- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
06-配置
本章节下载: 06-配置 (3.77 MB)
配置
本章节主要介绍以下功能:
· 系统管理
○ 全局设置
○ 角色及权限管理
○ 服务监控
○ 日志记录
· 数据来源
○ 采集器管理
○ 日志源管理
○ Agent管理
○ 适配规则管理
· 资产管理
○ 资产类型管理
○ 资产列表
· 日志管理
○ 日志转发
○ 日志导入
· 告警管理
· 系统升级
该功能用于设置用户登录本系统的相关参数。
1. 选择“配置 > 系统管理 > 全局设置”,单击“系统参数”,进入系统参数设置页面,设置相关参数。
图-1 系统参数设置
2. 配置完成后,单击<确认>按钮完成操作;单击<恢复缺省设置>按钮将所有设置调整为默认值;单击<取消>按钮取消修改。
· 用户闲置超时时长:若用户在超时时间内没有操作Web界面,系统将会强制断开该用户的Web连接,使该用户下线,再次操作Web界面需重新登录。
· 登录失败锁定时间:达到允许连续登录失败次数后,需要等待锁定时间后才能重新登录。
· 允许登录失败次数:允许连续登录失败次数。
· 是否显示验证码:设置登录页面是否显示验证码,“是”表示登录本系统时需要输入验证码。
· 日志优先级:设置不同类型日志的保留优先级,排列越靠前,优先级越高。(本参数仅在E1802及以上版本支持)
· 系统名称:设置展示在登录界面和导航树上方的系统名称。
· Logo图片:系统名称前面的Logo图片,支持png、jpg、jpeg格式,推荐图片像素为400*100。
该功能用于删除平台产生的大量日志数据,解决系统存储空间不足导致的服务异常。
配置该功能后,系统将周期性检查并清理系统中原始日志,当日志存储容量或存储时间达到阈值条件时会触发删除告警,系统将删除存储时间最早的关联事件和原始日志,直到存储空间或存储天数降到清理阈值以下。
1. 选择“配置 > 系统管理 > 全局设置”,单击“数据清理设置”,进入数据清理页面。
图-2 数据清理设置页面
2. 设置相关参数后,单击<确认>按钮保存完成操作;单击<取消>按钮取消设置。
· 空间阈值(百分比):系统数据盘的利用率达到设置的空间阈值后,系统将清理存储时间最早的安全事件或原始日志,直到磁盘利用率小于空间阈值。
· 原始日志存储时间:原始日志存储天数达到设置的存储时间后将被删除。
· 关联事件存储时间:安全事件存储天数达到设置的存储时间后将被删除。
该功能用于备份和恢复平台产生的大量日志数据,为用户提供更加灵活的方式管理日志数据。
该功能用于周期性检查并备份系统中的原始日志。配置正确的FTP服务器连接参数并启用备份功能后,系统将于每日凌晨2:00打包前一天的日志数据并将其转储至目标FTP服务器上。 一次最多只能备份50GB日志数据包,超过50GB将提示备份失败。
1. 选择“配置 > 系统管理 > 全局设置”,单击“日志备份与恢复”进入日志备份与恢复页面;
2. 选择“日志备份”页签,设置相关FTP连接参数后,单击<启用>按钮,系统将测试该FTP服务器是否可用,可用则启用备份功能,否则提示启用失败。
图-3 日志备份页面
3. 启用备份功能成功后,可单击<停用>按钮停用数据备份。
· FTP路径:将系统中的日志转储到该FTP服务器的对应目录下。支持配置IPv4类型和IPv6类型的FTP路径。
· 网卡名称:FTP路径以“fe80”开头时,需要输入该地址对应的网卡名称。
· 开始时间:设置日志备份功能启用日期,该日期必须晚于当前日期。
· 用户名:FTP的登录用户名,用于校验FTP连接可用性。
· 密码:FTP的登录密码,用于校验FTP连接可用性。
· 不支持将日志备份到Windows版本FTP服务器。
该功能用于从目标FTP服务器上恢复系统日志数据。配置日志恢复任务后,系统将从FTP服务器中选择指定时间区间的日志备份文件进行恢复,恢复的日志数据保存在本系统数据库中。
1. 选择“配置 > 系统管理 > 全局设置”,单击“日志备份与恢复”,进入日志备份与恢复页面。
2. 选择“日志恢复”页签,设置相关FTP连接参数和所要恢复的日志备份的时间区间,单击<开始恢复>按钮,系统将测试该FTP服务器是否可访问,成功访问则执行恢复任务,并在页面下方展示恢复记录。
图-4 日志恢复
· FTP路径:用于存放备份日志文件的FTP服务器路径。支持配置IPv4类型和IPv6类型的FTP路径。
· 网卡名称:FTP路径以“fe80”开头时,需要输入该地址对应的网卡名称。
· 时间区间:在该时间段内的备份的日志文件将被恢复到本系统。
· 用户名:FTP的登录用户名,用于校验FTP连接可用性。
· 密码:FTP的登录密码,用于校验FTP连接可用性。
· 不支持从Windows版本FTP服务器恢复日志。
该功能用于修改部署本平台的服务器的系统时间。当服务器系统时间与登录平台Web页面的浏览器或日志源的时间不一致时,可能会导致日志分析、查询不准确等问题。
系统提供以下两种方式修改系统时间:
· 手动设置:手动设置服务器系统时间。
· NTP时间同步:NTP(Network Time Protocol,网络时间协议)可以用来在分布式时间服务器和客户端之间进行时间同步,使网络内所有设备的时间保持一致。开启NTP时间同步后,部署本平台的服务器将作为客户端,从NTP服务器获得时间同步。
1. 选择“配置 > 系统管理 > 全局设置”,单击“时间管理”,进入时间管理页面。
2. 选择如下任意一种方式修改系统时间:
○ 手动设置时间:在系统时间输入框中输入时间后,单击<确认>按钮完成操作。
○ 通过NTP服务器同步时间:勾选“开启NTP时间同步”并配置NTP服务器的IP地址(支持IPv4和IPv6地址)。输入合法的IP地址后,系统会自动检测NTP服务状态,当状态为可用时,可单击<确认>按钮,完成配置。
图-5 时间管理页面
· NTP时间同步功能为E1802版本及以上版本支持。
· 修改服务器系统时间后,平台部分服务将会自动重启,审计业务可能会出现暂时中断现象,请谨慎操作。
· 启用NTP时间同步后,系统会立即进行一次时间同步,此后默认会在每日凌晨00:30进行时间同步。时间同步后,部分服务将会重启,审计业务可能会出现暂时中断现象。
该功能的支持情况请以界面实际情况为准。
该功能用于扩展平台存储空间。当部署平台的服务器插入新磁盘或虚拟机新建虚拟磁盘后,该页面将自动识别并展示新磁盘信息。在支持磁盘扩展的情况下,当平台存储空间不足时,可通过该功能将新增磁盘挂在到本平台,以扩大平台存储空间。
