登录

欢迎user新华三退出

简体中文

  • 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

H3C SecCenter 综合日志审计平台 Web配置指导(E190X)-5W101

目录

03-日志中心

本章节下载 03-日志中心  (1.43 MB)

03-日志中心

日志中心

本章节主要介绍以下功能:

·     全文检索

·     实时监控

·     日志概览

·     溯源取证

功能简介

该功能用于展示系统采集到的日志的分析结果,不同类别的日志展示的关键字段不同,以便用户根据不同的日志类型关注不同信息。

操作步骤

1.     选择“日志中心 > 全文检索”,进入全文检索页面。

 

2.     用户可根据实际需求,输入原始日志信息或原始日志的部分信息、配置源/目的IP等过滤条件。

3.     单击<查询>按钮,对展示的日志信息进行筛选。

4.     单击<重置>按钮可恢复默认查询条件。

5.     单击<导出>按钮,可导出日志。

注意事项

日志成功上报后,如果所有类型中均没有查询到该日志的解析结果或所有日志都被分类到了“其他日志”,则可能发生了日志解析异常,请联系H3C公司相关技术服务人员进行定位。

新增过滤条件检索

新增过滤条件用于通过选择指定日志字段,输入字段值的方式检索日志。

操作步骤

1.     选择日志中心 > 全文检索,进入全文检索页面,选择要查询的日志类型。

2.     点击<新增过滤条件>按钮,选择需要过滤的字段、操作关系,并输入具体的值,点击<确认>按钮完成操作。例如,查看源IP180.0.0.14的所有日志,查询方法如下图所示。

图-1 新增过滤条件

 

3.     如果需要添加多个过滤条件,可以单击的<添加条件>按钮,添加新的过滤条件。多个过滤条件间可以选择AND(表示查询的日志必须同时满足多个过滤条件)或者OR(表示查询的日志只要满足任意一个过滤条件即可)的方式进行拼接,满足查询需求。

注意事项

·     字段值支持精确查询,也支持输入通配符进行模糊搜索,系统支持的通配符有以下两种:

○          ?表示匹配一个字符,如182.9.0.?可匹配182.9.0.0182.9.0.1……182.9.0.9

○          *表示匹配任意个字符,如182.9.0.*可匹配182.9.0.0182.9.0.1……182.9.0.255

·     数值类型的字段值不支持模糊匹配,如端口号、日志产生时间等字段只支持精确查找。

·     最多仅支持新增10个过滤条件进行检索。

查询原始日志

在搜索框中输入原始日志或原始日志中的部分字符串进行查询。

操作步骤

1.     选择日志中心 > 全文检索,进入全文检索页面,选择要查询的日志类型。

2.     选中搜索框,输入查询内容,点击<查询>按钮完成操作,如下图所示。

 

注意事项

·     搜索框最多支持输入1000个字符。

·     搜索框检索支持模糊搜索。

·     原始日志内容可以通过单击日志列表中的<详情>按钮,在日志详情页面的检测数据页签查看,如下图所示。

 

日志导出

该功能用于导出满足查询条件的日志,最多仅支持导出发生最近的三十万条日志。

操作步骤

1.     选择日志中心 > 全文检索,进入全文检索页面,按照需求检索出需要的日志,点击<导出>按钮,系统将满足条件的结果导出到excel表格中,导出字段包括页面列表表头字段和原始日志字段。

2.     点击页面右上角按钮,在弹出的下载任务列表中选择已导出的日志文件下载到本地即可。

解码小助手

该功能用于将各种编码格式的字符串转换为可阅读的内容。例如,访问URL、攻击载荷等字段中可能会出现HEX编码的字符串,通过解码助手可转换为utf-8格式,方便阅读。

操作步骤

1.     选择“日志中心 > 全文检索”,进入全文检索页面。

2.     复制需要解码的内容,单击日志列表左上方的<解码小助手>按钮,在弹出的解码助手页面左侧输入框中粘贴复制的内容,并选择源内容格式;然后在右侧目标内容中选择合适的目标内容格式,单击<解码>按钮即可解码源内容,单击<复制>按钮即可复制目标内容。

