LogBase日志管理綜合審計系統(tǒng)用戶手冊V3.6版

1、LogBase日志管理綜合審計系統(tǒng) 用戶手冊V3.6版Log Base日志管理綜合審計系統(tǒng)使用手冊LT1G Basez日志專家杭州思福迪信息技術(shù)有限公司SAFETYBASE INFOTECH CO.LTD2011.07LogBase日志管理綜合審計系統(tǒng)vS. 6使用手冊版權(quán)聲明©版權(quán)所有20052011,杭州思福迪信息技術(shù)有限公司本文中出現(xiàn)的任何文字敘述、文檔格式、插圖、照片、方法、過 程等內(nèi)容，除另有特別注明，版權(quán)均屬杭州思福迪信息技術(shù)有限公司 所有，受到有關(guān)產(chǎn)權(quán)及版權(quán)法保護。任何個人、機構(gòu)未經(jīng)杭州思福迪 信息技術(shù)有限公司的書面授權(quán)許可，不得以任何方式復(fù)制或引用本文 件的任何片斷。

2、商標信息Safetybase Log Audit Systenu Logbase等是杭州思福迪信息技術(shù) 有限公司的商標。杭州思福迪信息技術(shù)有限公司頁第1頁共62LogBase日志管理綜合審計系統(tǒng)v3. 6使用手冊版權(quán)聲明商標信息目錄錯誤!未定義書簽。錯誤!未定義書簽。錯誤!未定義書簽。錯誤!未定義書簽。前言文檔范圍 獲得幫助 格式約定 一、基本信息 二、安裝方法2準備工作72.2 接入網(wǎng)絡(luò)8三、LOGBASE串口配置11四、系統(tǒng)管理264 1 登錄 LOGBASE262.3 系統(tǒng)用戶272.4 系統(tǒng)組3044當前用戶324.5 日志權(quán)限344.6 告警接口404.7 系統(tǒng)設(shè)置414.8 設(shè)備管

3、理45五、數(shù)據(jù)管理485.1 數(shù)據(jù)備份485.2 數(shù)據(jù)恢復(fù)495.3 歸檔設(shè)置50六、對象管理53杭州思福迪信息技術(shù)有限公司頁第3頁共62&熱LogBase日志管理綜合審計系統(tǒng)v3. 6使用手冊6自定義日志6.2 日志導入導出6.3 探測器配置七、規(guī)則定義7.1 配置管理7.2 導入導出八、實時審計8監(jiān)控總圖7.3 主機監(jiān)控7.4 系統(tǒng)監(jiān)控7.5 分類監(jiān)控7.6 最新告警日志7.7 最新重要日志7.8 最新原始日志7.9 最新系統(tǒng)日志九、綜合審計9動態(tài)報表92靜態(tài)報表十、口志查詢10條件查詢10.2 查詢?nèi)蝿?wù)10.3 查詢模版前百歡迎使用杭州思福迪信息有限公司 竭誠為您提供的新一代網(wǎng)絡(luò)

4、安全產(chǎn)品一 一思福迪日志管理綜合審計系統(tǒng)隨著互聯(lián)網(wǎng)的飛速發(fā)展，客戶對網(wǎng)絡(luò)系統(tǒng)中的安全設(shè)備和網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)和運行狀況進行全面的監(jiān)測、分析、評估是保障網(wǎng)絡(luò)安全的重要手段。網(wǎng)絡(luò)安全是動態(tài)的，對已經(jīng)建立的系統(tǒng)，如 果沒有實時的、集中的、可視化審計，就不能有效/及時的評估系統(tǒng)究竟是不是安全的，并及時發(fā)現(xiàn)安全隱患，所以 網(wǎng)絡(luò)安全需要集中的審計系統(tǒng)。如果不能將在同一網(wǎng)絡(luò)中多個相同或者不同廠商的產(chǎn)品實現(xiàn)技術(shù)上互操作，實現(xiàn)集中 的審計，就無法發(fā)揮有效的安全性，就無法有效管理。安全審計系統(tǒng)就可以滿足這些要求，對網(wǎng)絡(luò)中的各種設(shè)備和系統(tǒng)進行集中的、可視的綜合審計，及時發(fā)現(xiàn)安全隱患，提高安全系統(tǒng)成效。該產(chǎn)品是一款分

5、布式，跨平臺的網(wǎng)絡(luò)日志管理審計系統(tǒng)，通過對網(wǎng)絡(luò)設(shè)備、服務(wù)器、數(shù)據(jù)庫、應(yīng)用服務(wù)等通用計算 機軟硬件系統(tǒng)以及各種特定業(yè)務(wù)系統(tǒng)在 運行過程中產(chǎn)生的日志、狀態(tài)、操作等 信息的采集，在實時分析的基礎(chǔ)上，監(jiān)測并發(fā)現(xiàn)各種異常事件，準確發(fā)出實時告警。審計系統(tǒng)同時提供對存儲的歷史日志數(shù)據(jù)進行數(shù)據(jù)挖掘和關(guān)聯(lián)分析，通過可視化的界面和報表向管理人員提供準確、詳盡的統(tǒng)計分析數(shù)據(jù)和異常分析報告，協(xié)助管理人員及時發(fā)現(xiàn)安全漏洞,采取有效措施，提高整個計算機應(yīng)用系統(tǒng)的安全等級。二、安裝方法2.1 準備工作在安裝LOGBASE之前，請打開LOGBASE的隨機配件盒，查看配件清單,核對LOGASE配件是否完整。除配件盒內(nèi)物品外，還

