- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
01-正文
本章节下载: 01-正文 (3.70 MB)
目 录
H3C SecCenter CSAP-SA-V/CSAP-SA-Cloud虚拟综合日志审计平台(以下简称综合日志审计平台)能够通过主被动结合的手段,实时不间断地采集网络中不同厂商生产的各种安全设备、网络设备、主机、操作系统、以及各种应用系统产生的海量日志信息。这些日志信息汇集到综合日志审计平台后,平台将对其进行集中化存储、备份、查询、审计、告警、响应,并出具丰富的报表报告,以便管理员获悉全网的整体安全运行态势,实现全生命周期的日志管理。
综合日志审计平台支持安装在虚拟机或物理服务器中,对虚拟机或物理服务器的资源配置要求如下表2-1和表2-2所示。如果资源不满足最低要求,安装过程会出错退出或运行异常。
推荐的服务器最低配置如下表所示。
表2-1 服务器配置需求
|
配置项 |
配置要求 |
|
CPU |
8核,单核频率2.4GHz及以上 |
|
内存 |
32GB |
|
硬盘 |
最低要求1TB,可根据需求扩展;不支持SSD硬盘部署 |
综合日志审计平台支持主流虚拟机部署,虚拟机的最低配置要求如下表所示。
|
配置项 |
配置要求 |
|
CPU |
8核,单核频率2.4GHz及以上 |
|
内存 |
32GB |
|
存储 |
最低要求1TB,可根据需求扩展 |
安装前请先阅读以下注意事项,确保安装过程顺利进行。
· 在虚拟机上部署本平台时,仅需要虚拟一块硬盘用于本平台部署。
· 服务器支持X86架构。
· 虚拟机所在物理服务器当前支持X86、ARM两种架构。
· 暂不支持在做了软RAID磁盘阵列的服务器上部署本平台,若需要做RAID磁盘阵列,则要求该服务器有独立RAID卡。
· 在安装了独立RAID卡的服务器上部署本平台时,需先将用于部署本平台的所有磁盘组成一个磁盘阵列(RAID级别不限)后再部署,且该服务器上仅包含1个磁盘阵列,否则可能导致部署完成后系统无法引导。
· 若服务器存在多个容量满足条件的硬盘时,平台会自动安装在容量最大的硬盘或磁盘阵列上。
· 请设置服务器BIOS启动模式为UEFI模式,并设置硬盘引导优先级高于虚拟光驱优先级。
图2-1 设置BIOS启动模式为UEFI模式和硬盘引导优先级高于虚拟光驱优先级
将服务器或虚拟平台所在服务器的HDM、Eth0端口通过以太网线连接到接入交换机。组网连线示意图如图2-2所示。其中,HDM端口为服务器管理地址端口,Eth0为平台对外业务通信端口,即接入网络成功后,用户通过Eth0端口IP地址登录本平台。
部署综合日志审计平台前必须保证对外业务口正确接入网络,并且网口状态为UP。
综合日志审计平台安装镜像文件可在H3C官网下载获取,并将安装文件拷贝到安装主机上。本手册以SecCenterCSAP-SA-E1903P06-x86_64.iso为例介绍综合日志审计平台安装过程,实际安装时,请以实际安装镜像文件名称为准。
本文以H3C服务器、H3C CAS云计算管理平台及VMware虚拟机上为例介绍综合日志审计平台的部署方法,其他三方平台部署方式请参照三方平台操作系统安装说明实施。
本节以H3C CAS云计算管理平台E0730版本为例介绍在虚拟机上部署综合日志审计平台。有关CAS平台详细介绍请参见产品联机帮助。
(1) 登录H3C CAS云计算管理平台,新增虚拟机,设置虚拟机名称,操作系统选择“Linux”,版本选择“CentOS 6/7(64位)”。单击<硬件信息>配置硬件信息。
硬件最低要求8核CPU、32GB内存,用户可根据需求扩展。磁盘空间最低要求1024GB,请根据日志量存储需求配置磁盘空间,平均每条日志存储需0.3KB。
为了更好的提升产品性能,建议在虚拟化平台上,修改CPU、内存、磁盘的默认配置。
· 绑定物理CPU :绑定时建议进行一对一绑定,且绑定在同一个NUMA节点
· CPU工作模式:直通模式,CPU调度优先级:高
· 内存:内存资源优先级:高。
· 磁盘:预分配方式选择“延迟置零”。
(2) 单击“光驱”选择综合日志审计平台镜像文件SecCenterCSAP-SA-E1903P06-x86_64.iso。如果已经上传了平台镜像文件则直接选择文件,否则需单击<上传文件>按钮,按第(4)步上传文件。
(3) 上传综合日志审计平台镜像文件SecCenterCSAP-SA-E1903P06-x86_64.iso至平台存储池。
(4) 选择镜像文件SecCenterCSAP-SA-E1903P06-x86_64.iso后单击<确定>。
(5) 单击<完成>按钮完成虚拟机创建。
(1) 选中创建的虚拟机,单击<启动>按钮,单击<控制台>查看启动过程。
(2) 选择“Install NingOS V3(1.2.2403)”,按<Enter>键进入下一步安装界面或者等待15s自动进入下一步。