1. 选择“配置 > 系统管理 > 全局设置”,单击“磁盘管理”,进入磁盘管理页面。
2. 选择未使用的磁盘,单击
按钮可将该磁盘挂载到本平台。
图-6 磁盘管理页面
· 新插入的磁盘状态默认为“未使用”,挂载成功后,其状态自动变为“已使用”,并在系统日志页面记录日志。
· 挂载失败的磁盘可再次挂载,已成功挂载的磁盘不能取消挂载,强制拔出或删除磁盘会导致系统异常,请谨慎操作。
· 硬件或虚拟硬件(网卡、磁盘等)不允许卸载,如有硬件损坏,请尽快更换并重新配置硬件信息,如IP、网络掩码等。
当用户需要重新规划网络时,可通过该功能修改平台的IP地址、网关及路由。
该功能用于管理平台网卡信息。平台支持管理网卡和采集网卡,其中,管理网卡可用于登录管理平台和数据采集,采集网卡仅作数据采集用。当部署平台的服务器或虚拟机添加新网卡后,该页面将自动识别并展示网卡信息,用户可通过该功能将其设置平台的采集网卡。
1. 选择“配置 > 系统管理 > 全局设置”,单击“平台网络设置”,进入平台网络设置页面,选择进入“网卡配置”页面。
图-7 平台网络设置-网卡配置页面
2. 选择一块网卡,单击操作列的
按钮进入编辑网卡设置页面,设置网卡参数后,单击<确认>按钮完成操作。
图-8 编辑网卡信息页面
· 网口名称:系统自动命名,不能编辑。
· 网口类型:包括管理口和采集口(即管理网卡和采集网卡),由系统自动识别且不可修改。部署本平台时,默认以第一块网卡作为管理网卡。
· IPv4地址:网卡的IPv4地址。
· IPv4掩码长度:网卡IPv4地址的子网掩码长度。
· IPv4网关地址:网关IPv4地址。
· IPv6地址:网卡的IPv6地址。
· IPv6前缀长度:网卡IPv6地址的前缀长度。
· IPv6网关地址:网关IPv6地址。
· 修改管理网卡和采集网卡信息后,平台部分服务将会自动重启,审计业务可能会出现暂时中断现象,请谨慎操作。
· 修改管理网卡信息后需要重新登录。
· 配置多个网卡时,不同网卡应配置为不同网段,并且最多只有一个网卡能配置网关,否则可能出现业务异常。
· 当网卡故障或移出后,页面将不再显示该网卡信息,但采集器管理页面仍能查看该网卡IP信息,日志源管理页面仍能将该网卡IP配置为日志源的关联采集器IP,影响平台业务,请及时联系服务人员检查修复。
· 硬件或虚拟硬件(网卡、磁盘等)不允许卸载,如有硬件损坏,请尽快更换并重新配置硬件信息。
该功能用于管理平台路由信息。
1. 选择“配置 > 系统管理 > 全局设置”,单击“平台网络设置”,进入平台网络设置页面,选择进入“路由配置”页面。
图-9 平台网络设置-路由配置页面
2. 单击<新增>可新增一条路由信息,选择路由类型,输入目标地址并设置网关或出接口后,单击<确认>完成操作。
图-10 新增路由配置页面
3. 选择一条路由表项,单击操作列的
按钮可删除该条路由。
· 目的地址:路由的目的IP地址。
· 下一跳地址:路由的下一跳IP地址。
· 网络掩码:目的地址的网络掩码。
· 出接口:路由的出接口。
· 支持主机路由和网络路由,默认路由不能修改或删除。
· 修改路由信息可能会导致平台网络异常,请谨慎操作。
· 暂不支持配置IPv6路由。
该功能用于修改平台访问端口。修改访问端口后,需要重新登录系统,且需要在IP地址后加上端口号,如https://10.10.10.1:444/。
1. 选择“配置 > 系统管理 > 全局设置”,单击“平台网络设置”,进入平台网络设置页面,选择进入“端口配置”页面。
图-11 平台网络设置-端口配置页面
2. 配置相关参数后,单击<确认>按钮完成操作。
· 访问端口:设置本系统的Web访问端口。
· 修改访问端口时,不允许修改为当前已被占用的端口。
该功能用于限制登录本系统的IP地址。配置白名单后,只有在白名单中的IP地址可以登录本系统,未配置白名单则所有用户均可登录。
1. 选择"配置 > 系统管理 > 全局设置",单击“系统登录白名单”,进入系统登录白名单页面。
2. 单击<新增>按钮,进入新增系统登录白名单页面,配置相关参数后,单击<确认>按钮,即可新增一条白名单。
3. 单击指定白名单右侧操作列的<编辑>按钮,即可修改选中的白名单信息。
4. 单击指定白名单右侧操作列<删除>按钮,即可删除选择的白名单,或者勾选多条白名单,单击页面上方的<删除>按钮,可以批量删除多条白名单。
· 类型:白名单IP地址类型,包括单IP和IP地址范围。
· IP:需要加入白名单的IP地址,仅支持配置IPv4地址。根据所选IP类型输入单个IP地址或IP地址段,输入IP地址段时,结束IP必须大于起始IP。
· 描述:通过合理编写描述信息,便于管理员快速理解和识别该条白名单。
删除白名单时,若删除的白名单中包含当前已登录的IP地址,该IP地址不会被强制下线,但是登出后不能再登录系统。
该功能用于配置本平台与安全云管理平台连接的相关参数。
1. 选择“配置 > 系统管理 > 全局设置”进入全局设置页面,选择“云通道配置”进入云通道配置页面。
图-12 云通道配置
2. 配置“云平台地址”和“云平台端口”后,单击<测试连接>按钮可以进行连接测试。
3. 配置相关参数后,单击<确认>按钮完成配置操作。
· 本平台设备SN:本平台的SN码,无需用户配置,平台直接展示在界面中供用户查看。
· BOM:本平台的BOM编码。
· 启用状态:云通道的启用状态。
· 云平台地址:云平台的连接地址,目前仅支持配置为IPv4地址或域名。若配置为域名,则不需要携带http://或https://协议头。
· 云平台端口:云平台的连接端口号。
· 如果云通道连接失败,平台会每隔五分钟尝试与云平台重新进行连接。
· 本功能仅在E1802及以上版本支持。
该功能用于配置短信服务,当告警策略发现告警时,系统通过短信服务发送告警信息给指定接收人。
1. 选择“配置 > 系统管理 > 全局设置”,单击“短信业务中心”,进入短信业务中心页面。
2. 编辑短信平台信息。不同的短信网关配置参数不同,请与短信服务提供商确认后,根据实际情况配置。
图-13 短信业务中心-嘉讯短信平台
图-14 短信业务中心-亿美短信平台
图-15 短信业务中心-邮储短信平台
3. 单击<提交修改>按钮完成操作。
· 若告警策略中已将短信账号添加为接收用户,删除短信账号后,平台仍继续向该账号发送告警信息。如需停止发送信息,请在告警策略中移除该账号。
该功能用于配置邮件服务器,当告警策略发现告警时,系统将通过该邮件服务器发送告警邮件给指定收件人。
1. 选择“配置 > 系统管理 > 全局设置”,单击“邮件服务器”,进入邮件服务器配置页面。
