08-配置
本章节下载: 08-配置 (720.97 KB)
目录
管理审计引擎,启用或停止。
(1) 进入[配置/常规/引擎管理],打开引擎管理页面进行配置。如图1-1所示。
表1-1 引擎管理信息
选项 |
用途说明 |
审计 |
如果停止运行,则无法审计到数据,一般不建议用户停止运行审计引擎 |
特征 |
如果停止运行,则无法审计到特征数据,也不建议用户停止运行特征引擎 |
审计外送 |
如果停止运行,则无法将系统保存的审计记录通过SYSLOG实时发送给SYSLOG服务器,也不建议用户停止运行日志引擎 |
管理客户端工具。
(1) 进入[配置/常规/客户端工具名],打开来访客户端工具名界面。如表1-2所示。
图1-2 客户端工具名
(2) 点击<新增>,打开新增页面,输入客户端工具名称保存即可。如图1-3所示。
客户端工具名称可自动采集
管理来访客户网络。
(1) 进入[配置/常规/来访客户网络],打开来访客户网络配置界面。如图1-4所示。
(2) 点击<新增>,打开新增页面。如图1-5所示。
在点击<新增>,进入[新增来访客户网络]页面,此时只有“名称”输入框,输入名称后,点击<保存并添加IP>后,才能看到添加IP的部分。
选项 |
用途说明 |
名称 |
必选项。输入后,点击<保存并添加IP>后,才能看到添加IP部分 |
IP |
必选项。来访网络IP。 · 支持单个IP地址,如192.168.1.10 · 支持IP网段,如192.168.1.* (只支持最末位设置为*类型的网段) · IP地址段,如192.168.1.1-192.168.1.100 |
已添加IP |
已添加成功的IP |
(3) 点击<删除>,删除选中的来访客户网络。如图1-6所示。
删除也可以点击IP后面的<删除>,逐个进行删除。
(4) 点击<编辑>,修改来访客户网络。如图1-7所示。
只针对指定的IP进行审计,其它源IP或业务系统的记录不再审计。
(1) 进入[配置/常规/指定源IP审计],打开指定源IP审计配置界面。如图1-8所示。
一旦配置并保持了IP,系统就只审计此列表中的源IP产生的数据。
(2) 点击<新增>,打开新增页面。如图1-9所示。
表1-3 指定源IP信息
选项 |
用途说明 |
来源IP |
必选项。 · 支持单个IP地址,如192.168.1.10 · 支持IP网段,如192.168.1.* (只支持最末位设置为*类型的网段) |
(3) 点击<删除>,删除选中的源IP。如图1-10所示。
删除也可以点击源IP对应的<删除>,逐个删除。
(4) 点击<编辑>,修改源IP。如图1-10所示。
图1-11 编辑源IP
该功能是对IP或IP所对应的业务系统发出的数据不再进行审计和记录。
(1) 进入[配置/常规/IP过滤],打开IP过滤配置页面。如图1-12所示。
图1-12 IP过滤
一旦配置并保持了IP,此IP将不审计。
(2) 点击<新增>,打开新增页面。如图1-13所示。
选项说明参见表1-4。
表1-4 IP过滤信息
选项 |
用途说明 |
不区分来源及目标 |
新增IP作为源IP或目标IP都会被过滤。 |
同时满足来源及目标 |
分别新增源IP和目标IP。 其中, 源IP可以为单个IP、IP网段、IP地址段; 目标IP只能填写单个IP,并且需要填写端口。 |
IP |
必填项。 · 支持单个IP地址,如192.168.1.10 · 支持IP网段,如192.168.1.* (只支持最末位设置为*类型的网段) · IP地址段,如192.168.1.1-192.168.1.100 |
(3) 点击<删除>,删除选中的IP。如图1-14所示。
删除也可以点击IP对应的<删除>,逐个删除。
主要是对报文过滤的模板进行管理维护。
(1) 进入[配置/常规/报文过滤],打开报文过滤页面。如图1-15所示。
报文过滤选项说明见表1-5。
选项 |
用途说明 |
详细 |
查看报文过滤模板的详细信息。 |
删除 |
删除对应的报文过滤模板。 |
对审计查询参数、查询结果显示列和查询结果显示视图进行设置。
(1) 进入[配置/常规/查询参数],打开查询参数配置界面。如图1-16所示。
(2) 设置相应参数。参见表1-6。
选项 |
用途说明 |
|
审计查询参数 |
查询结果每页显示 |
