LogBase日志管理综合审计系统用户手册V3.6版

1、LogBase日志管理综合审计系统使用手册LriGBasez日志专家杭州思福迪信息技术有限公司SAFET YBASE INFOTECH CO丄 TD2011.07E'LogBase日志管理综合审计系统v3.6使用手册版权声明?版权所有2005-2011，杭州思福迪信息技术有限公司 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过 程等内容，除另有特别注明，版权均属杭州思福迪信息技术有限公 司所有，受到有关产权及版权法保护。任何个人、机构未经杭州思 福迪信息技术有限公司的书面授权许可，不得以任何方式复制或引 用本文件的任何片断。商标信息Safetybase Log Audit S

2、ystem、Logbase等是杭州思福迪信息技术有限公司的商标。杭州思福迪信息技术有限公司第1页共62页LogBase日志管理综合审计系统 v3.6使用手册目录版权声明1商标信息1目录2前言4文档范围 错误！未定义书签。获得帮助 错误！未定义书签。格式约定 错误！未定义书签。一、基本信息 错误！未定义书签。二、安装方法 52.1准备工作52.2接入网络5三、LOGBASE串口配置7四、系统管理174.1 登录 LOGBASE174.2系统用户174.3系统组194.4当前用户214.5日志权限224.6告警接口 254.7系统设置264.8设备管理28五、数据管理305.1数据备份305.2数

3、据恢复305.3归档设置31六、对象管理3-6.1自定义日志 336.2日志导入导出336.3探测器配置34七、规贝U定义 407.1配置管理407.2导入导出43八、实时审计448.1监控总图448.2主机监控458.3系统监控478.4分类监控478.5最新告警日志488.6最新重要日志5C8.7最新原始日志518.8最新系统日志52九、综合审计549.1动态报表549.2静态报表55十、日志查询5610.1条件查询561C.2查询任务5710.3查询模版58杭州思福迪信息技术有限公司第4页共62页刖言欢迎使用杭州思福迪信息有限公司竭诚为您提供的新一代网络安全产品思福迪日志管理综合审计系统

4、随着互联网的飞速发展，客户对网络系统中的安全设备和网络设备、应用系统和运行状况进行全面的监测、分析、评估是保障网络安全的重要手段。网络安全是动态的，对已经建立的系统，如果没有实时的、集中的、可视化 审计，就不能有效/及时的评估系统究竟是不是安全的，并及时发现安全隐患,所以网络安全需要集中的审计系统。如果不能将在同一网络中多个相同或者 不同厂商的产品实现技术上互操作，实现集中的审计，就无法发挥有效的安 全性，就无法有效管理。安全审计系统就可以满足这些要求，对网络中的各 种设备和系统进行集中的、可视的综合审计，及时发现安全隐患，提高安全 系统成效。该产品是一款分布式，跨平台的网络日志管理审计系统，

5、通过对网络设 备、服务器、数据库、应用服务等通用计算机软硬件系统以及各种特定业务 系统在运行过程中产生的日志、状态、操作等信息的采集，在实时分析的基 础上，监测并发现各种异常事件，准确发出实时告警。审计系统同时提供对 存储的历史日志数据进行数据挖掘和关联分析，通过可视化的界面和报表向 管理人员提供准确、详尽的统计分析数据和异常分析报告，协助管理人员及 时发现安全漏洞，采取有效措施，提高整个计算机应用系统的安全等级。、安装方法2.1准备工作在安装LOGBASE之前，请打开LOGBASE的随机配件盒，查看配件 清单，核对LOGBASE配件是否完整。除配件盒内物品外，还需要进行以下准备工作：IP地址