图-16 邮件服务器页面
2. 编辑邮件服务器信息,单击<确定>按钮完成操作。
· 邮件服务器地址:邮件服务器的IPv4或IPv6地址。
· 邮件服务器端口:邮箱服务器SMTP协议端口。
· 验证邮箱账号:系统登录邮箱服务器使用的邮箱账号,该账号作为发件人发送告警邮件。
· 验证邮箱密码:系统登录邮箱服务器使用的的密码。
· 接收邮箱:展示已添加的收件人邮箱。
· 新增邮箱:单击<新增邮箱>按钮按钮进入新增接收邮箱页面,填写接收人的邮箱账号和用户名。
○ 单击<+>按钮,可添加多个邮箱。
○ 单击<测试>按钮可测邮件服务器是否可用,若添加的邮箱能收到该服务器发送的邮件信息表示邮件服务器可用。
○ 单击<确认>按钮完成新增邮箱操作。
○ 单击<取消>按钮取消添加邮箱。
· 删除号码:单击<删除邮箱>按钮按钮进入删除邮箱页面,选择要删除的邮箱,单击<确认>按钮完成操作。
· 仅支持SMTP协议的邮件服务器,并且服务器上不能开启SSL功能。
· 若告警策略或报表任务中已将邮箱账号添加为接收用户,删除邮箱账号后,平台仍继续向该账号发送邮件。如需停止发送邮件,请在告警策略或报表任务中移除该账号。
该功能用于管理用户账号、角色权限以及展示用户会话信息。其中角色和用户支持预定义和自定义两种类型,系统预定义了4个缺省角色及4个相应角色的用户,其账号及权限信息如表-1所示。
系统支持为不同的角色分配不同的权限,通过为用户指定所属角色可以实现为用户分配权限。
|
用户角色 |
用户权限 |
缺省用户名/密码(E1709P04及之前) |
缺省用户名/密码(E1709P05及之后) |
|
超级管理员 |
所有权限 |
admin/admin@admin |
admin/secCsap@12345 |
|
系统管理员 |
拥有“首页”、“日志”、“事件”、“报表”功能的操作权限 |
sysAdmin/admin@admin |
sysAdmin/sysCsap@12345 |
|
业务管理员 |
拥有“配置 > 系统管理”功能的操作权限,但不包括查看日志记录和编辑用户及角色信息功能 |
buzAdmin/admin@admin |
buzAdmin/buzCsap@12345 |
|
审计管理员 |
拥有查看“配置 > 系统管理 > 日志记录”权限 |
auditAdmin/admin@admin |
auditAdmin/auditCsap@12345 |
该功能用于管理用户信息,包括新增、编辑、删除、查询用户信息。
本系统中的用户分为预定义用户和自定义用户,预定义用户不能删除,但可以修改其用户信息。预定义用户如表-1所示。
1. 选择“配置 > 系统管理 > 角色及权限管理 > 用户管理”,进入用户管理页面。
2. 单击<新增>按钮进入新增管理员页面,输入用户信息,单击<确认>完成操作。
图-17 新增用户信息页面
· 账号:登录用户名。
· 用户全称:可与账号相同。
· 密码:密码必须同时包含字母和数字。
· 确认密码:再次输入密码,两次输入的密码必须相同,否则配置失败。
· 电话:用户联系方式,11位手机号。
· 邮箱:用户邮箱地址。
· 用户角色:选择用户所属角色,为用户指定角色即可赋予用户该角色所拥有的权限。
· 用户状态:默认为正常,状态为锁定时不能登录系统。
该功能用于管理角色信息。包括新增、编辑、删除角色以及为角色权限分配。本系统中的角色分为预定义角色和自定义角色,预定义角色不能编辑或删除,自定义角色由用户根据需求新增并赋予权限。
预定义角色包括超级管理员、系统管理员、业务管理员和审计管理员,其权限如下:
· 超级管理员:拥有系统所有权限。
· 业务管理员:拥有“首页”、“日志”、“事件”、“报表”功能的操作权限。
· 系统管理员:拥有“配置 > 系统管理”功能的操作权限,但不包括查看日志记录和编辑用户及角色信息功能。
· 审计管理员:拥有查看“配置 > 系统管理 > 日志记录”权限。
1. 选择“配置 > 系统管理 > 角色及权限管理 > 角色管理”,进入角色管理页面。
2. 单击<新增>按钮,输入角色名称和角色描述,单击<确认>完成操作。
图-18 新增角色页面
3. 选择新增的角色,单击
按钮进入角色权限页面,勾选相应的目录后,单击<确认>完成权限分配。
图-19 配置角色权限页面
· 角色名称:角色的唯一标识。
· 角色描述:角色的描述信息,合理的描述信息有助于管理员快速了解该角色。
该功能用于分配或修改角色的功能权限。
选择“配置 > 系统管理 > 角色及权限管理 > 角色管理”,进入角色管理页面。选择需要修改的角色,单击
按钮进入角色权限页面可修改该角色的权限。
图-20 角色管理页面
会话管理用于展示在线用户信息,如用户名、用户角色、登录时间、登录IP地址等。
选择“配置 > 系统管理 > 角色及权限管理,单击“会话管理”页签,进入会话管理页面。可查看在线用户信息。
图-21 会话管理页面
本功能用于展示系统服务的运行信息,包括各服务的健康状态、CPU使用率、内存使用率。
图-22 服务监控页面
该功能用于查看当前已有授权的信息、获取主机信息文件及导入License文件。
选择“配置 > 系统管理 > License管理”,进入License管理页面。即可查看授权信息。
· 授权名称:特性授权函名称。
· 授权类型:特性的授权类型。
· 是否授权:特性是否已被授权使用。
· 有效期:特性有效使用时间。
· 日志源规格:系统最多可以添加的日志源数量。
该功能用于获取主机信息文件(综合日志审计平台的设备硬件信息和用户信息加密后生成的.did文件),使用主机信息文件、授权码及SN序列号即可登录H3C官网申请License文件。
1. 选择“配置 > 系统管理 > License管理”,进入License管理页面。
2. 单击<导入本地授权>按钮,进入本地授权页面,单击<下载>按钮,即可下载主机信息文件。
图-23 下载主机信息文件
该功能用于导入从H3C官网申请的License文件。
1. 选择“配置 > 系统管理 > License管理”,进入License管理页面。
2. 单击<导入本地授权>按钮,进入本地授权页面,选择通过H3C官网申请的激活后的license文件,单击<上传>按钮,完成操作。
图-24 导入License文件
3. 系统将解析并安装license文件。
该功能用于记录系统产生的日志信息,包括操作日志和系统日志。
· 操作日志:记录用户操作行为,如登录系统、退出系统、访问页面等。
· 系统日志:记录系统中硬件、软件和系统问题,如日志删除达到阈值、进行告警以及日志清理等。