执行该步骤时,若硬件资源不满足需求可能会报错退出,请核对资源信息后重新安装。报错提示及说明参考如下:
· Cpu_Core_Num_Is_less_than_8:表示CPU核数少于8核
· Memory_Is_less_than_32G:表示内存容量小于32GB
· Cannot_Find_Available_Disk:表示未找到可用磁盘,即磁盘容量小于最低要求1TB
图3-1 CPU核数少于8核报错信息示例
(3) 进入下图所示页面后,单击“键盘”选择键盘类型,设置后单击<完成>按钮返回当前配置页面。
(4) 返回如下界面后,设置网络和主机名,其他配置项使用缺省配置即可,无需更改。
a. 设置主机名为“cyber”并单击<应用>按钮,选择要使用的网卡单击<配置>进入网络配置页面。
b. 选择“IPv4设置”页签,方法选择“手动”,然后单击<添加>按钮,输入IP地址、子网掩码及网关地址后,单击<保存>按钮。
必须为网卡配置可用IP地址和网关地址,否则会导致安装失败或安装后无法登录。
c. 打开以太网开关,单击<完成>。
(5) 单击<开始安装>,安装过程中服务器会自动重启一次,请不要关闭电源。
安装过程中不允许创建自定义用户,否则会导致系统安装异常,无法启动SSH服务。
(6) 控制台出现如图3-2所示页面表示安装完成。
正常情况下,安装时间约10~20分钟。安装完成后系统自动跳转到图3-2所示页面,若界面一直停留超过20分钟不加载,可能是界面与服务器后台连接断开,此时双击界面或单击<刷新>按钮刷新界面即可。
(7) 安装完成后,使用Chrome浏览器访问安装过程中设置的IP地址,即可进入平台Web登录界面,如图3-3所示
若安装完成后,通过无法通过设置的IP登录平台(即没有出现如图3-3所示登录界面),可能原因如下:
· 安装过程中网卡及IP地址配置不正确
· 安装过程中未按照配置步骤打开网卡(即网卡状态为state up)
· 安装主机与服务器之间网络不通
请检查后重新部署。
本节以VMware vSphere平台ESXi-6.0为例介绍在VMware虚拟平台上部署综合日志审计平台。
安装前请确认VMware所在服务器CPU不少于8核,可用内存不低于32GB,可用存储空间不少于1TB。
(1) 登录VMware vSphere Client,输入VMware vSphere Client的IP地址、用户名、密码,单击<登录>。
(2) 进入系统后,选择“清单”菜单进入如下图所示界面,单击“创建新虚拟机”创建新的虚拟机。
(3) 默认选择“典型”配置,单击<下一步>。
(4) 输入虚拟机名称,例如“综合日志”。
(5) 配置存储器,使用默认设置,单击<下一步>。
(6) 配置操作系统,根据需要选择。
(7) 配置网络,使用默认设置,单击<下一步>。
(8) 配置磁盘,虚拟磁盘大小不低于1024GB,其余参数使用默认配置。
(9) 配置完成后,勾选“完成前编辑虚拟机设置”,单击<继续>。
(10) 配置内存大小为32GB,CPU选择8核,其他参数使用默认配置,单击<完成>。
(11) 选中新增的虚拟机,单击“摘要”,鼠标右击“database1”,单击“浏览存储数据”。
(12)
单击
按钮上传综合日志审计平台镜像文件SecCenterCSAP-SA-E1903P06-x86_64.iso。
(13) 上传成功后,返回主页面,选中新建的虚拟机“综合日志”,单击“编辑虚拟机设置”,单击“CD/DVD驱动器”,选择“数据存储ISO文件”,单击<浏览>按钮,选择上一步上传的综合日志审计平台镜像文件,选中“打开电源时连接”,单击<确定>。
(1) 选中新建的虚拟机,单击开启虚拟机,并打开控制台。
(2) 平台安装过程中键盘和网络设置方法与服务器部署平台相同,具体请参见“3.1.2 部署平台”。
安装前请根据需求进行管理口地址及账号配置、BIOS配置和磁盘RAID配置,具体配置方法请参见服务器自带的相关资料。
确保安装主机与服务器之间网络互通。
请严格按照手册配置说明进行部署,请不要修改手册中未指定配置项,若因未按手册配置导致平台异常,需重新部署系统。
· 以下以H3C R4900-G6服务器为例介绍平台安装,其他服务器安装时操作系统安装和配置方法相同,如因服务器配置或引导方式不同导致安装失败,请联系服务器厂商配合定位处理。
· 服务器Eth0端口与接入交换机之间必须使用网线连接,否则无法安装操作系统,导致部署失败。
· 使用旧磁盘部署平台时,建议先进行磁盘的格式化操作,否则在安装操作系统时可能会报错,导致部署失败。
(1) 在安装主机上打开浏览器,在浏览器地址栏输入服务器HDM口IP地址,登录服务器Web界面。在“远程控制 > 远程控制台”页面,单击<Java控制台>按钮进入JViewer界面。