6、请在网络中给 LOGBASE 预留1个管理IP地址。 临时计算机一一配置 LOGBASE需要一台临时管理用计算机，LOGBASE配置时可以通过串口连接；超级终端软件能够连接串口的终端软件（比如 Win dows的超级终端软件、Putty、SecureCRT 等）；浏览器一一请确定计算机系统已安装IE浏览器（建议使用IE7.0以上版本）；22接入网络请将LOGBASE按如图2.1所示的拓扑结构方式接入网络，此图考虑的 是通常情况，在具体应用时，请根据自己网络的拓扑结构加以调整。网络探針审计貝LOGBASE_t 机SYSLOGSNNPTrap< Opsec Lea丿.：卜协议型探铀图2.1

7、LOGBASE 的网络接入拓扑结构图接入网络时，请注意以下几点：使用网络直连线连接交换机和LOGBASE的LAN1 口。将LOGBASE接入网络后请立即修改其网络配置，适应所在网络。LOGBASE的网络设置默认如表 2:表2 LOGBASE的工作网口默认设置IPMASK默认网关54三、LOGBASE串口配置F面以Windows自带的超级终端软件为例，详细介绍实际连接过程:（1）设置端口属性，如图3.1所示:图3.1超级终端连接端口设置窗口（2）点击【确定】后按回车键，出现提示符logi n:这时输入控制台管理员的用户名和密码

8、（默认菜单用户名：admin，默认密码：safetybase ），如图3.2所示：ad伯rLogBase-Audn-De'.-1ce login： LogBaje-Aud1t-Device login： -Audit-Dev1ce login;Password:3.2配置菜单用户登录登录成功后，如图 3.3所示:+：-。曲匚亡（2Qll-01-2Bi-+|丄$亡£眄日匸已：111 nEWoizk par am亡匕亡gI 2. Sec 邺却te血defaulc 口包匸e切岂y13,Sec Device StKiaiI 4.Set Device Conso丄亡 Admin Pas

9、BordI 5.Set Device Consale Shell PasswordI 6.Set Web Adnin PasswordI7t Set Lo$ SetVez 1 Parauetez18.$ec Log Setver Z P4£am4t.eE| OrEKitr_ip IIS«c system n±tuark pazamtitet|IIII IIIHlI+1+3.3登录成功显示配置菜单(3) 成功登录后，可以看到配置菜单如图3.3所示：1、 Set system network parameter: 配置相关网卡参数;2、Set system defau

10、lt gateway :配置默认网关参数；3、Set Device Serial :配置设备串口号；4、 Set Device Con sole Admin Password设置串口菜单管理密码；5、 Set Device Con sole Shell Password设置串口命令行管理密码;6、Set Web Admin Password ;设置 Web 管理员密码；7、 Set Log Server 1 Parameter;设置日志服务器 1参数；8、 Set Log Server 2 Parameter;设置日志服务器 2参数；0、Exit :退出配置菜单;(4) 选择【1】，回车；如图

11、3.4所示:+吕号ysteiTi netTOrk parameterIbSet I c.SetId. Set |e*Set IfSet | g Set Ih.Set |i.Setsystem system system system system system system systeELnettJOtk network network network network network network netwrk1 paiajaetei：2 paramet.已工3 parmnetsr4 paianeter5 parmieter6 parajaeter7 paweter8 parajaeteiI

12、CLExit to previous menuIS-et system netwek 0 pacanetet:+图3.4网络接口配置列表选择相应网卡(如 a)，配置网络参数，如图3.5所示:第10页共62页+ 血七 吕tho neEwk parameter -+1.Device IP Addxtss: 192.166.1,16I 2.Device NetMask: 255.255.255.CI 3.Save and Active Network SettingIO»Exit to ptevious menuHHI Device IP Addressi 192,166.1.184I I

13、图3.5网卡参数配置（5）选择【Device IP Address】，回车；配置【1-2】项输入为LOGBASE 系统预留的管理IP地址、子网掩码，选择【3】保持配置即可；选择【0】返 回上级菜单；（6）在上级菜单中（如图3.4 ），选择【b】、【c-i】配置ETH1、ETH2ETH8 的网络参数，配置内容同 ETH0 :选择3保持配置即可；选择0返回 上级菜单；第11页共62页+I軒fcl翩就却卅虽臥隣蜩嗣恒也*Device (2011-01-28)I 2.Set3. SetI 4. SetI 5.Set 16.SetI 7.Set18.setsystemDeviceDeviceDevice