6、需要進行以下準備工作:IP地址請在網(wǎng)絡(luò)中給LOGBASE預(yù)留1個管理IP地址。臨時計算機一一配置LOGBASE需 要一臺臨時管理用計算機，LOGBASE 配置時可以通過串口連接;超級終端軟件一一能夠連接串口的終端軟件（比如Windows的超級終端軟件、Putty、SecureCRT 等）;瀏覽器請確定計算機系統(tǒng)已安裝IE瀏覽器（建議使用IE7.0以上版本）;2.2 接入網(wǎng)絡(luò)請將LOGBASE按如圖2.1所示的拓撲結(jié)構(gòu)方式接入網(wǎng)絡(luò)，此圖考慮的是通常情況，在具體應(yīng)用時，請根據(jù)自己網(wǎng)絡(luò)的拓撲結(jié)構(gòu)加以調(diào)整。圖2.1LOGBASE的網(wǎng)絡(luò)接入拓撲結(jié)構(gòu)圖%接入網(wǎng)絡(luò)時，請注意以下幾點:使用網(wǎng)絡(luò)直連線連接交換機

7、和LOGBASE 的 LAN1 口。將 LOGBASE接入網(wǎng)絡(luò)后請立即修第91頁共62頁改其網(wǎng)絡(luò)配置，適應(yīng)所在網(wǎng)絡(luò)。LOGBASE的網(wǎng)絡(luò)設(shè)置默認如表2：表2 LOGBASE的工作網(wǎng)口默認 設(shè)置IPMASK默認網(wǎng)關(guān)54三、LOGBASE 串口配：lEi下面以Windows自帶的超級終端 軟件為例，詳細介紹實際連接過程：(1)設(shè)置端口屬性，如圖3.1所示:圖3.1超級終端連接端口設(shè)置窗口(2)點擊【確定】后按回車鍵，出現(xiàn)提示符login：這時輸入控制臺管理員 的用戶名和密碼(默認菜單用戶名:admin,默認密碼：safetyba

8、se),如圖 3.2所示:LogBase-Audit-Device log-in:LOQBasG-AudiT-Dev 1ce login:LogBase-Audit-Device login: adnin Password:，3.2配置菜單用戶登錄登錄成功后，如圖3.3所示:+Device (2011-01-28)stem netvork parameter!2.Set system default Gateway3.Set Device Serial4.Set Device Console Admin Password5.Set Device Console Shell Password6.

9、Set Veb Aduin PasswordSet Log Server 1 Paraiaeter8. Set Log Server 2 ParaiaeterO.ExitSet system netvorE parameter+3.3登錄成功顯示配置菜單（3）成功登錄后，可以看到配置菜單如圖3.3所示:1、Set system network parameter：配置相關(guān)網(wǎng)卡參數(shù)；2、Set system default gateway：配置默認網(wǎng)關(guān)參數(shù);3、Set Device Serial：配置設(shè)備串口號；4、Set Device Console AdminPassword設(shè)置串口菜單管理

10、密碼;5、Set Device Console ShellPassword設(shè)置串口命令行管理密碼;6、Set Web Admin Password；設(shè)置Web管理員密碼;7、Set Log Server 1 Parameter；設(shè)置日志服務(wù)器1參數(shù);8、Set Log Server 2 Parameter；設(shè)置日志服務(wù)器2參數(shù)；0、Exit：退出配置菜單；(4)選擇1L回車;如圖3.4所示:U3.SPtsystennetwork0lb.Setsysteunetwotk1parameter11c.SecsysceunecworkzparamecerIId.SetsysteiLnetwork3pa

11、radeter1Ie.SetsysteiLnetwotk4paraice ter1If.SetsyGteunetwork5parameter1Ig.Setsysteunetwork6parameter1Ih.Setsysteunetwotk7paraice ter1li.Setsystemnetwork8parameter110.Exitto previous menu1+Set system netTOrk parameter+Set system netvork 0 parameter+,圖3.4網(wǎng)絡(luò)接口配置列表選擇相應(yīng)網(wǎng)卡（如a）,配置網(wǎng)絡(luò)參數(shù),如圖3.5所示:+Set ethO net

12、vrork parameter41.Device IP Addreos: 192.168.1.IB2.Device MetMask: 255,255.255.03.Save and Active Network Setting O.Exit to previous menu+IDevice IP Address: 844+圖3.5網(wǎng)卡參數(shù)配置(5)選擇(Device IP Address!車；配置L1-2項輸入為LOGBASE系 統(tǒng)預(yù)留的管理IP地址、子網(wǎng)掩碼，選擇【3】保持配置即可；選擇【0】返回上級菜單；（6）在上級菜單中（如圖3.4）,選擇bl Lc . Li）配置