每页显示审计数据记录的条数。可进行数值调整,最小值20条,最大值1000条。默认值为20 不建议选用太大,否则显示时间会比较长。 |
查询结果总记录数 |
显示审计数据记录的条数。可进行数值调整,最小值200条,最大值100000条。默认值为600 |
|
查询缺省时间范围 |
缺省值300秒,显示审计数据记录。可进行数值调整,最小值60秒,最大值86400秒 |
|
查询结果导出最大记录数 |
结果导出最大记录数为100000 |
|
报文最大显示长度 |
报文最大显示长度为10000 |
|
审计查询结果设置 |
显示列设置 |
设置后,在审计查询结果列表中只显示选中列 |
视图设置 |
设置后,在审计查询结果页面根据设置显示视图 |
|
风险查询结果设置 |
显示列设置 |
设置后,在风险查询结果列表中只显示选中列 |
告警提醒是在发生告警的情况下,可以在浏览器的右下角以冒泡的形式自动弹出告警提示框。
(1) 进入[配置/告警通知/告警提醒],打开告警提醒配置界面。如图1-17所示。
(2) 选择是否弹出提示框、发出提示声音。
(3) 点击<保存>,保存配置。
将告警通过邮件、短信、FTP、SYSLOG和SNMP方式,将告警信息发送给相关人员,以便相关人员及时处理告警。
(1) 进入[配置/告警通知/发送配置],打开发送配置界面。如图1-18所示。
(2) 点击<新增通知>,打开[新增通知]页面。如图1-19所示。
(3) 选择业务主机群、告警级别、通知类型及与通知类型相关的配置。见表1-7。
选项 |
用途说明 |
|
告警类型 |
必选项。默认为“风险告警” |
|
业务主机群 |
必选项。 |
|
告警级别 |
必选项。默认为“高” |
|
通知类型 |
邮件 |
以邮件方式发送告警通知 · 点击<修改收件人邮件地址>,修改收件人的邮件地址 · 点击<邮件服务器配置>,配置邮件服务器。参见1.2.4 邮件 |
短信 |
以短信方式发送告警通知 · 选择发送给谁 · 点击<修改收件人手机>,修改收件人的手机号码 · 点击<短信接口配置>,配置短信接口。参见1.2.5 短信 |
|
SNMP |
以SNMP方式发送告警通知 · 点击<SNMP 服务器配置>,配置SNMP服务器。参见1.2.8 SNMP |
|
SYSLOG |
以SYSLOG方式发送告警通知 · 选择SYSLOG类型,等级。参见表1-8 SYSLOG日志类型、表1-9 SYSLOG等级类型 · 点击<Syslog服务器配置>,配置SYSLOG服务器。参见1.2.7 SYSLOG |
|
FTP |
以FTP方式发送告警通知 · 点击<FTP 服务器配置>,配置FTP服务器。参见1.2.5 3. FTP |
表1-8 SYSLOG日志类型
选项 |
用途说明 |
kernel messages |
内核日志消息 |
user-level messages |
随机的用户日志消息 |
mail system |
邮件系统日志消息 |
system daemon |
系统守护进程日志消息 |
security/authorization messages |
安全管理日志消息 |
messages generated internally by syslogd |
syslogd本身的日志消息 |
line printer subsystem |
行打印机日志消息 |
network news subsystem |
新闻服务日志消息 |
UUCP subsystem |
UUCP系统日志消息 |
clock daemon |
clock 守护进程日志信息 |
FTP daemon |
FTP守护进程日志信息 |
NTP subsystem |
NTP日志信息 |
log audit |
日志审计 |
log alert |
高优先级日志信息 |
local0~local7 |
保留为本地使用 |
表1-9 SYSLOG等级类型
选项 |
用途说明 |
Emergency |
紧急情况,会导致系统不可用 |
Alert |
高优先级故障,必须马上采取行动 |
Critical |
严重错误 |
Error |
错误事件 |
Warning |
警告事件 |
Notice |
普通但重要的事件 |
Informational |
一般信息 |
Debug |
调试信息 |
(4) 点击<保存>,保存配置。点击<关闭>,取消操作。