14、WebL口gLogdefaultSerialConsoleConsolegatewayAilniin PasswordShell PasswordAdmin PasswordServer 1 Patajuegi:s&Evec 2 ParamotstI O.Exit+I Set systeia netwoEk paEameteKDi+i图3.6串口配置主菜单3.7所示:(7) 串口配置主菜单中选择【2】，Set System default gateway :设置设备默认网关地址；回车；如图Set system： default grateTjayI 2.Save and Active

15、Default GateVay SettingIO.Exit to prEvioua menuIbefault Gateway: 54Di+图3.7设备网关配置界面(8) 串口配置主菜单中选择【3】，Set Device Serial :配置设备串口号；回车；如图3.8所示：+一“ Device Serial Check一一+l.Get original seKial nuoibedI 2. Input check serial ntuubeLIO.Exit to previous menuTHI Get ocigLn&l secial ntuabtrI IIIi

16、 III111IT H+图3.8设备串口号配置界面(9) 选择【Get original serial number】，回车；即可获取该设备的串口序 列号信息，将该序列号发送给生产厂家，申请相应的激活号码，然后选择【In put check serial number】，输入激活号码完成设备注册，重启设备。%设备序列号注册工作，通常在设备出厂时已经完成。因此，在设备 安装时不需要用户自行配置此项。(10 )串口配置主菜单中选择【Set Device Con sole Admin Password 】设 置串口菜单管理密码；如图 3.9所示:+Dence (2011-01-28)I lb Set

17、 system network parameter12.Set jystea default gateway| 4 Set Device Console Ailniin Pa3SBorcI5.Set Device Console Shell Password I 6.Set WebI 7 Set LO*IB,LogIO.EklcAdmin PasswordSezvet 1 PadServer 2 P«l + t III十 专-i-+ I十1-+Ok ><Can.cel>+ 1-+第14页共62页第#页共62页图3.9串口菜单登录密码配置(11 )首先输入旧的密码，并

18、连续两次输入新的密码，完成串口菜单登录密码的修改。为了确认设备安全，请用户及时更新串口登录密码。第#页共62页第#页共62页】设置串口命令行模式管理密码；如图3.10所示:(12 )串口配置主菜单中选择【 Set Device Con sole Shell Password第#页共62页+Il.Set system networkI 2 Set systeia defaultI 3. Set. Device Serial 丨4+名电匸D色电匚口丄色Device (2011-01-28) pacametecgateuay-+5. Set Device Console Shell Password

19、lI 6.Set WebI 7*Set LogIB.Set LogI O.ExitAdmin PasswordServet 1 Pa+-Server 2 Pal +-Iiut OLDI + I<Caiicel>+-4-sword图3.10串口命令行模式登录密码配置(13 )首先输入旧的密码，并连续两次输入新的密码，完成串口命令行模式登录密码的修改。为了确认设备安全,请用户及时更新串口命令行模式登录密码。(14 )串口配置主菜单中选择【 Set Web Admin Password】初始化 WEB管理界面登录密码；如图3.11所示:systen system Device Dewic

20、e DeviceneworM default. SerialConsoleConsoleDevice (2011-01-28) pataneurgatewayAdmin PasswordShell Password6Set Web Admin Passwoi17*Set Log Server 1 Pa+IBSet Log Setvex 2 PalI 0.Exit|+|T<CanceL>Inut NEF passwrd+-+-+0在用户忘记进行初始化配置。图3.11初始化WEB管理密码Web密码Web管理界面登录密码后，可通过该选项对（15 ）串口配置主菜单中选择【 Set Log