操作日志记录用户操作行为,如登录系统、退出系统、访问页面,支持查询和导出操作日志。
1. 选择“配置 > 系统管理 > 日志记录 > 操作日志”,进入操作日志页面。
图-25 操作日志页面
2. 输入查询条件,单击<查询>按钮即可查看相应的日志信息,可根据操作人员名称、IP地址及日志产生的时间段筛选日志记录。单击<重置>按钮,可重置查询条件。
3. 单击<导出>按钮,可导出所有满足查询条件的日志记录,导出的日志文件格式为xlsx。
· 操作时间:动作发生时间。
· 操作人:执行该动作的用户账号。
· 角色名称:操作人账号所属的角色。
· 登录IP:操作人的IP地址。
· 操作结果:动作执行结果,包括成功和失败。
· 操作内容:操作人执行的的具体动作,例如“访问系统主页”。
系统日志记录系统中硬件、软件和系统问题,如日志删除达到阈值,进行警告以及日志清理等,支持系统日志查询和导出。
1. 选择“配置 > 系统管理 > 日志记录 > 系统日志”,进入系统日志页面。
图-26 系统日志页面
2. 输入查询条件,单击<查询>按钮即可查看相应的日志信息,可根据模块名称、日志级别及日志产生的时间段筛选日志记录。单击<重置>按钮,可重置查询条件。
3. 单击<导出>按钮,可导出所有满足查询条件的日志记录,导出的日志文件格式为xlsx。
· 模块名称:发生异常的功能模块的名称。
· 级别:日志的严重级别,包括严重、错误、警告、通知。
· 产生时间:异常发生时间。
· 详情:日志内容的具体情况描述。
该功能用于管理采集器信息,采集器采集日志数据有主动采集和被动采集两种采集方式:
· 被动采集:采集器被动接收有具有日志外发功能的设备上报的日志信息,如H3C的防火墙可通过信息中心功能将日志数据发送到采集器,采集器被动接收日志。
· 主动采集:采集器可主动从数据库、共享文件等日志仓库中获取日志进行分析。
该功能用于修改被动采集器信息,包括采集器名称、采集器描述以及关联的日志源。
1. 选择“配置 > 数据来源 > 采集器管理”进入采集器管理页面。
图-27 采集器管理页面
2. 选择需要修改的被动采集器,单击
按钮进入编辑采集器管理页面修改配置信息。
3. 单击<确认>按钮完成操作;单击<取消>按钮可取消修改。
· 采集器名称:采集器的标识,缺省情况下采集器名称为“采集器所在服务器IP地址:采集方式”,如“186.64.6.105:passive”。编辑状态采集器名称不可为空
· 采集器描述:采集器的描述信息,通过合理编写描述信息,便于管理员快速理解和识别该采集器的作用。
· 关联日志源名称:选择采集器关联的日志源后,该采集器将从这些日志源获取日志数据。左编辑框内显示未关联日志源名称,右编辑框内显示已关联的日志源名称。
· 
:从左编辑框中选中一个或多个日志源单击
按钮,则选择的日志源将被关联到该采集器。
· 
:单击
按钮,则将左编辑框中所有日志源关联到该采集器。
· 
:从右编辑框中选中一个或多个日志源单击
按钮,则选择的日志源将解除关联关系。
· 
:单击按钮,则所有日志源将解除关联关系。
· 选择关联的日志源时,可通过输入查询条件单击查询按钮,则左编辑框内,显示所有满足条件的日志源信息。若查询条件为空,则左编辑框内,显示所有未被该采集器关联的日志源。
该功能用于修改主动采集器信息,包括采集器名称和采集器描述,不支持修改主动采集器关联的日志源。
1. 选择“配置 > 数据来源 > 采集器管理”进入采集器管理页面。
图-28 采集器管理页面
2. 选择需要修改的主动采集器,单击
按钮进入编辑采集器管理页面修改配置信息。
3. 单击<确认>按钮完成操作;单击<取消>按钮可取消修改。
· 采集器名称:采集器的标识,缺省情况下采集器名称为“采集器所在服务器IP地址:采集方式”,如“186.64.6.105:active”。
· 采集器描述:采集器的描述信息,通过合理编写描述信息,便于管理员快速理解和识别该采集器的作用。
· 关联日志源:展示已关联的日志源,格式为“日志源名称--日志源IP”。
监控汇总主要显示选中采集器的日志采集情况,可以显示所有关联日志源日志上报数目以及时间趋势,并且可以按统计周期以及设备IP进行筛选查询。
1. 选择“配置 > 数据来源 > 采集器管理”进入采集器管理页面。
图-29 采集器管理页面
2. 单击
按钮即可进入监控汇总页面。
图-30 监控汇总页面
3. 统计:支持按设备IP、统计周期统计采集信息。
4. 重置:恢复默认查询条件。
· 设备IP:指日志源IP。
· 总数目:显示各个日志源在统计周期内上报日志的数目。
· 平均速率:显示各个日志源在统计周期内平均上报日志的速率。
· 日志源:显示日志源名称。
· 如果日志源在查询时已经被删除,该日志源上报的日志仍能被查询。
· 监控汇总页面展示了采集器采集到的所有日志的统计值。当日志源中勾选了日志类型后,平台会在后续处理过程中丢弃未勾选类型的日志,但是丢弃的日志仍会计入统计值。如需查看实际保留的日志统计值,可到“日志 > 全文检索”页面进行查看。
该功能用于管理接入系统的日志源信息,包括对日志源进行查看、新增、修改、删除、导入、导出等功能。将日志源与采集器关联后,日志源便可通过采集器将日志上报给系统以便系统进行分析和监控网络状态。系统支持以下两种日志源:
· 主动采集日志源:与主动采集类型的采集器关联的日志源称为主动采集日志源,如数据库、共享文件服务器等。有关采集器的介绍请参见采集器管理。
· 被动采集日志源:与被动采集类型的采集器关联的日志源称为被动采集日志源,如H3C 防火墙、IPS设备等具有日志外发功能的设备。有关采集器的介绍请参见采集器管理。
该功能用于管理被动采集日志源,包括日志源的增加、删除、修改、查询及被动日志源的导入、导出操作。配置被动采集日志源后,日志源设备将定期主动上报日志数据到采集器。
该功能用于新增被动采集日志源。
1. 选择“配置 > 数据来源 > 日志源管理 > 被动采集”进入被动采集日志源页面。
2. 单击<新增>按钮,进入新增被动采集日志源页面,配置如下参数:
图-31 新增被动采集日志源
参数说明
○ 名称:日志源的唯一标识。
○ IP:日志源的IPv4或IPv6地址。
○ 设备类型:日志源设备类型。
○ 厂商:日志源设备的生产厂商名称。
○ 设备型号:日志源设备型号。
○ 采集器名称:选择与日志源关联的采集器,表示该采集器负责接收从此日志源上报的日志数据。
○ 采集器IP:与日志源关联的采集器的IP地址。
3. 单击<新增>按钮,进入新增端口信息页面,配置如下信息。
图-32 新增端口
参数说明
○ 上报协议:该日志源上报日志的协议类型。
