2022华为乾坤安全云日志审计产品文档

华为乾坤安全云服务文档版本发布日期012022-08-31华为乾坤安全云服务云日志审计产品文档目录目录HYPERLINKHYPERLINKHYPERLINKHYPERLINKHYPERLINKHYPERLINKHYPERLINKHYPERLINKHYPERLINKHYPERLINKHYPERLINKHYPERLINKHYPERLINKHYPERLINKHYPERLINKHYPERLINKHYPERLINKHYPERLINKHYPERLINKHYPERLINKHYPERLINKHYPERLINKHYPERLINKHYPERLINKHYPERLINKHYPERLINKHYPERLINKHYPERLINKHYPERLINKHYPERLINKHYPERLINKHYPERLINK\l"br38"更多操作HYPERLINK\l"br38"...................................................................................................................................................................................HYPERLINK\l"br38"HYPERLINK\l"br38"35文档版本01(2022-08-31)iii华为乾坤安全云服务云日志审计产品文档1产品介绍1产品介绍1.1什么是云日志审计当前企业面临的挑战●随着互联网规模的扩大，网络安全事件越来越多，企业需要部署越来越多的安全设备，不同设备每天产生数以千万计的日志信息，导致日志收集、分析、管理困难。●●不同设备的日志格式不一样，各有各的描述规则，需要安全管理人员了解每种设备类型的日志格式，海量设备对安全管理人员的专业能力要求高。随着企业网络持续扩张，需要审计系统具备平滑的扩容能力，以应对日益增加的海量日志数据。传统静态扩容会造成日志接收中断，重大紧急安全事件无法溯源，安全隐患大。产品概述产品架构云日志审计服务是一站式的日志数据云端管理平台，主要致力于提供事后溯源取证的安全能力。通过对日志数据的接收、解析、管理，对各种安全威胁和异常行为事件进行溯源取证，为管理人员提供全局的视角，确保客户业务的不间断运营安全。云日志审计服务由云端日志管理中心和用户本地网络的天关组成。用户资产将日志以syslog协议通过天关/防火墙代理发送到云端，云端服务对日志进行解析、存储。云日志审计服务的产品架构如HYPERLINK\l"br5"图HYPERLINK\l"br5"1-1所示。文档版本01(2022-08-31)1华为乾坤安全云服务云日志审计产品文档1产品介绍图1-1产品架构图表1-1主要设备/模块介绍部署位置设备/模功能介绍块名称云端资产管理●负责用户资产的录入和管理。●负责为数据治理服务提供资产数据下发的功能。数据治理●负责提供日志数据接收和存储服务。●●负责提供日志查询和统计功能。负责集群和数据管理功能。云日志审负责对日志数据的接收、解析，及时发现各种安全威胁和计异常行为事件。文档版本01(2022-08-31)2华为乾坤安全云服务云日志审计产品文档1产品介绍部署位置设备/模功能介绍块名称企业内部网天关/防络火墙云日志审计服务与企业内部网络的通信桥梁，用户资产的日志数据通过天关/防火墙上传到云端。资产日志实时发送到天关/防火墙，天关/防火墙最大间隔10s会将日志上传云端。1.2功能特性云日志审计服务支持的功能如下：●日志接收/解析/存储：–支持接收不同类型资产（如服务器/终端、网络设备、安全设备、业务系统等）所产生的日志，将日志留存在云端，实现日志的集中管理和存储。––支持解析多种格式及多种来源的日志，将其标准化。支持日志审计留存在云端，支持180天的日志留存时长。●●日志查询：–支持用户按需实时查询日志信息，查询条件包含时间、日志级别、日志类型、资产名称、源/目的IP地址和端口等。–支持多关键字组合精确查询日志。审计资产管理：–支持增加多种类型的资产，如服务器、终端设备、网络设备、安全设备等，并对资产的等级进行标识，为客户判断是否需要进行日志审计提供参考信息。–支持灵活管理需要审计的资产。