21、Server 1 Parameter】，回车；配置日志服务器参数。 选择发送方法、输入服务器IP并保存配置。如图（3.12） 所示：+-Device (2011-01-28> Set log setver 0 iiarameter已nd Log M巴izhod:喘山罚IRLogsetver IP Address: 127*0a 0.1I 13,.Save and Active Logserver: SettingI l|O-Exit to previous menu+I Send Log Method: SLA5图3.12日志服务器配置界面%系统提供两种日志发送方法（LOGBASE :

22、LOGBASE专用日志格式、 SYSLOG :标准SYSLOG协议日志格式）将日志发送到其它的日志服务器； 系统同时支持两个日志服务器的配置。第19页共62页四、系统管理4.1 登录 LOGBASE打开 IE 浏览器，输入 LOGBAS地址，(如 https :/),以LOGBAS管理员角色登录，默认用户名：admin ;密码：safetybase;如图4.1所示，点击【登录系统】：99 g 日志管理综合审计系统H 古冑 *SBfetySa&BAudlE SystemI图4.1登录界面0请及时修改系统默认密码。密码连续输入错误三次，登录页面会自动关闭；登录成功后1

23、0分钟未进行任何操作，系统会超时退出；4.2系统用户选择导航条上【系统管理】一 【系统用户】；查看当前系统用户列表,并可执行【添加】或【删除】系统用户操作：如图4.2所示第21页共62页*馥祜飞轴 w韭話绅里诫”期融 mta理轴1尊:翳理 *d科蜒4利俪3ISKi*彳mA捕劭 ?謁群 .：耀口-我if« «Tfl图4.2系统用户点击【添加】，产生一个新的系统用户：输入新用户的基本信息、赋予功 能权限和隶属组；如图 4.3所示系统管理员可根据用户的岗位职权来分配相应用户帐号的功能权限，保障LOGBASE审计系统的安全及用户网络信息的安全。用户添加入用户组后，此用户将自动继承用

24、户组的所有日志权限；LogBase-不*:用L爭即!1MA自阳戶& BEK®I旨書EC口a用处妞O WM第23页共62页图4.3添加系统用户图4.4配置用户功能权限密码长度建议 8位以上的字母、数字、大小写、特殊字符；对功能权 限设置应该规范，系统用户与管理员用户的权限设置必须权限分明。以防止 越权行为；4.3系统组选择导航条上【系统管理】一 【用户组】；可查看并添加/删除用户组;如图4.5所示:LogB&se Elsa十吝占 如工：.匸 一 丫昨i IW»PtarnHimttllb.图4.5系统用户组0*添加系统用户组只需添加组名及组描述，组名具有唯一性；

25、对系统用户组的权限管理请见后节【组日志权限管理】中的介绍；选择导航条上【系统管理】一 【主机组】；可查看并添加/删除主机组;如图4.6所示：Hr 切削融晋ijBS观RRa AtRre®cBWiJbRfra佩Di列静Hf&岂耶3*砂» AA1H第25页共62页第#页共62页图4.6主机组列表在主机组列表页面上， 点击【添加】，新增主机组名，并勾选主机至主机组, 如图4.7所示：Log Ba se書鼻甘I戟”曹评板JHUbS呂倉曹尺沪宝* m蜩h+d. «Krt口+勺*忖*计甲F审电审计Etg&iSillTsndMKEyiCLfikl1RL IffiL

26、LlNjSJJiS*1rr口iftLH!.!. i(>T(iOn1 皑 JflLZoLZinEEOlIBO. L4I. F. ISBOdJ图4.7:添加主机组0*:用户在主机组列表中，可以批量导入主机及主机组信息。点击【主机配置】可以新增主机信息。【主机配置】内容同【实时审计】一【监控总图】一 【主机监控】里的【主机配置】一致；4.4当前用户选择导航条上【系统管理】一 【当前用户】、【修改密码】；针对当前用 户的基本内容及密码进行修改等；如图4.8所示：i 1目户i 1目户fc毬肝第26页共62页第#页共62页+ +图4.8修改本用户信息图4.9：修改用户密码0*点击【恢复】，可放弃修改

