手册下载
H3C SecCenter CSAP-SA-AK系列综合日志审计系统
Web配置指导
Copyright © 2024 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
目 录
在高速信息化的今天,信息安全成为国家安全战略的重要部分。日志是对IT系统在运行过程中产生的事件的记录。通过日志,IT管理人员可以了解系统的运行状况。而通过对安全相关的日志的分析,IT管理者可以检验信息系统安全机制的有效性,这就是安全日志审计,简称日志审计。而日志的产生、收集、审计分析和存储的全过程称作日志管理。
日志审计全面
审计范围覆盖网络环境中的全部网络设备、安全设备、服务器、数据库、中间件、应用系统;覆盖了200多种设备和应用中的上万类日志,快速支持用户业务系统日志审计;
支持的日志协议完善:syslog、snmp trap、agent代理、wmi等;
系统性能高
事件采集效率高(60000EPS)、零丢包率;日志入库性能高(可高达20000EPS)、查询性能高(百GB响应时间小于15秒);
查询方式多
支持多条件精确查询、模糊查询和查询任务;
关联告警
系统预定义智能告警规则,支持用户自定义告警规则,支持递归关联,统计关联;
报表:内置等保专项报表,系统预定义统计分析报表,支持用户自定义统计报表,满足等保和分保要求。
事件归并
有效去掉了重复日志,降低了系统对存储的要求;
日志备份归档
支持日志备份天数设置,支持历史日志备份和恢复导入,支持各种配置项的一键备份和恢复;当磁盘空间日志存储量达到一定百分比时可设定为删除磁盘中的历史日志或接收的日志不再入库,并进行告警;
图1-1 典型部署图
系统分为五大模块分别是:监控中心、审计中心、策略中心、报表中心及系统管理。五大模块功能各有侧重点,相互作用,使系统具备了以下功能,帮系统管理员解决实际问题。
首页展示
首页展示为用户提供了一个从用户自身业务需要出发使用本系统的快速入口,通过预先配置。用户可以在工作台中自定义展示图表,按需设计图表显示的内容和布局,可以为不同角色的用户建立不同维度的图表,并支持内置皮肤及语言包。
事件查询
用户可自定义查询策略,基于资源类型、事件类型、事件名称、时间级别、来源地址、目的地址等信息进行组成查询,并支持模糊查询。
原始日志
用户可自定义查询策略,基于资源类型、日志级别、应用名称、设备地址、及时间段等信息进行组合查询,并支持模糊查询。
告警管理
根据告警规则,针对来自企业和组织的海量事件进行实时分析,抽取出对于安全管理人员真正有用的安全信息,从而协助安全管理人员快速识别安全事件,进行日志审计。告警规则具有如下特性:
规则分为系统预定义规则和用户自定义规则两大类
用户在制定规则的时候,既可以设定审计的触发条件,也可以设定触发审计后的自动响应动作
修订告警规则无需重启系统或者某个模块,规则一旦被应用立即生效
在审计出安全事件并告警后,监控管理人员能够及时进行响应处理(发送邮件、SNMP Trap、执行程序脚本,等等)。
关联规则、解析规则
系统具备日志关联分析功能。系统提供了可视化的规则编辑器,用户可以定义基于逻辑表达式的关联规则,所有日志字段都可参与关联。规则支持统计计数功能,可以对达到一定统计数量的日志进行告警
系统通过脚本方式能够对指定时间范围内的历史日志进行相关性分析,发现历史日志中存在的入侵与违规。
资产管理
系统能够对审计数据源以资产的形式进行统一的维护,能够以列表或者拓扑的方式查看资产清单和详细信息,可以查看每个审计数据源的日志和告警信息。
用户可通过手动方式添加资产信息(资产名称、资产ip、设备类别、设备类型、采集器),从而进行资产的日志采集解析。
日志转发配置完成,系统支持自动获取录入资产信息。
统计分析
系统提供实例统计视图,用户可以根据内置或者自定义统计分析策略,从事件的多个维度实时进行安全事件统计分析,并以柱状图、饼图等形式进行可视化展示。
报表管理
系统内置了丰富的报表报告模板,包括操作系统统计报表、安全设备统计报表、网络设备统计报表、数据库统计报表、应用统计报表等,用户可以根据需要生成不同的报表;用户可以自定义报表。
用户管理
系统采用基于角色的权限管理机制,提供三权分离的设计,内置操作管理员、账号管理员和审计管理员。
系统超级管理员用于系统部署实施及测试期间使用,正式上线后删除该角色,防止越权管理。
知识库管理
为企事业单位搭建海量知识集中存储,实现统一的漏洞库、预警发布操作、安全公告、漏洞库升级等。
授权管理
采用基于角色的权限管理机制,通过角色定义支持多用户访问。角色能够从设备和功能两个维度进行定义,从而达到对每一台设备、每一项功能进行操作的控制粒度。
采集器管理
采集引擎用于安装在企业和组织网络中的目标主机或中介主机上的应用程序。通过通用采集引擎,可以主动地采集目标主机上的日志,在管理中心实现日志审计。
可以对所有注册了的通用采集引擎的工作状态进行实时监控,包括采集器的启动、停止,以及配置采集器发送什么类型的日志到管理中心等。
系统设置
系统具有丰富的自身配置管理功能,包括自身安全配置、系统运行参数配置、采集器配置等。系统具有系统自身运行监控与告警、系统日志记录等功能
系统将系统角色划分为四类:操作管理员、帐号管理员、审计管理员、超级管理员。每类角色对系统拥有不同的访问、控制权限。具体如下:
审计管理员:具有日志查询、内部审计查看权限。角色权限:审计(内部审计)。
账号管理员:具有用户管理功能。角色权限:用户列表,用户。
操作管理员:具有除用户管理、日志查询、授权规则、内部审计之外的权限。角色权限:状态,网络,审计(日志查询,关联事件),资产,告警,分析,报表,系统,关系(关系展示)。