○ 上报端口:采集器使用该端口接收日志源上报的日志数据。
○ 编码:日志的编码方式。
○ 日志类型:选择指定类型后,采集器将采集该类日志数据。不同类型的设备默认选择的日志类型不同,请以设备实际情况为准。
4. 配置完成后,单击<确认>按钮完成操作。
5. 单击<确认>按钮,完成新增被动采集日志源。
· 对于同一日志源通过多种协议上报的日志数据,采集器必须使用不同端口接收。
· 添加被动采集日志源时,如设备类型、厂商、设备型号下拉菜单中均无选项,则表示系统暂不支持适配该日志源,可联系技术人员进行定制化适配。
· 处于离线状态的采集器不能进行关联。
· 当日志源上报的日志为二进制格式(如Netstream、AAA服务上报的日志)时,对应的编码必须选择bin,否则会导致解析失败。
· 设备型号、类型、厂商均指产生日志的设备的信息,配置错误会导致日志解析结果不准确。
· 系统当前仅支持解析snmp v2c协议的trap日志。
· 当SNMP协议产生的日志中含有中文时,中文将以十六进制的格式进行展示。
该功能用于批量导入被动采集日志源。
1. 选择“配置 > 数据来源 > 日志源管理 > 被动采集”进入被动采集日志源页面。
2. 单击<导入>按钮,选择被动日志源导入模板下载,下载日志源批量导入模板,按模板要求填写日志源参数并保存。
图-33 下载被动日志源导入模板
3. 再次单击<导入>按钮,选择被动日志源导入,导入保存的模板文件,单击<确认>按钮,完成操作。
图-34 导入文件
4. 单击<导入>按钮,选择操作结果,可以查看导入结果。
该功能用于导出主动被动采集日志源。
1. 选择“配置 > 数据来源 > 日志源管理 > 被动采集”进入被动采集日志源页面。
2. 选择需要导出的日志源,单击<导出>按钮,完成导出操作。导出文件为Excel格式。
该功能用于对被动采集日志源进行溯源配置。
对于组网环境中日志源作为NAT设备对报文头进行地址转换或者作为DHCP服务器为内网主机提供DHCP动态地址分配功能的场景,如果用户需要根据NAT转换源IP、端口等参数对内网实际主机IP等信息进行溯源时,建议配置溯源参数,提升系统溯源分析准确性。
1. 选择“配置 > 数据来源 > 日志源管理 > 被动采集”进入被动采集日志源页面。
2. 单击<
>按钮进入溯源配置页面。
3. 配置相关溯源信息,配置完成后单击<确认>按钮完成操作。
参数说明
○ 日志源已启用DHCP:该日志源是否已启用了DHCP功能。如该日志源设备厂商为H3C,则该功能支持的设备Comware版本为V700R001B64及后续版本。
○ SNMP团体字:该日志源的SNMP只读团体字,当前仅支持SNMPv2c版本。
○ 绑定设备类型:该日志源绑定设备的类型。
○ 绑定关系:该日志源与绑定的设备是否为同一台设备。
○ 绑定设备标识:绑定设备的唯一性标识。
本功能仅在E1802及以上版本支持。
该功能用于管理主动采集日志源,包括主动日志源的增加、删除、修改、查询及导入、导出操作。
主动采集日志源包括数据库日志源和共享文件日志源。配置主动采集日志源后,采集器将定期访问日主动采集志源获取日志数据。
该功能用于添加数据库日志源。日志数据存储在各种关系型数据库中,采集器必须先连接上数据库才能成功添加数据库日志源并读取日志数据。
1. 选择“配置 > 数据来源 > 日志源管理 > 主动采集”进入主动采集日志源页面。
2. 单击<新增>按钮,进入主动采集日志源信息页面,选择新增“数据库日志源”。
图-35 新增数据库日志源
3. 填写数据库日志源的相关信息后,单击<确认>按钮完成操作。
· 日志源名称:数据库日志源的唯一标识。
· 数据库名称:存放日志信息的数据库的名称。
· 数据库类型:数据库的类型。
· 数据库IP:数据库的IPv4或IPv6地址。
· 用户名:登录数据库使用的用户名。
· 密码:登录数据库使用的密码。
· 端口号:数据库的端口号。
· 采集器名称:与该日志源关联的采集器名称,选择采集器后,日志源将上报日志信息给该采集器。
· 采集器IP:与该日志源关联的采集器IP地址。
· 描述:数据库日志源的描述信息。
· 数据库日志源表信息:单击<添加>按钮配置需要上报的日志信息,以便采集器可以根据这些信息获取日志数据。
· 表名:采集器从该表格中读取日志数据。
· 主键名:存放日志的表格的主键名称,用于标记上一次读取地址,避免重复读取。
· 设备类型:生成日志的设备的设备类型。
· 编码方式:日志的编码方式,可通过下拉菜单选择编码方式。
· 厂商:生成日志的设备的生产厂商。
· 设备型号:生成日志的设备的设备型号。
· 例外:当选择某类日志为例外时,采集器将丢弃该类日志数据。
· 处于离线状态的采集器不能进行关联。
· 如设备类型、厂商、设备型号下拉菜单中均无选项,则表示系统暂不支持适配该日志源,可联系技术人员进行定制化适配。
· 设备型号、类型、厂商均指产生日志的设备的信息,配置错误会导致日志解析结果不准确。
该功能用于增加数共享文件日志源。日志数据存储在FTP服务器中,采集器必须先连接上服务器才能成功添加共享文件日志源并读取日志文件数据。
1. 选择“配置 > 数据来源 > 日志源管理 > 主动采集”进入主动采集日志源页面。
2. 单击<新增>按钮,进入主动采集日志源信息页面,选择新增“共享文件日志源”。
图-36 新增共享文件日志源
3. 填写共享文件日志源的相关信息后,单击<确认>按钮完成操作。
· 日志源名称:数据库日志源的唯一标识。
· 日志类型:该日志源上报的日志的类型。
· FTP地址:存放日志文件的FTP服务器的IPv4或IPv6地址。
· FTP端口:FTP服务器的端口号。
· 用户名,登录FTP服务器使用的用户名。
· 密码:登录FTP服务器使用的密码。
· 采集器名称:与该日志源关联的采集器名称,选择采集器后,日志源将上报日志信息给该采集器。
· 采集器IP:与该日志源关联的采集器IP地址。
· 写入类型:可选择文件和文件夹,文件表示获取文件路径的日志文件;文件夹表示获取文件路径下所有文件夹中的日志文件。
· 文件路径:日志文件的存放路径,采集器根据此路径获取目标日志文件。写入类型选择“文件”时,文件路径必须填写目标日志文件的绝对路径。
· 文件编码:日志文件中日志的编码方式。
· 设备类型:生成该日志文件的设备的类型。
· 厂商:生成该日志文件的设备的生产厂商。
· 设备型号:生成该日志文件的设备的型号。
· 描述:文件共享日志源的描述信息,通过编写合理的描述信息,有助于管理员快速理解和识别该日志源。
· 例外:当选择某类日志为例外时,采集器将丢弃该类日志数据。
