01-正文

1 产品简介

H3C SecCenter CSAP-SA 综合日志审计平台（以下简称综合日志审计平台）能够通过主被动结合的手段，实时不间断地采集网络中不同厂商生产的各种安全设备、网络设备、主机、操作系统、以及各种应用系统产生的海量日志信息。这些日志信息汇集到综合日志审计平台后，平台将对其进行集中化存储、备份、查询、审计、告警、响应，并出具丰富的报表报告，以便管理员获悉全网的整体安全运行态势，实现全生命周期的日志管理。

综合日志审计平台系列产品包括综合日志审计平台一体机（产品型号为CSAP-SA）和虚拟综合日志审计平台（产品型号为CSAP-SA-V）。

综合日志审计平台一体机是平台与主机一体化发货，出厂预装软件版本，用户只需简单配置网络后即可使用；虚拟综合日志审计平台发货仅软件版本，需要进行安装部署后才能使用，虚拟综合日志审计平台支持部署在VMware、H3C CAS平台等虚拟机或裸金属服务器上。

2 安装前的工作准备

2.1 安装平台要求

综合日志审计平台支持安装在虚拟机或物理服务器中，对虚拟机或物理服务器的资源配置要求如下表2-1和表2-2所示。如果资源不满足最低要求，安装过程会出错退出或运行异常。

1. 服务器硬件配置要求

推荐的服务器最低配置如下表所示。

表2-1 服务器配置需求

配置项	配置要求
CPU	8核，单核频率2.4GHz及以上
内存	32GB
硬盘	最低要求1TB，可根据需求扩展；不支持SSD硬盘部署。

2. 虚拟机安装平台要求

综合日志审计平台支持主流虚拟机部署，虚拟机的最低配置要求如下表所示。

表2-2 虚拟机配置需求

配置项	配置要求
CPU	8核，单核频率2.4GHz及以上
内存	32GB
存储	最低要求1TB，可根据需求扩展

3. 安装注意事项

安装前请先阅读以下注意事项，确保安装过程顺利进行。

· 在虚拟机上部署本平台时，仅需要虚拟一块硬盘用于本平台部署。

· 服务器或虚拟机所在物理服务器必须是X86架构。

· 暂不支持在做了软RAID磁盘阵列的服务器上部署本平台，若需要做RAID磁盘阵列，则要求该服务器有独立RAID卡。

· 在安装了独立RAID卡的服务器上部署本平台时，需先将用于部署本平台的所有磁盘组成一个磁盘阵列（RAID级别不限）后再部署，且该服务器上仅包含1个磁盘阵列，否则可能导致部署完成后系统无法引导。

· 若服务器存在多个容量满足条件的硬盘时，平台会自动安装在容量最大的硬盘或磁盘阵列上。

· 请设置服务器BIOS启动模式为UEFI模式，并设置硬盘引导优先级高于虚拟光驱优先级。

图2-1 设置BIOS启动模式为UEFI模式和硬盘引导优先级高于虚拟光驱优先级

2.2 服务器接入网络

将服务器或虚拟平台所在服务器的HDM、Eth0端口通过以太网线连接到接入交换机。组网连线示意图如图2-2所示。其中，HDM端口为服务器管理地址端口，Eth0为平台对外业务通信端口，即接入网络成功后，用户通过Eth0端口IP地址登录本平台。

图2-2 服务器网络接入连线

3 系统安装

本文以H3C服务器部署、H3C CAS虚拟机部署、VMware虚拟机为例介绍综合日志审计平台的部署方法，其他三方平台部署方式请参照三方平台操作系统安装说明实施。

3.1 获取安装文件

综合日志审计平台安装镜像文件可在H3C官网下载获取，并将安装文件拷贝到安装主机上。本章以SecCenterCSAP-SA-V-E1708P01.iso为例介绍综合日志审计平台安装过程，实际安装时，请以实际安装镜像文件名称为准。

3.2 服务器安装综合日志审计平台

3.2.1 安装前准备工作

安装前请根据需求进行管理口地址及账号配置、BIOS配置和磁盘RAID配置，具体配置方法请参见服务器自带的相关资料。

确保安装主机与服务器之间网络互通。

3.2.2 部署平台

(1) 在安装主机上打开浏览器，在浏览器地址栏输入服务器HDM口IP地址，登录服务器Web界面。在“远程控制 > 远程控制台”页面，单击<KVM>按钮进入JViewer界面。