27、内容，恢复原用户信息；拥有【系统用户】 功能权限的帐号可以在【系统用户】列表中修改其它所有用户的详细信息、 功能权限、隶属组、密码等信息。'初始化时，应该立即修改审计系统默认系统配置，以安全的保证系统 管理员的唯一性；以上操作适用与当前登录的所有用户；A 安全性考虑密码长度建议 8位以上的字母、数字、大小写、特殊字符; 系统用户必须从管理制度上保障；以确保系统的安全性；4.5日志权限选择导航条上【系统管理】一 【日志权限】；可分别针对用户或用户组 进行日志管理权限的配置，如图4.10所示：IflrFwbu.户图4.10用户日志权限管理% *此系统用户列表只显示未加入【系统用户组】的系统

28、用户，已添加入 【系统用户组】的系统用户的日志权限不能独立管理，只能继承所属组的日 志权限。详情请参见下节【组权限】；系统用户移出用户组后，将恢复默认日 志权限。若直接删除用户组，组中的用户仍保持原有的日志权限，直到该用 户加入其它用户组，继承新的日志权限；点击【修改】，操作所选定帐号的日志权限管理，如图4.11所示:A SURF-t&Ji *8ita ««!T4E£UB立啊aIM弧1£询專orrttutlfl-B-prF專prrrrnKauHE-Rrr恤泗專RrrMCElHRrrPrrutHbP广rrrprrWHS®Orr3ET9&#

29、163;rFuranJtKMHV m«. miesb町存cExtum启针对所有日志类型,都可选择【全部允许】、【全部限制】及【部分允许】，图4.11修改用户日志权限若选择【全部允许】、【全部限制】相应【操作】功能为灰色不可用。【全部允许】指此用户可以操作此类日志的所有功能（实时、综合、查 询）；【全部限制】指此用户将看不到此类日志的任何信息、更无法审计；【部分允许】指根据条件来限制此用户可操作某些发生地址IP的此类日志;若选择【部分允许】，点击相应【操作】，如图4.12所示:_ SV.YffH3!側亦' Fl fc«/ Mito巳 MUI F彳 Tjli*1 HXM

30、i TTLJSVlHif4C* !* r*03J叩事两产*单¥ehi用EMWmi la i羽:1 iw W 11 1mJ1匸一亠图4.12设置【部分允许】权限勾选【允许部分IP】，可以选择输入单个IP或IP段；保存设置后， 此用户将只能操作这段IP内的此类日志内容；勾选【限制部分IP】同理推之;选择导航条上【日志权限】一 【组权限】如图4.13所示：H.&R內甲）=*吐W齐iiel1旺芒图4.13组权限管理0*组日志权限管理操作同用户日志权限管理操作，【组权限】中的权限设置，组内的所有用户会完全继承该组的日志权限。系统用户移出用户组后， 将恢复默认日志权限。若直接删除用户组，

31、组中的用户仍保持原有组的日志 权限，直到该用户加入其它用户组，继承新的日志权限；点击相关组的【修改】操作，执行组日志权限管理。如图4.14所示:图4.14修改组日志权限辛* _i&UBl.+£.曲SMJRX iftpwA，m 口t.耳zx4* Q_Mnmirn e0jBILLI Qr厂hmsESjuq耳厂im日或tiiwiiarTTFflE鼻r组日志权限管理操作方法同用户日志权限管理，详细操作方法请参见上 节【用户日志权限管理】操作说明;4.6告警接口选择导航条上【系统管理】一【告警接口】，如图4.15所示:J耳I*耳聊a* snn*tHQI1N+J.口-L ItaH Fi

