蓝盾防火墙日志管理系统操作手册

1、.蓝盾防火墙日志管理系统一、 系统概述通过分析蓝盾防火墙等系列安全产品的特点，我们将日志服务作为一个独立系统分离出来。为了便于管理和使用，以及日志服务的性能出发，又将日志系统设计成客户和服务模式，服务端是日志服务器，客户端是日志管理，服务端是服务程序，有两种版本，一种是以文件的方式存储日志，一种是以数据库(SQL SERVER)存储的日志，客户只有一种版本，对文件和数据库的管理操作方式是一致。客户端即日志管理，是以插件的形式提供，在日志安全中心添加一个插件设备具体操作参考3.1的“新建安全设备”来实现，客户端本身也以插件方式实现，用插件来解释日志字段，日志显示也是动态，所以本系具有通用性，可用

2、于适用实现多种日志设备的管理。日志管理可以安装于任一台电脑进行管理，也可以进行远程管理。二、 系统安装与卸载双击蓝盾日志管理安装程序bdlogsetup.exe，出现如下图所示，单击下一步。单击“下一步”按钮，出现如下图所示：如需要更改安装目录，单击“浏览”按钮，确认安装目录后，单击“下一步”按钮，出现如下图所示：在系统的“开始”菜单的“程序”菜单中添加一项菜单，确认菜单名称后，一直单击“下一步”按钮即可，可能要一两分钟，最后出现如下图所示表示安装成功完成。卸载：直接单击控制中心菜单下的“卸载蓝盾日志管理”或在“控制面板”中，选中“蓝盾日志管理”，然后单旁边的“更改与删除”按钮，出现如下图所示

3、： 单击“下一步”按钮，然后单击“完成”按钮即可。三、 系统操作先启动蓝盾安全控制中心，启动后的出现如下图所示：输入登录蓝盾控制中心的用户名和密码，按确定登录，按退出取消登录并结束程序，登录成功后出现如下图所示：如上图所示，界面主要包含六个部分：顶部的菜单、工具条、左边的功能导航栏、右边的操作界面、下边消息提示框、底边是状态条。3 菜单管理31 文件菜单：如上图所示。新建安全设备新建一个安全设备，本系统的安全设备是蓝盾日志管理，单击新建安全设备后出现如下图所示界面，设备类型：安全设备的类型，单击右边的下拉列表框，选中蓝盾日志管理。设备名称：安全设备名称，用户自己定义，名字要规范一点，可以是汉字

4、或英文。地址族：本系统支持Ipv4和Ipv6两种版本，一般设置为Ipv4。IP地址、端口号：是安装了蓝盾日志服务器的计算机IP地址和日志服务器的管理端口号，其中：端口号为9999。备注：用户输入的信息。工作路径：存放安全设备的插件和相关文件的工作路径，用户可手工输入也可以通过单击浏览按钮从目录树中选择已经存在的目录。取消：放弃本次创建设备操作。确定：系统会自动在功能导航栏中添加一个设备。添加设备成功将会出现如下图所示。删除安全设备删除一个已经存的安全设备，删除内容包含此设备相关的插件、配置文件等其它文件。先在功能导航栏中选中要删除的安全设备，然后单击删除安全设备出现如下图所示的提示消息对话框：

5、如上图所示，按是删除，否取消。如按是将出如下图的提示对话框：提示是否删除该设备工作路径，按是，将删除目录下的所有与设备相的插件和文件。登录安全设备与安全设备相连接，这里是与蓝盾日志服务器进行连接和登录认证，登录成功会在功能导航栏中创功能树，用户从功能导航中选择要使用的安全设备，单击登录安全设备，将出现如下图所示登录窗口： 用户名、密码：登录蓝盾日志服务器的用户名和密码，登录成功后会自动从日志服务器中接收功能菜单并在导航栏中创建功能树。结果如下图所示：在线状态离线状态：表示用户与日志服务器断开，如上图所示的安全设备图标是。在线状态：表示用户与日志服务器相连，如上图所示的安全设备图标是 。注销安全

6、设备 断开与日志服务器的连接，如果安全设备状态为在线状态，用户可以通过单击注销安全设备来断开与日志服务器的连接。退出系统 关闭程序。32 查看菜单 如下图所示包含有工具栏、状态栏、导航栏、信息栏、属性几个菜单项。分别表示开启工具栏、开启状态栏、开启导航栏、开启信息栏、打开属性对话框。在它们的左边包含有“”的标志表示开，否则就表示关。单击属性出现如下图所示对话框： 如上图所示，显示了安全设备的属性，这属性是用户创建安全设备时配置的参数，除了设备名称和工作路径不能更改外，其他参数都可以更改，修改方法如下。修改设备属性 用户单击属性菜单，出现如上图，单击修改，将出现如下图所示： 各项含义与创建安全设