●日志审计统计数据可视化：–––––支持查看当前所有日志数量以及各日志级别的日志数量。支持查看当前类型的日志数量。支持按时间段查看日志数量趋势图，如近7天、近一个月。支持查看当前审计的资产数量及类型。支持按资产重要性等级查看日志数量及占比。1.3产品优势云日志审计服务的产品优势如下：●全面满足等保合规要求：集日志接收、存储、解析、查询合规于一体，可以快速实现网络设备、安全设备、Windows/Linux操作系统、中间件等资产的日志审计，全面满足各个行业及组织的等保2.0要求。●●统一的日志解析规则：针对复杂格式日志，提供统一日志解析规则，提高企业的日志管理能力。动态扩容，业务零中断：快速方便的实现存储的分钟级快速扩容，确保业务不中断。文档版本01(2022-08-31)3华为乾坤安全云服务云日志审计产品文档1产品介绍1.4应用场景云日志审计服务的应用场景如下：●等保合规场景国家法律法规逐步健全完善，对日志审计提出明确要求。日志审计作为网络安全基础建设的关键一环，国家高度重视。–2017年6月1日起施行的《中华人民共和国网络安全法》中规定：采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月。–《网络安全等级保护基本要求》（GB∕T22239-2019）中规定：二到四级需要对网络、主机、应用安全三部分进行日志审计，留存日志需符合法律法规规定。●满足系统安全管理需求当前信息安全形势日益严峻，信息安全防护工作面临前所未有的困难和挑战。云日志审计服务能够帮助用户更好监控和保障信息系统运行，及时识别针对信息系统的入侵攻击、内部违规等信息，能够为安全事件的事后分析、调查取证提供必要的信息。1.5约束与限制云日志审计服务支持的天关/防火墙型号如下：表1-2支持的天关/防火墙型号类别设备型号天关USG6000E系列：USG6501E-C/6502E-C/6503E-C防火●USG65xxE系列：USG6515E/6525E/6530E/6550E/6555E/6560E/6565E/墙6575E-B/6580E/6585E●●USG6000E-Exx系列：USG6000E-E03/6000E-E07USG65xxE-K系列：USG6520E-K/6560E-K/6590E-K天关/防火墙的相关约束如下：●●●天关/防火墙接收日志的速率默认为3000条/秒，当企业内所有资产每秒上报的日志数量总和超过3000条后，天关/防火墙就会丢弃超过阈值的日志。天关/防火墙最大支持的单条日志长度为1024字节，对长度超过1024字节的日志会进行截断。天关/防火墙与资产之间不允许存在NAT设备，否则可能导致无法解析出资产的实际IP地址。如果企业内部网络存在NAT设备，需要在资产和NAT设备之间部署独立的天关/防火墙，并开启日志审计服务。文档版本01(2022-08-31)4华为乾坤安全云服务云日志审计产品文档1产品介绍1.6套餐介绍套餐购买说明云日志审计服务采用线下购买方式，通过选择资产数和服务年数进行购买，如：20个资产，1年。说明●●●资产数：企业中所有上报日志的资产数量。服务年数：企业使用云日志审计服务的时长。套餐中单个资产一天产生的日志量按0.6GB来估算，购买套餐时请根据企业实际上报日志的资产数，以及单资产一天实际产生的日志量来选择。●以“20个资产，1年”套餐为例，可满足上报日志的资产数在20以内，每天上报日志总量不超过12GB（20*0.6GB）的业务需求，如果预估每天上报的日志总量将超过12GB，则建议增加购买资产数，否则服务年数将无法达到1年，且无法满足归档日志存储180天的需求。套餐扣减方式云日志审计服务的套餐扣减方式为每天凌晨2:00定时在当前套餐余额的基础上扣减前一天的日志量。具体扣减方式如下：1..计算前一天所有资产上报的平均日志量。平均日志量不足0.6GB/天，按0.6GB扣减，超过0.6GB/天，按实际扣减。公式：前一天的平均日志量=前一天总日志量/前一天上报日志的资产数2计算剩余套餐余额。公式：剩余套餐余额=当前剩余的套餐余额-前一天上报日志的资产数*平均日志量举例说明：以“20个资产，1年”套餐为例，介绍详细扣减方式。