LogBase日志管理综合审计系统用户手册V3.6版

1、日志管理综合审计系统指南杭州四方信息技术有限公司。安全基地信息技术有限公司2011.07版权声明版权所有2005-2011，杭州四方信息技术有限公司除非另有规定，任何文本描述、文档格式、插图、照片、方法、过程等的版权。本文中出现的信息属于杭州四方信息技术有限公司，受相关知识产权和著作权法保护。未经杭州四方信息技术有限公司书面授权，任何个人或组织不得以任何方式复制或引用本文件的任何部分商标信息安全库日志审计系统和日志库是杭州四方迪信息技术有限公司的商标内容版权声明1商标信息1目录2序言4文档范围5获取帮助5格式约定7一.基本信息8二。安装方法102.1准备102.2接入网络10三、LOGBASE

2、串口配置12Iv .系统管理224.1登录日志224.2系统用户224.3系统组244.4当前用户254.5日志权限274.6报警接口294.7系统设置304.8设备管理32V.数据管理345.1数据备份345.2数据恢复345.3存档设置35六.对象管理376.1自定义日志376.2日志导入和导出376.3探测器配置38七。规则的定义447.1配置管理447.2进出口47八。实时审计488.1一般监控图表488.2主机监控498.3系统监控518.4分类监控518.5最新警报日志528.6最新重要日志548.7最新原始日志558.8最新系统日志56九.全面审计589.1动态报告589.2静态

3、报告59X.日志查询6010.1条件查询6010.2查询任务6110.3查询模板62前言欢迎使用杭州四方信息有限公司全心全意提供的新一代网络安全产品四方日志管理综合审计系统随着互联网的快速发展，用户对网络系统中的安全设备、网络设备、应用系统和运行状况进行全面的监控、分析和评估是保证网络安全的重要手段。网络安全是动态的。如果没有对已建立的系统进行实时、集中、直观的审核，将无法有效/及时地评估系统是否安全，并及时发现安全隐患。因此，网络安全需要一个集中的审计系统。如果同一网络中相同或不同制造商的多个产品不能在技术上互操作以实现集中审计，则有效的安全性和有效的管理就无法发挥作用。安全审计系统能够满足

4、这些要求，对网络中的各种设备和系统进行集中、可视化的综合审计，及时发现潜在的安全风险，提高安全系统的有效性。该产品是一个分布式、跨平台的网络日志管理审计系统。通过收集网络设备、服务器、数据库、应用服务和各种特定业务系统等一般计算机软硬件系统运行过程中产生的日志、状态、操作等信息，在实时分析的基础上监控和发现各种异常事件，并准确发出实时报警。同时，审计系统对存储的历史日志数据进行数据挖掘和关联分析，并通过可视化界面和报表向管理人员提供准确、详细的统计分析数据和异常分析报告，帮助管理人员及时发现安全漏洞，采取有效措施提高整个计算机应用系统的安全水平。二。安装方法2.1准备安装LOGGBASE前，请

5、打开LOGGBASE随机配件箱，检查配件清单，检查LOGGBASE配件是否齐全。除了附件箱的内容，还需要进行以下准备工作：IP地址请在网络中为日志库保留一个管理IP地址。临时计算机需要临时管理计算机来配置LOGBASE，在配置期间可以通过串行端口连接。超级终端软件可以连接串口终端软件(如视窗超级终端软件、Putty、安全软件等)。)；浏览器请确保在计算机系统上安装了IE浏览器(建议使用IE版本IE7.0或更高版本)；2.2网络接入请按照图2.1所示的拓扑结构将LOGBASE连接到网络。这个数字考虑了总体情况。请在具体应用中根据您自己网络的拓扑结构进行调整。图2.1 logbase网络接入拓扑图

