天融信数据库审计系统TA-DB-用户手册

服务热线：8008105119PAGEi天融信数据库审计系统TA-DBV3.1.002用户手册天融信TOPSEC®北京市海淀区上地东路1号华控大厦100085电话：+8610-82776666传真：+8610-82776677服务热线：+8610-8008105119

版权声明本手册中的所有内容及格式的版权属于北京天融信公司（以下简称天融信）所有，未经天融信许可，任何人不得仿制、拷贝、转译或任意引用。版权所有不得翻印©2013天融信公司商标声明本手册中所谈及的产品名称仅做识别之用。手册中涉及的其他公司的注册商标或是版权属各商标注册人所有，恕不逐一列明。TOPSEC®天融信公司信息反馈天融信数据库审计系统TA-DB用户手册服务热线：8008105119PAGEiii天融信数据库审计系统TA-DB用户手册服务热线：8008105119PAGEi目录目录1 前言 11.1 文档目的 11.2 读者对象 11.3 约定 11.4 技术服务体系 12 产品简介 33 界面基本操作 44 系统管理 64.1 系统状态 64.2 系统配置 84.2.1 系统web界面配置 84.2.2 网络主机名配置 94.2.3 系统主机名配置 114.2.4 系统配置管理 124.2.5 接口配置 144.2.6 路由配置 164.2.7 系统时间配置 184.2.8 磁盘管理 204.2.9 系统访问控制 244.2.10 设置向导页 254.2.11 网络接口配置 264.2.12 安装包列表 264.3 服务管理 264.4 服务对象管理 284.5 下级设备管理 314.6 任务管理 354.7 用户管理 394.7.1 角色管理 394.7.2 用户管理 424.7.3 修改我的密码 454.8 主机信息 464.8.1 主机管理 464.8.2 扫描主机 485 安全审计 505.1 审计管理 505.1.1 应用协议审计 505.1.2 在线用户管理 635.1.3 数据库审计管理 635.1.4 列集配置 665.1.5 过虑器配置 675.1.6 审计配置 685.1.7 索引管理 705.2 系统日志管理 715.2.1 系统日志事件处理中心 725.2.2 系统日志审计 725.2.3 自定义日志规则 725.3 系统报警管理 735.3.1 系统报警审计 735.3.2 系统报警规则 745.3.3 自定义报警规则 775.3.4 报警事件处理中心 795.3.5 潜在危害分析 845.3.6 系统报警阀值设置 855.3.7 IPS规则管理 865.3.8 系统报警统计分析 865.4 业务关联 895.4.1 业务视图配置 895.4.2 Web规则配置 905.5 事件辨别扩展管理 945.6 统计分析管理 955.6.1 统计分析配置 955.6.2 自定义报表 1005.6.3 统计报表管理 1025.7 审计策略 1035.7.1 协议端口匹配规则 1035.7.2 协议自动匹配规则 1045.7.3 WebMail模板设置 1055.7.4 数据采集规则 1065.7.5 审计级别管理 1085.7.6 系统抓包规则配置 1155.7.7 事件处理中心 1175.7.8 系统包过虑规则 1225.8 IP规则管理 1236 流量分析 1236.1 网络流量分析 1236.2 历史流量查询 1256.2.1 流量统计 1256.2.2 流量趋势 1276.2.3 流量查询 1286.3 流量分析配置 1296.4 多点多级模式下的流量统计 1306.5 多点多级模式下的历史流量统计 1326.6 多点多级模式下的流量趋势查询 134附录A 过滤器语法 136服务热线：8008105119PAGE137天融信数据库审计系统TA-DB用户手册服务热线：8008105119PAGE1前言本手册主要介绍天融信数据库审计系统（TA-DB）的配置使用和管理。通过阅读本文档，用户可以了解天融信数据库审计系统的主要功能，并根据实际应用环境安装和配置天融信数据库审计系统。文档目的本文档主要介绍如何配置该系统。通过阅读本文档，用户能够正确地配置系统，并综合运用该系统提供的多种安全管理方法，有效地管理网络中的安全设备，实现高效可靠的统一管理。读者对象本用户手册适用于具有基本网络知识的系统管理员和网络管理员阅读。约定本文档遵循以下约定。图形界面操作的描述采用以下约定：“”表示按钮。点击（选择）一个菜单项采用如下约定：点击（选择）高级管理>特殊对象>用户。文档中出现的提示、警告、说明、示例等，是关于用户在安装和配置天融信数据库审计系统过程中需要特别注意的部分，请用户在明确可能的操作结果后，再进行相关配置。技术服务体系天融信公司对于自身所有安全产品提供远程产品咨询服务，广大用户和合作伙伴可以通过多种方式获取在线文档、疑难解答等全方位的技术支持。公司主页/在线技术资料/support/down.asp安全解决方案/solutions/qw.asp技术支持中心/support/support.asp天融信全国安全服务热线800-810-5119产品简介天融信网络审计系统（TA-DB）是由北京天融信公司自主研发，面向企业级用户，集行为监控与内容审计为一体的产品。它以旁路的方式部署在网络中，不影响网络的性能，且该产品的万兆平台支持串联方式接入网络，实现串联网络环境下的数据监听和审计。具有实时的网络数据采集能力、强大的审计分析功能以及智能的信息处理能力。通过使用该系统，可以实现如下目标：监控用户的数据库操作行为、审计用户的网络传输内容。实现网络行为报警以及后期取证。实现对网络各应用流量的统计分析。该产品适用于对信息保密、非法信息传播/控制比较关心的单位，或需要实施网络行为监控的单位和部门，如政府、军队机关的网络管理部门，公安、保密、司法等国家授权的网络安全监察部门，金融、电信、电力、保险、海关、商检、学校、军工等各行业网络管理中心，以及大中型企业网络管理中心等。注意：TA-DB所能监控与审计的协议因客户购买的授权许可不同，会存在一定的差别。界面基本操作简单介绍一下界面的基本操作。1）管理员在管理主机的浏览器上输入TA-DB的管理URL。如，https：//54，弹出如下登陆页面。2）输入用户名密码后（默认出厂用户名/密码为：superman/talent），点击“登录”，就可以进入管理页面。管理界面默认显示系统状态，包括：硬盘利用率、CPU利用率、内存利用率系统界面主要分为三个部分，如下图头部区域导航栏主显示区域界面头部用于选择操作的子模块，显示重要信息。如下图通过头部的菜单显示模式选择功能可以实现菜单显示的切换，目前支持以下三种模式：精简模式，适合用户日常操作使用高级模式，适合对系统进行高级配置使用专家模式，适合对系统有高度了解的专业人员使用导航栏与主显示区域因具体模块不同而显示不同，在此不做具体说明。在系统管理模块>系统状态>系统license配置界面中可以查看系统的授权信息、最终客户名、系统型号、版本号、购买的各功能模块开启情况。

