成效.该产品是一款分布式,跨平台的网络日志治理审计系统,通过对网络设 备、效劳器、数据库、应用效劳等通用计算机软硬件系统以及各种特定业务 系统在运行过程中产生的日志、状态、操作等信息的采集,在实时分析的基 础

5、上,监测并发现各种异常事件,准确发出实时告警.审计系统同时提供对 存储的历史日志数据进行数据挖掘和关联分析,通过可视化的界面和报表向 治理人员提供准确、详尽的统计分析数据和异常分析报告,协助治理人员及 时发现平安漏洞,采取有效举措,提升整个计算机应用系统的平安等级.、安装方法2.1准备工作在安装LOGBASE之前,请翻开LOGBASE的随机配件盒,查看配件 清单,核对LOGBASE配件是否完整.除配件盒内物品外,还需要进行以下准备工作:IP地址请在网络中给 LOGBASE 预留1个治理IP地址. 临时计算机一一配置 LOGBASE需要一台临时治理用计算机,LOGBASE配置时可以通过串口连接;

6、超级终端软件能够连接串口的终端软件比方 Win dows的超级终端软件、Putty、SecureCRT 等;浏览器一一请确定计算机系统已安装IE浏览器建议使用IE7.0以上版本;2.2接入网络请将LOGBASE按如图2.1所示的拓扑结构方式接入网络,此图考虑的 是通常情况,在具体应用时,请根据自己网络的拓扑结构加以调整.网络探針SYSLOG 一SNNPTrap IOps«?cLed y协址型操賢本地环折I文fl里携¥卜箱賂监'川厂|图2.1 LOGBASE 的网络接入拓扑结构图接入网络时,请注意以下几点:使用网络直连线连接交换机和LOGBASE的LAN1 口.将LO

7、GBASE接入网络后请立即修改其网络配置,适应所在网络.LOGBASE的网络设置默认如表 2:表2 LOGBASE的工作网口默认设置IPMASK默认网关54三、LOGBASE串口配置F面以Windows自带的超级终端软件为例,详细介绍实际连接过程:1设置端口属性,如图3.1所示:图3.1超级终端连接端口设置窗口2点击【确定】后按回车键,出现提示符logi n:这时输入限制台管理员的用户名和密码默认菜单用户名:admin,默认密码:safetybase ,如图3.2所示:t-ce-, ice login:L匸 1己£

8、包二业 UL1 L . ICE :jr L :L-JL*1. _ I -.-Ly l-:_- -J - : -ll I f円i拓阳时d: 3.2配置菜单用户登录登录成功后,如图 3.3所示:+Mvir (2I11-I1-2#|JL勺亡匕皆¥3匸0加捱口竈上加辽匕亡忙12iSet svatea default aateway13.Set Device SerialI 4b ?et Device ConsolP Adaiin Pas sun rdI S. Set D*vic Consolp Sh11 Psreoird |E $«t Vat Jiduixi PassvQid17.

9、 Jet Log Server 1 Par(meCci:I E>Log Servec 2 Par血鶴匸ei:10.Exit_ 一 -一 “一 L 一 一r f |II set systjem netuoiE paraxe'Cer| |III Iii9il十1弓=已=一二三二三|+-43.3登录成功显示配置菜单(3) 成功登录后,可以看到配置菜单如图3.3所示:1、 Set system network parameter: 配置相关网卡参数;2、Set system default gateway :配置默认网关参数;3、Set Device Serial :配置设备串口号;4、

10、 Set Device Con sole Admin Password设置串口菜单治理密码;5、 Set Device Con sole Shell Password设置串口命令行治理密码;6、Set Web Admin Password ;设置 Web 治理员密码;7、 Set Log Server 1 Parameter;设置日志效劳器 1参数;8、 Set Log Server 2 Parameter;设置日志效劳器 2参数;0、Exit :退出配置菜单;4选择【1】,回车;如图3.4所示:+S超t system network paraietersystei netwock 1 sys

11、csik nsuiroLK zId.Set systea network 3 p丑匚one匸号匸I e.Set 3Ystei. netwotk 4 patametexI f日丫日£启netwock5- p匸血名匸匕英Ig.Set systex network & parameter|hB5et sYStei netock 7 paEaaetesliSet ysr.ei netEroick S paramet-prI O-Exit to previous MenuI+I| Set sysit已in network 0 pz匚auseter+*图3.4网络接口配置列表选择相应网卡

12、如 a,配置网络参数,如图 3.5所示:矗t 亡thO it启 liimk paraneterI 2.Device NetMaLsk: 255.255.25£ 01 3.Save arid Active Ketvark Setlngi1 O.EX丄二 LU p£KVlU=Utl llielll+I Device IP Address: 84图3.5网卡参数配置5选择【Device IP Address】,回车;配置【1-2】项输入为LOGBASE 系统预留的治理IP地址、子网掩码,选择【3】保持配置即可;选择【0】返 回上级菜单;6在上级菜单中如图3.