发送情况是告警信息发送情况统计。内容主要包括:
· 查询发送情况和重发告警信息。
· 显示发送情况统计信息和重发情况统计信息。
(1) 进入[配置/告警通知/发送情况],打开发送情况页面。如图1-20所示。
(2) 点击<查询>,打开查询配置页面。如图1-21所示。
(3) 选择业务主机群、类型和发送时间。参见表1-10。
选项 |
用途说明 |
业务主机群 |
必选项 |
类型 |
必选项。默认为“全部”。包括全部、邮件、短信、SNMP、SYSLOG和FTP |
发送时间 |
选择发送的开始时间和结束时间 |
(4) 点击<查询>,查询发送情况;点击<重置>,重置查询条件;点击<关闭>,取消操作。
(1) 进入[配置/告警通知/发送情况],打开发送情况页面(如图1-20)。
(2) 点击<重发>,打开重发页面。如图1-22所示。
(3) 选择告警发生的开始时间和结束时间。
(4) 点击<发送>,重新发送告警通知;点击<关闭>,取消操作。
在告警时,通过邮件服务器,可以将告警信息以邮件形式发送给相关人,供相关人处理告警信息。
(1) 进入[配置/告警通知/邮件],打开邮件配置页面。如图1-23所示。
(2) 填写相关内容。参见表1-11。
选项 |
用途说明 |
|
发送邮件服务器 |
必选项。支持输入域名或IP地址 · 点击<DNS服务器配置>,配置DNS服务器 |
|
不需要SMTP验证 |
发送人邮箱 |
必填项。填写发送人的邮箱 |
端口 |
必填项。发送邮件服务器的端口。默认为25 |
|
需要SMTP验证 |
发送人邮箱 |
必填项。填写发送人的邮箱 |
密码 |
必填项。发送人邮箱对应的密码 |
|
加密类型 |
选择加密类型。默认为“不加密” |
|
端口 |
必填项。发送邮件服务器的端口 · 选择“不加密”,端口默认为25 · 选择“TLS”,端口默认为465 · 选择“SSL”,端口默认为587 |
|
单封邮件最多显示前 |
必填项。发送时,每一封邮件内容显示的告警信息条数,当告警信息条数超过所设置的数值时,只显示统计信息,不显示单条告警信息。默认值为100,可设置值范围:10~500 |
|
发送统计信息 |
必选项。选择“是”,将发送统计信息;选择“否”,则不发送 |
(3) 点击<保存>,保存配置;点击<发送测试邮件>,发送邮件测试配置是否正确。
在告警时,通过短信接口,可以将告警信息以短信形式发送给相关人,供相关人处理告警信息。
(1) 进入[配置/告警通知/短信],打开短信配置页面,默认为不发送。其中有两种发送方式,一种通过数据库接口,一种通过WEB接口。如图1-24所示。
(2) 选择“数据库接口”,配置相关参数,保存即可。配置信息参见表1-12。
图1-25 数据库接口配置
选项 |
用途说明 |
数据库类型 |
支持Oracle、Sqlserver、Mysql |
数据库IP地址 |
必填项。填写数据库IP地址 |
数据库连接端口 |
必填项。填写数据库端口 |
用户名 |
必填项。填写数据库用户名 |
密码 |
必填项。填写数据库密码 |
数据库名(SID) |
必填项。填写数据库名或SID信息 |
调用方式 |
有两种方式: 插入语句:直接通过SQL语句把告警信息插入到数据库中 存储过程:通过调用存储过程把告警信息插入到数据库中 |
插入SQL模板 |
当调用方式为“插入语句”时,此项才会出来。 可使用两个参数(1.手机号码,2.短信内容),用?表示,顺序可在“参数顺序”中设置。 例:insert into MSG(count,phonenum,content,prionity) values(1,?,?,1) |
存储过程名称 |
当调用方式为“存储过程”时,此项才会出来。 可使用两个参数(1.手机号码,2.短信内容),用?表示,顺序可在“参数顺序”中设置。 例:MsgSend(1,?,?,1) |
参数顺序 |
有两个选项: 第一个参数为手机号码,第二个参数为短信内容 第一个参数为短信内容,第二个参数为手机号码 |
短信内容 |
配置时,是使用参数指代告警记录的内容。 具体可用参数可单击该项后面的“点击查看所有可用参数”链接文字打开参数说明对话框查看参数内容。 |
字符编码 |
有两种:UTF-8、GBK |
间隔发送最短时间 |
每条告警发送的最短间隔时间 |