系统管理系统状态系统状态包括系统状态和系统License配置。系统状态中显示系统设备状态，系统License配置中显示系统基本信息和证书信息。选择系统管理>系统状态>系统状态，进入设备监控页面。分为两部分，分别是当前设备和下级设备。在左边菜单栏显示如下：1）修改、添加监控模块。右侧主界面显示如下：显示当前所有监控的主机信息。包括被监控对象设备号、设备IP地址、所监控模块、连接状态以及连接测试功能，当添加了监控对象后，可以点击连接测试，可以测试网络是否通畅。选择“监控模块配置”。按照上图提示步骤1、2，选中设备并点击监控模块配置，弹出配置信息对话框如下：点击添加（同样在此选中模块并点击删除和修改，可以对设备监控模块进行修改）按照图示，选择好所要监控模块，以及显示的图例类型和颜色，并点击保存，则配置完成。2）查看本机详细信息：点击左侧菜单中的当前设备>localhost，在右将显示其所监控对象信息，如下图：查看下级设备的步骤和查看本机一致，只要在左侧菜单选中相应的设备，即在主窗口显示出来。系统配置系统配置包括系统web界面配置、网络主机名配置、系统主机名配置、系统配置管理、接口配置、路由配置、系统时间配置、磁盘管理、系统访问控制、设置向导页、网络接口配置、安装包管理。系统web界面配置管理员通过系统WEB页面配置，可以配置WEB页面的登录超时时间和登录重试次数和锁定时间，在WEB管理页面上，进入系统管理>系统配置>系统WEB页面配置，可以看到配置框。配置完成后点击“保存”按钮就能完成配置。注意：配置保存成功后必须重启HTTPD服务才能是配置生效，用户可以选择立即重启，也能稍后在服务管理模块中手动重启HTTPD服务，服务重启后用户必须重新登录。网络主机名配置管理员通过网络主机名配置可以配置主机与名称的对应关系，在WEB管理页面上，点击系统管理>系统配置>网络主机名配置，进入网络主机名管理页面，可以对主机名进行添加，修改和删除操作。1）添加网络主机名：点击“添加网络主机名”按钮，在弹出的配置框中进行网络主机名配置。（主机名不支持特殊字符）配置完成后点击“保存”按钮完成配置。2）修改网络主机名：在列表中选择需要修改的网络主机。点击“修改网络主机”按钮，在弹出的配置框里进行信息修改，点击“保存”按钮完成修改。3）删除网络主机：在列表中选择需要删除的网络主机。点击“删除网络主机”按钮，在弹出的提示框里点击“是”按钮完成删除。系统主机名配置管理员通过系统主机名配置可以配置系统主机名称和DNS服务器，在WEB管理页面上，进入系统管理>系统配置>系统主机名配置，进入配置界面，配置完成后点击“保存”按钮完成配置。系统配置管理管理员通过系统配置管理可以对系统配置进行管理配置，在WEB管理页面上，进入系统管理>系统配置>系统配置管理，进入配置界面，可以对系统配置进行保存、导入、导出和恢复出厂设置。1）配置保存：点击“配置保存”按钮，页面弹出保存进度条，进度条结束后配置保存操作结束，下次系统重启后将加载保存的配置。2）配置导出：点击“配置导出”按钮，页面弹出配置文件下载框，用户可以将配置文件下载到本机上。注意：在IE浏览器上必须把下载选项全都选上，以免文件下载框无法弹出。3）配置导入：点击“配置导入”按钮，页面弹出文件上传提示框，用户可以选择本机上的配置文件，点击“上传”按钮，完成配置导入。注意：配置导入成功后系统配置将马上生效。4）恢复出厂配置：点击“恢复出厂配置”按钮，系统将导出出厂的配置文件，系统配置将即时恢复到出厂时。接口配置管理员通过接口配置可以对系统接口进行管理配置，在WEB管理页面上，进入系统管理>系统配置>接口配置，进入系统接口列表界面，可以对系统网络接口配置进行添加IP，修改IP，删除IP，启用接口，停用接口操作。1)添加接口IP：点击“添加接口IP”按钮，在弹出的接口配置页面中可以配置接口的IP地址和掩码，配置结束后点击“保存”按钮完成操作。2)修改接口IP：在接口列表中选择需要修改的接口，点击“修改接口IP”按钮，在弹出的接口配置页面中可以修改IP地址和掩码(可以添加ipv6地址)，配置结束后点击“保存”按钮完成操作。3)删除接口IP：在接口列表中选择需要删除的接口，点击“删除接口IP”按钮，完成操作。4)启用接口：在接口列表中选择需要启用的接口，点击“启用接口”按钮，完成操作。5)停用接口：在接口列表中选择需要停用的接口，点击“停用接口”按钮，完成操作。路由配置管理员通过路由配置可以对系统路由进行管理配置，在WEB管理页面上，进入系统管理>系统配置>路由配置，进入系统路由列表界面，可以对系统路由进行添加，删除操作。1）添加路由：点击“添加路由”按钮，在路由配置页面中可以配置路由的目的地址和网关、网口，配置完成后点击“保存”按钮完成操作。2）删除路由：在列表中选择要删除的路由，点击“删除路由”按钮，完成操作。系统时间配置系统时间配置模块可以设置系统的时间、日期、时区信息，以及配置用于系统同步时间的NTP（NetworkTimeProtocol网络时间协议，计算机时间同步化的一种协议）服务器。选择系统管理>系统配置>系统时间配置,进入系统时间配置页面。系统时间配置模块右侧是时间设定面板，可以设定系统时间、时区等信息。界面右下方有两个按钮。“保存”按钮可以保存当前在右侧设定面板内设定的各项设置。“重置”按钮可以重置未保存的修改。当您需要修改系统日期时，请单击日期框的右侧“日历”按钮。此时，将弹出一个微型日历。您可以点击选择年、月、日或点击“今天”按钮选择当前操作系统的时间。当您需要修改系统时间时，您可以点击时间下拉框右方的下拉按钮选择整数时间，或直接输入需要设置的时间，时间格式为：“时：分：秒”。