超级管理员:具有所以权限。角色权限:用户列表,状态,资产,分析,告警,报表,关系,规则,系统,网络,审计,用户。
系统预设账户列表如下,可根据需要选择登录:
E6101P01之前版本(包括E6101P01)
表1-1 初始用户信息表
用户类型 |
用户名 |
密码 |
超级管理员 |
admin |
admin |
操作管理员 |
operator |
operator123456 |
账号管理员 |
userManager |
user123456 |
审计管理员 |
saudit |
saudit123456 |
E6101P02之前版本(包括E6101P02)
表1-2 初始用户信息表
用户类型 |
用户名 |
密码 |
超级管理员 |
admin |
admin |
操作管理员 |
operator |
operator |
账号管理员 |
userManager |
userManager |
审计管理员 |
saudit |
saudit |
(1) 通过日志审计上的console口连接电脑。
(2) 查看计算机管理上的com口信息
图1-2 Com口信息
图1-3
(3) 打开远程管理软件,新建串行(serial)连接
(4) 配置会话选项,波特率选择115200
(5) 输入账号密码,成功进入交互界面。
表1-3 初始命令行用户账号信息表
系统版本 |
用户类型 |
用户名 |
密码 |
E6101版本 |
系统管理员 |
root |
h3c12345! |
E6101P01版本 |
系统管理员 |
con_admin |
con_admin |
E6101P02版本及其以上版本 |
系统管理员 |
con_admin |
con_admin@scr |
图1-4 登录后界面
(6) 输入数字1,运行菜单中第1个命令ifconfig,可以查看当前设备的所有网口状态信息,包括ip地址等。
(7) 输入数字2,运行菜单中第2个命令network restart ,用来重启系统的网络接口
(8) 输入数字3,运行菜单中第3个命令route list ,用来查看系统路由表信息
(9) 输入数字4,运行菜单中第4个命令reboot,用来重启系统
(10) 输入数字5,运行菜单中第5个命令display version,可以查看当前设备的系统版本、序列号、硬件属性等信息
(1) 可以通过Xshell等远程软件可以对日志审计平台通过ssh协议进行远程登录。
(2) 输入主机名和端口号与用户名,主机名为日志审计平台管理地址,端口为60000,用户名为con_admin。
(3) 输入密码。
表1-4 初始命令行用户账号信息表
系统版本 |
用户类型 |
用户名 |
密码 |
E6101版本 |
系统管理员 |
root |
h3c12345! |
E6101P01版本 |
系统管理员 |
con_admin |
con_admin |
E6101P02版本及其以上版本 |
系统管理员 |
con_admin |
con_admin@scr |
图1-5 成功进入后台
(4) 输入数字1,运行菜单中第1个命令ifconfig,可以查看当前设备的所有网口状态信息,包括ip地址等。
(5) 输入数字2,运行菜单中第2个命令network restart ,用来重启系统的网络接口
(6) 输入数字3,运行菜单中第3个命令route list ,用来查看系统路由表信息
(7) 输入数字4,运行菜单中第4个命令reboot,用来重启系统
(8) 输入数字5,运行菜单中第5个命令display version,可以查看当前设备的系统版本、序列号、硬件属性等信息
图2-1 主界面
登入系统默认进入‘状态’菜单项,概括显示系统主要统计信息
在页面顶栏点击系统状态图标,显示系统健康状态,显示系统CPU,运行内存、磁盘使用的状态信息。
图2-2 点击系统状态按钮
图2-3 系统状态信息
系统弹窗告警统计告警数量,每次刷新浏览器弹窗告警数量会清,新产生的告警从1开始统计。
状态主页面显示了各类信息统计图表,分别是概括事件总数,资产总数(为资产总数,若配置授权规则,需要具体跳转后查看),事件数,告警类型,告警级别,告警事件趋势,日志源top,告警资产分布top等图表。主界面中的图表可以点击进行该类数据钻取。
图2-4 点击事件总数钻取
点击事件总数进行钻取信息会将页面跳转至日志查询页面
图2-5 日志查询界面
点击每种图表的数据单元(如折线图的数据点,饼图的数据扇面,柱状图的数据柱等)可下钻到对应数据的详细信息。鼠标移至图表样式标注时可以突出显示该样式所表示的信息。
图2-6 突出显示折线信息
图2-7 点击图表上的数据点
图2-8 钻取信息
页面分析内置常用模板,包括但不限于基础事件审计、流量审计、等保合规等模板,匹配模板条件,可产生分析图表,点击可查看图表信息。分析页面展示的柱状图由于页面排版问题无法全部显示横坐标,未显示的可以通过鼠标悬浮查看。
图3-1 分析界面
进入菜单项‘分析’的任意子项,点击系统右上角‘编辑组’à选择添加组并填写‘组名称’à点击‘创建’,完成添加分析组操作。
图3-2 点击编辑按钮
图3-3 选择添加组
图3-4 编辑信息完成创建
进入菜单项‘分析’的任意子项,点击右上角‘添加图表’按钮,选择需要添加的图表类型,点击‘保存’完成添加。
图3-5 点击添加图表
图3-6 编辑图表信息
进入菜单项‘分析’的任意子项,点击右上角‘添加图表’按钮,点击‘自定义’进入自定义图表界面,点击‘保存创建’完成自定义图表的操作。
图3-7 点击自定义按钮
图3-8 编辑自定义图表信息
图3-9 选择新建的查询添加
查询条件自定义配置步骤如下:
点击‘查看事件’自定义搜索条件,跳转到查询界面,可根据事件过滤条件和关键字等进行搜索,并将条件保存(需要添加查询条件名称)。再次进入自定义图表页面‘查询条件’项选择刚才添加的条件,可点击‘预览’查看图表,也可点击保存,完成自定义图表查询统计条件的操作。
图3-10 点击添加查询条件
图3-11 保存查询条件
查询条件还可以在审计->日志查询中保存搜索条件,详细配置见4.5
在完成添加自定义图表后,可点击‘预览’查看自定义图表。
图3-12 点击预览按钮
图3-13 预览图表
进入一个分析事件页面à点击编辑图表布局à修改à点击‘保存修改’完成编辑自定义图表的操作。
图3-14 点击编辑图表布局
对图表边框进行拖动修改,修改好后点击保存按钮进行保存。
图3-15 点击保存
菜单项‘审计’à‘日志查询’详情。
图4-1 日志查询
点击下载按钮下载查询到的日志,注意下载前需要先点击页面上方的浏览器验证。
Windows系统日志的发生时间与日志产生时间一致,其它类型的发生时间跟接收时间是一致的。
按条件过滤事件。
图4-2 条件列表
图4-3 选择筛选条件
点击已选择的条件可删除该条件的限制
图4-4 筛选后显示
在事件搜索输入框内输入关键字,可查询包含关键字内容的事件,搜索结果中关键字高亮蓝色背景显示。支持多个关键字搜索,多个关键字用‘|’分割。
图4-5 输入搜索
图4-6 查询结果
点击图表的数据柱可查看该数据柱所表示的条件在一定时间范围内的数据详情。
图4-7 点击钻取
点击该数据柱钻取数据的页面会显示钻取数据的时间段。
图4-8 显示数据
搜索结果所对应的条件可在页面右上角‘保存’左侧的输入框内命名,点击‘保存’可将该搜索条件保存,方便快捷查询。
图4-9 保存条件
系统所有搜索框不支持对()的搜索,且存在简单的通配符
点击右上角‘读取’,可获得保存的查询条件及结果。
图4-10 读取条件
图4-11 查看已保存的条件
菜单项‘审计’à‘搜索条件’中可以看到所有建立保存的搜索条件,可以对搜索条件的匹配事件进行查看,也可以查看搜索条件的匹配信息。
图4-12 条件匹配时间查看
图4-13 点击查看后,事件信息中匹配内容会标蓝
图4-14 查看条件匹配信息
查看关联事件:菜单项‘审计’à‘关联事件’。
图4-15 关联事件
点击关联事件列表左侧‘查看’图表,可查看该关联事件的详情。
图4-16 点击查看事件
图4-17 关联事件详情
查看和检索内部审计事件:菜单项‘审计’à‘内部审计’。
图4-18 内部审计
根据用户应用场景、事件类型、源节点、目的节点等条件创建关系规则,实现应用关系梳理和图形化展示。
点击“左侧关系”-“关系设置”,可进行查看关系规则列表、添加、修改、删除关系规则。修改关系规则用于修改图标,其余项不允许修改。其次设置关系规则名称时不宜过长,否则会导致关系模型预览中字和图标重合。
图5-1 添加关系规则
表5-1 关系规则参数说明
配置项 |
说明 |
规则名称 |
设置关系规则名称 |
事件类型 |
选择关系展示事件类型参数 |
关系模型预览 |
成功配置关系规则后进行模型预览窗口,无法编辑 |
源节点 |
根据用户现状进行选择源节点,节点根据日志查询中字段进行筛选设置 |
关系名称 |
配置该源节点和目的节点名称 |
目的节点 |
根据用户现状进行选择目的节点,节点根据日志查询中字段进行筛选设置 |
图5-2 查看关系规则列表
图5-3 删除关系规则
选中关系规则,点击删除按钮进行确定删除关系规则
根据关系规则设置进行展示,可进行选择关系规则和关系过滤规则进行筛选展示
图5-4 关系展示
进入关系菜单下‘关系过滤’子项,点击页面右上角‘添加’,设置关系过滤规则,匹配关系规则中的条件,对不进行图形展示的参数进行设置,完善生成关系图谱展示效果和内容。
图5-5 关系过滤添加
表5-2 关系过滤参数说明
配置项 |
说明 |
关系过滤名称 |
关系过滤规则名称 |
所属关系规则 |
匹配关系规则选择 |
关系过滤描述 |
关系过滤备注描述 |
过滤器 |
关系次数过滤、深度过滤 |
请选择次数匹配项 |
关系次数过滤大于、大于等于、小于、小于等于、等于、自定义范围、最大深度、最小深度配置 |
图5-6 关系过滤删除
查看资产列表:菜单项‘资产’à‘资产列表’。
图6-1 资产列表
点击左侧资产组列表的‘编辑组’图标à显示资产组编辑界面,可根据需要进行添加同级,添加下级,删除,修改资产组操作,点击‘提交’完成编辑资产组操作。
图6-2 添加资产组
图6-3 创建资产组
图6-4 添加下级资产组
图6-5 删除资产组
图6-6 修改资产组
点击资产列表上方‘添加’图标,进入添加资产界面。
点击每条资产信息‘操作’列中的‘编辑’图标,进入编辑资产界面,可根据需要对需要修改的项进行编辑,点击提交完成资产编辑操作。
图6-7 点击编辑
图6-8 填写信息
表6-1 新增/编辑资产参数说明
配置项 |
说明 |
资产名称 |
可输入中英文,数字或英文_-.:()符号,最大50字符 |
资产IP |
输入资产的IP地址 |
设备类别 |
选择该资产的设备类别 |
设备类型 |
选择该资产的类型或品牌 |
设备主类 |
该资产属于那种设备(自动选择) |
日志编码 |
有GBK,UTF-8,GB2312三种,GBK通常指GB2312编码只支持简体中文字,UTF-8,支持简体中文字、繁体中文字、英文、日文、韩文等语言(支持文字更广) |
业务类型 |
选择该资产的业务类型,作为资产标识,一版场景无需配置 |
采集器名称 |
默认为“本机采集器” |
资产组归属 |
选择资产组,不选择则不分组 |
点击资产列表标题行左侧的复选框,可选中该页所有资产,点击每条资产信息左侧的复选框则选中该条资产à选择想要分组的资产组名à点击“提交”按钮,完成批量添加资产到资产组操作。
图6-9 添加进资产组