13、 ETH1、ETH2ETH8的網(wǎng)絡(luò)參數(shù)，配置內(nèi)容同ETHO：選擇【3】保持配置即可；選擇0返回上級菜單;+De'/ice (2011-01-28)stem network paraaiecer!2.Set system default aateay3.Set Device Serial4.Set Device Console Admin Password5.Set Device Console Shell Password6. Set LJeb Admin Password7. Set Log Server 1 PaKaaetet:8. Set Log Server 2 Porarae

14、匕et:O.ExitSet sysLen neworK parameter圖3.6串口配置主菜單(7)串口配置主菜單中選擇【2】，SetSystem default gateway：設(shè)置設(shè)備默認網(wǎng)關(guān)地址;車；如圖3.7所示:+Set system default gateway+1 .Default GatRuaY： 32.Save and Active Default Gateway Setting o.exid to previous menuI+IDefault Gateway: 192,168.1.254IIIIIIIIIIIn+圖3.7設(shè)備網(wǎng)關(guān)配置界面(8)串口

15、配置主菜單中選擇【3】，SetDevice Serial：配置設(shè)備串口號；回車;如圖3.8所不：+Device Serial Check+.Get original set:工al. nuiobeg2.Input check serial nunber O.Exit to previous menuI+1II Get original crial iiunbct:I IIII IIII IIII IIII IIII IiiUiI+1+圖3.8設(shè)備串口號配置界面(9)選擇Get original serialnumber),回車；即可獲取該設(shè)備的串口序列號信息，將該序列號發(fā)送給生產(chǎn)廠家，申請相應(yīng)

16、的激活號碼，然后選擇Input check serial number】，輸入激活號碼完成設(shè)備注冊，重啟設(shè)備。、設(shè)備序列號注冊工作，通常在設(shè)備出廠時已經(jīng)完成。因此，在設(shè)備安裝時 不需要用戶自行配置此項。(10)串口配置主菜單中選擇【SetDevice Console Admin Password設(shè)置串口菜單管理密碼;如圖3.9所示:Device (2011-01-28>1. See oyotia network parouctcr2. Set. SYStcm default gateway3.sec Pevice serial4. Sec Device Console Aditin Pa

17、ssuorc5.Sec Device Console Shell Passuord6.Sec. )Jeb Adiain Password7.Sec Loa Server 1 Pa+-8. Sec Log Server 2 Pal 4-O.ExitI |Cancel+swordI+1+圖3.9串口菜單登錄密碼配置(11)首先輸入舊的密碼，并連續(xù)兩次輸入新的密碼，完成串口菜單登錄密碼 的修改。、為了確認設(shè)備安全,請用戶及時更新 串口登錄密碼。(12)串口配置主菜單中選擇【SetDevice Console Shell Password設(shè)置串口命令行模式管理密碼；如圖3.10 所示:十Device

18、<2011 01 23)11.Sec system neworK parsmeter12.Set system default gateway13.Set Device Serial14.Set Device Console A<±ain PasswordLS.Sct. Device Coiioclc Shell Paoowor6.Sec wet> Adnm Password7.Set Log Server 1 ParInput OLD passvror4+8.Set Loa Server 2 Pal + IO.ExicI l|I I十I-+4-wo rd+-圖3.

19、10串口命令行模式登錄密碼配置（13）首先輸入舊的密碼，并連續(xù)兩次輸入新的密碼，完成串口命令行模式登 錄密碼的修改。、為了確認設(shè)備安全,請用戶及時更新 串口命令行模式登錄密碼。(14)串口配置主菜單中選擇【Set WebAdmin Password】初始化WEB管理界面登錄密碼；如圖3.11所示:Device <2011 D1-28)1. Set sysLeu. neework paranecer2.Set systeu de£sult gatevay3.Set Device Serial4. Set Device Console Aduin Pssoword5.Set Dev

20、ice Console Password6.Set Ueb Acmm Fassvorc7. Set Log Server 1 PanTuput WE17 pass3mn48. Set Log Server2Pal44-I0.EK1UIl|III+I圖3.11初始化WEB管理密碼、在用戶忘記Web管理界面登錄密碼 后，可通過該選項對Web密碼進行初始 化配置。(15)串口配置主菜單中選擇【Set LogServer 1 Parameter,回車；配置日志服務(wù)器參數(shù)。選擇發(fā)送方法、輸入服務(wù)器IP并保存配置。如圖(3.12)所示:Device (2011-01-28) Set log server

21、8 parameterl5end Loq Method: 5LAS|2 .Logserver IP Address: 3 . Save and Active Logs er ver Set-ting O.Exlu 3 previous caenu米nd Log Mztliod; 3IA3圖3.12日志服務(wù)器配置界面、系統(tǒng)提供兩種日志發(fā)送方法(LOGBASE： LOGBASE 專用日志格 式、SYSLOG：標準SYSLOG協(xié)議日志 格式）將日志發(fā)送到其它的日志服務(wù)器;系統(tǒng)同時支持兩個日志服務(wù)器的配置。四、系統(tǒng)管理4.1 登錄 LOGBASE打開IE瀏覽器，輸入LOGBASE地址