“20个资产，1年”套餐，则总的初始套餐余额=资产数*单资产一天产生的日志量*天数=20*0.6GB*365天=4380GB。假设第5天时，剩余套餐余额为4320GB，当天有20个资产上报日志，日志总量为20GB，则平均日志量为1GB/天（超过0.6GB/天，按实际进行扣减），扣减量为20*1GB=20GB。第6天凌晨2:00，系统会对第5天的套餐余额进行扣减，则扣减后，第6天剩余套餐余额=第5天的总套餐余额-第5天的扣减量=4320GB-20GB=4300GB。说明●●●当剩余套餐余额不足时，系统会发送告警，提醒用户追加购买套餐。当剩余套餐余额为0时，将不再接收审计日志。若订单（即服务年数）已达到一年服务期限，但此时剩余套餐余额大于0。此情况下，因订单到期会冻结用户资源池，不再接收审计日志，需要客户追加购买新套餐后再使用。●若归档日志剩余存储容量为0时，但此时剩余套餐余额大于0，则新的日志会覆盖最早的日志。此情况下，客户的归档日志存储时间可能达不到180天。文档版本01(2022-08-31)5华为乾坤安全云服务云日志审计产品文档1产品介绍1.7权限管理角色是用户操作权限的集合。在创建用户时，给用户赋予了什么样的角色，用户就拥有了什么样的操作权限。华为乾坤云服务控制台支持自定义角色。同时，为了方便客户配置，控制台预置了多种角色，包括公共类角色和服务类角色。本节主要介绍与本服务相关的预置角色。如果您想了解更多角色类信息，请参考《租户操作指南》的“租户帐号管理>背景知识”章节。表1-3预置角色及权限说明角色名称说明云日志审计服务管具有云日志审计服务的查看、编辑权限。理员云日志审计服务审具有云日志审计服务的查看权限。计员云日志审计服务共预留，暂不使用。享角色表1-4预置角色与操作权限的详细对应关系操作权限类别和权限a云日志审计服务管理员云日志审计服云日志审计服务务审计员共享角色日志审审计资产查询计服务管理√√√√√√√√√√-暂不使用。编辑日志导出查询编辑√-日志明细查询服务指引查询服务授权查询编辑√√√-首页查询√说明：a：在租户帐号下的“访问控制>角色管理”中，新建角色时呈现。文档版本01(2022-08-31)6华为乾坤安全云服务云日志审计产品文档1产品介绍1.8安全声明介绍云日志审计服务特性使用相关的安全声明。●云日志审计服务仅接收审计资产主动上报的日志，这些日志记录了用户对审计资产的操作，云日志审计服务作为日志接收方，不会主动采集审计资产的其他数据。●审计日志存储在云端，支持按租户进行隔离，保证日志数据访问安全。文档版本01(2022-08-31)7华为乾坤安全云服务云日志审计产品文档2购买指南2购买指南2.1注册帐号背景信息华为乾坤云服务控制台是使用华为乾坤云服务的界面，登录前需要注册华为乾坤云服务帐号。操作步骤1..访问华为乾坤云服务控制台。按照界面提示，注册帐号。详细注册步骤请参考帐号注册。22.2购买服务●●购买方式：客户需通过华为/渠道工程师在配置器SCT上购买。配套款型：只配套特定的天关或防火墙型号，具体型号如HYPERLINK\l"br11"表HYPERLINK\l"br11"2-1所示。表2-1天关或防火墙的型号设备类设备型号型支持版本天关USG65xxE-C：USG6501E-C/6502E-C/6503E-CV600R007C20SPC300及其后续版本针对云日志审计服务，支持的版本为V600R007C20SPC500及其后续版本。文档版本01(2022-08-31)8华为乾坤安全云服务云日志审计产品文档2购买指南设备类设备型号型支持版本防火墙●USG65xxE：USG6515E/6525E/●USG6530E：6530E/6550E/6555E/6560E/6565E/6575E-B/6580E/6585EV600R007C20SPC501及其后续版本●●USG6000E-Exx：USG6000E-●其他型号：E03/6000E-E07V600R007C20SPC500及其后续版本USG65xxE-K：USG6520E-K/6560E-K/6590E-K2.3开通服务前提条件●●已线下购买云服务。已注册华为乾坤云服务帐号。操作步骤1234.以租户帐号登录华为乾坤云服务控制台。在界面右上方单击“订单”，选择“我的套餐”页签。单击“开通服务”。...