点击资产列表标题行左侧的复选框,可选中该页所有资产,点击每条资产信息左侧的复选框则选中该条资产à点击资产列表右上角删除按钮,系统提示:确定删除所选项吗?点击确定,完成批量删除资产的操作。
图6-10 删除资产
点击系统右上角‘模板下载’按钮,即可下载资产模板。
图6-11 下载模板
点击系统右上角‘导入资产’按钮,选择要导入的xlsx资产文件,点击提交,完成批量导入资产的操作。
图6-12 导入资产
点击系统右上角‘导出资产’按钮,即可下载包含所有资产的xlsx文件。
图6-13 导出资产
通过资产开启过滤和关闭过滤,来管理设备是否接收日志源日志,资产开启过滤则无法接收该资产日志。
图6-14 资产过滤开启
图6-15 开启资产过滤
图6-16 关闭资产过滤
图6-17 资产过滤关闭
点击每条资产信息‘操作’列中的‘查看事件’图标,可查看该资产对应的所有事件。
图6-18 钻取事件
图6-19 显示钻取事件
进入编辑/添加资产界面,填写‘资产名称’‘资产IP’项,点击‘启动WMI’项,显示WMI配置界面,填写配置项内容,点击‘测试连接’按钮,测试通过之后点击‘提交’按钮。点击‘提交’完成配置WMI操作。界面添加相关WMI配置
图6-20 启动WMI
表6-2 WMI各参数说明
配置项 |
说明 |
用户名 |
输入资产(服务器)的用户名 |
密码 |
输入资产(服务器)的密码 |
间隔(分) |
每隔几分钟采集一次日志 |
监控类型 |
可选择监控的日志类型 |
采集开始时间 |
可选择采集当前日志,或者1天/周/月/年的日志 |
填写WMI用户名、密码等信息,并进行连接性测试
图6-21 配置填写
添加相关信息后进行可用性测试,测试用过后保存即可。
图6-22 保存配置
进入编辑/添加资产界面,填写‘资产名称’‘资产IP’项,点击‘启动JDBC’项,显示JDBC配置界面,填写配置项内容,点击‘可用性测试’按钮,测试通过之后显示‘提交’按钮。点击‘提交’完成配置JDBC操作。目前JDBC不支持采集中文数据。
图6-23 启动JDBC
图6-24 添加JDBC
图6-25 配置JDBC
表6-3 JDBC各参数说明
配置项 |
说明 |
数据库类型 |
选择数据库的类型,如MySQL,Oracle等 |
数据库驱动 |
输入数据库的驱动 |
端口号 |
输入数据库的端口号 |
数据库名称 |
输入数据库的名称或者SID |
用户名 |
输入数据库的用户名 |
密码 |
输入数据库的密码 |
表名 |
输入需要监控的数据库表的表名 |
主键 |
输入主键,该列必须是递增的且是整数类型 |
间隔 |
每间隔多久采集一次日志,可选分/时/日/月 |
记录开始读取值 |
输入记录开始读取值 |
JDBC配置名称 |
输入JDBC的名称 |
是否开启 |
是否开启JDBC |
通过获取CPU/内存/网络流量信息,对日志来源的设备和系统进行可用性监控。
进入资产-资产监控界面,选择需要监控的设备资产,点击进行snmp设置,点击后会提示跳转到配置界面,点击确定进行snmp信息配置,编辑完成后点击测试连接,点击提交完成配置。
图6-26 点击进行配置
图6-27 跳转页面
图6-28 填写SNMP配置
表6-4 SNMP配置参数说明
配置项 |
说明 |
SNMP版本 |
SNMPV2 |
端口 |
资产的端口号,默认161 |
团体名 |
输入SNMP 读团体字 |
Cpu阈值 |
输入1-99的数字 |
内存阈值 |
输入1-99的数字 |
磁盘阈值 |
输入1-99的数字 |
发送流量阈值 |
输入整数,最大50位数字,超出此阈值会进行告警 |
接受流量阈值 |
输入整数,最大50位数字,超出此阈值会进行告警 |
适配类型 |
可适配Windows,Linux,和华为交换机s-5700,其余未适配,不支持 |
图6-29 通过测试
图6-30 监控信息
点击资产类型列表右上角‘添加’图标,进入添加资产类型界面,资产类别和资产类型(资产类型支持多个填写)à点击‘提交’完成添加资产类型的操作。
图6-31 添加资产类型
图6-32 配置信息
点击资产类型列表标题行左侧的复选框,可选中该页所有资产类型,点击每条资产类型左侧的复选框则可选中该条资产à点击资产列表右上角删除按钮,系统提示:确定要删除吗?点击确定,完成批量删除资产类型的操作。点击每条资产类型‘操作’列‘删除’图标,系统提示:确定要删除吗?点击确定,完成删除资产类型的操作。系统内置的资产类型不支持删除。
图6-33 点击删除
图6-34 点击确定按钮
菜单项‘规则’à‘解析规则’子项。进入解析规则列表展示页面。
图7-1 解析规则页面
点击解析规则列表右上角‘添加解析规则’图标,进入添加解析规则界面,填写相应的添加项,上传解析规则文件à点击‘可用性测试’,测试通过则显示‘提交’按钮,可点击‘提交’完成添加解析规则的操作。此处需要注意的是自定义解析规则需要上传解析规则包,此处的设备类型需要与解析规则包的名称保持一致。
图7-2 点击添加
图7-3 上传规则
表7-1 解析规则参数说明
配置项 |
说明 |
解析规则名称 |
配置自定义解析规则名称 |
上传规则文件 |
上传解析规则文件 |
设备类别 |
选择对应设备类别 |
设备类型 |
选择对应设备类型 |
解析规则描述 |
输入自定义解析规则描述 |
点击解析规则列表标题行左侧的复选框,可选中该页所有解析规则,点击每条解析规则左侧的复选框则可选中该条解析规则à点击解析规则列表右上角‘删除’按钮,系统提示:确定删除所选项吗?点击‘确定’,完成批量删除解析规则的操作。点击每条解析规则‘操作’列‘删除’图标,系统提示:确定删除此项吗?点击‘确定’,完成删除解析规则的操作。
图7-4 点击删除