13、4 ,选择【b】、【c-i】配置ETH1、ETH2ETH8 的网络参数,配置内容同 ETH0 :选择3保持配置即可;选择0返回 上级菜单;第38页共62页Deri.ce|丄名亡t 訂赳n. n亡twDEk 73m巴二亡fI 2. set J 3. 3&t I J.Ser !(5.S»r 1匚初t i (7.Eet W伍tI a. Exitsyatem DtTricF Dmri cp D#vi亡泄 时 Log LogdefaultSerialrnn?nlCmjt-i 1 *Jlduin PiSiwmiSeEVQt L PQECUlQtQCSarvct 2 PocgeSErI S

14、et s/sleb newouK paianeterni-M图3.6串口配置主菜单(7)串口配置主菜单中选择【2】,Set System default gateway :设置设备默认网关地址;回车;如图 3.7所示:卜Set system default gatetny+D电fjTLtlt G见上耶舗丄92££ !2刊丨2*$且中弋 and Active default Gsteway Set-ingIOExic to previous menu1IIIIJ Default Gateway: 192,168-1,254I II IOi图3.7设备网关配置界面(8)串口配置

15、主菜单中选择【3】,Set Device Serial :配置设备串口号;回车;如图3.8所示:+Device Serial Check |丄0匸匕 ui-Lgi"旦丄 日匕匸丄匕: 止典血】|亡丄|12.Input check serial nmberIO,Exlt to previsus menud )I Get origiral serial nuibet:III(IIIIIItIIi图3.8设备串口号配置界面(9)选择【Get original serial number】,回车;即可获取该设备的串口序 列号信息,将该序列号发送给生产厂家,申请相应的激活号,然后选择【In p

16、ut check serial number】,输入激活号完成设备注册,重启设备.设备序列号注册工作,通常在设备出厂时已经完成.因此,在设备 安装时不需要用户自行配置此项.(10 )串口配置主菜单中选择【Set Device Con sole Admin Password 】设 置串口菜单治理密码;如图 3.9所示:+Derice <2A11-01-2 0>I L .mymB血 network pazo&t&tI 2. See ayjtMtt de fault gateva*I 3. Set Device %上丄口J.4- 3eC Device Cuiiault A

17、dM丄取 lassuuid15*sec 16. Set; i17. Set I (B. Set I10.ExitAdiin Password Secver 1 Pa+-' Secvei 2 Pal +Dtvice conso丄已 出出丄丄 tassvotdVeb仙nt=-rrL-pl>-H+SWEd-+l1时图3.9串口菜单登录密码配置(11 )首先输入旧的密码,并连续两次输入新的密码,完成串口菜单登录 密码的修改.为了确认设备平安,请用户及时更新串口登录密码.(12 )串口配置主菜单中选择【 Set Device Con sole Shell Password 】设 置串口命令

18、行模式治理密码;如图 3.10所示:SyEtem system Dice DeviceI15tWOEK default Serial C iliso 丄©Device X!OL± 01 2D>paraneteEatefUaYlebim PasswotdBi Set Device Cdim ole Shll PaaswordAduui FasswortlServsr 1 PnSeiver 2 Pai +IiQkut OLD+ IIDk ><Cancel>+SWCEd图3.10串口命令行模式登录密码配置(13 )首先输入旧的密码,并连续两次输入新的密码,

19、完成串口命令行模式登录密码的修改.为了确认设备平安,请用户及时更新串口命令行模式登录密码.(14 )串口配置主菜单中选择【 Set Web Admin Password】初始化 WEB 治理界面登录密码;如图3.11所示:sys ten Device Device DevictIlcLWULk ief auJt Sezlal Ccnrole CouiUle OcviCB <2021 put tuieLti- gateuayAd&in raanuord stieii Pt338Huid6.Ueb Admin Fas§¥ord17.Set Lou Stfrer 1