22、，(如 https :/192.168. L 1),以 LOGBASE管理員角色登錄，默認用戶名：admin； 密碼：safetybase;如圖4.1所不，點擊【登錄系統(tǒng)】:GBase日志管理綜合審計系統(tǒng)/圖4.1登錄界面請及時修改系統(tǒng)默認密碼。密碼連續(xù)輸入錯誤三次，登錄頁面會自動關(guān)閉;登錄成功后10分鐘未進行任何操作，系統(tǒng)會超時退出;4.2 系統(tǒng)用戶選擇導航條上【系統(tǒng)管理】一【系統(tǒng)用戶】；查看當前系統(tǒng)用戶列表，并可執(zhí)行【添加】或【刪除】系統(tǒng)用戶操作:如圖4.2所示LogBase8 1娛物即1 3£，圖4.2系統(tǒng)用戶點擊【添加】，產(chǎn)生一個新的系統(tǒng)用戶：輸入新用戶的基本信息、賦予功能權(quán)

23、限和隸屬組；如圖4.3所示系統(tǒng)管理員可根據(jù)用戶的崗位職權(quán)來分配相應(yīng)用戶帳號的功能權(quán)限，保障LOGBASE審計系統(tǒng)的安全及用戶網(wǎng)絡(luò)信息的安全。用戶添加入用戶組后，此用戶將自動繼承用戶組的所有日志權(quán)限;«Ll *ca o HSD2。段*，one： ，式何0. Pa tRrlQKIn «等=4 J *T O：« SfiJHP國Wn/lt#5K：ftwo.占($n«22M+ RR 缽也令e k.E匚，, 核吟&圖4.3添加系統(tǒng)用戶, E型 式"cent /«一翻1 Btaa>juu 5«flr"UKJ9<

24、;4FfPint 展9A*TNrwwt«rjciwjTi!"F"日P町一Esun3.“WEriwcrirsMW;Mpfr,JU tWa圖4.4配置用戶功能權(quán)限密碼長度建議8位以上的字母、數(shù)字、大小寫、特殊字符；對功能權(quán)限設(shè)置應(yīng) 該規(guī)范，系統(tǒng)用戶與管理員用戶的權(quán)限 設(shè)置必須權(quán)限分明。以防止越權(quán)行為；4.3 系統(tǒng)組選擇導航條上【系統(tǒng)管理】一【用 戶組】；可查看并添加/刪除用戶組； 如圖4.5所示：圖4.5系統(tǒng)用戶組、添加系統(tǒng)用戶組只需添加組名及組 描述，組名具有唯一性；對系統(tǒng)用戶組的權(quán)限管理請見后節(jié)【組日志權(quán)限管理】中的介紹;選擇導航條上【系統(tǒng)管理】一【主 機組】；可

25、查看并添加/刪除主機組； 如圖4.6所示： /“修圖4.6主機組列表在主機組列表頁面上，點擊【添加】, 新增主機組名，并勾選主機至主機組, 如圖4.7所示：| LogBase力工.9 WWW J俘含的t口詞看IQITM呼sf£小O-1 fttf1JQir 麗nir(S*if 今后也介1«, 1<I,L!2U»PV附J掾 2，S"07)P- S fitSW9I恐 Kf.M»ai>a MSQT”量土3 田5”IF .電收優(yōu)士QQI gQ圖4.7：添加主機組%：用戶在主機組列表中，可以批量導 入主機及主機組信息。點擊【主機配置】 可以新增

26、主機信息?！局鳈C配置】內(nèi)容同【實時審計】一【監(jiān)控總圖】一【主機 監(jiān)控】里的【主機配置】一致;4.4當前用戶選擇導航條上【系統(tǒng)管理】一【當前用戶】、【修改密碼】；針對當前用戶的基本內(nèi)容及密碼進行修改等；如圖4.8所示:LogBaseJE3Tww-T二廠"WKS'S3 ”芻削QIUky及& IXBIB_ a3, 2-電 £.伍/ :Or |ff±SSi麗麗兩謔一上懷。，於 o on 土LU LkJ圖4.8修改本用戶信息JEM< :匚；,圖 4.9：修改用戶密碼、點擊【恢復(fù)】，可放棄修改內(nèi)容，恢復(fù)原用戶信息；擁有【系統(tǒng)用戶】功能權(quán) 限的帳號可以在【

27、系統(tǒng)用戶】列表中修改其它所有用戶的詳細信息、功能權(quán)限、 隸屬組、密碼等信息。、初始化時，應(yīng)該立即修改審計系統(tǒng)默 認系統(tǒng)配置，以安全的保證系統(tǒng)管理員的唯一性；以上操作適用與當前登錄的所有用戶；安全性考慮密碼長度建議8位以上的字母、數(shù)字、大小寫、特殊字符；系統(tǒng)用戶必須從管理制度上保障；以 確保系統(tǒng)的安全性；4.5 日志權(quán)限選擇導航條上【系統(tǒng)管理】一1日志權(quán)限】；可分別針對用戶或用戶組進行 日志管理權(quán)限的配置，如圖4.10所示：蹩勺H6/#11田MMPW.圖4.10用戶日志權(quán)限管理% 此系統(tǒng)用戶列表只顯示未加入【系統(tǒng) 用戶組】的系統(tǒng)用戶，已添加入【系統(tǒng) 用戶組】的系統(tǒng)用戶的日志權(quán)限不能獨 立管理，只