7、备“新建安全设备”时是一致的，保存修改再单击“修改”按钮，退出修改单击关闭。33 设置菜单插件管理 如上图所示，列表框中显示当前所使用的插件信息，包括：插件ID、插件描述、插件版本、插件库、插件库版本。导入：从插件配置文件中导入插件系统。导出：把插件输出到指定的目标目录。删除：把插件从系统中删除，此操作必须慎重。关闭：关闭此对话框。用户管理如下图示，功能包含：添加用户组、添加用户、修改用户。所具用户组和用户的权限作用域仅是本地控制中心，用于登录控制中心，新建、删除、修改安全设备，插件管理等。左边是一个用户组和用户的树形列表，根结点是用户组，子结点是用户名，右边显示当前树形列表具有焦点的用户组或

8、用户名的相关信息，通单击左边的列表视图的结点，可以实现显示用户组或用户名的相关信息。图a-a新增组 新增一个用户组，定义组的权限和允许操作的设备，单击“新增组”可以开始添加新用户，此时名称、描述、权限、设备列表均由灰变成可用状态，同时出现两个按钮：“确定”、“取消”，名称表示用户名，描述表示名称的额外信息。全局管理权限表示组具有权限，包括四种权限：设备管理、用户管理、插件管理、日志管理。按“确定”将添加一个新的用户组，按“取消”将放弃本次操作。新增用户 往选定的用户组添加新的用户，在上图的左边选择一个用户组，按“新增用户”按钮，将出现如下图所示：常规：包括名称、描述、密码、确认密码，其中名称是

9、用户名称，密码和确认密码必须一致。属性：包括用户不能更改密码，密码永不过期，帐号已停用，可以选上多个属性。使用期限：包括开始日期和终止日期。用户在属性栏中未选择“密码永过期”，则由灰变成可用户状态，这样使用期限才有效。确定：输入完成，确认要添加新用户，单击“确定”取消：取消添加新用户并关闭对话框。删除 删除一个用户组或一个用户，在上图a-a(“用户管理”)中选中要删除的用户或组，单击“删除”按钮。修改修改一个用户组或用户，在上图a-a(“用户管理”)中选中要修改的用户或组，如果是修改用户组，将出如下图示：如上图示，用户单击修改，常规、全局管理权限、设备操作权限将由灰变成可用状态，确认修改按“确

10、定”，取消修改按“取消“。如果是修改用户，将出现如下图所示： 单击修改，常规、属性、使用期限、隶属于，其中：隶属于表示隶属于那些组，一个用户可以同时隶属多个组，“修改用户密码”单击“更改密码”按钮，将出现如下图所示，操作方法与“新增用户”一样，确认修改按“确定”按钮，取消修改按“取消”按钮。更改密码 更改当前登录控制的用户的密码，用户需要输入原来的密码，如下图：34 日志管理 这是本系的核心功能模块，如下图，主要功能包括系统管理、实时信息、日志分析、用户管理和服务器状态，系统管理维护日志服务器的系统参数和系统相关信息，实时信息主要包括实时流量、日志实时显示和实时统计等，日志分析主要是事后日志查

11、看、检索、统计功能和报表输出。用户管理主要是添加、修改、删除用户，这里的用户指的是登录到日志服务器与日志管理服务端相连接时的用户。服务器状态是所有志日服务器的包接收的状态的统计。341 系统管理包括参数设置、设备管理、操作审计、插件管理。参数设置用户单击参数设置，首先出现如下图所示对话框，从服务端接收参数信息。定义系统的服务端的日志接收端口、管理端口、日志文件的保存路径、系统管理客户端的IP范围。接收端口：定义日志管理服务端接收设备日志的协议和端口，用于服务端与日志设备之间通信，协议通过下拉列表框选择, “添加”：添加一个服务端接收设备日志的端口，“删除”：删除一个服务端接收设备日志的端口。管