当您需要修改系统时区时，请单击“修改系统时区”按钮，系统将会列出所有时区选项。单击您所要修改的时区，然后点击“保存”按钮保存设置。需要注意的是，系统时间、日期和失去修改后，均需要点击面板右下角的“保存”按钮，保存配置才能生效。若您的工作网络内架设有NTP服务器，并且您想通过其校准设备时间。您可以点击NTP服务器设置框的“添加”按钮。在弹出的“添加NTP服务器”对话框中输入服务器的IP地址或域名，随后点击“添加”后保存设置。若添加正常，右侧NTP服务器列表将出现刚才添加的NTP服务器地址。添加成功后，建议您使用系统测试功能测试添加的NTP服务器是否可以正常使用。用鼠标选中刚刚添加的NTP服务器地址，并点击“测试”按钮。若出现“测试成功”字样的提示框，则表明设备可以与NTP服务器正常联通并校准时间。反之表明设备无法取得NTP服务器的信息，请检查添加的NTP服务器IP地址或域名是否正确。当您成功设置了一台以上的NTP服务器后，您可以点击“同步”按钮进行时间同步。要注意的是，若您已经添加了多台NTP服务器，系统将按ID的先后顺序同步系统时间，并以最先成功同步的NTP服务器返回的时间为准。同步的时候注意NTP服务器的NTP服务必须打开，本机的NTP服务停止，在系统服务中可以配置。磁盘管理点击系统管理>系统配置>磁盘管理，能够显示当前系统的磁盘使用情况，并能对磁盘数据进行备份、清理操作。磁盘状态磁盘状态显示数据对象占用磁盘空间大小，以饼状或柱状图形显示磁盘状态,点击“”实现图形的切换。数据备份手动备份数据就是根据用户手动添加的规则，进行数据备份工作。选择要备份的数据对象：下拉列表中会显示系统中可备份的数据源类型。时间对象选项中填写一个数字，这个数字代表备份多少天之前的数据，例如填1，代表删除一天以前的数据，我们这里规定一天以前的数据就是昨天的数据。图中30代表备份30天以前的数据。备份服务器是预先配置好的ftp服务器，数据将备份到这台指定的服务器上。（关于ftp服务器配置请参见HYPERLINK4.4服务对象管理）是否保留备份数据：有两个选项，一个是保留，一个删除。保留就是在备份完成以后，还保留原来系统中的数据不删除。删除则是在备份完成以后，将已经备份完成的部分的数据删除。点击数据备份按钮，系统就会按照前面填好的配置进行备份工作。数据备份规则是用户添加备份的规则，配置好以后不需要人工操作，而由后台程序检查符合条件定期执行。点击添加，如下图所示：磁盘利用率上升至百分之多少的时候执行备份工作，这是激活备份功能的条件。注意，这里的磁盘利用率只能填0-100的10的倍数，如30,50,70，以70为例，它代表磁盘利用率为70%~79%这之间的任何一个利用率状态，而添加55这类的数字，则不会被系统识别，因为磁盘利用率刚好达到55%这个离散的点的概率太低，不便于满足实际的操作效果。其他四项和手动备份中的选项意义相同。点击保存，规则就添加完成了。当系统磁盘的利用率到达70%的时候，系统会自动备份30天以前的还原数据到ftp_test服务器上，并且保留原来的数据。数据清理数据清理模块帮助用户清理过期无效数据。可以手动清理或自定义数据清理规则。1）手动清理数据。磁盘清理需要配置要清理的数据对象，如下图，在数据对象的下列表中选择想要清理的数据源，在时间对象中填入一个整数，这个整数代表删除多少天以前的数据。例如，下图中的配置代表清理30天以前的还原数据。点击右侧的数据清理按钮，系统立即执行清理工作。2）数据清理规则是用户添加备份的规则，配置好以后不需要人工操作，而由后台程序检查符合条件定期执行。点击“添加”，在规则选项页面配置好参数“保存”。规则添加完成。磁盘利用率上升至百分之多少的时候执行备份工作，这是激活备份功能的条件。注意，这里的磁盘利用率只能填0-100的10的倍数，如30,50,70，以80为例，它代表磁盘利用率为80%~89%这之间的任何一个利用率状态，而添加55这类的数字，则不会被系统识别,因为磁盘利用率刚好达到55%这个离散的点的概率太低，不便于满足实际的操作效果。数据对象是要清理的数据源类型，时间对象这里填入一个整数，代表清理多少天以前的数据。当系统磁盘的利用率到达80%的时候，系统会自动清理30天以前的统计分析数据。系统访问控制系统访问控制可以禁止某些IP或IP域访问TAW设备。你若需要禁止某些IP或IP域访问TAW设备，请点击“添加”按钮，并在弹出的输入框中输入要禁止的IP地址（域）。允许的格式有标准的IP地址格式（如）或CIDR格式（如/24）。IP地址格式支持IPV6。若添加成功，列表中将会显示您刚才添加的IP地址（域）。当所有需要禁止的IP地址或地址域均已添加后，请单击“启用访问控制”按钮，使您的当前设置生效。若您需要查看当前访问控制的运行状态，请点击“访问控制状态”按钮，系统会返回访问控制进程当前的状态。FirewallisStop表明访问控制处于禁用状态，FirewallisRunning表明访问控制处于启用状态，并在中括号内显示访问控制的进程ID。设置向导页设置向导页模块，指导用户方便快捷的完成审计策略的配置。包括：数据采集规则，协议端口匹配规则，协议自动匹配规则，以及审计级别配置。点击系统管理>系统配置>设置向导页，进入设置向导页。选择“点击进入”进入数据采集规则页面，设置数据采集规则。设置完毕后依次点击“下一步”，可以进入“协议端口匹配规则”、“协议自动匹配规则”、“审计级别设置”页面。分别在各设置页面进行设置，快速完成系统审计策略的配置。各页面的规则配置请参见HYPERLINK5.7审计策略。网络接口配置网络接口配置模块，在系统串联时应用。在此不做详述。安装包列表安装包管理中列出了产品出厂时灌装的数据包，每个数据包都有自己的功能。列表中详细的介绍了数据包的信息，例如版本、编译次数、支持平台、状态等等。可以选择某个已安装的数据包“更新”、“卸载”，未安装的可以选择“安装”，也可以选择安装包“上传”。具体的操作步骤在此不一一阐述。服务管理服务管理模块列出了当前系统安装的所有服务模块，您可以在此统一管理系统的各项服务的开启、关闭和一些必要设置。如图所示，每行都对应一项服务。第一列显示的是服务的名称，该列是唯一的；第二列显示的是服务的服务状态。状态若为“Stop”则表明此服务处于停止状态，若为Running[进程ID值，则表明此服务处于启动状态，其中括号中的数值代表服务的进程ID号]（可以有一个或多个）。