20、 Pa+ Tio>iit WFW dmmwtitiI|8. Set Lo$r $电2 Pl| 4- lO.ElCI l|-+ II卄47 I+Ok图3.11初始化WEB治理密码Web密码在用户忘记 Web治理界面登录密码后,可通过该选项对进行初始化配置.15 串口配置主菜单中选择【 Set Log Server 1 Parameter】,回车;配置日志效劳器参数. 选择发送方法、输入效劳器IP并保存配置.如图3.12 所示:十_1+Device (2B11-BI1-20J - - iet log servejl * parameterI I 2-Legserver IP JlddE色Mt

21、 I I S-Sa.vc ard ActiAfe L3g3CE.7et Se ttingI | DElL Cl- piieVltiUS ntiiuII 4 1II-|j | Scud L匚q Me tliod; SIASII -H I I I 111图3.12日志效劳器配置界面系统提供两种日志发送方法LOGBASE : LOGBASE专用日志格式、 SYSLOG :标准SYSLOG协议日志格式将日志发送到其它的日志效劳器; 系统同时支持两个日志效劳器的配置.四、系统治理4.1 登录 LOGBASE翻开IE浏览器,输入LOGBAS地址,如,以LOGBAS治理员角色登录, 默认用

22、户名:admin ;密码:safetybase;如图4.1所示,点击【登录系统】:图4.1登录界面请及时修改系统默认密码.密码连续输入错误三次,登录页面会自动关闭;登录成功后10分钟未进行任何操作,系统会超时退出;4.2系统用户选择导航条上【系统治理】一 【系统用户】;查看当前系统用户列表,并可执行【添加】或【删除】系统用户操作:如图4.2所示图4.2系统用户点击【添加】,产生一个新的系统用户:输入新用户的根本信息、赋予功 能权限和隶属组;如图 4.3所示系统治理员可根据用户的岗位职权来分配相应用户帐号的功能权限,保证LOGBASE审计系统的平安及用户网络信息的平安.用户添参加用户组 后,此用

23、户将自动继承用户组的所有日志权限;Leg BomJT 叫UH图4.3添加系统用户图4.4配置用户功能权限/密码长度建议 8位以上的字母、数字、大小写、特殊字符;对功能权 限设置应该标准,系统用户与治理员用户的权限设置必须权限清楚.以预防 越权行为;4.3系统组选择导航条上【系统治理】一 【用户组】;可查看并添加/删除用户组;如图4.5所示:ItaMln口产图4.5系统用户组Nh二y.Ft-±Lu AjMi*添加系统用户组只需添加组名及组描述,组名具有唯一性;对系统用 户组的权限治理请见后节【组日志权限治理】中的介绍;选择导航条上【系统治理】一 【主机组】;可查看并添加/删除主机组;如

24、图4.6所示:图4.6主机组列表在主机组列表页面上, 点击【添加】,新增主机组名,并勾选主机至主机组,如图4.7所示:W4| SW0*呂存IfJL 4r 口rm3-Will图4.7:添加主机组用户在主机组列表中,可以批量导入主机及主机组信息.点击【主机配置】可以新增主机信息.【主机配置】内容同【实时审计】一【监控总图】一 【主机监控】里的【主机配置】一致;4.4当前用户选择导航条上【系统治理】一 【当前用户】、【修改密码】;针对当前用 户的根本内容及密码进行修改等;如图4.8所示:图4.8修改本用户信息图4.9:修改用户密码点击【恢复】,可放弃修改内容,恢复原用户信息;拥有【系统用户】 功能权

25、限的帐号可以在【系统用户】列表中修改其它所有用户的详细信息、 功能权限、隶属组、密码等信息.0初始化时,应该立即修改审计系统默认系统配置,以平安的保证系统 治理员的唯一性;以上操作适用与当前登录的所有用户;A平安性考虑密码长度建议 8位以上的字母、数字、大小写、特殊字符;A系统用户必须从治理制度上保证;以保证系统的平安性;4.5日志权限选择导航条上【系统治理】一 【日志权限】;可分别针对用户或用户组 进行日志治理权限的配置,如图4.10所示:图4.10用户日志权限治理此系统用户列表只显示未参加【系统用户组】的系统用户,已添参加 【系统用户组】的系统用户的日志权限不能独立治理,只能继承所属组的日