32、BiTSlLn 险*世 riCVd+ MKBQ-MB-A-fl I" - Iat图（1）邮件告警接口凰看BUtJk：1图（2）SNMP告警接口5T沁odE號EKF. 151. .口 h314第30页共62页第#页共62页图4.15告警接口SNMP 告警、SYSLOGLOGBASE默认提供三种告警接口： 邮件告警、 告警；配置成功后，系统会自动将用户自定义的告警日志信息通过邮件或其 它两种方式发送给用户。有关告警日志配置的内容，请参见【规则定义】章 节;4.7系统设置选择导航条上 【系统管理】一【系统设置】，配置管理【日志显示】、【超 时设置】、【配置管理】、【认证方式】等内容。选择【

33、日志显示】，如图4.16所示：耳脚tr*SEM口dl«n图4.16日志显示列管理管理员可在此选择设置所有日志类型的日志字段显示，在此勾选的字 段会在【实时审计】 栏的日志列表中呈现出来。当作一种类型的日志查询时,字段同此处设置的一致，但做多种类型日志的多重查询时，显示出的日志列 表将取不同类型日志的相同的字段。选择您需要修改显示列的日志类型，点击【设置】日志字段显示，如图4.17所示：石弭号PElprr時嶼r谢口rrffiMW厂巳再点S!r3LEAirbUrttkipp口rrpFF?SMffiFF?r1HHW.rewtunr聊內曲irq暮riH曲徉rrrrr广理口W*口图4.17 :

34、设置日志显示列管理员可在此勾选日志的显示字段，点击确定后，将在【实时审计】 【最新日志】中更改日志的显示字段为管理员勾选的字段。选择【超时设置】，如图4.18所示:祗 e1 1+m图4.18:页面超时设置在超时时间设置中输入等待时间即可。如果在设定时间内管理页面 没有任何动作，系统将超时退出，返回登录页面。选择【配置管理】，如图4.19所示：柱癥S种号Hi I:ri- 图4.19系统配置管理配置文件导入到 LOGBASE上。选择【认证方式】，如图4.20所示:第34页共62页第#页共62页系统支持本地认证和图4.20系统认证方式Radius认证两种方式。默认选择是本地认证方式,如果需要第三方

35、Radius服务器认证，如图 4.21所示: rr钳* .证靂Kuta uiUi血 Idl . 1.MlQi1|. jUj:."图4.21Radius认证配置4.8设备管理选择导航条上【系统管理】一【设备管理】，如图4.22所示:图4.22启停设备0用户可以在页面上重启设备或者关闭设备。选择导航条上【系统管理】一 【时间同步】，如图4.23所示:第#页共62页第35页共62页沪由 If 单 円住尸 "-rMfiB it l«h hit*» tKAA.曰 口nqfa*. IJl naL«L时AIL1黄9HiMl 1*14 1JEsS!I2t-iA

36、ftHMIiMINE >.HI i-M-U LLlj-.BAIH1W第#页共62页WWW图4.23配置系统时间同步可以通过此功能与外部时间服务器进行同步，点击【立即同步】立即与时间同步服务器同步。点击【同步配置】，可配置同步时间服务器，如图 4.24所示:flO. ri. 146.44图4.24时间服务器配置填写时间同步服务器IP地址，设置同步间隔时间，点击确定保存配置。五、数据管理5.1数据备份选择导航条上【数据管理】一 【数据备份】一 【日志备份】，如图5.1所示:第37页共62页3 eiwi* nvit ”日s?f«n nrium "Mb£j xfri

37、ita-畳片良+L M<V日耳也 KSv-MKIi町:BafiRj-gaJai jPWi «M 产賈lft rMiHBlS氏 ©塞«&H9EWX*<MXFM iWi第#页共62页第#页共62页图5.1日志备份%管理员可自主选择日志类型、时间范围来备份日志数据，并可以选择 备份、备份并删除或直接删除日志数据。故使用此项功能权限的管理员需谨 慎。备份任务完成后可下载，或者选择删除这个备份任务。日志备份功能是备份文本形式的日志，文件备份功能是备份动态显示操作 的回放文件。5.2数据恢复【数据恢复】一 【日志恢复】，如图5.2选择导航条上【数据管理】一