第三至五列为服务的操作按钮，“启动服务”，“重新启动”，“停止服务”，“服务配置”几个按钮，分别对应着服务的“启动”，“重新启动”，“停止”及“配置”四种操作。需要注意的是，服务有可能没有扩展配置，所以有些服务无法点击“服务配置”是正常的。第六列显示的是服务的描述信息，简单描述该服务的用途。您若要启动某项服务，请点击该服务列中的“启动服务”列中的图标，并在弹出的确认提示框中点击“是”，即可启动该服务。停止与重新启动服务的操作与启动服务的操作类似，点击相应列中的图标即可。当您需要设置某项服务的扩展设置时（如SNMP服务），请点击“服务配置”列中的图标，页面将会跳转至该服务的配置页面。需要注意的是，在您配置结束时，您需要点击右下角的“保存”按钮保存您的设置。“返回列表”按钮可以帮助您在配置结束时返回服务管理模块页面。服务对象管理服务对象管理包括SMTP服务器配置、防火墙联动配置、FTP服务器配置。在此模块主要完成服务对象的添加、删除和修改功能。1）SMTP服务器配置主菜单中依次点击：系统管理>服务对象管理>SMTP服务器配置。进入SMTP服务器配置页面。添加配置：点击“添加”。按照要求，填入相应配置信息，点击“添加”保存并退出。修改配置：选中需要配置的服务,点击修改，弹出如下配置窗口。按照提示，修改相应参数，修改完成后点击“修改”进行保存退出。删除配置：选中需要删除的服务,点击“删除”。测试服务：添加完后，选中目标服务器，点击“测试”弹出如下对话框，填入接收人邮箱地址，点击“测试”，发送成功后会提示用户登录接收人邮箱，并查看测试邮件是否正常接受，否则提示测试失败。2）防火墙联动配置主菜单中依次点击：系统管理>服务对象管理>防火墙联动配置。进入防火墙联动配置页面。添加配置：点击“添加”。按照要求，填入相应配置信息，点击“添加”保存并退出。删除配置：选中需要删除的服务,点击“删除”。测试服务：添加完后，选中目标服务器，点击“测试”，进行防火墙通信测试。（注意：防火墙联动目前只支持天融信防火墙，防火墙密钥需要在防火墙上去获取。）3）FTP服务器配置主菜单中依次点击：系统管理>服务对象管理>FTP服务器配置，进入FTP服务器配置页面。添加配置：点击“添加”，弹出添加服务配置对话框。按照要求，填入相应配置信息，点击“添加”保存并退出。删除配置：选中需要删除的服务，点击“删除”。测试服务：添加完服务器后，选中目标服务器，点击“测试”，进行FTP通信测试，成功返回。下级设备管理系统下级设备管理模块可以指导您方便的添加、删除和管理下级设备。若要使用该模块，请先将系统设置为“高级模式”或“专家模式”，而后您便能在“系统管理”菜单中看到“下级设备管理”选项卡。在添加下级设备之前，请首先在要添加的下级设备中确认以下事项：1）下级设备已正常启动并完成初始化工作。2）下级设备已经添加一个适用于远程管理的用户。该用户所属的角色需要有设备的服务管理权限和查看设备状态的权限。3）下级设备已经正确设置webservices服务并以成功开启该服务。您可在下级设备菜单中，选择系统管理>服务管理，在菜单中查找webservices项目，若服务状态显示为Running，则表明服务已成功开启。下级设备管理：您可以点击“添加”按钮，并在弹出的“下级设备选项”对话框的“下级设备webservices通讯设置”中填入要添加的下级设备的必要信息。其中IP地址为下级设备的IP地址；通讯端口为下级设备webservices的服务端口（默认为8888）；认证用户名及密码为webservices通讯时使用的用户认证信息；部署方式为“多点设备”或“多级设备”两种。填写完这些信息后，请点击“获取下级信息”按钮。这时设备会自动获取下级的设备相关信息。获取的信息会显示在“下级设备配置”框中，包括“设备ID”，“设备名称”，“设备服务地址”（注：为空则使用下级的默认的IP地址），“设备服务端口”这四项。请首先核对设备ID是否与要添加的下级设备ID匹配。您可以更改“设备名称”项，使用您便于记忆的设备名称。默认获取的是设备注册时的名称信息。确认无误后，点击“添加”按钮。若添加成功，您可在设备列表中看到刚添加的设备信息。若您要删除某个下级设备，您可以在列表中选择要删除的行，并点击“删除”按钮。若您要修改某个下级设备设置，您可以在列表中选择要修改的设备，并点击“修改”按钮。需要注意的是，修改设备对话框不支持您修改设备的IP地址及部署方式，您若已经改变设备的IP地址及部署方式，应将旧设置删除而后添加新的设置。常见错误信息：添加、修改下级设备属性时，系统会检测当前的下级设备树（由设备上下级部署模式构成的一棵树形结构），检测通过后会执行预制命令设置下级节点。倘若不符合部署规范，或运行命令时出错，系统会弹出提示。常用的提示有：Addnodeislocalhost.表明添加的下级设备ID号与本机（上级设备）相同，请检查您的设置信息是否正确。Addnodehaslocalhostsubdeviceincurrenttopology.表明本机节点已经存在于要添加的下级设备的下级树中，部署模式禁止这种添加方式。Addnodeisasubdeviceincurrenttopology.表明加的下级设备已经在设备下级树中，您不能重复添加下级设备。Ordersubdevicefailed.Errorcli：[错误信息]表明在下级设备上执行预制操作命令时失败，并显示失败的命令。执行失败可能是IP地址设置有误，认证用户名及密码设置有误或权限不够等原因所导致。 设备连接选项：若您对本设备操作及部署比较熟悉，您也可以修改下级设备添加执行时的选项。点击“设置”按钮，您会看到以下三项选项。其中，第一项为选择是否开启添加前的检查，关闭添加前的检查虽然可以加快添加执行的速度，但是具有一定风险，强烈建议您开启此选项（默认开启）。连接超时时间及连接尝试次数为设置添加设备时，上下级设备交互的最大等待时间和失败重试次数，若您的网络状况不好时，可以适当延长超时时间和增加尝试次数。一般情况下建议保持默认。任务管理管理员通过任务管理页面可以管理对下级设备下发的策略和从上级收到的策略，点击系统管理>任务管理>任务管理，进入任务列表页面。任务管理包含两个子模块：“我发起的任务”和“我接收的任务”，如图：下发策略：系统对配置的策略提供下发策略的功能，以自定义审计条件为例，勾选上需要下发的策略，点击“添加到待下发策略”按钮，将策略添加到待下发策略列表中。