菜单项‘规则’à‘告警规则’子项。进入告警规则列表展示页面。
图7-5 告警规则
点击告警规则列表右上角‘添加’图标,进入添加告警规则界面,按要求填写相应的添加项à点击‘提交’完成添加告警规则的操作。
图7-6 点击添加
图7-7 填写配置信息
表7-2 告警规则参数说明
配置项 |
说明 |
告警名称 |
输入这条告警规则的名称 |
告警级别 |
可选择告警的级别(一般,重要,紧急) |
监控频率 |
选择监控的间隔时间,可选秒/分/时/日/月 |
开启警告 |
是否开启告警,开启则勾选复选框,关闭就将复选框去掉 |
已存搜索 |
选择已存搜索 |
搜索内容 |
可搜索的内容 |
统计类型 |
日志统计,字段统计,连续统计,基线对比 |
告警类型 |
输入告警类型 |
告警子类 |
输入告警的子类型 |
告警条件 |
选择告警条件 |
点击告警规则列表标题行左侧的复选框,可选中该页所有告警规则,点击每条告警规则左侧的复选框则可选中该条告警规则à点击告警规则列表右上角‘删除’按钮,系统提示:确定删除所选项吗?点击‘确定’,完成批量删除告警规则的操作。点击每条告警规则‘操作’列‘删除’图标,系统提示:确定删除此项吗?点击‘确定’,完成删除告警规则的操作。
图7-8 点击删除
图7-9 确认删除
关联规则可以将两台或多台设备相关联的日志整合出来,对连续配置多台设备的日志特征的事件进行告警展示,可以更方便直观的查看或者排查问题。
菜单项‘规则’à‘关联规则’子项。进入关联规则列表展示页面。
图7-10 关联规则
点击关联规则列表右上角‘添加关联规则’图标,进入添加关联规则界面,按要求填写相应的添加项à点击‘下一步’进入下一环节添加,或者点击‘提交’完成添加关联规则操作。
图7-11 添加关联规则
点击关联规则列表标题行左侧的复选框,可选中该页所有关联规则,点击每条关联规则左侧的复选框则可选中该条关联规则à点击关联规则列表右上角‘删除’按钮,系统提示:确定删除所选项吗?点击‘确定’,完成批量删除关联规则的操作。点击每条关联规则‘操作’列‘删除’图标,系统提示:确定删除此项吗?点击‘确定’,完成删除关联规则的操作。
图7-12 点击删除
图7-13 确认删除
点击关联规则列表标题行左侧的复选框,可选中该页所有关联规则,点击每条关联规则左侧的复选框则可选中该条关联规则à点击关联规则列表右上角‘多选停止/多选开启’按钮,系统提示:确定停止/开启所选项吗?点击‘确定’,完成批量停止/开启关联规则的操作。点击每条关联规则‘操作’列‘开启/停止’图标,系统提示:确定停止/开启此项吗?点击‘确定’,完成停止/开启关联规则的操作。
图7-14 启动/停止
图7-15 确认开启
图7-16 确认停止
通过授权规则,能够配置日志审计平台的不同的管理员账号对指定资产或资产组的日志查看权限。
菜单项‘规则’à‘授权规则’子项。进入授权规则列表展示页面。授权规则只控制资产列表页面,资产监控页面不受影响。
图7-17 授权规则
点击授权规则列表右上角‘添加’图标,进入添加授权规则界面,按要求填写和选择相应的添加项à点击‘提交’完成添加授权规则的操作。选择用户组合资产组只能选择到二级目录。
图7-18 添加授权规则
点击授权规则列表标题行左侧的复选框,可选中该页所有授权规则,点击每条授权规则左侧的复选框则可选中该条授权规则à点击授权规则列表右上角‘删除’按钮,系统提示:确定删除所选项吗?点击‘确定’,完成批量删除授权规则的操作。点击每条授权规则‘操作’列‘删除’图标,系统提示:确定删除此项吗?点击‘确定’,完成删除授权规则的操作。
图7-19 点击删除
图7-20 确认删除
菜单项‘用户’à‘用户列表’子项。进入用户列表展示页面。
图8-1 用户列表
点击用户列表右上角‘添加’图标,进入添加用户界面,按要求填写和选择相应的添加项à点击‘提交’完成添加用户的操作。
图8-2 点击添加用户
表8-1 各用户权限说明
用户类型 |
权限说明 |
超级管理员 |
admin:拥有所有权限 |
操作管理员 |
operator:具有除用户管理、日志查询、授权规则、内部审计之外的权限。 |
账号管理员 |
userManager:只有用户管理权限 |
审计管理员 |
saudit: 只有内部审计的权限 |
图8-3 填写配置
点击用户列表标题行左侧的复选框,可选中该页用户,点击每条用户信息左侧的复选框则可选中该条用户信息à点击用户列表右上角‘删除’按钮,系统提示:确定删除所选项吗?点击‘确定’,完成批量删除用户的操作。点击每条用户信息‘操作’列‘删除’图标,系统提示:确定删除此项吗?点击‘确定’,完成删除用户的操作。系统内置的用户不支持删除。
图8-4 点击删除
图8-5 确认删除
菜单项‘用户’à‘角色列表’子项。进入角色列表展示页面。
图8-6 角色列表
点击角色列表右上角‘添加’图标,进入添加角色界面,按要求填写和选择相应的添加项à点击‘提交’完成添加角色的操作。
图8-7 点击添加
图8-8 填写配置
表8-2 添加角色参数说明
配置项 |
说明 |
角色名称 |
输入自定义角色的名称 |
角色描述 |
输入自定义角色的描述 |
权限管理 |
在左侧选择赋予该角色的模块权限 |
点击角色列表标题行左侧的复选框,可选中该页角色,点击每条角色信息左侧的复选框则可选中该条角色信息à点击角色列表右上角‘删除’按钮,系统提示:确定删除所选项吗?点击‘确定’,完成批量删除角色的操作。点击每条角色信息‘操作’列‘删除’图标,系统提示:确定删除此项吗?点击‘确定’,完成删除角色的操作。系统内置的角色不支持删除。
图8-9 点击删除
图8-10 确认删除
登录策略可以对管理员账号进行系统登录方面的安全限制,如对管理员PC所在IP地址网段的限制,登录的日期段限制,时间段的限制等。