· 处于离线状态的采集器不能进行关联。
· 如设备类型、厂商、设备型号下拉菜单中均无选项,则表示系统暂不支持适配该日志源,可联系技术人员进行定制化适配。
· 设备型号、类型、厂商均指产生日志的设备的信息,配置错误会导致日志解析结果不准确。
· 写入类型选择文件夹时,建议该路径下只存放厂商、设备类型、设备型号均相同的日志文件,否则会导致日志解析结果不准确。
· 暂不支持采集基于Windows系统的FTP服务器中的日志。
· 支持采集的日志文件格式为.log、.txt、.csv以及无后缀的日志文件。
该功能用于批量导入主动采集日志源。
1. 选择“配置 > 数据来源 > 日志源管理 > 主动采集”进入主动采集日志源页面。
2. 单击<导入>按钮,选择“数据库日志源导入模板下载”或“共享文件日志源导入模板下载”。
图-37 下载导入模板
3. 下载对应的日志源导入模板后,按模板要求填写日志源参数并保存。
图-38 导入模板样例
4. 再次单击<导入>按钮进入文件导入页面,导入保存的模板文件完成操作。
图-39 导入文件
该功能用于导出主动采集日志源。
1. 选择“配置 > 数据来源 > 日志源管理 > 主动采集”进入主动采集日志源页面。
2. 选择需要导出的数据库日志源或共享文件日志源,单击<导出>按钮,完成导出操作。导出文件为Excel格式。
Agent日志采集代理,用于采集不能主动外发日志的主机、服务、中间件等产生的日志信息。例如,一些基于Windows、Linux系统的主机或部署在主机上的数据库、中间件等服务不支持以syslog方式发送系统日志,此时, 可以通过在主机上安装Agent采集代理,Agent将采集这些主机、数据库、中间件产生的日志(包括操作系统运行状态日志,如CPU利用率、磁盘利用率等),并以syslog方式发给日志采集器,采集器再上报到本平台进行分析和展示。
该功能用于管理Agent采集代理,包括修改Agent信息及启用状态、配置Agent关联的采集对象信息及删除Agent。
1. 选择“配置 > 数据来源 > Agent管理 > Agent管理”页签,进入Agent管理页面。
图-40 Agent管理页面
2. 查看Agent信息:支持按Agent名称、部署主机IP、Agent状态等信息检索Agent信息,输入查询条件后单击<查询>按钮可查看满足条件的Agent信息,单击<重置>按钮可重置查询条件。
3. 启用日志采集功能:选择一个或多个采集状态为“停用”的Agent,单击<启用采集>按钮批量启用Agent日志采集功能。
4. 停用日志采集功能:选择一个或多个采集状态为“启用”的Agent,单击<停用采集>按钮批量停用Agent采集功能,停用采集后,Agent将不再采集和上报日志。
5. 开启自动升级功能:选择一个或多个自动升级状态为“停用”的Agent,单击<启用自动升级>按钮批量开启Agent版本自动升级功能。
6. 关闭自动升级功能:选择一个或多个自动升级状态为“启用”的Agent,单击<停用自动升级>按钮批量关闭Agent版本自动升级功能。
7. 手动升级Agent:对于未升级或升级失败的Agent,单击<手动升级>按钮立即升级Agent的软件版本。
8. 修改Agent信息:单击操作列
按钮,可以修改当前Agent的名称。
9. 配置Agent关联的采集对象信息:单击操作列
按钮进入配置Agent管理页面,可新增或修改Agent关联的采集对象的配置信息。
10. 删除Agent:选择一个或多个Agent,单击<删除>按钮批量删除Agent;单击操作列按钮删除一个Agent。
· Agent名称:Agent注册成功后平台给该Agent分配的名称,格式为“安装该Agent代理的主机IP地址_编号”,例如“1.1.1.1_0”。
· 部署主机IP:部署安装Agent代理软件的主机IP地址。
· 部署主机系统:部署安装Agent代理软件的主机操作系统类型。
· Agent状态:标识Agent是否在线。
· 采集器IP:Agent关联的采集器IP地址,Agent采集到的日志将发送给该采集器。
· 注册时间:Agent首次注册到平台的时间。
· 软件版本:Agent当前软件版本号。
· 采集状态:标识Agent是否启用。只有处于启用状态的Agent才能采集日志。
· 自动升级:标识Agent自动升级功能是否启用。只有处于启用状态的Agent才能自动升级。
· 升级状态:Agent版本升级结果。
· 仅Agent 1.0.15及以后版本支持自动升级功能。如需使用Agent自动升级功能,请先手动卸载老版本Agent,然后在“Agent下载”页面下载并安装最新版本Agent。
该功能用于管理Agent关联的采集对象的配置信息。只有“在线”状态的Agent可以新增或修改采集对象配置信息。
Agent可采集目标主机上关键注册表、关键文件的操作日志、自定义文件中的日志信息,以及部署在主机上的数据库(MySQL、Oracle等)的运行日志。
该功能用于配置Agent关联的数据库。配置数据库相关参数后,Agent将定时采集该数据库的日志信息。一个Agent可关联多种类型的数据库,但每种类型数据库仅支持关联一个。
参数说明如下:
· 数据库类型:需要采集日志的数据类型。
· 端口号:数据库的端口号。
· 用户名:Agent连接数据库使用的用户名。
· 密码:Agent连接数据库使用的密码。
· 数据库名:需要采集日志的数据库的名称,MongoDB、DB2、Oracle类型的数据需要配置该参数。
· 数据库权限:Agent连接数据库使用的账号权限,只有Oracle类型的数据需要配置该参数。
· 慢查询时间:指定慢查询日志的时间,SQLServer、MongoDB、DB2、Oracle类型的数据需要配置该参数。
· 认证协议:Agent连接数据库时的验证协议,只有MongoDB类型的数据需要配置该参数。
· 登录触发器:选择是否采集用户登录日志,SQLServer、Oracle类型的数据需要配置该参数。
该功能用于配置Agent关联的关键文件路径。配置关键文件路径后,Agent将定时采集该路径下的文件操作日志。一个Agent最多可配置50个关键文件路径。
参数说明如下:
· 文件路径:目标日志文件路径,可填写到文件夹或具体到文件名,例如,/home、/home/file.txt,采集范围包括该路径下所有文件和子目录的文件。对于linux版本agent采集代理,该路径下包含的子目录数不能超过500个,否则无法保存配置。
该功能用于配置Agent关联的关键注册表路径,配置关键注册表路径后,Agent将定时采集该路径下注册表操作日志。一个Agent最多可配置50个关键注册表路径。