在待下发策略页面中，左侧是下发策略的列表，用户对下发策略进行上移，下移的顺序调整，删除策略。清空策略等操作；右侧是下发策略的具体内容，即策略的CLI命令，用户也可以手动编辑下发策略内容。注意：除非是专业的技术人员，否则最好不要在页面右侧手动编辑策略的CLI命令，容易出现错误。策略编辑完成后，点击“策略下发”按钮进行策略下发，在弹出的下发信息配置框中，用户可以选择策略下发的下级设备，策略接收的用户，备注等信息。下级设备列表是用户添加的下级设备，详情参看系统下级设备添加模块；策略接收用户分为自动执行和选择接收用户：自动执行指策略下发到下级设备马上就执行；如果选择用户，则策略下发到下级设备后不会马上执行，必须有指定的用户才能执行。配置完成后点击“策略下发”按钮进行策略下发，管理页面会跳转到任务管理>我下发的任务的任务列表。点击“详情”按钮能看见具体的下发策略内容。同时，在下级设备上的任务管理>我接收的任务中，会有接收到的任务信息。同样，点击“详情”按钮看到接收到的策略的具体信息，该信息和上级设备中“我发起的任务”中的任务详情是一致的，此时，下级用户superman能够看到对发给自己的任务进行确认，执行和拒绝等操作。当任务状态是“新建任务，待确认”时，必须先点击“确认”按钮确认任务，此时任务状态变为“已确认”，点击“执行”按钮执行命令，如果成功，任务状态变为“执行完毕”，如果失败，任务状态变为“操作失败”；用户也可以点击“拒绝”按钮拒绝执行任务，并发送拒绝原因给上级设备。用户管理用户管理模块，主要实现用户的增、删、改、查和角色权限分配的编辑功能。角色管理TA-DB支持用户通过WEB页面进行系统角色管理，在WEB管理页面上，进入系统管理>用户管理>角色管理，可以看到角色列表，能对角色进行添加，删除和角色授权。1）新建角色：点击“新建角色”，弹出角色配置框，可以添加角色名称，并且支持从原有的角色中继承角色权限。2）删除角色：在角色列表中选择要删除的角色，点击“删除角色”按钮就能完成删除操作。注意：系统默认的角色是无法删除的。3）角色授权：在角色列表中选择要配置权限的角色，点击“角色授权”按钮，进行角色的权限配置。系统的每个模块分为“读”，“写”，“编辑”，“删除”，“操作”五种权限，可以对每个模块的每个权限进行配置，配置完权限后点击“保存”按钮就能完成对角色权限的配置。用户管理TA-DB支持用户通过WEB页面进行系统用户管理，在WEB管理页面上，进入系统管理>用户管理>用户管理，可以看到系统用户列表，可以对系统用户进行添加和删除操作。1）添加用户，点击“添加用户”按钮，可以进入用户信息的配置框，添加用户名，密码和用户角色等用户信息，配置完成后点击“添加”按钮完成用户的添加。注意：用户添加完毕后必须重启HTTPD服务，添加用户才生效。2）删除用户，在列表中选择要删除的用户，点击“删除用户”按钮，完成对用户的删除操作。注意：系统默认的用户是无法删除的。3）导出用户证书。点击“导出用户证书”，弹出获取用户证书的信息页面，在该页面键入相应信息，点击“获取证书”即可。4）导出CA证书。点击“导出CA证书”，选择“打开”或“保存”证书即可。修改我的密码TA-DB支持用户通过WEB页面修改当前登录用户的密码，在WEB管理页面上，进入系统管理>用户管理>修改我的密码，可以对当前登录用户的密码进行修改操作。注意：用户管理模块的各种操作完成后，都必须重新启动系统的HTTPD服务，才能使配置生效，用户可以选择配置完成后马上重启服务，也可以稍后在“服务管理”模块中手动重启服务，重启HTTPD服务后用户必须重新登录WEB管理页面才能进行操作。主机信息主机信息模块主要功能是用于用户实名制审计，TAW将主机信息与审计出来的网络事件做关联，从而可以将某一网络事件定位到内网中具体的某一人，达到网络实名制审计的效果。包括主机管理、扫描主机。主机管理主机管理主要用于添加、删除、修改、导入、导出用户主机信息。添加主机添加主机模块完成主机的添加设置。主机较多情况下，为了方便管理，可以选择添加组然后在组下添加主机。选择系统管理>主机信息>主机管理，进入主机管理页面。点击“添加主机”，在弹出的添加主机页面，键入主机名和主机IP确定即可。组下添加主机，点击“添加组”，弹出的添加组页面键入组名，左侧导航栏选择组，然后在组下添加主机即可。信息导入主机管理中的导入功能包括导入本地扫描数据和外部数据，外部数据可以是ldif或csv格式数据。(csv数据是可以被excel直接打开的逗号分割数据，字段格式要和主机扫描导出的数据一致，ldif是ldap数据格式)选择系统管理>主机信息>主机管理，选择左面要导入的用户节点后，点击“导入”按钮，在弹出的导入数据页面选择导入数据类型“确定”，即可导入数据。（提示：叶子节点不能导入数据）信息导出选择系统管理>主机信息>主机管理，选择左面要导出的用户节点后，点击“导出”按钮即可导出数据，导出数据为ldif格式。导出ldif文件格式扫描主机主机扫描主要功能是扫描主机IP对应的主机名。当用户没有手动导入主机信息时，可以通过主机扫描功能来扫描主机netbios名(对应主机要开netbios服务,windows默认开启此服务)，然后导入主机管理里面，从而用主机名来实现用户实名制映射。内网扫描：选择系统管理>主机信息>扫描主机点击“内网扫描”，填入用户内网网段，即可对内网主机名进行扫描。内网网段支持以下格式：1）网络号/掩码，如：/242）起始地址-结束地址，如：4-443）多个ip地址用逗号隔开，如：44,55，….4）或者以上三种格式的组合，之间用逗号隔开，如：/24,55-,…导出数据：扫描结果也可以通过页面导出来，供管理员编辑后再导入到主机管理里面。导出结果为csv格式。扫描结果也可以通过主机管理>导入数据，直接导入相应的组内。通过扫描的主机信息，映射实名制审计结果。 安全审计TA-DB能够对多种网络行为进行审计，支持对HTTP、FTP、SMTP、Pop3、WebMail、P2P、telnet、MSN、QQ等协议的审计记录，支持对SQLServer、Mysql、Oracle、DB2、Sybase、Informix等数据库操作行为的审计；同时也支持用户根据个人需求进行自定义审计。在“安全审计”里可以对已经收集到的数据根据协议分类进行查询分析。