单击“根据授权ID激活”，输入“授权ID”，单击“开通”。授权ID”请参考界面提示“查看授权ID获取方式”进行获取。“图2-1开通服务界面5.查看服务开通情况。在“我的套餐”页签下，如果套餐对应的“状态”为“正常”，说明开通成功。文档版本01(2022-08-31)9华为乾坤安全云服务云日志审计产品文档2购买指南后续操作购买服务后，您还需要在天关或防火墙上做一些配置，以完成天关或防火墙与云服务对接，具体操作请参考《天关和防火墙上线》。文档版本01(2022-08-31)10华为乾坤安全云服务云日志审计产品文档3天关和防火墙上线指南3天关和防火墙上线指南本服务需要在客户侧部署天关或防火墙才能正常使用。服务支持的天关或防火墙型号如HYPERLINK\l"br14"表HYPERLINK\l"br14"3-1所示，具体操作请参考《天关和防火墙上线》。表3-1天关或防火墙的型号设备类型设备型号支持版本天关USG65xxE-C：USG6501E-C/6502E-C/6503E-CV600R007C20SPC300及其后续版本针对云日志审计服务，支持的版本为V600R007C20SPC500及其后续版本。防火墙●USG65xxE：USG6515E/6525E/6530E/●USG6530E：V600R007C20SPC501及其后续版本6550E/6555E/6560E/6565E/6575E-B/6580E/6585E●●USG6000E-Exx：USG6000E-●其他型号：E03/6000E-E07V600R007C20SPC500及其后续版本USG65xxE-K：USG6520E-K/6560E-K/6590E-K文档版本01(2022-08-31)11华为乾坤安全云服务云日志审计产品文档4快速入门4快速入门4.1授权日志采集权限场景描述用户授权日志采集权限，即表明用户同意授权云服务对资产上报的日志进行收集、分析，并提供查询、预警等功能。云服务将会对相关数据采取对应的安全保障措施，用户享有随时访问、更改、删除相关数据的权利。云服务会对用户的授权/取消授权操作进行记录。只有用户授权日志采集权限后，云服务才能对已审计资产上报的日志进行相应操作。操作步骤步骤1登录华为乾坤云服务控制台，选择“>我的服务>云日志审计”。步骤2若租户没有为服务授权，页面右上角悬浮显示云日志审计服务授权提醒，单击“立即授予”。如果未提醒，请在右上角菜单栏中选择“服务授权”，进入服务授权界面。图4-1云日志审计服务授权提醒步骤3在授权协议下方勾选“我已知晓”，单击“确认授权”。图4-2云日志审计服务授权文档版本01(2022-08-31)12华为乾坤安全云服务云日志审计产品文档4快速入门授权之后，您可以看到当前授权状态。图4-3查看授权状态----结束4.2（可选）添加天关/防火墙背景信息如客户已购买和使用边界防护与响应服务/漏洞扫描服务，在已添加过天关/防火墙的情况下，此章节可跳过。操作步骤此处操作步骤以天关为例说明，防火墙的操作步骤相同。步骤1登录华为乾坤云服务控制台，在右上角菜单栏选择“资源>天关设备”。图4-4添加天关设备步骤2在“天关列表”区域的右上角，单击“添加”。文档版本01(2022-08-31)13华为乾坤安全云服务云日志审计产品文档4快速入门图4-5添加天关设备表4-1设备参数说明参数说明设备名称ESN仅能包含字母、数字、中文和规定字符（请参见页面说明）。天关设备的电子序列号（ElectronicSerialNumber，10~40位，只包含数字和字母），一般可从设备背面的铭牌获取。设备款型站点天关设备的具体款型。天关设备所属站点。站点是基于地理信息的设备集合，是设备分域的最小单位，是网络、安全质量评估的对象。备注仅能包含字母、数字、中文和规定字符（请参见页面说明）。防护网段每行可配置防护网段及范围，行之间用回车分隔。示例：/1-55步骤3查看已添加的天关，“设备状态”应该为“正常”。文档版本01(2022-08-31)14华为乾坤安全云服务云日志审计产品文档4快速入门天关注册上线时间根据网络状况有所差异（一般约为5分钟），请耐心等待。图4-6查看设备状态----结束4.3添加审计资产背景信息待审计的资产需要先录入云端，添加为审计资产，并进行日志上报配置，才能正常使用云日志审计服务。