2023深信服日志审计系统用户手册

设备控 业务控制台说 管理控制台说 系统信 账号口令管 网络管 系统工 日期时间管 数据库备份与恢 日志备份与恢 系统恢 重置平台初始化口 系统停止和重 系统参数配 配置管 下载运维日 业务系统配 资产管理配 简 常规设 自定义资产添 日志标准化配置（必配 日志接入说 ：Linux ：Windows 文件方 日志导入方 数据库方 日志归 日志过 流量引 关联策略配置（选配 关联策略说 具体配 审计策略配置（选配 审计策略说 具体配 审计对象管 告警监 实时监 报表管 综合报 日常报 云端配 拓扑图配置（选配 具体配 事件查 安全仪表盘查 日志列 关联事件（选配 审计事件（选配 流量日志（选配 导出任务管 日常维 软件版本升 修改密 恢复出厂设 系统巡 修改IP地 日志查 日志备份与恢 数据库备份与恢 集群维护（选配 系统配 日志外 常用工 业务配置管 运维日志下 常用配置命 实施后设备运行检 整体运行状态检 设备日志检 主要功能使用情况检 常见问题处 配置了采集器，没有看到相应数 SANGFOR设备时，能及时、SANGFOR设SANGFOR的产品销售商配备有经过 SANGFORSANGFOR及图标为深信服科技股份有限公司的商标。对于本手册出现IP归属及地理位置本文档在典型案例集的基础上，以基于场景的方式，详细介绍在实施、配AS设备进行软、硬件检查。选择符合需求的网络场景、LAS系统的绝大部分操作主要通过业务控制台完成。通过业务控制LAS系统的具体业务模块进行设置、安全内容进行查看，主要包含授IP28）；；3、在电脑上打开浏览器（IE11、Chrome、Firefox4https://5、默认用户名：admin：admin（首次登录需要修改密码）IP28）；；3、在电脑上打开浏览器（IE11、Chrome、Firefox4https:5、默认用户名：admin：admin（首次登录需要修改密码）路由配置工具：SSL证书并导入客户xshellCLI（IP71/opt/nfstest）用户可以修改时间、日期及时区信息（仅限平台服务器用户可以设置数据的备份方式（仅限平台服务器用户可以设置日志的备份方式（仅限平台服务器admin（需要搭建集群环境SNMP服务配置：配置团体名信息（例如：团体名：testIP：71；U-keyUkey（备注：老版本的等保一体机会用到，CSSP408以后的无需配置；SSHsshWebweb1、日志标准化（必配它是安全事件管理的核心内容，也是系统安全事件/日志的唯一来源。LASLAS根据实际用户需求，手工增加策略（按需配置1LASIP场景：添加1台 server2008服务器，IP地址为IP）默认用户名：admin，admin。（1）注意：红*系统类型：选择Windows IP：->0注意：LASCSV5M,csvcsv（导出文件名为"资产列表.csv"），->0csvLAS。10->0，->0：父组【test】、子组【：父组【test】、子组【5添加父组test点击节点管理651066IP产品：A如下图进行配置，产品厂商选择刚建立的【A如下图进行配置，产品厂商选择刚建立的【A【A添加资产，调用新建的【A1它是安全事件管理的核心内容，也是系统安全事件/日志的唯一来源。LASLASLASSNMPTrapWMIWindowsSMBweb（9）syslog方式（常见：Linux一、场景：Linux212；1wafUDP：514日志编码格式正确：Syslog，UTF-8GBK三、各类设备配置：将syslogLAS2、RedhatLinuxRedhat："vi/etc/syslog.conf"（或者为 @SyslogserverIP其中debug和@（LAS保存配置文件：执行命令"：wq"syslog“servicersyslogrestart”。四、LASLASLAS12（1）2：1、IP添加天融信防火墙标准化策略（参考深信服负载均衡WAFLinuxsangfor_AD。sanfor_ADIP（按严重、高级、中级、低级、信息）0，如果没有则留白不显示；WMI方式（常见：WindowsLAS1Windows10端口畅通（135）；WMIWindows使用WMIWMIWindowsWindows2003、2008、20121WMI2、LASWMIadministrator,administratorWMIWMI（参考下文【三、WindowsWMI，LAS1）；WMI进行日志采集。