参数说明如下:
· 文件路径:关键注册表路径,支持填写到具体注册表项,如:HKEY_CURRENT_CONFIG\Software。采集范围包括该路径下所有文件和子目录。
该功能用于配置Agent关联的自定义日志文件路径。配置自定义文件的存放路径后,Agent将定时采集该文件中新增的日志信息。一个Agent最多可配置50个自定义文件路径。
仅支持UTF-8编码格式的日志文件。
参数说明如下:
· 文件路径:自定义日志文件存放路径,可填写到文件夹或具体到文件名,例如/home/*、/home/file.txt。采集范围为该路径下所有文件(不包括子目录)中的日志信息。 如需采集某个文件夹下所有文件中的日志,路径必须以*结尾,如/home/*,若只配置文件夹路径,未以*结尾,Agent将不进行日志采集。
· 读取方式:支持追加读取和从头读取,追加读取表示只采集该文件中新增信息;从头读取表示采集该文件中所有信息(已采集的信息不会重复采集)。
该功能用于下载最新版本Agent采集代理软件,并支持在线预览Agent安装指导。
1. 选择“配置 >数据来源 > Agent管理 > Agent下载”页签,单击进入Agent下载页面,可执行如下操作:
2. 下载帮助文档:提供Agent采集代理软件安装指导在线预览和下载功能,用于指导用户安装Agent软件。
3. 下载Agent:单击对应版本即可下载相应版本Agent采集代理软件。
图-41 Agent下载
日志适配规则可对采集到的日志进行归类,并从中提取重要字段信息,解析成本平台能够识别的格式。通过适配规则管理模块,用户可灵活管理平台日志适配规则的版本。
1. 选择“配置 > 数据来源 > 适配规则管理”进入适配规则管理页面。
2. 选择“当前版本信息”进入当前版本信息页面。单击<导入文件>按钮,选择日志适配规则文件(格式为.dat)上传到本平台即可升级日志适配规则;单击<回退版本>按钮可回退至上一版本。
图-42 导入文件
3. 升级或回退成功后,可在“历史操作记录”页面查看操作记录。
该功能用于查看、编辑、新增或删除自定义资产类型信息。
· 查看资产类型
· 新增资产类型
· 编辑资产类型
· 删除资产类型
1. 选择“配置 > 资产管理 > 资产类型管理”,进入资产类型管理页面。
2. 支持按分组名称、资产类型、厂商、型号检索资产类型,输入查询条件后单击<查询>按钮可查看满足条件的资产类型,单击<重置>按钮可重置查询条件。
1. 选择“配置 > 资产管理 > 资产类型管理”,进入资产类型管理页面。
2. 单击<新增>按钮,可新增自定义资产类型信息。
· 分组名称:资产类型所属的分组。
· 资产类型:资产所属的分类。
· 厂商:资产类型的生产厂商。
· 型号:资产类型的型号。
· 描述:资产类型的描述信息。
1. 选择“配置 > 资产管理 > 资产类型管理”,进入资产类型管理页面。
2. 单击操作列<
>按钮,可以修改所选的资产类型信息。
1. 选择“配置 > 资产管理 > 资产类型管理”,进入资产类型管理页面。
2. 单击资产类型列表操作列的<删除>按钮,可以删除指定资产;勾选一个或多个资产类型,单击资产类型列表左上方的<
>按钮,可以批量删除多个指定资产。
该功能用于管理用户网络中的资产,录入资产信息后, 管理员可以统一进行管理,并可以根据不同的资产类型分组,进行更精细的监控和管理。 同时支持将资产同步成日志源,同步成功后,当资产发生安全事件时,会将安全事件记录成日志上报至本系统进行分析。
· 查看资产信息
· 新增资产
· 编辑资产
· 删除资产
· 编辑分组名称
· 编辑组织结构
· 同步日志源
预定义分组名称服务器、终端、物联网下的预定义资产类型没有厂商与型号信息,不能进行日志源同步,如需同步,请先在资产类型管理列表进行配置。
1. 选择“配置 > 资产管理 > 资产列表”,进入资产列表页面。
2. 可在配置资产名称、资产IP等查询条件后,单击<查询>按钮,查看所需的资产信息。默认未配置筛选条件,系统显示所有资产信息。
3. 单击<重置>按钮可恢复默认查询条件。
4. 可通过点击左侧资产类型与组织结构的树状图筛选资产信息。
1. 选择“配置 > 资产管理 > 资产列表”,进入资产列表页面。
2. 单击资产列表左上方的<新增>按钮,进入新增资产页面,配置相关参数,完成新增资产操作。
· 资产名称:资产的唯一标识。
· 资产IP:资产的IP地址信息。
· 资产等级:资产的重要等级。
· 分组名称:资产所在的分组名称。
· 资产类型:资产所属的资产类型。
· 组织结构:资产所属的组织结构。
· 同步日志源:资产是否已经同步为被动日志源。
· 描述:通过合理编写描述信息,便于管理员快速理解和识别该资产。
1. 选择“配置 > 资产管理 > 资产列表”,进入资产列表页面。
2. 单击资产列表操作列的<
>按钮,进入编辑资产页面,修改相关参数,完成编辑资产操作。
1. 选择“配置 > 资产管理 > 资产列表”,进入资产列表页面。
2. 单击资产列表操作列的<
>按钮,可以删除指定资产;勾选一个或多个资产,单击资产列表左上方的<删除>按钮,可以批量删除多个指定资产。
该功能用于编辑自定义分组的名称、新增和删除自定义分组。
1. 选择“配置 > 资产管理 > 资产列表”,进入资产列表页面。
2. 单击列表左上方的<编辑分组名称>按钮,进入编辑分组名称页面。
3. 单击<新增>按钮,可新增自定义分组;单击<重命名>按钮,可编辑自定义分组的名称;单击<删除>按钮,可删除自定义分组。
4. 完成上述操作后,单击<确认>按钮,完成操作。
该功能用于编辑组织结构,包括新增、编辑和删除组织节点。
1. 选择“配置中心 > 资产管理 > 资产列表”,进入资产列表页面。
2. 单击列表左上方的<编辑组织结构>按钮,进入编辑组织结构页面。
3. 单击
按钮,可添加一个节点;单击
按钮,可编辑组织结构的名称;单击
按钮,可删除一个节点。
4. 配置完成后,单击<确认>按钮,完成操作。
该功能用于将指定的资产同步添加为一个被动日志源。
1. 选择“配置中心 > 资产管理 > 资产列表”,进入资产列表页面。
2. 单击<同步>按钮,进入同步为日志源页面。
3. 在配置页面填写日志源信息,配置完成后,单击<确认>按钮完成操作。
· 资产类型:日志源所属的资产类型。
· 厂商:日志源设备的生产厂商名称。
· 型号:日志源设备型号。
· 采集器名称:选择与日志源关联的采集器,表示该采集器负责接收从此日志源上报的日志数据。
· 采集器IP:与日志源关联的采集器的IP地址。