28、能繼承所屬組的日志權(quán)限。詳情請參見下節(jié)【組權(quán)限】；系統(tǒng)用戶移 出用戶組后，將恢復(fù)默認日志權(quán)限。若 直接刪除用戶組，組中的用戶仍保持原 有的日志權(quán)限，直到該用戶加入其它用 戶組，繼承新的日志權(quán)限；點擊【修改】，操作所選定帳號的日志權(quán)限管理，如圖4.11所示:.>««*£a«a«會.5 D2小oM 戰(zhàn)弁尸工、 ttumR4 rairoji9f9a MMrp£ R4»»P2rWJlBDflE9X <IM»miatiJtPAi HC”齡- ttfatgr,aef9O "E4Prnraa*ea

29、se9rKtaayiitfoepira«9tHKOOQfle皿叱圖4.11修改用戶日志權(quán)限針對所有日志類型，都可選擇【全 部允許】、【全部限制】及【部分允許】， 若選擇【全部允許】、【全部限制】相應(yīng) 【操作】功能為灰色不可用?！救吭试S】指此用戶可以操作此類日志的所有功能（實時、綜合、查詢）;【全部限制】指此用戶將看不到此 類日志的任何信息、更無法審計；【部分允許】指根據(jù)條件來限制此用戶可操作某些發(fā)生地址IP的此類日 志;若選擇【部分允許點擊相應(yīng)【操作】，如圖4.12所示:LogBaseto g Xk. KAMI *!8CR«. nurSR¥僅眇V lit

30、87;M a rX M'qq ran圖4.12設(shè)置【部分允許】權(quán)限% 勾選【允許部分IP】，可以選擇輸入單個IP或IP段；保存設(shè)置后，此用戶 將只能操作這段IP內(nèi)的此類日志內(nèi)容； 勾選【限制部分IP】同理推之；選擇導航條上【日志權(quán)限】一【組權(quán)限】如圖4.13所示:圖4.13組權(quán)限管理'組日志權(quán)限管理操作同用戶日志權(quán)限 管理操作，【組權(quán)限】中的權(quán)限設(shè)置，組 內(nèi)的所有用戶會完全繼承該組的日志權(quán) 限。系統(tǒng)用戶移出用戶組后，將恢復(fù)默 認日志權(quán)限。若直接刪除用戶組，組中的用戶仍保持原有組的日志權(quán)限，直到 該用戶加入其它用戶組，繼承新的日志 權(quán)限;點擊相關(guān)組的【修改】操作，執(zhí)行 組日志權(quán)限

31、管理。如圖4.14所示：I 1 hah 詠 jEQ1"的 «M'4> X<«X> S3q D 9 QIMCILogBasej&auBuh8XBOrm O*!m y .MMk山H力CQ 工 -CEOA <a<l跳wx«ae°tHKlQS9UMUBZ9D3Lt!«9tmsae。Mine。nae9rifVBt01r»w9rr圖4.14修改組日志權(quán)限組日志權(quán)限管理操作方法同用戶日志權(quán)限管理，詳細操作方法請參見上節(jié)【用戶日志權(quán)限管理】操作說明;4.6 告警接口選擇導航條上【系統(tǒng)管理】一【告

32、警接口】，如圖4.15所示:+ 41M力 aeoif 工 *圖(1)郵件告警接口 »*«！圖(2) SNMP告警接口5KGQ OQI圖4.15告警接口% LOGBASE默認提供三種告警接口:郵件告警、SNMP告警、SYSLOG告警; 配置成功后，系統(tǒng)會自動將用戶自定義 的告警日志信息通過郵件或其它兩種方 式發(fā)送給用戶。有關(guān)告警日志配置的內(nèi) 容，請參見【規(guī)則定義】章節(jié);4.7系統(tǒng)設(shè)置選擇導航條上【系統(tǒng)管理】一【系 統(tǒng)設(shè)置】，配置管理【日志顯示】、【超時 設(shè)置】、【配置管理】、【認證方式】等內(nèi) 容。選擇【日志顯示工如圖4.16所不:LogBasorTTTT累姚甘理uxsasca

33、l&a1 x幢SKMQZ<JITH*AXIS8«*.*st*1心”燈丈*Itwnre*V壯“86vT一，tndetnesngesamee耽I<1. awescifXX £依。亶XJUITUB<J|M»jrniaE61«UI二f “a一圖4.16日志顯示列管理、管理員可在此選擇設(shè)置所有日志類型的日志字段顯示，在此勾選的字段會在 【實時審計】欄的日志列表中呈現(xiàn)出來。當作一種類型的日志查詢時，字段同此 處設(shè)置的一致，但做多種類型日志的多 重查詢時，顯示出的日志列表將取不同 類型日志的相同的字段。選擇您需要修改顯示列的日志類型，點擊【設(shè)