3WMIwmitestWindows三、WindowsWMILAS1WMI(1)wmitest2wmitestwmilusrmgr.msc,wmitestWMI组件服务->计算机属性->comwmiMicrosoftWindowsWindowsWindows1：2：2Windows1（按严重、高级、中级、低级、信息）LASsftp（1IPLAS（2一、Linus1lftpyuminstalllftplftp日志审计系统上已配置文件接入方式采集器且接入设备为IPLinux_sftp.sh脚本放在/opt/test/路径下#SFTP配置信息#IP#IPlftp-u${USER},${PASSWORD}sftp：//${IP}：${PORT}<<EOFcd${SEVERDIR}/put${FILE}3chmod755crontab1crontab*1***servicecrondrestartcrontab二、Windows1WindowsWindows_sftp.batEWindows_sftp路径下@echoIPsetIPsetsetPathName=D：\testlog\Linux.txtechocd%CollAddress%>conf.iniechoput%PathName%>>conf.inipsftp%LogAddress%-luplogs-pwupload-logs-by-this-user-b"conf.ini"delconf.inipsftp2按WindowsR键打开运行窗口输入compmgmt.msc1239312、检查是否收集到设备日志（日志查询->日志列表一、场景说明二、配置步骤2345Symantec12312、检查是否收集到设备日志（日志查询->日志列表121212保存配置：12处于开启状态。用户可根据自身需求是否开启流量引擎，关闭方式如下：LAS1、基于规则：其中，F,G,(D,N)为一状态，F，G（支持多个D（以秒为单位，必须设置N（可不设。1b23122下图周基线为例（4应。响应的类型包括如产生告警、邮件、Syslog则产生异常访问告警：3基于流量的关联策略只针对事件子类为流量（连接）触发条件：1->1004基于历史事件的关联策略统计在一定时间片段内（5，没发生某种1：事件1之前 秒内不发生：5->300之间的整数值，单位秒5SyslogSNMPTrap、执行外部程序或脚本、暂30。1b；2IP：；31212"WAF此处选择"基于规则"；3、设置过滤器：点击运算符&4点击&WAFIP1WAF60s12，点击&点击+号（1、21、2IPIP（1、告警通知：web2被移动到"已确认告警"；被移动到"已归档告警"；是否和预定的审计策略相符，如时间、IP2345root1212loginattack或者直接定义设备地址和帐号；456(2)2IP1212121212IPIPLAS2点统计前一天的报表2.1.资产管理配置。23、拓扑查看：LASLinuxTomcat1系统资源占用情况：CPU23、事件分析：4524IPIP查看审计策略（2.4审计策略）所触发的事件列表，通过审计策略所触发的流量日志、http会话、DNS会话、TLS会话等。：进入“日志查询->导出任务管理”1、升级不会导致配置、日志文件、库文件、license231Web，1WEB默认密码231WEB默认密码23默认密码3修改IPIP（工作口配置1WEB默认密码IP23IP1WEB2IP28）。默认密码2、备份策略：不备份（系统默认不备份日志库），账号：uplogs（SFTP）。SFTPii、备份方式路径：/opt/nfstest（NFS）。NFSi1iiIP28）。默认密码2、备份策略：不备份（系统默认不备份数据库），IP：76（SFTP）账号：uplogs（SFTP）。SFTPii、备份方式路径：/opt/nfstest（NFS）。NFSi1iiiii128据库备份的结果。搭建集群：主节点子节点登录业务控制台系统管理->集群管理查看操作步骤配置集群。syscli、Sangfor@123，界面如下：1ResetCLIUserPasswordorUsername：CLI2、ComponentStatusQuery：3ComponentRestart：组件重启：4、SystemShutdown：关机：5、SystemRestart：6、EnterConsole：7、ResetWEB_User：adminpassword：WEB8、ResetWEB_Manager：adminpassword：9、Version：10、RunningTime：Showthebeginning：ShownetworkSetupIPaddress（工作口配置任何网口都可用于流量接入口使用SetupIPV6address：IPV6