每日发送最多条数 |
每日最多发送条数,只能配置1-10000 |
测试短信内容 |
测试短信内容,可修改默认值。 |
测试号码 |
输入测试号码后,点击<发送测试短信>按钮,即可把测试内容发送到测试号码上。 此测试号码单纯是测试配置使用,并非告警信息接收者。 |
(1) 进入[配置/告警通知/短信],打开短信配置页面,选择“Web接口”,配置相关参数,保存即可。配置信息参见表1-13。
图1-26 Web短信接口
表1-13 Web接口信息
选项 |
用途说明 |
发送方式 |
支持POST、GET、JSON |
URL |
短信调用URL。当不同的发送方式不一样的配置: [POST]:直接输入调用的URL,例:http://www.sms.com/ [GET]:可以使用 [$PHONE] 和 [$SMSTEXT] 两个参数,分别表示手机号码和短信内容。例:http://www.sms.com/?Uid=username&key=password&Mobil=[$PHONE]&Text=[$SMSTEXT] [JSON]:直接输入调用的URL,例:http://www.sms.com/ |
POST参数 |
当发送方式为“POST”时,此项才会出来。 可以使用 [$PHONE] 和 [$SMSTEXT] 两个参数,分别表示手机号码和短信内容。 例:Uid=username&key=password&Mobil=[$PHONE]&Text=[$SMSTEXT] |
请求内容 |
当发送方式为“JSON”时,此项才会出来。 可以使用 [$PHONE] 和 [$SMSTEXT] 两个参数,分别表示手机号码和短信内容。 例:{"moble":"[$PHONE]","content":"[$SMSTEXT]","account":"aaa","password":"123"} |
请求头 |
请求头信息,点击<添加>可以输入对应的请求头名称和请求头值,可添加多个请求头信息 |
短信内容 |
配置时,是使用参数指代告警记录的内容。 具体可用参数可单击该项后面的“点击查看所有可用参数”链接文字打开参数说明对话框查看参数内容。 |
字符编码 |
有两种:UTF-8、GBK |
间隔发送最短时间 |
每条告警发送的最短间隔时间 |
每日发送最多条数 |
每日最多发送条数,只能配置1-10000 |
测试短信内容 |
测试短信内容,可修改默认值。 |
测试号码 |
输入测试号码后,点击<发送测试短信>按钮,即可把测试内容发送到测试号码上。 此测试号码单纯是测试配置使用,并非告警信息接收者。 |
在告警时,通过FTP,可以将告警信息以文件上传形式上传到FTP,供相关人查看和处理告警信息。
(1) 进入[配置/告警通知/FTP],打开FTP配置页面。如图1-27所示。
图1-27 配置FTP服务器
(2) 填写相关内容。参见表1-14。
选项 |
用途说明 |
状态 |
必选项。默认为“启用” |
IP |
必填项。填写服务器IP |
端口 |
必填项。填写端口。默认为21 |
用户名 |
必填项。访问FTP服务器的用户名 |
密码 |
必填项。用户名对应的密码 |
上传目录 |
必填项。告警信息文件上传到服务器的目录 |
单个文件最多显示前 |
发送时,每一次发送的文件内容显示的告警信息条数,当告警信息条数超过所设置的数值,只显示统计信息,不显示单条告警信息。默认值为100,可设置值范围:10~500 |
发送统计信息 |
必选项。选择是否发送统计信息 |
在告警时,通过SYSLOG服务器,可以将告警信息以SYSLOG日志形式保存到SYSLOG服务器,供相关人查看和处理告警信息。
(1) 进入[配置/告警通知/SYSLOG],打开SYSLOG配置页面。如图1-28所示。
Syslog选项参见表1-15。
选项 |
用途说明 |
新增Syslog服务器 |
添加新的Syslog服务器 |
代理服务器配置 |
配置代理服务器 |
发送类型 |
必选项。发送统计信息或发送单条。默认选择“发送统计信息”,在周期内发送的告警信息,接收端接收后,是以统计方式显示信息;若需要在接收端显示每条告警信息,可选择“发送单条” |
(2) 点击<新增Syslog服务器>,打开新增Syslog服务器页面。如图1-29所示。
Syslog服务端选项参见表1-16。