菜单项‘用户’-‘登录策略’子项。进入登录策略列表展示页面。
图8-11 登录策略
点击登录策略列表右上角‘添加’图标,进入添加登录策略界面,按要求填写和选择相应的添加项à点击‘提交’完成添加登录策略的操作。
图8-12 登录策略界面
图8-13 添加策略
点击登录策略列表标题行左侧的复选框,可选中该页所有登录策略,点击每条登录策略左侧的复选框则可选中该条登录策略à点击登录策略列表右上角‘删除’按钮,系统提示:确定删除所选项吗?点击‘确定’,完成批量删除登录策略的操作。点击每条登录策略‘操作’列‘删除’图标,系统提示:确定删除此项吗?点击‘确定’,完成删除登录策略的操作。
图8-14 点击删除
图8-15 确认删除
使用密码策略,可以指定用户的密码复杂度,保障安全。
点击‘启动密码策略’复选框,然后可根据自身需求对密码策略进行设置,最后点击提交。
默认当前登录状态的用户密码超过变更周期后,当前不会提示用户修改密码,待用户退出系统下次登录如果输入对密码会跳转到密码修改界面,如果输入错误几次导致用户锁定则需要等待锁定状态解锁后输入正确密码方可进入修改密码状态;
若用户已处于锁定状态且密码也超过变更周期则需要等待锁定状态解锁后,输入正确密码方可进入正常修改密码的界面。
需要注意的是,当不启用密码策略时,系统使用默认密码策略,且首次登录系统要求强制改密。
图8-16 密码策略
菜单项‘报表’à‘报表列表’子项。进入报表列表展示页面。
图9-1 报表列表
点击报表列表左下方自定义报表,进入自定义报表界面,点击右上方添加按钮,按要求填写,上传文件,选择需要的报表类型à点击‘提交’完成添加报表的操作。需要注意的是创建自定义报表名称不能包含特殊字符,否则可能无法查看报表。
图9-2 自定义报表
图9-3 添加报表
在编辑报表中,勾选‘定时任务’复选框,可开启定时任务,可指定发送间隔,发送时间,数据统计范围,最后选择‘提交’。周报和月报设置时间为每周一和每月1号。
图9-4 定时任务
点击报表列表标题行左侧的复选框,可选中该页所有报表信息,点击每条报表信息左侧的复选框则可选中该条报表信息à点击报表列表右上角‘删除’按钮,系统提示:确定删除所选项吗?点击‘确定’,完成批量删除报表的操作。点击每条报表信息‘操作’列‘删除’图标,系统提示:确定删除此项吗?点击‘确定’,完成删除报表的操作。系统内置的报表不支持删除。
图9-5 删除报表
图9-6 确认删除
点击每条报表信息‘操作’列‘生成’图标和‘报表生成时间’列的‘预览/下载’图标,可进行报表的预览/下载/生成操作。
图9-7 预览报表
在操作按钮区域,点击预览报表按钮,就可以看到报表的图表。
图9-8 报表图表
菜单项‘告警’à‘告警信息’子项。进入告警信息列表展示页面。
图10-1 告警信息
告警信息列表页面,可查看触发告警规则的告警事件信息和系统其它模块所触发的告警信息。
查询条件:可查询一段时间内的报警信息,在更多查询条件页面,还可以设置对告警级别、告警类型、处理情况、资产IP等条件进行过滤查看。只有日志统计支持发送邮件方式,其它的性能告警,系统告警是不支持发送邮件。
图10-2 查询条件
告警列表:点击每条告警信息‘操作’列的‘查看’即可查看该条告警信息的详细情况。
图10-3 告警事件
菜单项‘网络’à‘网络设置’子项。进入网卡列表展示页面。点击操作列‘编辑’图标,可编辑对应网卡信息。
图11-1 网卡信息
图11-2 配置网卡
菜单项‘网络’à‘通信设置’子项。进入syslog设置列表,SNMP设置,SNMP Trap设置和session超时时间设置页面。其中syslog设置可添加删除,所有设置项均可编辑。
图11-3 通信设置
点击syslog设置模块的右上角的‘添加’图标,展示syslog设置界面,正确填写必要信息,点击‘提交’完成添加syslog的操作。其中审计告警为系统内部审计日志,事件告警为告警规则产生的告警事件,性能告警:为性能监控产生的告警信息,系统告警为日审本身产生的告警信息(例如:磁盘告警,锁定告警,备份还原告警等)。
图11-4 添加syslog
点击‘SNMP设置’模块表格的操作列‘编辑’图标,显示SNMP设置界面,编辑完成点击‘提交’完成编辑SNMP操作。SNMP只支持V2C版本。
图11-5 编辑snmp
点击‘SNMP Trap设置’模块表格的操作列‘编辑’图标,显示SNMP Trap设置界面,编辑完成点击‘提交’完成编辑SNMP Trap操作。SNMP只支持V2C版本。
图11-6 编辑snmp Trap
点击‘session超时时间设置’模块表格的操作列‘编辑’图标,显示session超时时间设置界面,时间单位为分钟,编辑完成点击‘提交’完成编辑session时间操作。修改session时间后,页面会退出登录,重新输入用户名密码,登录后session时间修改成功。
图11-7 配置session时间
点击‘日志转发配置列表’模块右侧‘添加’图标,输入配置项,测试成功后点击提交按钮。
菜单项‘网络’à‘组件状态’子项。进入组件状态信息界面。
组件状态说明:在网络-组件状态处可以查看目前服务器各项服务的运行状态分为正常和异常,当有日志无法接受时,可先确认组件状态是否正常
图11-8 组件状态
图11-9 异常状态
表11-1 组件状态说明
配置项 |
说明 |
CPU服务 |
监控系统CPU负载 |
磁盘空间 |
磁盘空间组件运行状态 |
系统服务 |
监控系统内存,CPU或者磁盘使用率 |
日志转发服务 |
接收514端口日志转发待解析引起状态 |
日志解析服务 |
解析规则或者解析插件运行状态 |
数据库服务 |
数据库服务运行状态 |
存储引擎服务 |
存储采集解析后的日志信息准港台 |
升级服务 |