录入资产当前云日志审计服务支持的资产类型如下：表4-2资产类型资产类型具体资产类型型号软件版本网络设备交换机路由器防火墙华为：通用华为：通用华为：通用通用通用通用安全设备服务Windows操●Windows7及之后版本器/终作系统●WindowsServer2008R2及之后版本端Linux操作系●EulerOS2.2及之后版本统●CentOS5及之后版本录入资产有2种方式，您可以选择任意一种方式录入资产。方式1：在控制台首页的“资源>资产管理”界面中录入具体步骤请参见《租户操作指南》中的“资产管理”章节。方式2：在云日志审计服务的“审计资产管理”界面中录入文档版本01(2022-08-31)15华为乾坤安全云服务云日志审计产品文档4快速入门1..登录华为乾坤云服务控制台，选择“>我的服务>云日志审计”。2在右上角菜单栏选择“审计资产管理”，单击“添加”。3..在“未选资产”区域的右上角单击“录入资产”。填写资产信息，单击“确定”。4图4-7录入资产添加审计资产步骤1登录华为乾坤云服务控制台，选择“>我的服务>云日志审计”。步骤2在右上角菜单栏选择“审计资产管理”，单击“添加”。步骤3在“未选资产”列表中勾选资产，添加到“已选资产”列表中，单击“确定”。支持按照资产名称、资产重要性等级、资产类型进行排序。文档版本01(2022-08-31)16华为乾坤安全云服务云日志审计产品文档4快速入门图4-8添加审计资产----结束4.4配置日志上报4.4.1配置前说明添加审计资产后，您还需要分别在天关/防火墙和资产上进行日志上报配置，配置后资产产生的日志才会通过天关/防火墙上报到云端。了解配置流程配置前请先了解日志上报的配置流程，如HYPERLINK\l"br21"图HYPERLINK\l"br21"4-9所示。文档版本01(2022-08-31)17华为乾坤安全云服务云日志审计产品文档4快速入门图4-9配置流程获取天关/防火墙侧的IP地址请先获取天关/防火墙侧与资产通信的IP地址，在后续配置中会用到。本文中以为例，实际中请替换为查询到的地址。此处以天关为例介绍获取IP地址的步骤，防火墙的获取方法与天关类似。步骤1初次配置天关需要使用管理PC连接到天关的管理口（MGMT），通过浏览器访问:8443/，输入管理员帐号和密码（无缺省的管理员帐号和密码，首次登录简易界面时可以进行注册）。图4-10登录界面步骤2选择“网络>接口”，进入接口列表页面。文档版本01(2022-08-31)18华为乾坤安全云服务云日志审计产品文档4快速入门图4-11进入接口列表步骤3过滤“接口类型”查询VLAN接口，根据实际组网部署，找到与企业内部资产通信的VLAN接口，记录其IP地址，用于后续配置。如果是智能机，接口不一定是VLAN接口，找到与企业内部资产通信的接口，记录其IP地址。图4-12查看天关的接口步骤4（可选）如果VLAN接口未配置IP地址，请单击接口后的编辑图标，配置可用的IP地址。图4-13修改VLAN接口地址----结束4.4.2配置天关/防火墙本章节适用于客户已经购买并使用天关/防火墙的场景，如已经购买并使用了边界防护与响应服务或漏洞扫描服务。如果是首次购买使用天关/防火墙，您需要参考HYPERLINK\l"br14"天关和防HYPERLINK\l"br14"火墙上线指南，先完成设备与云平台的对接，再参考本章节配置。文档版本01(2022-08-31)19华为乾坤安全云服务云日志审计产品文档4快速入门此处以天关为例介绍配置方法，防火墙与天关相同。步骤1使用管理员帐号登录天关的界面。详细登录方法请参见HYPERLINK\l"br21"步骤HYPERLINK\l"br21"1。步骤2单击页面右下角的“CLI控制台”。步骤3进入系统视图。system-view步骤4配置设备与资产通信的IP地址和端口号。cloud-serviceaudit-logipport514#为天关侧与资产通信的地址，端口默认：514步骤5（可选）查看配置结果。displaycurrent-configuration|includecloud步骤6退出系统视图。quit#退出系统视图步骤7输入命令，保存配置信息，确保设备重启后配置仍然生效。系统显示确认信息，请输入“y”。