38、 所示：L咖*骑.His vniX himt ' * nwA'H c vfMivT事时f U軸F- EIjLHHdi1S. 土jl >4AT-Im-H-ri ii n *taia 133MTKE：<i!&XUJ彳 4|_ i'uniia.x - - j aIRJIIP0如HflS 汁也pMa.fflKI FITXM0图5.2日志恢复LOGBASE审计系统中；LOGBASE审计系统中。7日志恢复是将日志备份文件重新加载到文件恢复是将【文件备份】的文件重新加载到5.3归档设置选择导航条上【数据管理】一 【归档设置】一 【归档策略】，如图5.3所示：中扫粗

39、逵日0矗略rar-ttf+Menrtt i» 18<fT 胃+unr岸*"5 It±上 nwr-第39页共62页第#页共62页图5.3数据归档配置归档策略功能是当磁盘存储空间达到触发条件后，自动处理日志文件。可选择的处理方式为：自动丢弃、本地保存、FTP上传、SFTP上传。触发条件在【磁盘配额】 中设置。若不设置，默认为当磁盘存储空间达到 100% 时出发归档机制。A宀若不设置归档策略，默认策略为自动丢弃。一旦磁盘存储空间达到100%之后，将会自动覆盖时间最早的日志。第40页共62页第41页共62页选择左侧导航栏上的【磁盘配额】如图 5.4所示:tig*i日

40、电JfE* 事“urni：住岂呦皿口當MkM2H91*rr&t-k. J rhiM第#页共62页第#页共62页图5.4磁盘配额用户可以通过磁盘配额设置每种协议日志的磁盘存储空间。选择左侧导航栏上的【存储周期】如图 5.5所示：LogBasfir-p.i -,：-. mmw- - *-P 如亡甘甘曹1 口£"1nf4l 刊"7iff Itp -hfliNa.iMitrri x -fA, WlffiL图5.5：存储周期配置存储周期也是自动归档的周期。如设定存储周期为100天，那么100天前的数据就会被归档，以选定的归档方式进行处理。用户可以选择是否清 除已经归

41、档的在线数据。六、对象管理【自定义日志】一 【日志列表】，如图6.1自定义日志选择导航条上【对象管理】一6.1所示：亠 HKH-ITK-Ji i-iULu；IT耳"i IltMB'E!- .：|j4-SH-sIPM-HjBtfeunT啊|grg(4Efl图6.1自定义日志服务管理添加、删除自定义服务类型；点击相应序号，可查看相关已有自定义服务的配置；自定义日志的添加接口并没有在管理页面上，如有需要，请 联系厂商售后工程师。6.2日志导入导出选择导航条上【对象管理】一 【自定义日志】一 【日志导出】，如图6.2所示：Hicairif-K列拿无 IISHE-Q A,B,L命 rr

42、ww.iMi图6.2导出自定义日志配置管理员可勾选需要导出的自定义服务类型，并导出保存在PC中。点击【日志导入】，可以选择需要导入的自定义日志的文件，并可以选择是否要覆盖主机中相同ID的服务配置，如图 6.3所示:玄 "''1- 口lit 0405 MI. 电用日划i HEWt HE4K 3 工ff*4EHa*1!*|；4afl-iite：4Jj£O图6.3导入自定义日志配置6.3探测器配置选择导航条上【对象管理】一 【探测器配置】一 【DEFAULT】；可看 到探测器列表及模块列表，修改或删除已有探测器、添加新的探测器及相应 的模块。如图6.4所示：图6.