12、理端口：服务端开放的端口号，用于服务端与客户端之间通信。日志文件的保存路径：定义服务端保存日志文件的路径。管理客户端地址限制：定义管理客户端的IP地址，启用表示允许管理客户端程序与服务端连接通信，表示禁止管理客户端程序与服务端连接通信。“添加”：添加一个新的客户管理端IP，添加成功自动在客户端地址列表框中添加一条记录，“删除”删除一个客户管理端IP。客户端地址列表：表示管理客户端IP地址列表，在列表中未标明的IP或标明禁用的IP是禁止管理客户端程序与服务端连接通信。下载：从服务端下载保存参数配置的文件到客户端，用户单击下载将出现如下所示通用文件选取对话框，选择一个文件用于保存从服务端发来的参数

13、配置文件内容。如果选择的是一个现有的文件将会覆盖此文件，如果是一个新文件将自动创建。 上传：从本地选择一个参数配置文件上传到服务端，用户单击“上传”将出现如下图所示的通用文件择取对话框，从本地选择一个参数配置文件。设备管理用于添加、删除日志设备和修改日志设备参数，日志设备参数包括：设备名称、IP地址、配置文件名称、文件名规则、缓存大小、加密插件、分析插件、鉴别插件。用户单击设备管理，将从服务器中接收日志设备列表，显示如下所示。导入：先清除当前列表框记录，然后从一个设备列表文件中读取记录信息并添加到列表框中。导出：将列表框中的记录保存到一个设备列表文件中。添加：添加一个新的日志设备到服务端日志设

14、备列表文件中，同时添加一个记录到列表框中。单击添加将出现如下图所示的对话框。如上图所示，主机地址是设备的IP地址，配置文件是存放字段信息的文件名，此字段为空表示缺省，文件名规则是日志文件名命名规则，默认为四位年两位月两位日(yyyymmdd)，即一天一个日志文件，缓冲存大小0表示缺省，加密插件是服务端与客户端之间进行通信时数据解密和加密插件，分析插件是对数据包进行解释的插件，鉴别插件是对数据包合法性进行鉴定的插件。加密插件选择，从加密插件树形列表中双击要选中的项，如果出现符号“”表示选中，出现符号“”表示取消选中，在树形列表中只能有一个项现“”符号。分析插件和鉴别插件的选择方法与加密插件一致。

15、确认添加按“确定”按钮，取消本次操作按“取消”按钮，设备添加成功以后需要断开设备重新登录后新的设备才会添加到导航菜单，如下图所示,其中就是刚才添加的新的日志设备。 删除：从服务端日志设备列表配置文件中删除一条记录，操作方法：从列表框中选中一项，单击“删除”按钮。编辑：修服务端日志设备列表配置文件中的一条指定的记录，操作方法：从列表框中选中一项，单击“编辑”按钮，将出现类似上图的修改设备对话框，操作步骤参考“增加”。操作审计查看每天客户端登录到服务端的日志记录和管理操作记录。单击操作审计出现如下图所示，首先从服务器中接收当天客户端登录到服务端的日志记录和管理操作记录，列表框

16、显示与当前时间控件日期一致的管理操作日志记录。查看其日期的操作记录，单击日期控件并选中日期，将从服务端接收该天的操作记录并显示到下面列表框中。设置列项：用来显示和隐藏某一列，单击“设置列项”出现如下图所示，对话框中显示所有列项的名称，打上标记“”表示显示，否则表示隐藏，通过单击该复选按钮来切换显示与隐藏，确认操作按“确定”按钮，取消操作按“取消按钮”。插件管理显示当前服务端的插件信息和上传、下传插件，包括名称、中文名称、版本、大小。如下图所示：下载：从服务端中下载一个插件到本地，操作方法，从列表框中选择一个记录，单击“下载”按钮，然后系统会显示一个文件保存对话框，用户输入一个新的文件或选择一个

17、已经存在的文件，单击保存开始下载。下载完成或失败都有提示。上传:从本地选取一个插件上传到服务端指定的目录和文件，操作方法，单击“上传”按钮，出现通用文件打开对话框，如上图所示，选择一个本地插件文件，单击“打开”按钮，然后系统显示一个确认对话提示是否则启用新的名称或覆盖现有的文件，单击“确定”按钮开始上传，放弃操作按“取消”铵钮，上传成功会有提示。启用新名称：单击“启用新的名字”后，在文件名称栏输入新的文件名。341 实时信息 单击日志设备后出现如下菜单和下图的该设备的状态对话。实时分析的功能菜单如上图所示，包括管理日志流水、警报日志流水、信息日志流水、数据包日志流水、流量