26、 志权限.详情请参见下节【组权限】;系统用户移出用户组后,将恢复默认日 志权限.假设直接删除用户组,组中的用户仍保持原有的日志权限,直到该用 户参加其它用户组,继承新的日志权限;点击【修改】,操作所选定帐号的日志权限治理,如图4.11所示:I Luy-Etnw卜一如么JIUCJ- X-IstiMriM*y <b vum*ftQDbllrnurriaipV "ipr0rrrJ+¥bMC士jf+平rnqkfligp厂nrSarnicr寸"FFarff*BFrpe|rornir图4.11修改用户日志权限针对所有日志类型, 都可选择【全部允许】、【全部限制】及【局部

27、允许】, 假设选择【全部允许】、【全部限制】相应【操作】功能为灰色不可用.【全部允许】指此用户可以操作此类日志的所有功能实时、综合、查 询;【全部限制】指此用户将看不到此类日志的任何信息、更无法审计;【局部允许】指根据条件来限制此用户可操作某些发生地址IP的此类日 志;假设选择【局部允许】,点击相应【操作】,如图4.12所示:sir图4.12设置【局部允许】权限勾选【允许局部IP】,可以选择输入单个IP或IP段;保存设置后,此用户将只能操作这段 IP内的此类日志内容;勾选【限制局部IP】同理推之;选择导航条上【日志权限】一【组权限】如图4.13所示:图4.13组权限治理组日志权限治理操作同用户

28、日志权限治理操作,【组权限】中的权限设置,组内的所有用户会完全继承该组的日志权限.系统用户移出用户组后, 将恢复默认日志权限.假设直接删除用户组,组中的用户仍保持原有组的日志 权限,直到该用户参加其它用户组,继承新的日志权限;点击相关组的【修改】操作,执行组日志权限治理.如图4.14所示:图4.14修改组日志权限组日志权限治理操作方法同用户日志权限治理,详细操作方法请参见上 节【用户日志权限治理】操作说明;4.6告警接口选择导航条上【系统治理】一【告警接口】,如图4.15所示:图4.15告警接口图2SNMP告警接口LOGBASE默认提供三种告警接口:口警、SNMP 告警、SYSLOG4 luc

29、k«图1邮件告警接口P事皿+| |告警;配置成功后,系统会自动将用户自定义的告警日志信息通过邮件或其 它两种方式发送给用户.有关告警日志配置的内容,请参见【规那么定义】章 节;4.7系统设置选择导航条上 【系统治理】一【系统设置】,配置治理【日志显示】、【超 时设置】、【配置治理】、【认证方式】等内容.选择【日志显示】,如图4.16所示:LogELau二 taveh 041 厂i ew«NW«tM41«rti'<1K C ftu3I-.K-XL1.*MEB.rrtesalTf当畤tiwa 14tnASTTdf:*BTe1#HWTKCn-fA

30、口*JBK»>KS*rtEIHMdqAairaBO11图4.16日志显示列治理治理员可在此选择设置所有日志类型的日志字段显示,在此勾选的字 段会在【实时审计】 栏的日志列表中呈现出来.当作一种类型的日志查询时,字段同此处设置的一致,但做多种类型日志的多重查询时,显示出的日志列 表将取不同类型日志的相同的字段.选择您需要修改显示列的日志类型,点击【设置】日志字段显示,如图4.17所示:匚M日專KWiq总編腳rrJI KuFW-MU*rrrWJ«KMwitUJIJLryJI»fUpIMP呂电r曹<8rA tiHtraiMfi.rrr厂图4.17 :设置日志

31、显示列治理员可在此勾选日志的显示字段,点击确定后,将在【实时审计】 【最新日志】中更改日志的显示字段为治理员勾选的字段.选择【超时设置】,如图4.18所示:图4.18:页面超时设置选择【配置治理】,如图4.19所示:图4.19系统配置治理在超时时间设置中输入等待时间即可.如果在设定时间内治理页面没 有任何动作,系统将超时退出,返回登录页面.配置文件导入到 LOGBASE上.选择【认证方式】,如图4.20所示:图4.20系统认证方式Radius认证两种方式.默认选择是本地认证方式,如果需要第三方 Radius效劳器认证,如图 4.21所示:图4.21Radius认证配置4.8设备治理选择导航条上