启动KVM控制台之前，需要先配置Java环境。

(2) 在JViewer界面，单击菜单栏中的“虚拟介质”，弹出导入镜像文件窗口。单击<浏览>按钮，选择平台安装镜像文件SecCenterCSAP-SA-V-E1708P01.iso，然后单击<Connect CD/DVD>按钮。

(3) 导入完成后，单击菜单栏中的“电源”菜单项，选择<立即重启>重启服务器。

(4) 重启过程中进入如下页面时，立即按下<F7>（不同型号服务器的入口按键不同，请以服务器实际界面为准）进入启动设置界面。

(5) 当出现如下图所示界面时，选择第一块虚拟CD作为BOOT设备，按<Enter>键进入安装页面。

(6) 选择Install H3Linux选项，按<Enter>键进入下一步安装界面。

执行该步骤时，若硬件资源不满足需求会报错退出，请核对资源信息后重新安装。报错提示及说明如下：

· Cpu_Core_Num_Is_less_than_8：cpu核数少于8核

· Memory_Is_less_than_32G：内存大小小于32GB

· Cannot_Find_Available_Disk：磁盘大小不满足需求，找不到一个大于1TB磁盘用于部署

图3-1 信息示例-CPU核数少于8核报错

(7) 进入下图所示页面后单击“键盘”选择键盘类型，设置后单击完成返回当前配置页面。

请严格按照如下配置说明进行配置，其他未指定配置请不要修改，若因其他配置导致平台异常，需重新部署系统。

(8) 返回如下界面后，设置网络和主机名，其他配置无需更改。

a. 选择要使用的网卡、设置主机名并应用，单击<配置>按钮进入网络配置页面。

b. 配置网卡IPv4地址（当前仅支持IPv4）并保存。请配置可用地址，否则可能导致安装失败或安装后无法登录。

c. 打开以太网开关并单击<完成>按钮。

(9) 单击<开始安装>按钮，安装过程中服务器会自动重启一次，请不要关闭电源。

安装过程中不允许创建自定义用户，否则会导致系统安装异常，无法启动SSH服务。

(10) 控制台出现如图3-2所示页面表示安装完成，可使用Chrome浏览器访问平台，如图3-3所示。

图3-2 安装完成界面

正常情况下，安装完成（安装时间约10～20分钟）后系统自动跳转到图3-2所示页面，若出现界面一直（超过20分钟）停留在下图所示界面，可能是界面与服务器后台连接断开的原因，此时双击界面或单击<刷新>按钮刷新界面即可。

图3-3 平台登录界面

若安装完成后，通过IP无法登录到平台（即没有出现如图3-3所示登录界面），可能原因如下：

· 安装过程中网卡及IP地址配置是否正确

· 安装过程中是否按照配置步骤打开网卡（即网卡状态为state up）

· 服务器接入网络是否正常，安装主机与服务器之间是否网络互通

请排除以上问题后重新部署。

3.3 H3C CAS虚拟平台安装综合日志审计平台

本节以H3C CAS 云计算管理平台为例介绍在虚拟机上部署综合日志审计平台。

3.3.1 新增虚拟机

(1) 连接虚拟机后，新增虚拟机，设置虚拟机名称，操作系统选择Linux，版本可选择64位Red Hat 7 或者CentOS 7版本。单击<下一步>按钮配置硬件信息。

(2) 硬件最低要求8核CPU、32GB内存，用户可根据需求拓展。

磁盘空间最低要求1024GB，请根据日志量存储需求配置磁盘空间，平均每条日志存储需0.3KB。

· 请根据物理主机实际性能分配资源，如全部虚拟机资源总和大于物理主机资源，虚拟机运行过程中可能出现资源抢占，影响平台功能。

· 建议选择绑定物理CPU，绑定时建议进行一对一绑定，且绑定在同一个NUMA节点；CPU工作模式为“直通模式”，CPU调度优先级为“高”；内存资源优先级为“高”；磁盘预分配模式为“延迟置零”，以便虚拟机获得更优性能。