表1-16 Syslog服务端信息
选项 |
用途说明 |
状态 |
必选项。默认为“启用” |
IP |
必填项。填写服务器IP |
端口 |
必填项。填写端口。默认为514 |
发送者 |
必填项。填写发送者。默认为“sender” |
(3) 点击<代理服务器配置>,打开代理服务器配置页面。如图1-30所示。
Syslog代理服务器选项参见表1-17。
选项 |
用途说明 |
状态 |
必选项。默认为“启用” |
类型 |
默认为“SOCKS5” |
IP |
必填项。填写服务器IP |
端口 |
必填项。填写端口 |
用户名 |
必填项。填写代理服务器的用户名 |
密码 |
必填项。填写用户名对应的密码 |
在告警时,通过SNMP服务器,可以将告警信息发送到SNMP接收端,供相关人查看和处理告警信息。
(1) 进入[配置/告警通知/SNMP],打开SNMP配置页面。如图1-31所示。
(2) 填写相关内容。参见表1-18。
选项 |
用途说明 |
状态 |
必选项。默认为“启用”。 |
服务器IP |
必填项。输入SNMP服务器IP。 |
端口 |
必填项。输入端口。默认为162。 |
OID |
系统默认值。默认值为“public”。 |
MIB |
使用系统默认值。 |
发送类型 |
必选项。默认选择“发送单条”,在周期内发送的告警信息,接收端接收后,显示每条告警信息;若需要在接收端显示告警统计信息,可选择“发送统计信息”。 |
审计系统支持与同牌堡垒的关联
(1) 进入[配置/关联配置/堡垒主机]页面,点击<新增>按钮,打开新增页面。
图1-32 新增堡垒主机配置
(2) 输入“IP”、WEB选择“探测器”、选择需要配置的“WEB服务器信息”和“数据库服务器信息”及其它信息,点击<保存>按钮。
(3) 登录堡垒机,通过堡垒机访问数据库产生审计记录
(4) 登录审计系统,可以在[审计]-[会话查询]-“只查询堡垒”—可以查询到堡垒机关联的会话记录。
三层关联实现应用与数据库的有效关联,追踪到最终用户端。
(1) 进入[配置/关联配置/三层关联]页面,点击<新增>按钮,打开新增页面。
图1-33 配置三层关联
(2) 输入“用户业务系统名称”、选择“探测器”、选择需要配置的“WEB服务器信息”和“数据库服务器信息”及其它信息,点击<保存>按钮。
(3) 高级配置说明:
配置关联的查询时间范围:配置查询时间的范围例如:前5秒,后1秒
配置关联来源IP列表:在输入框输入ip之后,点击保存按钮即可。
(4) 打开[审计/日常行为/WEB查询]页面,选择能确定用户信息的记录,在详细页面配置用户名提取。
(5) 配置成功后,系统即可提取对应的用户名,能自动进行三层关联。
IP关联信息能使审计记录与对应的用户关联起来。
(1) 进入[配置/关联配置/IP关联信息],打开IP关联信息页面。
图1-34 IP关联页面
(2) 点击<新增>按钮,打开新增页面,输入相关信息,保存即可。
图1-35 新增关联信息页面
(3) 选择记录,点击<删除>,即可删除对应的记录。
图1-36 删除关联信息
(4) 点击<导入>,可导出模板到本地,把数据填入模板,再通过“选择文件”导入修改好的模板文件,即可批量导入数据。
图1-37 导入关联信息页面
(5) 点击<查询>,可根据过滤条件查询相应的记录。
图1-38 查询关联信息页面
把客户端IP为192.168.10.65的相关信息关联显示在审计记录中。
(1) 进入[配置/关联配置/IP关联信息],打开IP关联信息页面。
(2) 点击<新增>按钮,打开新增页面,输入工号为“1001”,科室为“财务科”,姓名为“张三”,IP地址为“192.168.10.65”,点击<保存>按钮添加成功。
图1-39 客户端信息配置
(3) 当使用客户端IP地址(192.168.10.65)访问数据库操作时,打开[审计/日常行为/综合查询]页面,在“关联账号”列中可以查看到对应的关联信息
图1-40 审计关联信息
(4) 当使用客户端IP地址(192.168.10.65)访问数据库操作产生告警时,打开[风险/告警/高危(未处理)]页面,在“客户端操作员”列中可以看到相应的关联信息。
图1-41 告警关联信息
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!