32、【系统治理】一【设备治理】,如图4.22所示:* awi图4.22启停设备用户可以在页面上重启设备或者关闭设备.选择导航条上【系统治理】一 【时间同步】,如图4.23所示:il血物从L «ni-*l-<9 llLKftjttWl-W-W IIfIMPH*4e»rmfl-n.i-a-4L图4.23配置系统时间同步%可以通过此功能与外部时间效劳器进行同步,点击【立即同步】立即与时间同步效劳器同步点击【同步配置】,可配置同步时间效劳器,如图 4.24所示:图4.24时间效劳器配置填写时间同步效劳器IP地址,设置同步间隔时间,点击确定保存配置.五、数据治理5.1数据备份选择导

33、航条上【数据治理】一 【数据备份】一 【日志备份】,如图5.1 所示: Ah* »« 科9輛 P'KiB Tt*-M4"Hi治理员可自主选择日志类型、时间范围来备份日志数据,并可以选择 备份、备份并删除或直接删除日志数据.故使用此项功能权限的治理员需谨 慎.备份任务完成后可下载,或者选择删除这个备份任务.日志备份功能是备份文本形式的日志,文件备份功能是备份动态显示操作 的回放文件.I町yMIF H 3«| miimhh*"! d |i| wfl a t# 严營i -mm r ap3 3HimESM叶如JF*+*Mt-fFlW图5.1日志

34、备份5.2数据恢复选择导航条上【数据治理】一 【数据恢复】一 【日志恢复】,如图5.2 所示:图5.2日志恢复LOGBASE审计系统中;文件恢复是将【文件备份】的文件重新加载到LOGBASE审计系统中.5.3归档设置选择导航条上【数据治理】一【归档设置】一 【归档策略】,如图5.3所示:. J » HflU111*4.申图5.3数据归档配置归档策略功能是当磁盘存储空间到达触发条件后,自动处理日志文件.可选择的处理方式为:自动丢弃、本地保存、FTP上传、SFTP上传.触发条件在【磁盘配额】 中设置.假设不设置,默认为当磁盘存储空间到达 100% 时出发归档机制.不设置归档策略,默认策略

35、为自动丢弃.旦磁盘存储空间到达100%之后,将会自动覆盖时间最早的日志.MMlii选择左侧导航栏上的【磁盘配额】如图 5.4所示:1 4!H*|i:* «P|H«MT第39页共62页%用选择左侧导航栏上的【存储周期】如图 5.5所示:图5.4磁盘配额户可以通过磁盘配额设置每种协议日志的磁盘存储空间.存储周期也是自动归档的周期.如设定存储周期为100天,那么100 天前的数据就会被归档,以选定的归档方式进行处理.用户可以选择是否清 除已经归档的在线数据.六、对象治理6.1自定义日志选择导航条上【对象治理】一【自定义日志】一 【日志列表】,如图6.1所示:图6.1自定义日志效劳

36、治理第70页共62页添加、删除自定义效劳类型;点击相应序号,可查看相关已有自定 义效劳的配置;自定义日志的添加接口并没有在治理页面上,如有需要,请 联系厂商售后工程师.6.2日志导入导出选择导航条上【对象治理】一 【自定义日志】一 【日志导出】,如图6.2所示:图6.2导出自定义日志配置治理员可勾选需要导出的自定义效劳类型,并导出保存在PC中.点击【日志导入】,可以选择需要导入的自定义日志的文件,并可以选择是否要覆盖主机中相同ID的效劳配置,如图 6.3所示:图6.3导入自定义日志配置6.3探测器配置选择导航条上【对象治理】一【探测器配置】一 【DEFAULT】;可看到探测器列表及模块列表,修

37、改或删除已有探测器、添加新的探测器及相应 的模块.如图6.4所示:当您需要安装软件探测器来采集日志时,必须先配置好相应探测器和模块;点击【添加】新探测器,如图6.5所示:rigQ N-IWO图6.5添加探测器LOGBASE探测器包括硬件探测器和软件探测器两类;每个探测器需配置唯一的编号ID.安装的各类探测器需与探测器配置ID、密码保持一致才能保证连接;CPU、 MEM项表示探测器的性能到达某个阀值,系统会自动产生告警日志信息;优先级项表示该探测器的优先级别;.flrriraH-1巳丁 CH r 冃flrJWdltcrrrr配置完成新的探测器后,继续配置相应模块;如图 6.6所示:图6.6添加探