 

历史记录

该功能用于管理历史检索语句,支持查看、收藏和删除等操作。

操作步骤

1.     选择“日志中心 > 全文检索”,进入全文检索页面。

2.     点击<历史记录>按钮,进入历史记录页面,可以查看历史检索语句。

 

3.     收藏历史检索语句:点击指定检索语句右侧的<收藏>按钮,输入收藏标题,收藏选中的历史检索语句。

4.     删除历史检索语句:点击指定检索语句<删除>按钮,删除选中的历史检索语句。

注意事项

历史记录最多保存1000 条,超过时将清除最早记录。

收藏搜索条件

该功能用于保存常用的查询条件,包括日志类型、查询框内容、过滤条件和可选字段。

操作步骤

1.     选择日志中心 > 全文检索,进入全文检索页面,填写或新增需要的查询条件。

2.     收藏查询条件:单击页面左上角<新增过滤条件>按钮,设置查询条件后,单击按钮,输入收藏标题,点击<收藏>按钮。

 

3.     使用收藏的查询条件:点击页面左上角<我的收藏>按钮,选择并单击指定的收藏条件,收藏的查询条件将自动填入并查询数据。

 

4.     删除收藏条件:点击页面左上角<我的收藏>按钮,点击名称后的<删除>按钮,删除指定查询条件。

日志验签

该功能用于对通过签名验签服务器签名的日志进行验签,即对日志的签名的真实性和有效性进行验证。

操作步骤

1.     选择“日志中心 > 全文检索”,进入全文检索页面。

2.     在日志列表中选择指定的日志,点击操作列的按钮,对日志进行验签。

 

注意事项

·     使用本功能前,请先完成签名验签服务器相关参数配置,详细配置步骤请参见配置中心 > 系统管理 > 全局设置的签名验签配置。

·     启用签名验签配置后,修改签名验签配置(如“秘钥类型”或者“证书序列号”),在进行日志验签时,如日志是配置修改前入库的,则会验签失败。

 

该功能用于从资产类型、日志等级和自定义分组多个角度对日志进行分类展示,为用户提供多元化的日志信息展示。

资产类型

功能简介

该功能用于展示资产上报日志的趋势及丰富后的日志信息,用户可直观的了解每一条日志表达的信息。并提供日志导出功能,支持按原始日志和丰富后日志导出。日志信息展示方式包括:

·     日志上报趋势图:通过折线图展示统计周期内,资产日志上报趋势。

·     日志列表:通过列表展示统计周期内资产上报的日志信息,如日志类型、日志产生时间、日志等级等。

操作步骤

1.     选择日志中心 > 实时监控 > 资产类型进入资产类型页面

图-2 资产类型页面

 

2.     查看日志信息详情:点击日志列表中操作列的详情按钮,可查看该日志丰富后的详细信息。

 

3.     查看某个资产的上报日志情况:点击目录树中的资产名称即可查看该资产在某段事件时间内的日志上报情况。

 

4.     按条件查询:支持按统计周期、日志类别筛选日志信息。

 

5.     日志导出:点击<导出>选择需要导出的日志(原始日志或丰富后的日志),即可导出满足查询条件的日志数据到txt文件并下载到本地,若无查询条件则导产生时间最早的10000条日志。

图-3 日志导出

 

日志等级

功能简介

该功能用于展示各个等级的日志上报趋势和丰富后的日志信息,为用户展现每种日志等级详细的日志信息。并提供日志导出功能,支持按原始日志和丰富后日志导出。日志信息展示方式包括:

·     日志上报趋势图:通过折线图展示统计周期内,各等级的日志上报趋势。

·     日志列表:通过列表展示统计周期内各个等级的日志信息,如日志类型、日志产生时间、日志等级等。

操作步骤

·     选择日志中心 > 实时监控 > 日志等级进入日志等级页面。

图-4 日志等级页面

 