save#默认保存到vrpcfg.zip文件中，该文件为系统下一次启动的配置文件步骤8（可选）进入系统视图，查看系统下次启动使用的配置文件。system-viewdisplaystartup----结束文档版本01(2022-08-31)20华为乾坤安全云服务云日志审计产品文档4快速入门4.4.3配置资产网络设备以华为交换机和华为路由器为例，说明网络设备的配置方法。华为交换机步骤1输入管理员帐号和密码，登录交换机设备。步骤2进入系统视图。system-view步骤3执行以下命令。[[Huawei]info-centerenableHuawei]info-centerloghost//启用日志服务//配置日志发送到天关，为天关侧与资产通信的内网IP地址----结束华为路由器步骤1输入管理员帐号和密码，登录路由器设备。步骤2进入系统视图。system-view步骤3执行以下命令。[[Huawei]info-centerenableHuawei]info-centerloghost//启用日志服务//配置日志发送到天关，为天关侧与资产通信的内网IP地址----结束安全设备以华为防火墙为例，说明安全设备的配置方法。步骤1输入管理员帐号和密码，登录防火墙设备。步骤2进入系统视图。system-view步骤3执行以下命令。[[Huawei]info-centerenable//启用日志服务//配置日志发送到天关，为天关侧与资产通信的内Huawei]info-centerloghostport514网IP地址----结束服务器/终端（Linux操作系统）1..以用户登录服务器/终端。2开启审计功能。systemctlstartauditd3.编辑配置文件/etc/rsyslog.conf。vi/etc/rsyslog.conf文档版本01(2022-08-31)21华为乾坤安全云服务云日志审计产品文档4快速入门4.按“I”键，进入编辑模式，在配置文件/etc/rsyslog.conf的最后追加如下信息。该配置将设备产生的错误日志、内核和后台进程日志（级别为notice）、认证日志（类型为auth，级别为）、审计日志发送到天关。####采集audit日志####$$$$$$$ModLoadimfileInputFileName/var/log/audit/audit.logtag_audit_log:InputFileStateFileaudit_logInputFileSeverityInputFileFacilitylocal6InputRunFileMonitor######################*.err;kern.notice;daemon.notice;;@#此处需要修改说明●●“@”前为一个键，请勿遗漏。为天关侧与资产通信的内网IP地址，根据实际修改。5.6.7.按“Esc”键，退出编辑模式。输入，保存并退出文件。重启rsyslog服务。systemctlrsyslog服务器/终端（Windows操作系统）操作步骤步骤1下载nxlog工具，通过nxlog工具进行日志上报。进入工具下载地址，根据操作系统找到相应的安装包，如nxlog-ce-x.x.xxx.msi。图4-14下载nxlog工具步骤2安装nxlog工具。选中nxlog-ce-x.x.xxx.msi文件，右键单击“安装”（或以管理员身份运行），按照提示默认安装即可。步骤3修改配置文件nxlog.conf，默认在“Files\nxlog\conf”下。“C:\Files\nxlog”为nxlog的默认安装路径。1.根据实际情况先修改以下文件内容，再将其覆盖nxlog.conf中的内容。说明如果系统提示无权限修改nxlog.conf文件时，请参见HYPERLINK\l"br27"异常处理进行处理。