· 新增端口信息:点击<新增>按钮,配置日志源上报的日志的相关信息。
· 上报协议:该日志源上报日志的协议类型。
· 上报端口:采集器使用该端口接收日志源上报的日志数据。
· 编码:日志的编码方式。
· 日志类型:选择指定类型后,采集器将采集该类日志数据。不同类型的设备默认选择的日志类型不同,请以设备实际情况为准。
· 对于同一日志源通过多种协议上报的日志数据,采集器必须使用不同端口接收。
· 处于离线状态的采集器不能进行关联。
· 当日志源上报的日志为二进制格式(如Netstream、AAA服务上报的日志)时,对应的编码必须选择bin,否则会导致解析失败。
· 系统当前仅支持解析SNMPv2c协议的trap日志。
· 当SNMP协议产生的日志中含有中文时,中文将以十六进制的格式进行展示。
该功能用于将本平台收集的日志转发到其他日志分析平台或日志接收系统。
该功能用于新增日志转发信息。
1. 选择“配置 > 日志管理 > 日志转发”进入日志转发页面。
2. 单击<新增>按钮可新增日志转发信息。
图-43 新增转发任务
说明:界面展示内容与软件版本相关,请以实际情况为准。
3. 配置转发参数后,单击<确认>按钮完成操作。
· 目的IP:接收本平台转发的日志数据的目的IPv4或IPv6地址。
· 目的端口:接收本平台转发的日志数据的目的端口。
· 传输协议:平台转发日志使用的传输协议。
· 日志源:选择日志源后,系统将转发该日志源上报的日志数据。
· 设备类型:日志源设备类型,日志源类型与日志源名称关联,不能编辑。(本参数在E1802及以上版本不再支持)
· 日志源IP:日志源的IP地址,日志源IP与日志源名称关联,不能编辑。(本参数在E1802及以上版本不再支持)
· 转发内容:选择需要转发的日志字段。
该功能用于删除日志转发信息。删除日志转发规则后,平台将不再按该规则转发日志。
1. 选择“配置 > 日志管理 > 日志转发”进入日志转发页面。
2. 选中多条规则,点击<删除>按钮可批量删多条日志转发规则;点击<
>可删除对应的转发规则。
该功能用于启用日志转发任务。启用任务后,平台开始按照任务中的规则转发日志。
1. 选择“配置 > 日志管理 > 日志转发”进入日志转发页面。
2. 选中多个任务,点击<启用>按钮可批量启用多个日志转发任务;点击单个任务右侧的<
>按钮,可启用该转发任务。
该功能用于停用日志转发任务。停用任务后,平台将不再按照任务中的规则转发日志。
1. 选择“配置 > 日志管理 > 日志转发”进入日志转发页面。
2. 选中多个任务,点击<停用>按钮可批量停用多个日志转发任务;点击单个任务右侧的<
>按钮,可停用该转发任务。
该功能用于导入离线日志,可导入本地.log或.txt格式的日志文件到系统进行分析。导入的日志文件大小必须大于0KB,否则导入失败。不能通过主动或被动日志源上传日志时,可将日志文件存储到本地再上传到本系统。
删除日志导入只会删除导入记录,不会中断日志文件上传到采集器的过程。
1. 选择“配置 > 日志管理 > 日志导入”进入日志导入页面。
2. 单击<新增>按钮进入新增导入任务页面。
图-44 新增导入任务页面
3. 配置相关参数后,单击<确认>按钮完成操作。
· 日志源名称:唯一标识一条日志导入记录,不能重复。
· 设备类型:生成该日志文件的设备的类型。
· 厂商:生成该日志文件的设备的生产厂商。
· 设备型号:生成该日志文件的设备的型号。
· 文件编码:该日志文件中日志的编码方式。
· 上报协议:该日志源上报日志的协议类型。
· 日志文件:选择需要上传的日志文件。一次只能上传一个日志文件。
该功能用于针对全网中的安全事件制定告警策略。若探测周期内,告警策略中监控的日志源上报的日志匹配了指定的关联规则,并输出安全事件后将会触发告警,系统会生成相应的告警信息,并通过邮件或短信通知相关责任人。有关关联规则的介绍请参见“关联规则”联机帮助。
该功能用于配置告警策略。若探测周期内,告警策略中监控的日志源上报的日志匹配了指定的关联规则,并输出安全事件后将会触发告警,系统会生成相应的告警信息,并通过邮件或短信通知相关责任人。
1. 选择“配置 > 告警管理 > 告警策略”进入告警策略页面。
2. 单击<新增>按钮,在弹出的新建策略窗口中输入策略基本信息。
图-45 新增告警策略
3. 配置完成后单击<确认>按钮,新增告警策略完成,新增的告警策略缺省处于启用状态。
4. 单击<启用>或<停用>按钮可以改变告警策略的状态。
图-46 启用或停用指定的策略
5. 单击
按钮可修改告警策略配置参数。
6. 单击
按钮可删除告警策略。
· 策略名称:告警策略的唯一标识。
· 策略描述:告警的描述,便于管理员快速识别该策略。
· 探测间隔:告警任务执行的间隔时间,若探测间隔内发现满足触发条件的安全事件则发送告警信息。
· 告警类型:默认为关联规则,即对关联规则输出的安全事件进行告警。
· 日志源名称:告警策略监控的日志源,即该日志源上报的日志匹配关联规则并输出安全事件后触发告警。
· 关联规则:告警策略监控的关联规则,即对该关联规则输出的安全事件进行告警。
· 告警方式:选择通过邮件或短信方式通知责任人处理。选择告警方式后,必须配置相应的收件人。
· 通过邮件或短信方式发送告警信息时,必须在“配置 > 全局设置”页面完成邮件服务器和短信业务中心的相关配置,否则无法正常发送告警通知。
· 指定的邮件方式告警收件人必须配置了邮箱地址;指定的短信方式告警收件人必须配置了手机号。
该功能用于记录已触发的告警,在该页面可查看告警的生成时间、告警策略名称、告警方式、告警类型、告警内容等。
1. 选择“配置 > 告警管理 > 告警记录”进入告警记录页面。
2. 在告警记录页面可查看已触发告警的相关信息。
图-47 告警记录
3. 单击操作列的<详情>按钮,可查看告警记录的详细信息。
4. 单击操作列的<删除>按钮可删除不需要留存的告警记录。
系统默认每日凌晨1点会自动清除30天之前的告警记录(按天删除)。
本功能用于在线升级系统软件版本。
1. 选择“配置 > 系统升级”进入系统升级页面。
图-48 系统升级页面
2. 单击导入图标按钮,选择正确的版本文件上传到系统。
3. 上传成功后,单击升级图标按钮开始升级,升级过程中不允许刷新页面。
4. 升级成功后,可在“升级日志”页面查看升级成功的日志记录。
在升级过程中会弹出采集器离线的告警信息,此时直接关闭弹窗即可。升级成功后采集器会自动恢复在线状态。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