18、日志流水、数据包统计表。流量图表参数设置：用于设流量曲线图的纵坐标的范围和单位，如果确认修改按“保存修改”按钮。状态信息：从服务端接收该设备的状态，包括收到的总字节、收到的总包数、丢失的总包数，“刷新”重新发请求包来获取最新的状态信息。设置流水过滤条件：用于设置实时流过的过滤条件，如果有过滤条件存在，那么只符合条件的日志记录才会显示在实时信息列表框中，系统仅提供数据包日志和警报日志具有此功能，操作方法：在下拉列表框中选择日志类型，然后按“设置”按钮。1、设备数据包日志的设置，从下拉列表中选择“设备数据包日志”项，单击设置，显示对话框如下图所示：如上所示，为灰色项表示禁用。首先系统会将上一次的设

19、定填充到控件中。此对话包含六个可用的过滤条件，其中协议和动作是通过下拉列表进行选择，其它自己直接输入，源端口和目标端口是数值型，“刷新”表示清除所控件的内容重新输入，按“确定”保存设置，按“取消”放弃操作。其中：动作下拉列表框中的英文对照如下：SCRUB - 流量整形、PASS - 通过、BLOCK - 拦截、NAT 地址转换、BINAT 1:1映射、RDR 重定向。2、设备警报日志的设置，从下拉列表中选择“设备警报日志”，单击设置，显示如下对话框，系统提供一种过滤条件，即报警级别，通过单击下拉列表框选择，“确定” - 保存设置，“取消” - 放弃操作。数据包日志流水IP包日志记录实时信息，下

20、图是数据包日志流水列表框，列表会不断向下滚动来显示新的实时记录信息，在列表框内任务一处单右键鼠标来切换列表框静止和滚动，静止状态时不再接收新的实时信息，滚动状态只要有新的记录信息到来就会添加到列表首行，并滚动列表框。数据包日志流水包括：时间、规则、动作、原地址、目标地址、协议、IP版本、总长度、包ID、校验、原端口、目标端口、长度、包类型、数据等信息,列表框的列项字段是不固定，其中动作部分单词的解析：scrub- 流量整形、pass - 通过、block - 拦截、nat - 地址转换、binat - 1:1映射、rdr - 重定向、out - 流出、in 流入、on e0由网卡e0发出的动作

21、。警报日志流水显示防火墙的IDS（入侵检测）的日志实时信息，包括来源设备、设备ID、时间、设备名称、用户、报警级别、进程、版本、发送者、以太网原地址、以太网目标地址、IP原地址、IP目标地址、IPTTL、TCP原端口、TCP目标端口、TCP标志、TCPSEQ、TCPACK、TCPWIN、HTTP方法、HTTP主机、URI查询、信息、ICMP类型、ICMP编码、UDP原端口、UDP目标端口、UDP长度等。列表框的列项字段是不固定,因此这些字段不一定完全出现。在列表框内任务一处单右键鼠标来切换列表框静止和滚动，静止状态时不再接收新的实时信息，滚动状态只要有新的记录信息到来就会添加到列表首行，并滚动

22、列表框。管理日志流水如下图所示，管理日志流水显示管理防火墙的操作日志实时信息，字段包括来源设备、设备ID、时间、名称、用户、客户、命令级别、命令、操作结果。在列表框内任务一处单右键鼠标来切换列表框静止和滚动，静止状态时不再接收新的实时信息，滚动状态只要有新的记录信息到来就会添加到列表首行，并滚动列表框。信息日志流水如下图所示，信息日志流水显示FTP、NAT等其他一些日志实时信息，字段包括来源设备、设备ID、时间、名称、用户、客户、cmdset、信息。在列表框内任务一处单右键鼠标来切换列表框静止和滚动，静止状态时不再接收新的实时信息，滚动状态只要有新的记录信息到来就会添加到列表首行，并滚动列表框

23、。流量日志流水如下图所示，流量日志流水显示流量实时曲线图和表格，根据用户定的单位和坐标计算出每秒钟的流量，然后以曲线图和表格的形容显示。曲线图，单位是kb,坐标0-150.表格图数据包统计表如下图所示，数据包统计表显示实时统计信息，分别对针对动作、流向、协议来进行统计，统计字段包括次数和字节。在列表框中单击鼠标右键，弹出一个菜单如下图，动作示图、流向示图、协议示图分别显示动作实时统计饼图、流向实时统计饼图、协议实时统计饼图。“刷新”从重进行一次实时统计，删除原来表格中的记录并将最近统计结果显示，“导出”将列表框中的记录保存到一个文件中，“打印”将统计结果输出到打印机。342 日志分析日志分析是