审计管理审计管理，包括应用协议审计、在线用户管理、数据库审计管理、列集配置、过虑器配置、审计配置、索引管理七个模块。应用协议审计登录系统，进入“应用协议审计”，可以看到所有协议的审计查询界面，同时提供了实时刷新查看的功能，点击“自动刷新数据”，可以自动显示最近十分钟内收到的最新数据；如果想看到更为详细的情况，请点击每条数据后面的“详情”按钮。应用协议审计列表对不同类型数据库的相关协议进行审计，例如：Oracle、Mysql、DB2等。可以通过设置时间段、起始时间、源地址、目的地址、协议内容等条件进行审计，并在审计结果提供审计结果详情，提供给管理员更完整的用户行为信息。注意：TA-DB所能监控与审计的协议因客户购买的授权许可不同，会存在一定的差别。点击安全审计>审计管理>应用协议审计，系统左侧会列出多种应用协议的选项。列表分成三部分：应用协议审计、应用协议分组审计和查询任务管理器。应用协议审计包括主流的应用层协议。应用协议分组主要是与目前大部分网络软件的应用相结合进行审计。HTTP审计HTTP审计包括网络发布审计和网页浏览审计。点击列表中的HTTP审计>网页浏览审计选项。网页浏览审计的审计条件分为基本条件设置、IP条件设置、时间条件设置、用户条件设置、网页浏览条件设置，上图列出的是基本条件设置，上面主要是设置审计的时间段，下图为IP条件设置，可以设置被审计内容的源IP和目的IP，可以是地址段。网页浏览条件设置是设置和网页浏览应用相关的选项。将审计选项设置好以后，点击页面右侧的查看结果集，就可以审计到符合所设置的条件的网页内容。显示审计结果的列表是可以用户修改的，用户可以根据自己对内容的关心程度，进行添加和隐藏。点击每一列上面的列名称右边的小三角，可以显示出一个下拉菜单，将鼠标滑动到“列”那一选项，系统又会显示一个菜单，这个菜单会列出许多复选框，这些复选框就是审计结果表格的列字段，点击复选框添加选中列，取消复选框删除选中列。例如选中源端口，显示结果如下：审计结果的列表会增加显示源端口一列。每条审计结果都有一列详情，详情能够还原出该审计结果的全部内容，点击详情会弹出新的窗口，显示还原内容。详情会显示与网页浏览相关的重要信息，包括访问地址、使用的浏览器以及服务器结果等。用户可以点击原始页面链接，跟踪到实际访问的页面。注意：不是所有的http审计事件的详情中都可以看见原始页面还原连接。一般只有访问类型为get类型的详情中才会看见原始页面还原连接。数据库操作审计数据库审计是针对使用不同类型的数据库进行网络操作的审计。审计结果详情中可以看见每条数据库操作语句。数据库操作审计包括：ORACLE审计、Mysql审计、Sqlserver审计、DB2审计、Informix审计、Sysbase审计、PostgreSQL审计。下面以ORACLE审计为例，进行页面说明。其他类型的数据库审计页面功能点类似，在此不一一阐述。ORACLE审计包括：基本条件设置、IP条件设置、时间条件设置、用户条件设置、Oracle条件配置。基本条件设置，设置审计内容的时间跨度，也可是设置自动刷新的时间间隔。IP条件设置，设置审计内容的源IP地址和目的IP地址，支持地址段添加。Oracle条件配置，设置数据库名、用户名、数据库表名等配置条件。将审计选项设置好以后，点击页面右侧的查看结果集，就可以审计到符合所设置的条件的网页内容。应用协议分组审计应用协议分组审计就是把一些常用的应用协议分组进行审计，用户可以根据需求自行选择审计内容。应用协议分组审计包括：网络视频、P2P下载、传统协议审计、远程控制、网络磁盘、财经股票审计、网络游戏审计、网络电话审计、网上银行、电子商务、数据库审计。以下选几个为例，简单说明一下。传统协议传统协议审计是针对使用TCP/IP协议进行网络操作的审计。点击应用协议分组审计列表中的传统协议选项，进入应用协议分组审计页面。传统协议审计包括：基本条件设置、IP条件设置、时间条件设置、用户条件设置、协议分组“传统协议”条件配置。基本条件设置，设置审计内容的时间跨度，也可是设置自动刷新的时间间隔。IP条件设置，设置审计内容的源IP地址和目的IP地址，支持地址段添加。协议分组“传统协议”条件设置是设置传统协议名称的选项。将审计选项设置好以后，点击页面右侧的查看结果集，就可以审计到符合所设置的条件的网页内容。财经股票股票交易审计是针对使用财经股票软件进行网络操作的审计。点击应用协议分组审计列表中的财经股票选项，进入财经股票协议设置页面。传统协议审计包括：基本条件设置、IP条件设置、时间条件设置、用户条件设置、协议分组“股票交易”条件配置。基本条件设置，设置审计内容的时间跨度，也可是设置自动刷新的时间间隔。IP条件设置，设置审计内容的源IP地址和目的IP地址，支持地址段添加。协议分组“财经股票”条件设置是设置财经股票软件名称的选项。将审计选项设置好以后，点击页面右侧的查看结果集，就可以审计到符合所设置的条件的网页内容。网络游戏网络游戏审计是针对使用网络游戏软件进行网络操作的审计。点击应用协议分组审计列表中的网络游戏选项，进入网络游戏审计设置页面。网络游戏审计包括：基本条件设置、IP条件设置、时间条件设置、用户条件设置、协议分组“网络游戏”条件配置。基本条件设置，设置审计内容的时间跨度，也可是设置自动刷新的时间间隔。IP条件设置，设置审计内容的源IP地址和目的IP地址，支持地址段添加。协议分组“网络游戏”条件设置是设置网络游戏名称的选项。将审计选项设置好以后，点击页面右侧的查看结果集，就可以审计到符合所设置的条件的网页内容。网络电话网络电话审计是针对使用网络电话软件进行网络操作的审计。点击应用协议分组审计列表中的网络电话选项，进入网络电话审计页面。网络电话审计包括：基本条件设置、IP条件设置、时间条件设置、用户条件设置、协议分组“网络电话”条件配置。基本条件设置，设置审计内容的时间跨度，也可是设置自动刷新的时间间隔。IP条件设置，设置审计内容的源IP地址和目的IP地址，支持地址段添加。协议分组“网络电话”条件设置是设置网络电话软件名称的选项。将审计选项设置好以后，点击页面右侧的查看结果集，就可以审计到符合所设置的条件的网页内容。网络电视网络电视审计是针对使用网络电视软件进行网络操作的审计。点击应用协议分组审计列表中的网络电视选项，进入网络电视审计设置页面。传统协议审计包括：基本条件设置、IP条件设置、时间条件设置、用户条件设置、协议分组“网络电视”条件配置。