(3) 单击光驱选择综合日志审计平台镜像文件SecCenterCSAP-SA-V-E1708P01.iso，如果已经上传了平台镜像文件则直接选择，否则需要先按第(4)步上传文件。

(4) 上传综合日志审计平台镜像文件SecCenterCSAP-SA-V-E1708P01.iso至云平台存储池。

(5) 选择正确的镜像文件后单击<确认>按钮，完成镜像选择。

(6) 单击<完成>按钮完成虚拟机创建。

3.3.2 部署平台

(1) 启动刚刚创建的虚拟机，单击<控制台>按钮进行平台部署信息配置。

(2) 键盘和网络设置方法与服务器部署平台相同，具体请参见3.2.2 部署平台。

3.4 VMware虚拟平台安装综合日志审计平台

本节以VMware vSphere平台为例介绍在VMware虚拟平台上部署综合日志审计平台。

安装前请确认VMware所在服务器CPU不少于8核，可用内存不低于32GB，可用存储空间不少于1TB。

3.4.1 新建虚拟机

(1) 登录VMware vSphere Client，输入VMware vSphere Client的IP地址、用户名、密码，单击<登录>按钮。

(2) 进入系统后，选择“清单”菜单，单击“创建新虚拟机”创建新的虚拟机。

(3) 默认选择“典型”配置，单击<下一步>按钮。

(4) 输入虚拟机名称，例如“综合日志”。

(5) 配置存储器，使用默认设置，单击<下一步>按钮。

(6) 配置操作系统，根据需要选择。

(7) 配置网络，使用默认设置，单击<下一步>按钮。

(8) 配置磁盘，虚拟磁盘大小选择至少1024GB，其余参数使用默认配置。

(9) 配置完成后，勾选“完成前编辑虚拟机设置”，单击<继续>按钮。

(10) 配置内存大小为32GB，CPU选择8核，其他参数使用默认配置，单击<完成>按钮。

图3-4 配置内存

图3-5 配置CPU

(11) 选中新增的虚拟机，单击“摘要”，鼠标右击“database1”，单击“浏览存储数据”。

(12) 上传综合日志审计平台镜像文件。

(13) 上传成功后，返回主页面，选中新建的虚拟机“综合日志”，单击“编辑虚拟机设置”，单击“CD/DVD驱动器”，选择“数据存储ISO文件”，单击<浏览>按钮，选择上一步上传的综合日志审计平台镜像文件，选中“打开电源时连接”，单击<确定>按钮。

3.4.2 部署平台

(1) 选中新建的虚拟机，单击开启虚拟机，并打开控制台。

(2) 平台安装过程中键盘和网络设置方法与服务器部署平台相同，具体请参见3.2.2 部署平台。

4 登录综合日志审计平台

4.1.1 安装 License激活文件

服务器上架并上电后需进行License激活才能登录综合日志审计平台。本平台仅含一个基础平台软件授权，即“H3C SecCenter CSAP综合日志审计平台软件版-基础平台组件授权函”，用于授权使用日志审计服务。有关License激活文件申请的详细介绍请参见《H3C SecCenter [CSAP][SMP]系列产品 License使用指南》。

4.1.2 激活后首次登录系统

导入License激活文件成功后，可使用安装过程中配置好的IPv4地址登录平台。首次登录时建议使用超级管理员账号。登录完成后为了确保设备的安全性，建议立即修改默认登录密码或创建新的管理员帐号并删除设备缺省帐号。

缺省Web登录账号信息如下表所示。

用户角色	用户权限	缺省用户名/密码（E1709P04及之前）	缺省用户名/密码（E1709P05及之后）
超级管理员	所有权限	admin/admin@admin	admin/secCsap@12345
系统管理员	拥有“首页”、“日志”、“事件”、“报表”功能的操作权限	sysAdmin/admin@admin	sysAdmin/sysCsap@12345
业务管理员	拥有“配置 > 系统管理”功能的操作权限，但不包括查看日志记录和编辑用户及角色信息功能	buzAdmin/admin@admin	buzAdmin/buzCsap@12345
审计管理员	拥有查看“配置 > 系统管理 > 日志记录”权限	auditAdmin/admin@admin	auditAdmin/auditCsap@12345