24、事后分析，从日志服务端的文件中读取记录，主要功能包事后日志浏览、搜索、统计和统计报表打印。双击导航栏的分析结点，将出现设备结点列表，然后双击设备“”结点，将出现如下图的菜单树。包括管理日志、警报日志、信息日志、数据包日志、流量日志。数据包日志单击“数据包日志”，出现如下图所示的浏览界面。如上图所示，时间控件是日志文件的日期，浏览进度是当前页号与总页数的百分比。浏览：将界面切换成浏览状态，并从日志服务器中与时间控件所对应的日志文件中读取第一页记录，每页大小为1000条记录，如下图所示：如果当前界面是浏览界面，单击时间控件可切换浏览其它日期的第一页的日志记录。上一页：从日志服

25、务器中与时间控件所对应的日志文件中读取上一页的日志记录。跳到：从日志服务器中与时间控件所对应的日志文件中读取指定页码的日志记录。下一页：从日志服务器中与时间控件所对应的日志文件中读取下一页的日志记录。复制：在列表框内单击鼠标右键菜单，弹出如下图所示的菜单：拷贝一条记录是把鼠标点击行的记录拷贝到粘贴板。拷贝列表框的所有记录是把列表框中的所有记录拷贝到粘贴板。可以通过“记事本”等文字处理软件粘贴到文件中。统计：根据不同字段对次数和字节进行统计，有的统计结果会只有次数或字节，统计界面如下图。操作方法：第一、单击“启动”按钮，出现如下图所示，提交用户：当前登录服务端的用户名会自动添加到这个编辑控件。提

26、交时间：当前操作时间，不可更改。日志时间：日志记录的日期，即日志文件的时间，通过日期控件选取。统计字段：日志记录的字段，以此字段作为统计字段，通过下拉列表框选取。确定：按确定将自动添加一条记录到任务列表框中并发送指令到服务端开始进行统计，如果日志记录以文件的形容保存的话，可能会很多字段不能统计，如果不支持此字段，服务端会返回一个提示信息。第二、单击“浏览结果”如上图所示是对协议进行统计的结果，左边结果表格示图，表格是按字节列进行排序，右边表格记录前10条记录的次数和字节饼图，每条记录对应一种颜色，将鼠标移到饼图区域内，系统自动弹出提示条，提示条内容为该条记录的关键字、次数或字节值、所占的百分比

27、。如果是柱形图，若最大次数和最大字节超过2024000次，系统会将柱形图的单位自动换算成千次和MB，在表格内右击鼠标出现如下菜单。第三、菜单功能菜单会自动增加和删除最下面三个项，如果单击前两项，那么下次菜单会删除最下面的三项，如果单击相匹配的记录，那么下次菜单会增加最下面三项。如果在协议(UDP)记录所在行单击右键鼠标，然后单击相匹配的记录，系统将会向服务端发送一条搜索协议等于UDP的指令并开始进行搜索，如下图所示，上一页：从搜索的结果后退翻页。跳到：从搜索的结果直接跳到某一页。下一页：从搜索的结果向前翻页。第四、导出和打印导出：将统计结果输出到一个文本。单击“导出”按钮出现如下图所示的通用保

28、存对话，用户选择一个目录和填入一个新的文本文件。打印：预览和打印统计结果，单击“打印”按钮出现如下图所示预览图：如下图所示的包含工具条： ，工具条包含按钮：首页、后退、跳到、前进、最后一页、缩小、放大、打印、打印设置、关闭。检索：从日志服务器中与时间控件所对应的日志文件中搜索符合条件的记录。单击“检索”铵钮，出现如下图所示。系统会自动把原来设定的搜索的条件显示到对话框中。起始时间、终止时间：如果要设置时间条件，可以包含起始时间和终止时间，单击起始时间的复选按钮和终止时间的复选按钮，如果只选择起始时间，则系统会自动追加一个终止时间“23:59:59”；如果只选择终止时间，那么系统会追加一个起始时间“00:00:00”。源IP地址、源端口、目标IP地址、目标端口、规则：这条件直接在编辑框中输入。协议：包括应用层协议FTP、TELENET、POP3、SMTP、HTTP和常用的协议。这个条件通过单击下拉列表框选择。类型：TCP包的标志位，仅对TCP包有效，URG、ACK、PSH、RST、SYN、FIN复选按钮只能单选。刷新：将对话框中的内容清除。确定：如果检索条件不