(2) 在JViewer界面,单击菜单栏中的“虚拟介质”,弹出导入镜像文件窗口。单击<浏览>,选择平台安装镜像文件SecCenterCSAP-SA-E1903P06-x86_64.iso,然后单击<Connect CD/DVD>。
(3) 导入完成后,单击菜单栏中的“电源”菜单项,选择<立即重启>重启服务器。
(4) 重启过程中进入如下页面时,立即按下<F7>(不同型号服务器的入口按键不同,请以服务器实际界面为准)进入启动设置界面。
(5) 当出现如下图所示界面时,选择UEFI Virtual CD-ROM 0选项,配置成虚拟光驱启动,按<Enter>键进入安装页面。
(6) 当出现如下图所示界面的时候,选择Install NingOS选项,按<Enter>键进入下一步安装界面。
(7) 等待重启后,会自动进入安装界面,无需手动配置什么参数
(8) 等待安装成功后,会出现后台登录的界面,输入账号密码登录之后,查询获取的DHCP地址。该地址可以直接用于平台访问。
(1) 登录综合日志审计平台界面,点击<产品注册>按钮。
(2) 选择本地授权,点击<下载>按钮,下载主机信息文件。
(1) 登录公司License官网,进行License激活申请。
(2) 输入授权码,使用主机信息文件,进行license激活。获取license激活文件。(其中CSAP-SA-V授权支持申请临时授权和正式授权,CSAP-SA-Cloud授权仅支持申请正式授权。)
(3) 注意:早期下单发货产品在官网license注册激活失败,可以邮件方式提供主机信息文件(.did文件),邮件发送[email protected]获取license激活文件。
(1) 选择本地授权。导入license本地授权的ak文件。
(2) 注册激活完成后,可以使用默认账户登录日志审计平台。可以在【配置中心 > 系统管理 > License管理】界面查看License授权信息。
导入License激活文件成功后,可使用安装过程中配置好的IPv4地址登录平台。首次登录时建议使用超级管理员账号。登录完成后为了确保设备的安全性,建议立即修改默认登录密码或创建新的管理员帐号并删除设备缺省帐号。
缺省Web登录账号信息如下表所示。
|
用户名/密码 |
用户角色 |
用户权限 |
|
admin/secCsap@12345 |
超级管理员 |
拥有系统所有权限 |
|
buzAdmin/buzCsap@12345 |
安全管理员 |
拥有“综合概览”、“日志中心”、“事件中心”、“报表中心”功能的操作权限 |
|
sysAdmin/sysCsap@12345 |
系统管理员 |
拥有“配置中心 > 系统管理”功能的操作权限,但不包括查看日志记录和编辑用户及角色信息功能 |
|
auditAdmin/auditCsap@12345 |
审计管理员 |
拥有查看“配置中心 > 系统管理 > 日志记录”权限 |
在安装主机上打开Chrome浏览器,在浏览器地址栏中输入https://186.64.6.90,按回车键即可进入综合日志审计平台登录页面,输入用户名/密码admin/ secCsap@12345即可进入系统首页。
图6-1 综合日志审计平台登录页面
综合日志审计平台升级文件可在官网下载获取,并将所有安装文件拷贝到安装主机上,安装主机操作系统建议使用Windows 10 64位操作系统。
升级文件如下:
· 升级文件包:E1903P05之前版本使用CSAP-SA-V-XXXXX-update.tar.gz,E1903P05及之后版本使用CSAP-SA-XXXXX-update-x86_64.tar.gz、CSAP-SA-XXXXX-update-aarch64.tar.gz。不能编辑或修改安装包名称,无须解压缩。
本章以CSAP-SA-E1903P06-update-x86_64.tar.gz为例介绍综合日志审计平台升级过程,实际升级时,请以实际升级文件包名称为准。
· E1903P05及之后版本升级,服务器是x86架构的请使用CSAP-SA-XXXXX-update-x86_64.tar.gz升级包升级,服务器是arm架构的请使用CSAP-SA-XXXXX-update-aarch64.tar.gz升级包升级。
· 升级时,仅支持升级到当前版本或更高版本,不支持版本回退。
(1) 登录到平台,选择“配置 > 系统升级”进入系统升级页面。
(2) 单击导入升级包图标按钮,选择最新版的升级文件包(CSAP-SA-E1903P06-update-x86_64.tar.gz)上传到系统。
图7-1 系统升级
(3) 上传成功后,单击确认按钮开始升级(升级过程中不允许刷新页面),升级完成后将提示各组件升级结果,升级成功后需要重新登录。
(4) 升级成功后,进入本页面查看版本信息是否正确。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