34、置】日志字段顯示,如圖4.17所示:3 9合防rr rggu：妣r*卜pewwsruju物r r rg般c日力 *rx«orwiMiii'rSWMrttPMMUJrqJi*aip，磔apg與ur方森rgi»rrrznQH圖4.17：設(shè)置日志顯示列%管理員可在此勾選日志的顯示字段, 點擊確定后，將在【實時審計】-【最新日志】中更改日志的顯示字 段為管理員勾選的字段。選擇【超時設(shè)置】，如圖4.18所示:喻設(shè)看 3町K成量圖4.18：頁面超時設(shè)置%在超時時間設(shè)置中輸入等待時間即 可。如果在設(shè)定時間內(nèi)管理頁面沒有任 何動作，系統(tǒng)將超時退出，返回登錄頁 面。選擇【配置管理】，

35、如圖4.19所示:WWW*圖4.19系統(tǒng)配置管理、可以將系統(tǒng)配置文件選擇導出到本地 計算機上或者將本地計算機上的配置文 件導入至!J LOGBASE上。選擇【認證方式】，如圖4.20所示:圖4.20系統(tǒng)認證方式、系統(tǒng)支持本地認證和Radius認證兩 種方式。默認選擇是本地認證方式，如 果需要第三方Radius服務(wù)器認證，如圖 4.21所示：lh-5認鯊叔T1仁, S3 :.必 '聞20223圖4.21 Radius認證配置4.8設(shè)備管理選擇導航條上【系統(tǒng)管理】一【設(shè)備管理】，如圖4.22所示:>r<:Ill圖4.22啟停設(shè)備、用戶可以在頁面上重啟設(shè)備或者關(guān)閉 設(shè)備。選擇導航

36、條上【系統(tǒng)管理】一>【時間同步】，如圖4.23所示：LogBase 東認，切：小s ，廣nu8“ ntim?" Cn*MU38 If，吩*I BVWQ* WW« Q ««W .*>rW6圖4.23配置系統(tǒng)時間同步、可以通過此功能與外部時間服務(wù)器進行同步， 點擊【立即同步】立即與時間同步服務(wù)器同步。點擊【同步配置】，可配置同步時間服務(wù)器，如圖 4.24所示： 7，卜 2KLT2.14«othrKi -i * +-1”g圖4.24時間服務(wù)器配置填寫時間同步服務(wù)器IP地址，設(shè)置同步 間隔時間，點擊確定保存配置。五、數(shù)據(jù)管理5.1 數(shù)據(jù)備份

37、選擇導航條上【數(shù)據(jù)管理】一【數(shù) 據(jù)備份】一【日志備份】，如圖5.1所示:圖5.1日志備份%管理員可自主選擇日志類型、時間范 圍來備份日志數(shù)據(jù)，并可以選擇備份、 備份并刪除或直接刪除日志數(shù)據(jù)。故使 用此項功能權(quán)限的管理員需謹慎。備份 任務(wù)完成后可下載，或者選擇刪除這個 備份任務(wù)。日志備份功能是備份文本形式的日志， 文件備份功能是備份動態(tài)顯示操作的回 放文件。5.2 數(shù)據(jù)恢復(fù)選擇導航條上【數(shù)據(jù)管理】一【數(shù)據(jù)恢復(fù)】一【日志恢復(fù)工如圖5.2所示:Log8aseWa圖5.2日志恢復(fù)日志恢復(fù)是將日志備份文件重新加載到LOGBASE審計系統(tǒng)中;文件恢復(fù)是將【文件備份】的文件重新加載到LOGBASE審計系統(tǒng)中

38、。5.3 歸檔設(shè)置選擇導航條上【數(shù)據(jù)管理】一【歸檔 設(shè)置】一【歸檔策略】，如圖5.3所示:圖5.3數(shù)據(jù)歸檔配置、歸檔策略功能是當磁盤存儲空間達 到觸發(fā)條件后，自動處理日志文件?？?選擇的處理方式為：自動丟棄、本地保 存、FTP上傳、SFTP上傳。觸發(fā)條件在【磁盤配額】中設(shè)置。若不設(shè)置，默認 為當磁盤存儲空間達到100%時出發(fā)歸檔機制。置歸檔策略，默認策略為自動丟棄。一旦磁盤存儲空間達到100%之 后，將會自動覆蓋時間最早的日志。選擇左側(cè)導航欄上的【磁盤配額】如圖5.4所示:LogBa$«口旗 aauimwoz2a，-6'< 內(nèi)oct<X -:MEsmmfitman