6、访问网络时，请注意以下几点：使用网络直接连接将交换机与LOGBASE的LAN1端口相连。连接到网络后，请立即修改LOGBASE的网络配置，以适应网络。LOGBASE的网络设置默认为表2:表LogBase工作网络端口的默认设置知识产权面具默认网关54三、LOGBASE串口配置以下是以视窗提供的超级终端软件为例，对实际连接过程的详细描述：(1)设置端口属性，如图3.1所示：图3.1超级终端连接端口设置窗口(2)点击【确定】并按回车键，将出现提示登录：输入控制台管理员的用户名和密码(默认菜单用户名：admin，默认密码：safet

7、ybase)，如图3.2所示。3.2配置菜单用户登录成功登录后，如图3.3所示：3.3登录成功显示配置菜单(3)成功登录后，可以看到如图3.3所示的配置菜单。1.设置系统网络参数：配置相关网卡参数；2.设置系统默认网关：配置默认网关参数；3.设置设备序列号：配置设备的序列号；4.设置设备控制台管理密码设置串行菜单管理密码；5.设置设备控制台外壳密码设置串行端口命令行管理密码；6、设置网站管理员密码；设置网站管理员密码；7、设置日志服务器1参数；正在设置日志服务器1参数；8、设置日志服务器2参数；正在设置日志服务器2参数；0.退出：从配置菜单中退出；(4)选择1并按回车键；如图3.4所示：图3.

8、4网络接口配置列表选择相应的网卡(如A)并配置网络参数，如图3.5所示。图3.5网卡参数配置(5)选择device IP address并输入；配置1-2输入为LOGBASE系统保留的管理IP地址和子网掩码，并选择3保留配置。选择0返回上级菜单；(6)在上层菜单中(如图3.4所示)，选择【b】、【c】、【I】配置ETH1、eth2的网络参数.eth8。配置内容与ETH0相同：选择3保留配置。选择0返回上级菜单；图3.6串行端口配置主菜单(7)在串口配置主菜单中选择2设置系统默认网关：设置设备的默认网关地址；进入车辆；如图3.7所示：图3.7设备网关配置界面(8)在串行端口配置主菜单中选择3设置

9、设备串行：配置设备的串行端口号；进入车辆；如图3.8所示：图3.8设备串口号配置界面(9)选择获取原始序列号并输入；您可以获取设备的序列号信息，将序列号发送给制造商，申请相应的激活号，然后选择输入检查序列号，输入激活号以完成设备注册并重新启动设备。设备序列号的登记通常在设备出厂时完成。因此，用户在安装设备时不需要配置此项。(10)在串口配置主菜单中选择【设置设备控制台管理密码】，设置串口菜单管理密码；如图3.9所示：图3.9串行端口菜单登录密码配置(11)首先输入旧密码，连续输入两次新密码，完成串口菜单登录密码的修改。为了确认设备的安全，请及时更新串口登录密码。(12)在串口配置主菜单中选择【

10、设置设备控制台外壳密码】，设置串口命令行模式管理密码；如图3.10所示：图3.10串行端口命令行模式登录密码配置(13)首先输入旧密码，连续输入两次新密码，完成串口命令行模式登录密码的修改。为了确认设备的安全性，请及时更新串口命令行模式登录密码。(14)在串口配置的主菜单中选择设置网络管理员密码来初始化登录密码2当用户忘记了网站管理界面的登录密码后，用户可以通过此选项初始化和配置网站密码。(15)在串口配置主菜单中选择【设置日志服务器1参数】，按回车键；配置日志服务器参数。选择发送方法，输入服务器IP并保存配置。如图(3.12)所示：图3.12日志服务器配置界面系统提供了两种日志发送方法(LO

11、GGBASE:LOGGBASE专用日志格式，SYSLOG:标准SYSLOG协议日志格式)来将日志发送到其他日志服务器。系统支持同时配置两台日志服务器。四.系统管理4.1登录日志库打开IE浏览器，输入LOGGBASE地址(如)，以LOGGBASE管理员身份登录；istrator角色，默认用户名：admin密码：safetybase。如图4.1所示，点击登录系统：图4.1登录界面请及时修改系统默认密码。如果连续三次输入错误密码，登录页面将自动关闭。如果登录成功后10分钟内没有操作，系统将超时退出。4.2系统用户在导航栏上选择系统管理系统用户。查看当前系统用户列表