38、测器模块请选择这个探测器所要采集的日志类型;一个探测器中可以添加多个模块,同一种模块类型只能添加一个.如何采集字段信息可在【自定义效劳 治理】中配置;请正确输入采集的日志的绝对路径,否那么日志信息将无法成功被此探测器采集;采集时间间隔默认为5秒;假设停用此模块,相应日志将不再采集,探测器仍有效;选择导航条上【对象治理】一 【探测器配置】一 【Syslog自定义】,将 配置的自定义日志类型使用SYSLOG协议采集.如图6.7所示:HlJM-fftaf图6.7SYSLOG自定义采集日志选择导航条上【对象治理】一 【探测器配置】一 【Syslog预定义】,将 使用预定义SY SLOG日志分割手法采集

39、网络设备的日志.如图6.8所示:厂L114如Mv-EW “ 1图6.8: syslog预定义采集冬0系统新增了主流平安及网络设备的 syslog日志预定义功能,该功能把 这些日志类型定义预置在设备中;目前支持的日志类型有:TOPSEC日志、ARRAY日志、IPS日志、CISCO2821日志、JUNIPER日志、思科FWSM日 志、SSL日志、安氏FW日志等.选择导航条上【对象治理】一 【探测器配置】一 【流量探测器】,对流 量型探测器的规那么进行配置治理.如图6.9所示:LDgOiiH图6.9 :流量型探测器配置'规那么加载:选择停用或启用,这里的规那么指的是这个页面的相关配置 规那么

40、;选择启用后相对应的规那么生效;否那么探测器不能工作;SYSLOG操作分割: 该功能只有当开启 send log server parameter参数为 syslog方式时才有意义;LogBase探测器目前支持两种方式往主机发送日志 分别是slas和syslog;启用该功能后,当发送信息过长时可以自动进行分割 成几条日志进行发送;规那么阻断:启用该功能需要在网口参数中设置网卡标识,如eth1 ;启用该功能后设备会往该网卡发送reset包以到达中断当前连接的目的;特定效劳器:该功能一般用作存在中间件时的数据库操作;在此场景下,数据库操作连接处于长连接状态,即用户登录后并不退出;需要在此处填写 数

41、据库效劳器地址,假设有多个数据库效劳器地址那么用回车分开;模块加载:该功能指定探测器采集的协议,以及协议对应的端口号,选 择启用或停用来启用或停用对应协议的日志采集功能;假设存在多个端口那么用 逗号分开;如图6.10所示:图6.10探测器采集模块加载 协议配置:TELNET配置:该功能指定登录提示符,常用的提示符信息已经预置在该配置中;当遇到特殊提示符,且不在配置列表中时,需要在这里手工将提 示符信息添加到末行默认配置不要更改,注意这里的配置对空格,制表符 敏感HTTP配置:用以配置协议相关参数用来标识网页邮件和网页附件日志, 一般就用默认设置,不需要更改UDP配置:这里输入IP地址列表,以回

42、车分隔;用以统计镜像口中 UDP 目标地址udp flow信息;如图6.11所示:ILxxi ETL-hlflLLP ElltH!1U11Kfpni f IWi -Vi ffiw WrHlnrrfiJ tEiuddi 恂tg 14 fu£2 由上Ike图6.11协议配置七、规那么定义7.1配置治理选择导航条上【实时规那么】一【配置治理】,如图7.1所示:* K-|N fi il冃 a*-t»* Lfl耳轉 Tif S图7.1实时分析规那么用户可在此增加、删除、修改实时分析规那么;规那么定义通过多重条件匹配,根据用户关注点对海量日志进行筛选、定 义、告警或者丢弃;规那么定义可

43、将采集到的日志类型分成原始、重要、告警、丢弃四类;实时分析规那么可包含两层规那么定义,第一层规那么下可添加子类规那么;点击【规那么编号】可查看、修改现有规那么条件;点击【增加新规那么】,如图7.2所示:Ut - >nd k1 r | - 4 j ; rtlr 耳甲 c电豐:2 “ “瘠帀 t Vl"方* r |t4ii »h t titA-i «!- h*f*is"fl*|-r MW.f <fcih1 p f v d=1*卜工Tr亠 iLM-W切 HisK W44| fiAltfl图7.2增加新规那么增加新规那么:、名称 、描述 信息;规那么