39、aiatriHa«a«a*8*1 ica ti»ihi4WrK»9i ICiI*IH9bFTtiBXB0L llfllgEX3 QD圖5.4磁盤配額、用戶可以通過磁盤配額設(shè)置每種協(xié)議 日志的磁盤存儲空間。選擇左側(cè)導航欄上的【存儲周期】如圖5.5所示:LogBa9eanitwz s- £圖5.5：存儲周期配置、存儲周期也是自動歸檔的周期。如設(shè) 定存儲周期為100天，那么100天前的 數(shù)據(jù)就會被歸檔，以選定的歸檔方式進 行處理。用戶可以選擇是否清除已經(jīng)歸 檔的在線數(shù)據(jù)。六、對象管理6.1 自定義日志選擇導航條上【對象管理】一【自 定義日志】一【日志

40、列表】，如圖6.1所 示：圖6.1自定義日志服務(wù)管理% 添加、刪除自定義服務(wù)類型；點擊 相應(yīng)序號，可查看相關(guān)已有自定義服務(wù) 的配置；自定義日志的添加接口并沒有 在管理頁面上，如有需要，請聯(lián)系廠商售后工程師。6.2 日志導入導出選擇導航條上【對象管理】一【自 定義日志】一【日志導出】，如圖6.2所m mftABSMRCU*ANWtSfl£ft*"»rtQeX*W4-t) i，體力，W0% 弼S*n?K*(0圖6.2導出 自定義日志配置、 管理員可勾選需要導出的自定義服務(wù)類型，并導出保存在PC中。點擊【日志導入】，可以選擇需要導入的自定義日志的文件，并可以選擇是否要覆

41、蓋主機中相同ID的服務(wù)配置，如圖6.3所示:LogBaM fttcsame.an <a *i，必“MAX11 八 *A圖6.3導入自定義日志配置6.3 探測器配置選擇導航條上【對象管理】一【探 測器配置】一【DEFAULT；可看到探 測器列表及模塊列表，修改或刪除已有探測器、添加新的探測器及相應(yīng)的模塊。如圖6.4所不：圖6.4探測器配置、每個探測器有不同的模塊列表，在刪 除探測器時，此探測器下的所有模塊會 同時全部刪除；A當您需要安裝軟件探測器來采集日志時，必須先配置好相應(yīng)探測器和模塊;圖6.5添加探測器A LOGBASE探測器包括硬件探測器和軟件探測器兩類；每個探測器需配置 唯一的編號

42、（ID）o安裝的各類探測器需 與探測器配置（ID、密碼）保持一致才 能保證連接;% CPU、MEM項表示探測器的性能達 到某個閥值，系統(tǒng)會自動產(chǎn)生告警日志 信息；優(yōu)先級項表示該探測器的優(yōu)先級 別；配置完成新的探測器后，繼續(xù)配置 相應(yīng)模塊；如圖6.6所示： 級SU+圖6.6添加探測器模塊請選擇這個探測器所要采集的日志類型；一個探測器中可以添加多個模塊,同一種模塊類型只能添加一個。如何采 集字段信息可在【自定義服務(wù)管理】中 配置；A 請正確輸入采集的日志的絕對路 徑，否則日志信息將無法成功被此探測 器采集；采集時間間隔默認為5秒；若 停用此模塊，相應(yīng)日志將不再采集，探 測器仍有效；選擇導航條上【對

43、象管理】一【探測 器配置】一Syslog自定義】，將配置的 自定義日志類型使用SYSLOG協(xié)議采 集。如圖6.7所示： a- AMKS圖6.7SYSLOG自定義采集日志選擇導航條上【對象管理】一【探測器配置】一【Syslog預(yù)定義】，將使用預(yù)定義SYSLOG日志分割手法采集網(wǎng)絡(luò)設(shè)備的日志。如圖6.8所示:LoQ&ase圖6.8： syslog預(yù)定義采集系統(tǒng)新增了主流安全及網(wǎng)絡(luò)設(shè)備的syslog日志預(yù)定義功能，該功能把這些日 志類型定義預(yù)置在設(shè)備中；目前支持的 日志類型有：TOPSEC日志、ARRAY 日志、IPS日志、CISCO2821日志、 JUNIPER日志、思科FWSM日志、SS

44、L 日志、安氏FW日志等。選擇導航條上【對象管理】一【探測 器配置】一【流量探測器】，對流量型探 測器的規(guī)則進行配置管理。如圖6.9所示:QE3 圖6.9：流量型探測器配置、規(guī)則加9；：選擇停用或啟用，這里的規(guī)則指的是這個頁面的相關(guān)配置規(guī)則;選擇啟用后相對應(yīng)的規(guī)則生效；否則探 測器不能工作；SYSLOG操作分割：該功能只有當開啟 send log server parameter 參數(shù)為 syslog方式時才有意義；LogBase探測 器目前支持兩種方式往主機發(fā)送日志分 別是slas和syslog；啟用該功能后, 當發(fā)送信息過長時可以自動進行分割成 幾條日志進行發(fā)送；規(guī)則阻斷：啟用該功能需要在