基本条件设置，设置审计内容的时间跨度，也可是设置自动刷新的时间间隔。IP条件设置，设置审计内容的源IP地址和目的IP地址，支持地址段添加。协议分组“网络电视”条件设置是设置网络电视软件名称的选项。将审计选项设置好以后，点击页面右侧的查看结果集，就可以审计到符合所设置的条件的网页内容。P2P下载P2P下载审计是针对使用P2P下载软件进行网络操作的审计。点击应用协议分组审计列表中的P2P下载选项，进入P2P下载审计设置页面。传统协议审计包括：基本条件设置、IP条件设置、时间条件设置、用户条件设置、协议分组“P2P下载”条件配置。基本条件设置，设置审计内容的时间跨度，也可是设置自动刷新的时间间隔。IP条件设置，设置审计内容的源IP地址和目的IP地址，支持地址段添加。协议分组“P2P下载”条件设置是设置P2P下载软件名称的选项。将审计选项设置好以后，点击页面右侧的查看结果集，就可以审计到符合所设置的条件的网页内容。数据库数据库审计是针对使用不同类型的数据库进行网络操作的审计。点击应用协议分组审计列表中的数据库选项，进入数据库审计设置页面。传统协议审计包括：基本条件设置、IP条件设置、时间条件设置、用户条件设置、协议分组“数据库”条件配置。基本条件设置，设置审计内容的时间跨度，也可是设置自动刷新的时间间隔。IP条件设置，设置审计内容的源IP地址和目的IP地址，支持地址段添加。协议分组“数据库”条件设置是设置数据库名称的选项。将审计选项设置好以后，点击页面右侧的查看结果集，就可以审计到符合所设置的条件的网页内容。其他流量其他流量审计是针对使用除上述软件以外的，其他类型软件进行网络操作的审计，包括一些远程桌面应用软件等。点击应用协议分组审计列表中的其他流量选项，进入其他流量审计设置页面。其他流量审计包括：基本条件设置、IP条件设置、时间条件设置、用户条件设置、协议分组“其他流量”条件配置。基本条件设置，设置审计内容的时间跨度，也可以设置自动刷新的时间间隔。IP条件设置，设置审计内容的源IP地址和目的IP地址，支持地址段添加。协议分组“其他流量”条件设置是设置其他流量软件名称的选项。将审计选项设置好以后，点击页面右侧的查看结果集，就可以审计到符合所设置的条件的网页内容。查询任务管理器查询任务管理器模块主要是任务查询功能。设置搜索查询条件查询即可。点击安全审计>审计管理>应用协议审计,进入业务查询页面，查询任务管理器。设置好相应查询条件，点击“查询任务”即可。显示区显示查询到的相关任务。页面上的参数说明如下：开始日期、开始时间：任务开始的日期、时间。点击下拉菜单选择。任务状态：有三种状态可以选择，正在运行、已停止、已完成。查询条件：选择相应类型的协议查询，包括webMAIL、电子邮件、FTP、网页等。在线用户管理在线用户管理显示统计使用pppoe账号或AD域用户登录的在线用户信息。在线用户的用户帐户、MAC地址、会话ID、上线时间都会很清楚的统计显示在页面上。分为pppoe在线用户、ADonlineuser（AD域下的用户）。数据库审计管理数据库审计管理包括自定义数据表名审计设置、自定义数据表字段审计设置。自定义数据表名审计设置用户可以根据自身业务情况，通过自定义数据表名配置，来配置针对某些特定数据表的操作。1）选中安全审计>审计管理>数据库审计管理>自定义数据表名审计设置，如下图。2）点击“添加”按钮，如下图。3）输入匹配表达式、数据表名，选择操作类型，如下图。“数据表名”处需填写数据表名称，也可以是“@”和数字的组合字符串，例如“@1”，“@2”等，其中“@”表示“匹配表达式”中的“(.*)”，数字则表示它在“匹配表达式”中的位置。“操作类型”包括：SELECT、LOGIN、UPDATE、DELETE、INSERT等，用户也自定义操作类型。“匹配表达式”支持正则表达式。设置完成后，点击“添加”按钮添加该匹配规则。为了避免出现错误配置，用户还可在“测试SQL命令”>“SQL操作语句”处填写SQL语句，然后点击“测试”按钮对添加的规则进行测试。自定义数据表字段审计设置用户可以根据自身业务情况，自定义数据表字段规则，可通过数据表名与匹配表达式的正则匹配来定义数据库操作中的数据表字段。1）选中安全审计>审计管理>数据库审计管理>自定义数据表字段审计设置，如下图。 2）点击“添加”按钮，如下图。3）输入匹配表达式、数据表名，数据表字段名，如下图。“数据表名称”可填入具体表名或“-”，“-”表示匹配所有数据表；“数据表字段名称”可填入数据表字段名或者“@”和数字的组合字符串，例如“@1”，“@2”等，其中“@”表示“匹配表达式”中的“(.*)”，数字则表示它在“匹配表达式”中的位置。“匹配表达式”：支持正则表达式。设置完成后，点击“添加”按钮添加该匹配规则。为了避免出现错误配置，用户还可在“测试SQL命令”>“SQL操作语句”处填写SQL语句，然后点击“测试”按钮对添加的规则进行测试。列集配置用户在查看具体事件时可能只希望查询其中的部分描述项，配置列集可以帮助用户确定需要查看的事件的具体描述项，实现以精简、概括的形式反映安全事件的最重要内容。列集配置主要实现过虑器的添加、修改、删除、刷新功能。添加列集。点击安全审计>审计管理>列集配置，点击“添加”，列集配置页面设置列集名称，列集列表中选择列集名，点击添加按钮，新的列集被添加。列集管理页面，左侧导航栏选择要修改的列集，修改以后，点击右下角“修改”按钮，完成修改。列集列表中选择要删除的列集，点击删除，列集被删除。过虑器配置为了方便用户筛选出希望查看的事件和保存不同的筛选条件，TA-DB添加了过滤器配置模块，它是一系列查询条件的集合。用户定义过滤器后可在系统报警、审计配置时直接应用。过滤器配置主要实现过虑器的添加、删除、刷新功能。（“策略下发”应用于有下级条件的时候）过滤器添加。点击“添加”按钮，进入过滤器配置页面。选择列集组中的列集,设置条件配置，配置完毕后，点击“添加”，完成过滤器添加。举例说明过虑器的添加。例如：添加一个过虑器aaa，过虑2012年的事件。点击“添加”，在过虑器列表组中选择基本列>事件ID。条件配置区：比较方式选择正则匹配，赋条件值ID=“*”点击条件“添加”，选择条件关系逻辑“与”，选择比较方式“等于”“条件值”键入2012，点击条件“添加”，键入过虑器名称aaa，备注信息aaa，点击页面右下角“添加”。