###Pleasesetthetotheyournxloginstalled#otherwiseitwillnotstart.defineFiles\nxlogModuledir%ROOT%\modulesCacheDir文档版本01(2022-08-31)22华为乾坤安全云服务云日志审计产品文档4快速入门Pidfile%ROOT%\data\nxlog.pidSpoolDirLogFile%ROOT%\data\nxlog.log<<<Extensionsyslog>Modulexm_syslog/Extension>Inputeventlog>Moduleim_msvistalog<QueryXML><QueryList><QueryId="0"><<<SelectPath="Application">*</Select>SelectPath="Security">*</Select>SelectPath="System">*</Select></Query></QueryList>/QueryXML><</Input><Outputudp>Moduleom_udp514to_syslog_ietf();Host/Output><<<Routeeventlog_to_udp>/Route>eventlog=>udp–define中的安装路径需要修改为nxlog的实际安装路径。defineFiles\nxlog–<Outputudp>…</Output>中Host的值需修改为天关侧与资产通信的内网IP地址，Port需修改为在天关配置的端口，与HYPERLINK\l"br23"步骤HYPERLINK\l"br23"4中配置的端口号保持一致。Host5142.（可选）修改input元素。针对不同的Windows操作系统版本，配置稍有差异。–Windows操作系统为WindowsXP/2000/2003版本时，需要修改nxlog.conf文件中的Input元素。–Windows操作系统为WindowsVista、Windows2008及之后版本时，不需要修改。<Inputeventlog>Moduleim_mseventlog../Input>.<步骤4返回桌面，右键单击“开始>运行”，或同时按“Windows+R”，打开“运行”窗口。步骤5输入services.msc，单击“确定”。步骤6启动或重启nxlog服务，重启后配置文件才能生效。文档版本01(2022-08-31)23华为乾坤安全云服务云日志审计产品文档4快速入门图4-15启动nxlog服务说明如果重启服务时，系统提示错误1053：服务没有及时响应启动或控制请求，请确认HYPERLINK\l"br25"步骤HYPERLINK\l"br25"3.1中配置文件define行的安装路径是否正确。----结束异常处理使用普通用户修改nxlog.conf文件时，可能存在修改后无法保存的情况，请按照以下步骤为该用户添加写权限。步骤1右键单击配置文件nxlog.conf，选择“属性>安全”。步骤2单击“编辑”，在“组或用户名”区域框中选择“Users（XXXX）”，勾选允许“修改”和“写入”权限，单击“应用”，单击“确定”。文档版本01(2022-08-31)24华为乾坤安全云服务云日志审计产品文档4快速入门图4-16添加写入修改权限----结束4.5验证日志查询步骤1登录华为乾坤云服务控制台，选择“>我的服务>云日志审计”。步骤2在右上角菜单栏选择“审计资产管理”。步骤3查看日志上报状态是否正常，鼠标悬停在图标上可查看具体原因。图4-17查看日志上报状态步骤4确认日志上报状态正常后，单击资产对应的“日志查询”可查询日志。文档版本01(2022-08-31)25华为乾坤安全云服务云日志审计产品文档4快速入门步骤5在日志查询界面输入原始日志中包含的关键字，或在高级搜索中设置相应的搜索条件，如能查询到对应资产的日志信息，证明日志查询功能正常。资产日志实时发送到天关/防火墙，天关/防火墙最大间隔10s会将日志上传云端。图4-18日志信息----结束文档版本01(2022-08-31)26华为乾坤安全云服务云日志审计产品文档5用户指南5用户指南5.1查看上报日志概览场景描述云日志审计服务首页将日志相关的数据实时呈现在界面上，展现日志数量变化、日志类型分布等信息。操作步骤步骤1登录华为乾坤云服务控制台，选择“>我的服务>云日志审计”。步骤2查看云日志审计服务首页。图5-1首页文档版本01(2022-08-31)27华为乾坤安全云服务云日志审计产品文档5用户指南表5-1首页介绍板块模块说明服务价值呈现云日志审计已展示日志留存的天数、各种级别的日志数量。为您服务X天日志类型展示已上报日志中数量的日志类型。