45、網(wǎng)口參 數(shù)中設(shè)置網(wǎng)卡標識，如ethl；啟用該功能后設(shè)備會往該網(wǎng)卡發(fā)送reset包以達 到中斷當前連接的目的；特定服務(wù)器：該功能一般用作存在中 間件時的數(shù)據(jù)庫操作；在此場景下，數(shù) 據(jù)庫操作連接處于長連接狀態(tài)，即用戶 登錄后并不退出；需要在此處填寫數(shù)據(jù) 庫服務(wù)器地址，若有多個數(shù)據(jù)庫服務(wù)器 地址則用回車分開；模塊加載：該功能指定探測器采集的 協(xié)議，以及協(xié)議對應(yīng)的端口號，選擇啟 用或停用來啟用或停用對應(yīng)協(xié)議的日志 采集功能；若存在多個端口則用逗號分 開；如圖6.10所示：圖6.10探測器采集模塊加載協(xié)議配置:TELNET配置：該功能指定登錄提示符，常用的提示符信息已經(jīng)預(yù)置在該配 置中；當遇到特殊提示符

46、，且不在配置 列表中時，需要在這里手工將提示符信 息添加到末行（默認配置不要更改，注 意這里的配置對空格，制表符敏感）HTTP配置：用以配置協(xié)議相關(guān)參數(shù)用來標識網(wǎng)頁郵件和網(wǎng)頁附件日志,就用默認設(shè)置，不需要更改UDP配置：這里輸入IP地址列表，以回車分隔；用以統(tǒng)計鏡像口中UDP目標地址udp flow信息；如圖6.11所示:UiH 3X1«» Un 1m« 】“：，：r aasTHB<Ot2八(tn <rc« »cwr* w»txl.fc<« mianlnvwIffTKR>>lFuw«f

47、r55t« t» fl。vwul.taX “ fee WlLcd圖6.11協(xié)議配置七、規(guī)則定義7.1配置管理選擇導航條上【實時規(guī)則】一【配 置管理】，如圖7.1所示：a ciss wt eA a tab ，mkua aeaft w于1 ceafi ” F，B oea& ，EK圖7.1實時分析規(guī)則% 用戶可在此增加、刪除、修改實時分 析規(guī)則;規(guī)則定義通過多重條件匹配，根據(jù)用戶關(guān)注點對海量日志進行篩選、定義、 告警或者丟棄;規(guī)則定義可將采集到的日志類型分成原始、重要、告警、丟棄四類;實時分析規(guī)則可包含兩層規(guī)則定義，第一層規(guī)則下可添加子類規(guī)則;點擊【規(guī)則編號】可查看、修改

48、現(xiàn) 有規(guī)則條件；點擊【增加新規(guī)則】，如圖7.2所示:irnnaJ4<1. > »*««a*V4C<TtVMirirncr0 L ： X"57 一乂 II。rznnn r Max圖7.2增加新規(guī)則、增加新規(guī)則：輸入易識別的規(guī)則編號、名稱、 描述信息；規(guī)則條件可選擇所有服務(wù)列表并相 應(yīng)的服務(wù)字段來定義；通過勾選增加條件可添加無窮層級規(guī)則條件匹配；新規(guī)則定義應(yīng)優(yōu)先定義大類規(guī)則， 如：數(shù)據(jù)庫類、SYSLOG類、網(wǎng)絡(luò)行為 類、系統(tǒng)日志類等；然后在此大類下增 加子類規(guī)則進行細分； 、告警日志規(guī)則定義：若此規(guī)則定義為產(chǎn)生告警，則需輸 入告警消息、選擇

49、告警等級、事件分類、攻擊手段、告警接受組（已添加系統(tǒng)用 戶組）以及短信和郵件告警（已配置好 告警接口）；設(shè)置規(guī)則條件：需要注意邏輯關(guān)系以 及運算順序（括號的操作），以保證規(guī)則 正常的被使用；丟棄規(guī)則擁有最高優(yōu)先 級；子類規(guī)則應(yīng)該是對上層規(guī)則的細化, 脫離了上層規(guī)則是無效的;:規(guī)則以樹型結(jié)構(gòu)設(shè)計；對后續(xù)規(guī)則的設(shè)定要仔細：如日志 不符合當前規(guī)則定義，此規(guī)則是否跳轉(zhuǎn) 或結(jié)束，跳轉(zhuǎn)會繼續(xù)匹配到下一條規(guī)則 定義；定義不當會引起日志是否正確的被反應(yīng)在實時審計中；嚴重情況會出現(xiàn) 定義的敏感日志信息沒有產(chǎn)生告警，破 壞系統(tǒng)的實時性與功能性；選擇要增加子類規(guī)則的項，點擊【子類列表查看，修改、增加此規(guī)則下的 子類

50、規(guī)則；如圖7.3所示:LogBase,IWMMMAVJUL£ROF-11 awt naM-r«r« -n«twn Mjl 1OMB M kquo彳.1 fl aefifc 魂 nic' fl « S iGk羔u津的株A：，*.外. 1« A xeM wf ouk i a «一，編工二？盤孰展*./a* rw« 1 A i A ucau wr nsu* n ” s - ik* ars« *t n2MM st <tt sg ye.g3*4 re m » I a DMA «ta J- «» -1* «wr ntut n at atmmgYPirv3m供i a ：鼻 bx, 一> ouu4*fl O> e9 mm