43、4探测器配置0*每个探测器有不同的模块列表，在删除探测器时，此探测器下的所有模块会同时全部删除；A当您需要安装软件探测器来采集日志时，必须先配置好相应探测器和模块；点击【添加】新探测器，如图6.5所示:图6.5添加探测器ALOGBASE探测器包括硬件探测器和软件探测器两类；每个探测器 需配置唯一的编号（ID）。安装的各类探测器需与探测器配置（ID、密码）保持一致才能保证连接；CPU、MEM 项表示探测器的性能达到某个阀值，系统会自动产生告 警日志信息；优先级项表示该探测器的优先级别；配置完成新的探测器后，继续配置相应模块；如图 6.6所示:flUWS | MA-砒|BJltf. j'n

44、utv'rimwrarBjaTqHll*冏用I叩.SP： U巾厂事审第46页共62页第#页共62页图6.6添加探测器模块请选择这个探测器所要采集的日志类型；一个探测器中可以添加多个模块，同一种模块类型只能添加一个。如何采集字段信息可在【自定义服务 管理】中配置；请正确输入采集的日志的绝对路径，否则日志信息将无法成功被此探测器采集；采集时间间隔默认为5秒；若停用此模块，相应日志将不再采集，探测器仍有效；选择导航条上【对象管理】一 【探测器配置】一 【Syslog自定义】，将 配置的自定义日志类型使用SYSLOG协议采集。如图6.7所示：lu>g>aM曰亦!R嘗 I*口曰耳1宣

45、如自*Ui1»1厂曲«=Ml虫|祁屮亦1g远叭出rIB iiM:H*|iM-图6.7SYSLOG自定义采集日志选择导航条上【对象管理】一 【探测器配置】一 【Syslog预定义】，将 使用预定义SYSLOG日志分割手法采集网络设备的日志。如图6.8所示：书"i片FT車許血M-itT "W«!帀削E*xnhcAkkenl#rEm in i noiMtwaxH-t. n#jb«'i! It£-u6ll图6.8： syslog预定义采集系统新增了主流安全及网络设备的syslog日志预定义功能，该功能把这些日志类型定义预置在

46、设备中；目前支持的日志类型有：TOPSEC日志、ARRAY日志、IPS日志、CISCO2821日志、JUNIPER日志、思科FWSM日 志、SSL日志、安氏FW日志等。选择导航条上【对象管理】一 【探测器配置】一 【流量探测器】，对流 量型探测器的规则进行配置管理。如图6.9所示： IX£d£罕 BMBrt2. MFJ1A.T1 VrniKiU. 二 vmiKClu.T #1苗irrn图6.9 :流量型探测器配置规则加载：选择停用或启用，这里的规则指的是这个页面的相关配置 规则；选择启用后相对应的规则生效；否则探测器不能工作；SYSLO（操作分割： 该功能只有当开启 sen

47、d log server parameter参数为 syslog方式时才有意义；LogBase探测器目前支持两种方式往主机发送日志 分别是slas和syslog;启用该功能后，当发送信息过长时可以自动进行分割 成几条日志进行发送；规则阻断：启用该功能需要在网口参数中设置网卡标识，如ethl ；启用该功能后设备会往该网卡发送reset包以达到中断当前连接的目的；特定服务器：该功能一般用作存在中间件时的数据库操作；在此场景下,数据库操作连接处于长连接状态，即用户登录后并不退出；需要在此处填写 数据库服务器地址，若有多个数据库服务器地址则用回车分开；模块加载：该功能指定探测器采集的协议，以及协议对应

48、的端口号，选 择启用或停用来启用或停用对应协议的日志采集功能；若存在多个端口则用 逗号分开；如图6.10所示：图6.10探测器采集模块加载协议配置：TELNET配置：该功能指定登录提示符，常用的提示符信息已经预置在该配置中；当遇到特殊提示符，且不在配置列表中时，需要在这里手工将提 示符信息添加到末行（默认配置不要更改，注意这里的配置对空格，制表符 敏感）HTTP配置：用以配置协议相关参数用来标识网页邮件和网页附件日志， 一般就用默认设置，不需要更改UDP配置：这里输入IP地址列表，以回车分隔；用以统计镜像口中 UDP 目标地址udp flow信息；如图6.11所示：Lu图6.11协议配置七、规则定义7.1配置管理选择导航条上【实时规则】 >【配置管理】，如图7.1所示:LogBase