升级程序服务状态 |
备份服务 |
定期检测自动备份还原状态 |
关联规则服务 |
使用关联规则功能整体运行状态 |
WMI采集服务 |
通过wmi协议采集windows日志功能运行状态 |
性能监控服务 |
资产监控的资产性能信息采集状态 |
菜单项‘网络’à‘路由设置’子项。进入路由配置管理界面。
图11-10 路由设置
点击路由设置列表右上角‘添加’图标,进入添加静态路由界面,按要求填写提交项à点击‘提交’完成添加静态路由的操作。
图11-11 添加静态路由
表11-2 添加静态路由参数说明
配置项 |
说明 |
目标网络 |
输入目标网络地址 |
子网掩码 |
输入目标子网掩码 |
下一跳 |
输入下一跳IP地址,必须与系统其中一个网卡的IP地址相同网段 |
网卡名称 |
选择下一跳路由所在的网卡名称 |
优先级 |
增加优先级 |
菜单项‘系统’à‘邮箱设置’子项。进入邮箱设置界面。填写信息完成邮箱设置。
图12-1 邮箱设置
菜单项‘系统’à‘数据索引信息’子项。进入数据索引信息列表界面。
图12-2 数据索引列表
点击索引列表右上角‘添加索引配置’图标,进入添加数据索引配置,按要求填写提交项信息à点击‘提交’按钮à完成添加数据索引配置的操作。
注意:当数据索引数量较多,在线查看日志量较大时,会影响查看速度,造成页面卡顿。当出现查询日志页面卡顿时间较长时,需要及时配置定时检测和保存一定期内的数据索引,并手动关闭一部分目前不需要的索引,避免造成查询页面加载时间过长,影响使用。
图12-3 添加索引
表12-1 添加索引参数说明
配置项 |
说明 |
保存时限 |
设定数据索引的保存时间,单位为月 |
检测频率 |
可以选择具体时间检测 |
点击数据索引列表标题行左侧的复选框,可选中该页所有数据索引;
点击每条数据索引左侧的复选框则可选中该条数据索引à点击数据索引列表右上角‘多选停止/多选开启’按钮,系统提示:停止索引成功/开启索引成功。
点击每条数据索引‘操作’列‘开启/停止’图标,系统提示:停止索引成功/开启索引成功。
关闭索引:被关闭的索引将不进行图表、报表、日志搜索等日志查询分析功能。对于某些时间范围内,不再需要检索和分析的数据,通过关闭索引,可能减轻日志审计平台系统资源的消耗。
开启索引:需要进行统计分析和日志查询的日志数据,要保持开启索引的状态。
图12-4 停止索引
图12-5 启动索引
菜单项‘系统’à‘采集器管理’子项。进入采集器列表界面,此处作为本机采集器采集正常时无需任何操作,如果采集功能出现异常可以进行重启操作。
图12-6 采集器信息
菜单项‘系统’à‘插件中心’子项。进入插件列表界面。点击每条插件信息‘操作’列‘下载’图标,可下载对应的版本的插件。
图12-7 插件下载
从Windows2003和WindowsXP系统采集日志时, 先安装Agent直接双击安装即可安装后,启动agent。若无法启动需要安装支持包,支持包安装按照附件操作步骤安装即可。
图12-8 Agent插件
配置项 |
说明 |
采集器地址 |
日志审计平台的地址 |
端口 |
与日志审计交互日志报文的端口,默认为5145,不能修改 |
识别资产 |
需要监控windows的网卡,多网卡时需要选择 |
目前Agent采集包括系统日志采集、流量采集、文件采集。系统日志采集window的系统和安全事件,流量采集经过监控网卡的TCP/UDP流量包,文件采集设备采集路径,采集对应路径下的文本文件,但是目前文件采集还不支持解析。
需要采集哪类日志,勾选对应的开启引擎配置以及需要采集的日志类型,应用即可。
图12-9 配置应用
菜单项‘系统’à‘知识库’子项。进入知识库模块页面。
图12-10 知识库
点击知识库列表右上角‘添加’图标,进入添加经验界面,按要求填写提交项信息à点击‘提交’完成添加经验的操作。
图12-11 添加经验
图12-12 填写经验
点击每条知识库信息‘操作’列‘查看经验’图标,可查看该条知识库的详细信息。
图12-13 预览经验
菜单项‘系统’à‘日志摘要’子项。进入日志摘要模块页面。
图12-14 日志摘要
日志摘要下载将未正常解析的原始日志内容,统一梳理成文本文件。日志摘要会从大量的原始日志中,提取成少量的日志特征,管理员可再针对日志特征进行解析规则的编写和优化。
点击日志摘要列表右上角‘日志摘要’按钮,进入添加日志摘要界面,选择必要提交项à点击‘启动’完成添加日志摘要的操作。
图12-15 点击添加
点击日志摘要列表标题行左侧的复选框,可选中该页所有日志摘要,点击每条日志摘要左侧的复选框则可选中该条日志摘要à点击日志摘要列表右上角‘删除’按钮,系统提示:确定删除所选项吗?点击‘确定’,完成批量删除日志摘要的操作。点击每条日志摘要信息‘操作’列‘删除’图标,系统提示:确定删除此项吗?点击‘确定’,完成删除日志摘要的操作。
图12-16 删除日志摘要
点击每条日志摘要信息‘操作’列‘下载’图标,系统提示:确定下载该条任务结果吗?点击‘确定’,完成下载日志摘要的操作。
图12-17 日志摘要下载
在数据备份功能中,备份并下载的日志审计平台的配置数据,可再导入到日志审计平台中,实现系统配置备份和恢复。不支持跨版本导入数据库配置文件。
菜单项‘系统’à‘数据库导入’子项。进入数据库导入模块。选择文件进行导入数据库。
图12-18 数据库导入
对日志审计平台系统自身的配置进行备份,保留当前状态的策略、系统设置等,可以将配置和数据下载保存。数据备份搜索不支持带()搜索,如要搜索日志(其它)备份,直接输入日志两个字搜索即可。达到磁盘告警阈值将无法备份。
菜单项‘系统’à‘数据备份’子项。进入数据备份模块。
数据备份需要满足如下条件:
· 查看是否达到设置的磁盘告警阈值,未配置磁盘告警时,系统默认当磁盘容量达到95%不允许备份和还原,设置告警阈值,达到告警阈值无法备份
· 查看备份的数据索引是否开启,数索引需要开启,否则备份失败
· 远端备份,需要查看备份服务器是否有空余备份空间
图12-19 数据备份
注意:达到磁盘告警阈值无法备份还原,未配置告警阈值,系统默认当磁盘容量达到95%时,无法备份还原,且数据索引处于关闭状态也无法备份,需要开启。当磁盘容量较高时,建议备份到远端服务器,系统默认当磁盘容量达到95%产生告警,达到96%将无法接收日志。
按需选择页面右上角‘备份/清理’项,系统提示:确定备份此项吗?点击‘确定’完成手动备份操作。
表12-2 备份选项说明
配置项 |
说明 |
数据库(全部) |
备份系统配置、资产配置、用户配置;snmp配置等不在数据库备份中,详细以备份结果为准 |
日志(其它) |
备份时间范围内的审计日志 |
数据清理(其它) |
清理时间范围内的审计日志(清理为清理在线存储数据,对备份数据不进行清理) |
图12-20 备份或者清理
图12-21 手动备份
图12-22 备份数据库(全部)
图12-23 备份日志(其它)
图12-24 日志数据清理(其它)
点击右上角‘自动备份’按钮,显示自动备份模块,按照需要勾选或填写提交项信息,点击‘提交’按钮完成自动备份操作。
数据库即系统的配置文件是全量备份,达到执行时刻开始备份;日志是增量备份,可以配置初始备份开始时间,配置完成后,隔天生成日志备份文件。
图12-25 自动备份
图12-26 配置信息
自动清理功能将会清理和删除符合策略要求的日志数据,释放存储空间。
点击右上角‘自动清理’按钮,显示自动清理模块,按照需要勾选或填写提交项信息,点击‘提交’按钮完成自动清理操作。自动清理同样清理的是在线存储数据,对备份数据不进行清理。
图12-27 自动清理
图12-28 配置信息
表12-3 备份选项说明
配置项 |
说明 |
存储路径 |
默认存储路径,可显示存储空间总量,已使用空间和占用率 |
磁盘阈值 |
设置1-100的数字,当达到磁盘使用率阈值时自动清理 |
清理至 |
清理存储空间,直到指定的磁盘使用率阈值 |
磁盘告警阈值 |
当磁盘阈值达到时进行告警 |
保存周期 |
如果未达到使用率阈值,在达到保存时间后也会清理日志和数据 |
自动转存功能将完成备份的数据自动发送到FTP服务器、Samba存储。
点击右上角‘自动转存’按钮,显示自动转存模块,按照需要勾选或填写提交项信息,点击‘提交’按钮完成自动转存操作。注意设置转存路径不能设置根目录。
图12-29 自动转存
图12-30 配置信息
表12-4 备份选项说明
配置项 |
说明 |
服务器地址 |
FTP或者smaba服务器地址 |
端口 |
设置服务端口号 |
用户名 |
登录用户名 |
密码 |
登录密码 |
转存路径 |
备份文件存储路径(文件夹名称不支持中文且不支持备份到根目录下) |
执行数据恢复,恢复已经清理的日志。
图12-31 数据恢复配置
通过日志导入功能,可以将文件形态的原始日志进行导入,系统将根据指定的设备类型对日志进行解析。解析的前提是资产页面包含导入选择的资产类型,若不包含,需要先添加对应的资产类型,再上传,日志导入成功后,在‘审计-日志查询’页面查看导入的日志。
菜单项‘系统’à‘日志导入’子项。进入日志导入模块。选择‘关联设备类别’,上传完整日志.log文件,文件大小在10M以下,点击‘提交’按钮,完成日志导入操作。完成操作后,可到‘审计-日志查询’查看导入的日志。
图12-32 日志导入
日志监测能对系统接收到的网络报文进行抓包分析,用于测试日志审计平台系统是否接收到通过网络传输的日志数据报文,例如syslog报文。使用日志监测以及ping功能前,请先进行浏览器验证,点击页面上方的红色提示标语。
菜单项‘系统’à‘日志监测’子项。进入日志监测模块。输入日志传输源IP地址(服务器)和目标IP地址(日志审计)和端口号,开始监测。
图12-33 日志监测
菜单项‘系统’à‘许可信息’子项。
进入系统许可信息模块,可查看系统版本和授权信息,也可在‘授权信息’表中上传注册文件,点击‘授权’完成系统的授权操作,还可以进行系统升级,修正时间。
表12-5 许可信息功能模块功能介绍
配置项 |
说明 |
关于产品 |
展示版本类型、授权天数、剩余天数、资源数、剩余资源、授权时间 |
系统升级 |
当前版本信息、浏览上传升级文件 |
修正设备系统时间 |
修正设备系统运行时间,在变更授权之前,需要进行系统时间修正操作 |
硬件信息 |
展示设备名称、设备型号、软件版本、产品S/N、设备信息文件下载 |
授权信息 |
导入设备激活文件完成许可授权激活操作 |
图12-34 许可信息
许可信息:可查看到产品的授权剩余时间,当前版本等信息,硬件信息,可在此处最下方‘授权信息’处上传授权文件
图12-35 硬件/授权信息
菜单项‘系统’à‘许可信息’子项。进入许可信息模块,查看系统当前版本信息,选择上传升级文件进行升级。
此处需要说明的是此处的当前版本为系统版本,特征库版本为当前解析规则库版本号,解析规则库版本中的日期标识特征库的日期,R6.XXX为小版本号由系统版本决定,如E6101P04为R6.294,E6101P05为R6.296。
菜单项‘系统’à‘关机重启’子项,进入系统关机或重启的操作提示模块。点击‘关闭系统’或‘重启系统’即可完成对应操作。点击灰色区域退出模块。
图12-37 关机重启
菜单项‘系统’à‘关机重启’子项,进入主机防护或WEB防护的操作提示模块。勾选‘主机防护’防护功能开启,无法连接ssh;勾选‘WEB防护’,可以防止部分扫描器扫描,由于扫描器种类多,方法各异,无法完全拦截。
图12-38 防护功能