·     查看日志信息详情:点击日志列表中操作列的详情按钮,可查看该日志丰富后的日志信息及原始日志。

 

·     查看某个等级的日志信息:单击目录树中的日志等级即可查看在一段时间内上报的该等级的日志丰富后的信息。

 

·     按条件查询:支持按统计周期内、日志类型筛选日志信息。

 

·     日志导出:点击<导出>选择需要导出的日志(原始日志或丰富后的日志),即可导出满足查询条件的日志数据,生成txt文件并下载到本地,若无查询条件则导出所有日志。

图-5 日志导出

 

自定义分组

功能简介

该功能用于对日志源进行自定义分组展示,通过单击日志源名称可以查看该日志源上报的日志信息。日志信息展示方式包括:

·     日志上报趋势图:通过折线图展示统计周期内资产日志上报趋势。

·     日志列表:通过列表展示统计周期内资产上报的日志信息,如日志类型、日志产生时间、日志等级等。

同时,系统支持日志导出功能,用户可根据自身需求,选择导出原始日志或者丰富后日志。

图-6 自定义分组界面

 

配置步骤

1.     选择“日志中心 > 实时监控 > 自定义分组”进入自定义分组页面。

2.     编辑分组:单击目录树的节点,目录树中会显示出“新增”、“编辑”和“删除”按钮,用户可根据需要新增、编辑和删除节点。其中,编辑节点时,可以修改节点名称和关联日志源。完成配置后,需要单击“保存分组”按钮,保存配置。

3.     查询资产名称:通过在目录树的搜索框内输入资产名称,可以搜索对应的资产。

4.     查看日志信息详情:单击日志列表中操作列下的<详情>按钮,可查看该日志丰富后的详细信息。

5.     查看资产上报日志情况:单击目录树中指定的资产名称,即可查看该资产在某段时间内的日志上报情况。

6.     按条件查询日志信息:通过配置统计周期和日志类型,可以查询符合条件的日志信息。

7.     日志导出:单击<导出>按钮,选择需要导出的日志(原始日志或丰富后的日志),系统将会以TXT文件形式导出满足查询条件的日志数据并下载到本地, 若未配置查询条件,系统将导出产生时间最新的10000条日志。

注意事项

主动日志源不支持自定义分组。

功能简介

该页面用于从多个维度展示统计周期内的平台接收的日志统计信息。系统默认展示操作日志设备IP分布、审计日志审计类型分布、威胁日志攻击类型分布、威胁日志设备名称分布、威胁日志严重级别分布和安全控制日志目的IP分布。用户可自定义需要统计的数据类型及呈现方式。

操作步骤

1.     选择日志中心 > 日志概览进入日志概览页面。

 

2.     选择统计周期,默认展示最近24小时的日志信息。

3.     自定义需要展示的数据及呈现方式:点击某个图表右上角的<自定义>按钮,在弹出的自定义图表窗口,配置以下参数后单击<确认>,页面将展示自定义的图表数据。

○          图表名称:设置展示在每个图表左上角的名称。

○          日志类型:选择需要统计的日志类型,日志类型不同其统计属性也不同。

○          统计对象:选择需要统计的数据类型。

○          图表类型:统计数据的呈现方式,包括折线图、饼图、柱状图。

图-7 自定义图表页面

 

功能简介

该页面用于通过查询满足条件的NAT日志,最终获取内网终端地址信息和溯源过程信息,以及内网终端在对应时间的NAT日。

操作步骤

1.     选择"日志中心 > 溯源取证"进入溯源取证页面。

图-8 溯源取证

 

2.     配置以下参数后单击<溯源>,页面等待一段时间后展示溯源业务链及联动的NAT日志。

参数说明:

○          NAT转换源IP:互联网出口NAT转换源IP

○          目的IP:访问目的IP

○          溯源时间:溯源时间点,实际溯源时间范围在其前后1分钟。

○          NAT转换源端口:互联网出口NAT转换源端口,可选。

○          目的端口:访问目的端口,可选。

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们