统计接入资产类型展示已审计资产的数量及类型分布。目前支持的资产类型请参见《云日志审计服务快速入门》中的“添加审计资产”章节。日志数量趋势展示近七天/近一月上报日志的数量变化趋势。日志数量按资根据已审计资产的重要性等级，展示各等级资产上报产重要性分布日志的分布及占比。●●●核心：资产安全属性破坏后可能对组织造成非常严重的损失。重要：资产安全属性破坏后可能对组织造成比较严重的损失。普通：资产安全属性破坏后可能对组织造成较低的损失。小坤智能助手有X个问题待处理●提供日志查询的快捷入口。●●提供套餐续费的快捷入口。提供查看日志上报状态异常的审计资产的快捷入口。小坤已为您处云端对异常事件自动处理，保障用户业务正常运行。理展示近24小时此类事件的数量和概要。----结束5.2审计资产管理5.2.1添加审计资产预审计资产录入云端后，还需要添加到已审计资产列表，并进行日志上报配置，才能正常使用云日志审计服务。前提条件预审计资产已录入云端。如预审计资产尚未录入云端，请参见录入资产完成相关准备工作。文档版本01(2022-08-31)28华为乾坤安全云服务云日志审计产品文档5用户指南操作步骤步骤1登录华为乾坤云服务控制台，选择“>我的服务>云日志审计”。步骤2在右上角菜单栏选择“审计资产管理”，单击“添加”。步骤3在未选资产列表中勾选资产，添加到已选资产列表中，单击“确定”。支持按照资产名称、资产重要性等级、资产类型进行排序。图5-2添加审计资产----结束5.2.2删除审计资产场景描述当用户希望某个审计资产停止上报日志时，可以将该审计资产从审计资产列表中移除。移除审计资产后，您仍可在资产管理页面中查看此资产，此资产上报过的历史日志也仍支持查询操作。操作步骤步骤1登录华为乾坤云服务控制台，选择“>我的服务>云日志审计”。步骤2在右上角菜单栏选择“审计资产管理”。步骤3单击审计资产卡片操作栏的“删除”按钮。文档版本01(2022-08-31)29华为乾坤安全云服务云日志审计产品文档5用户指南说明如果需要删除多个审计资产，请勾选待删除的审计资产，单击页面右上角的“删除”。图5-3删除审计资产----结束5.3授权管理场景描述用户授权日志采集权限，即表明用户同意授权云服务对资产上报的日志进行收集、分析，并提供查询、预警等功能。云服务将会对相关数据采取对应的安全保障措施，用户享有随时访问、更改、删除相关数据的权利。云服务会对用户的授权/取消授权操作进行记录。只有用户授权日志采集权限后，云服务才能对已审计资产上报的日志进行相应操作。操作步骤步骤1登录华为乾坤云服务控制台，选择“>我的服务>云日志审计”。步骤2若租户没有为服务授权，页面右上角悬浮显示云日志审计服务授权提醒，单击“立即授予”。如果未提醒，请在右上角菜单栏中选择“服务授权”，进入服务授权界面。图5-4云日志审计服务授权提醒步骤3在授权协议下方勾选“我已知晓”，单击“确认授权”。图5-5云日志审计服务授权授权之后，您可以看到当前授权状态。文档版本01(2022-08-31)30华为乾坤安全云服务云日志审计产品文档5用户指南图5-6查看授权状态----结束后续处理为服务授权后，您可以进行以下操作：●按照实际需要，随时“取消授权”或重新“授权”。说明您可以单击控制台上方帐号，选择“个人中心>网站协议>历史签署”查看授权和取消授权历史记录。5.4日志查询场景描述云日志审计服务的日志存储方式分为热存储和冷存储两种。●●热存储：可实时查询，成本较高。冷存储：查询耗时较长，成本较低。根据日志存储方式的不同，将云端存储空间划分为实时数据存储空间和归档数据存储空间两种。●●实时数据存储空间：存储空间小，存储不超过当前套餐容量的最新日志；可以进行实时全文检索，查询速度快。归档数据存储空间：存储空间大，可以存储符合等保要求的日志存储量；可以进行全量查询，但查询速度较慢。考虑到日志的存储量大，存储周期长，如果使用热存储方式存储全部数据会造成用户使用成本过高。因此，当用户日志存储容量超过套餐内可用实时数据（热存储方式）存储空间时，会将实时数据存储空间内最早存储的日志数据存储到归档数据（冷存储方式）存储空间中。操作步骤步骤1登录华为乾坤云服务控制台，选择“>我的服务>云日志审计”。。步骤2在右上角菜单栏选择“日志查询”。步骤3在“高级搜索”中设置查询