44、编号输入易识别的规那么条件可选择所有效劳列表并相应的效劳字段来定义;通过勾选 增加条件 可添加无穷层级规那么条件匹配;新规那么定义应优先定义大类规那么,如:数据库类、SYSLOG类、网络行为类、系统日志类等;然后在此大类下增加子类规那么进行细分;告警日志规那么定义:设置规那么条件:需要注意逻辑关系以及运算顺序括号的操作,以假设此规那么定义为产生告警,那么需输入告警消息、选择告警等级、事件分 类、攻击手段、告警接受组已添加系统用户组以及短信和邮件告警已 配置好告警接口;保证规那么正常的被使用;丢弃规那么拥有最高优先级;子类规那么应该是对上层 规那么的细化,脱离了上层规那么是无效的;A 规那么设置

45、需要注意:规那么以树型结构设计;对后续规那么的设定要仔细:如日志不符合当前规那么定义,此规那么是否跳 转或结束,跳转会继续匹配到下一条规那么定义;定义不当会引起日志是否正 确的被反响在实时审计中;严重情况会出现定义的敏感日志信息没有产生告 警,破坏系统的实时性与功能性;选择要增加子类规那么的项,点击【子类列表】,查看,修改、增加此规那么下的子类规那么;如图 7.3所示:7.2导入导出选择导航条上【实时规那么】一 【导入导出】选项,如图 7.4所示:图7.4实时规那么治理并可以导出系统实时规那么进行备份;八、实时审计8.1监控总图选择导航条上【实时审计】一 【监控总图】一 【应用监控】,如图8.

46、1 所示:图8.1实时监测主机列表点击【面板设置】一 【编辑面板】,可选择界面中显示的数据内容,如图8.2所示:,rW«rMS"9卞迟吕碍益jSu4 卜aztflHfi*k 勺MMWebMMa存 flllBfeHr*mQQ图8.2编辑面板 点击【添加】,如图8.3所示:-F 氏 5.E图8.3添加面板选择插件类型,即选择面板显示的信息内容,包括日志接受类型实施 时监控、日志接收明细实时监控等数种插件.可选择使用饼状图或柱状图显 示日志接受类型实施监控.日志接收明细实时监控采用表格形式,可对某一 特定IP实行监控.时间分布图采用曲线形式.8.2主机监控选择导航条上【实时审计】

47、一 【监控总图】一 【主机监控】,如图8.4 所示:11Luu. . q丨 “ 丁pLU图8.4实时监测主机列表上局部:应用主机日志状态;显示了【主机配置】中添加的主机实时日 志流量状态,点击【主机配置】如图8.5:图8.5主机添加中局部:当天流量 T0P5列表;显示了当天流量最高的 5个网络设备的 状态;下局部:当前一分钟流量 T0P5列表;显示了前一分钟内流量最高的5个网络设备的状态;8.3系统监控选择导航条上【监控总图】一 【系统信息】,如图8.6所示:图8.6系统信息'系统信息显示了LOGBASE当前的CPU、内存和硬盘的使用情况,包括已登录用户的操作记录.8.4分类监控选择导

48、航条上【实时审计】一 【分类监控】,如图8.7所示:图8.7分类监控0点击左边的日志类型,可单独查看该日志类型的最新日志,点击柱状图,可以查看相关日志明细列表.8.5最新告警日志选择导航条上【实时审计】一【最新日志】一 【最新告警日志】,如图8.8所示: wIIJ!«UntHv图8.8最新告警信息最新告警信息:实时动态显示最新通过【规那么定义】过滤,定义为告 警信息的日志列表;点击列表中任一条日志,可查看此日志的详细内容;如图8.9所示:图8.9最新告警信息详细内容点击【上一条】,显示上一条的详细内容,点击【下一条】,显示下一条的详细内容.8.6最新重要日志选择导航条上【实时审计】一 【最新日志信息】一 【最新重要日志】,如图8.10所示:reilB图8.10最新重要日志最新重要日志:实时动态显示最新通过【规那么定义】过滤,定义为重 要日志的日志列表;点击列表中任一条日志,可查看此日志的详细内容;如图8.11所示:feBHACZ:图8.11最新重要日志详细内容,显示下一条【最新原始日志】点击【上一条】,显示上一条的详细内容,点击【下一条】 的详细内容.8.7最新原始日志图8.12最新原始日志最新原始日志:实时动态显示最新通过【规那么定义】到的所有原始日志列表;点击列表中任一条日志,可查看此日志的详细内

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论