12、，执行【添加】或【删除】系统用户操作：如图4.2所示图4.2系统用户点击【添加】按钮，新建系统用户：输入新用户的基本信息，授予功能权限，属于集团；如图4.3所示系统管理员可以根据用户的发布权限分配相应用户账户的功能权限，从而保证LOGBASE审计系统的安全性和用户网络信息的安全性。将用户添加到用户组后，用户将自动继承用户组的所有日志权限；图4.3添加系统用户图4.4配置用户功能权限密码长度建议超过8个字母、数字、大小写和特殊字符；功能权限设置应标准化，系统用户和管理员用户的权限设置必须明确。为了防止越权行为；4.3系统组在导航栏上选择系统管理用户组。您可以查看和添加/删除用户组；如图4.5所示

13、：图4.5系统用户组添加系统用户组只需要添加组名和组描述，并且组名是唯一的；关于系统用户组的权限管理，请参考下一节“组日志权限管理”中的介绍。在导航栏上选择系统管理-主机组；您可以查看和添加/删除主机组；如图4.6所示：图4.6主机组列表在主机组列表页面，点击增加按钮，增加主机组名称，勾选主机到主机组，如图4.7所示：图4.7:添加主机组:用户可以批量导入主机组列表中的主机和主机组信息。单击主机配置添加主机信息。主机配置与实时审计-监控总图-主机监控中的主机配置相同；4.4当前用户在导航栏上选择系统管理-当前用户和修改密码。修改当前用户的基本内容和密码等。如图4.8所示：图4.8修改用户信息图

14、4.9:修改用户密码单击恢复放弃修改的内容并恢复原始用户信息；具有系统用户功能权限的账户可以修改系统用户列表中所有其他用户的详细信息、功能权限、成员组、密码等信息。在初始化期间，应该立即修改审计系统的默认系统配置，以确保系统管理员的唯一性。上述操作适用于当前登录的所有用户；出于安全原因，建议密码长度超过8个字母、数字、大小写和特殊字符。系统用户必须从管理系统中得到保证；从而保证系统的安全性；4.5日志权限在导航栏上选择系统管理-日志权限；您可以分别为用户或用户组配置日志管理权限，如图4.10所示。图4.10用户日志权限管理此系统用户列表仅显示尚未加入系统用户组的系统用户。添加到系统用户组的系统

15、用户的日志权限不能独立管理，只能继承他们所属组的日志权限。有关详细信息，请参考以下部分组权限。系统用户移出用户组后，将恢复默认日志权限。如果用户组被直接删除，该组中的用户仍将保持原始日志权限，直到用户加入其他用户组并继承新的日志权限。点击修改按钮，对所选账户进行日志权限管理，如图4.11所示。图4.11修改用户日志权限对于所有日志类型，您可以选择“全部允许”、“全部限制”和“部分允许”。如果选择“全部允许”和“全部限制”，相应的操作功能将灰显且不可用。全部允许表示该用户可以操作此类日志的所有功能(实时、全面和查询)。所有限制意味着该用户将无法查看此类日志的任何信息，也无法对其进行审核。部分允许是指限制该用户根据条件操作特定事件地址的日志；如果选择部分允许，点击相应的操作，如图4.12所示。图4.12设置部分权限权限选中允许部分IP，您可以选择输入单个IP或IP段；保存设置后，该用户只能在该IP内操作此类日志内容。选中限制部分知识产权以同样的方式推动它；在导航栏上选择日志权限-组权限，如图4.13所示。图4.13组权限管理组日志权限管理操作与用户日志权限管理操作相同