过虑器添加完毕。如果要修改已添加的过虑器，选中过虑器，选择修改的过虑条件等，点击“修改”即可。审计配置审计配置模块主要完成审计条件的配置工作。审计配置显示区主要分三个功能区。条件配置区、审计条件名称、审计条件列表。条件配置区配置条件过虑器、列集；审计条件名称配置审计条件。审计模块中用户可以自定义审计查询，在协议端口中添加默认没有的匹配规则，添加对应的过滤器后，在审计配置中，就可以对默认没有的协议进行审计查询。配置步骤大概为：添加自定义审计规则，选择过滤器（用于过滤想要查看的数据），配置显示列集（用户显示所要查看的字段信息），即可完成自定义审计配置。审计配置为用户对审计数据进行灵活查询提供了便捷，用户在指定要审计的过滤条件以及要显示的列集字段后，即可查询某一时间段内的审计数据。如果用户想在某个审计条件中暂时改变过滤条件，而不改变显示字段时，可以点击“新建过滤器”按钮，临时修改过滤条件进行查询，但修改的过滤条件只是暂时的，对下次进行查询条件不会有任何影响。新建审计条件。点击页面左侧导航栏“审计条件列表”，在显示区配置审计条件，点击新建过虑器，新建列集。键入审计条件名称“添加”。选择审计条件，在右侧显示区配置查询条件（基本条件设置、IP条件设置、时间条件设置、用户条件设置），点击“查看结果集”，之后即可对满足过滤器配置的数据进行查询。支持审计结果导出功能、保存列集功能。索引管理索引是为了加快审计查询的速度，当进行查询的时间跨度比较长或者网络事件量比较大时，打开索引可以加快查询速度，添加索引管理功能。索引管理页面功能点，刷新、添加索引、删除索引、查看历史索引、删除所有历史索引、启动停止索引。添加索引：在索引管理页面点击“添加”，设置索引选项，键入基本信息，设置规则类型。如果选择字段索引，需要添加字段集；选择过虑器索引，需要在下拉菜单中选择过虑器。设置完毕后点击“保存”即可。新添加的索引会显示在主显示区的索引列表中。删除：选择要删除的索引，点击“删除”，索引项被删除。（索引类型是builtin类型的，是系统内置类型,不能删除）查看历史索引：选择某条索引，点击“查看历史索引”，弹出索引详细信息页面，页面显示索引详情，可以选择性的删除某段时间的索引信息。删除所有历史索引:是指删除这条索引所有时间段的索引信息。系统日志管理系统可以随时记录用户登录操作、系统自动操作、CLI命令操作以及系统状态情况的自审计日志，管理员可以通过查看自审计日志，随时了解系统的操作情况和运行状态。页面提供查询功能供管理员查看。系统完整记录了系统自审计日志，管理员可以在安全审计>系统日志管理下查看系统运行的所有日志，查看不同用户的操作情况。系统日志事件处理中心主菜单中依次点击：安全审计>系统日志管理>系统日志事件处理中心，插件配置信息，如下图：具体配置方式和报警事件处理中心一样，可参见HYPERLINK5.3.4报警事件处理中心。系统日志审计主菜单中依次点击：安全审计>系统日志管理>系统日志审计，如下图：如图步骤显示，首先设置好查询条件，然后点击“查询结果集”，查询结果显示在“日志审计结果”中，可进行翻页查看所有结果。自定义日志规则主菜单中依次点击：安全审计>系统日志管理>自定义报警规则，如下图：具体配置方式和HYPERLINK5.3.3自定义报警规则一样，可参考设置。注意：修改完规则后需要点击应用规则，修改才生效。系统报警管理系统报警管理模块可以为用户提供警告的查看查询功能。设备所进行的一切网络行为的审计都是为了在网络出现危险事件之后可以及时记录事件信息。用户在系统中配置告警规则之后，根据告警规则触发的告警日志，并对告警日志进行存储，存储之后可以在页面进行查询和展示。此模块可以实现查询查看告警日志的功能。系统报警审计主菜单中依次点击：安全审计>系统报警管理>系统报警审计，进入系统报警审计页面。如下图：1）在选项栏设置好查询条件（例如：设置查询的开始结束时间；选择设备、报警来源报警级别等）；2）然后点击“查询结果集”，在报警审计结果栏中查询显示结果。可进行翻页查看所有结果；可以设置查询结果显示的列。例如，查询的结果不想显示时间列，可以选择列的下拉框，反选要去除的列即可。如下图：系统报警规则主菜单中依次点击：安全审计>系统报警管理>系统报警规则，如下图：系统规则为系统初始库，用户不能删除，可对本条规则启用、禁用和批量修改，可直接点击状态栏中的标志进行启、禁用设置。也可选中规则，点击修改，进行详细配置，如下图：1）阻断规则配置：勾选“阻断处理”，在下拉框中选择已有规则。需要设置新的规则，点击阻断规则配置,弹出如下配置窗口：可选择已有配置，双击规则名即可选中当前规则作为联动规则。删除规则：选中目标规则名称，点击删除；添加规则：在阻断规则列表页面点击“添加”，弹出阻断规则配置页面，如下图：填写规则名称等参数，其中IP地址填入方式，例如，端口方式为：8080或区间0-65535，IP和端口不填则使用默认参数（默认参数：从通信事件中提取IP和端口）,其他配置可根据界面提示填入相应值，完成配置后点击“保存”。2）防火墙联动配置：勾选防火墙联动处理，在下拉框中选择已有规则。需要设置新的规则，点击“联动规则配置”,弹出如下配置窗口：可删除原有规则：选中规则名称，点击“删除”。添加规则：点击“添加”，弹出联动规则配置页面，如下图：下拉框选择防火墙地址，其中IP地址可以通过联合掩码来设置一个网段的IP（比如IP：掩码，则代表处理/24网段所有IP）,默认留空则会使用默认规则（默认规则为：从通信事件中提取IP和端口信息），其他配置可根据界面提示填入相应值，完成配置后点击“保存”。注意：修改完规则后需要点击应用规则，修改才生效。自定义报警规则主菜单中依次点击：安全审计>系统报警管理>自定义报警规则，如下图：同系统规则一样，可以对规则进行启用、禁用，但自定义规则除了可以修改外，还可以添加、删除；1）删除规则：选中目标规则，点击删除。2）修改规则：选中目标规则，点击“修改”，弹出如下对话框：可以对已有配置进行修改，处理方式可以参照系统规则设置阻断规则配置、联动规则配置。3）添加规则：点击添加，弹出如下对话框：填入名称，选择过滤规则（过滤规则添加可参看安全审计>审计管理>过滤器配置），报警级别及分组，并设置报警内容。处理方式可以参照系统规则设置阻断规则配置、联动规则配置。报警事件处理中心报警事件处理中心，实现各插件的配置管