LogBase日志管理綜合審計系統(tǒng)用戶手冊V3.6版

1、LogBase日志管理綜合審計系統(tǒng)使用手冊LriGBasez日志專家杭州思福迪信息技術(shù)有限公司SAFET YBASE INFOTECH CO丄 TD2011.07E'LogBase日志管理綜合審計系統(tǒng)v3.6使用手冊版權(quán)聲明?版權(quán)所有2005-2011，杭州思福迪信息技術(shù)有限公司 本文中出現(xiàn)的任何文字敘述、文檔格式、插圖、照片、方法、過 程等內(nèi)容，除另有特別注明，版權(quán)均屬杭州思福迪信息技術(shù)有限公 司所有，受到有關(guān)產(chǎn)權(quán)及版權(quán)法保護。任何個人、機構(gòu)未經(jīng)杭州思 福迪信息技術(shù)有限公司的書面授權(quán)許可，不得以任何方式復制或引 用本文件的任何片斷。商標信息Safetybase Log Audit S

2、ystem、Logbase等是杭州思福迪信息技術(shù)有限公司的商標。杭州思福迪信息技術(shù)有限公司第1頁共62頁LogBase日志管理綜合審計系統(tǒng) v3.6使用手冊目錄版權(quán)聲明1商標信息1目錄2前言4文檔范圍 錯誤！未定義書簽。獲得幫助 錯誤！未定義書簽。格式約定 錯誤！未定義書簽。一、基本信息 錯誤！未定義書簽。二、安裝方法 52.1準備工作52.2接入網(wǎng)絡5三、LOGBASE串口配置7四、系統(tǒng)管理174.1 登錄 LOGBASE174.2系統(tǒng)用戶174.3系統(tǒng)組194.4當前用戶214.5日志權(quán)限224.6告警接口 254.7系統(tǒng)設(shè)置264.8設(shè)備管理28五、數(shù)據(jù)管理305.1數(shù)據(jù)備份305.2數(shù)

3、據(jù)恢復305.3歸檔設(shè)置31六、對象管理3-6.1自定義日志 336.2日志導入導出336.3探測器配置34七、規(guī)貝U定義 407.1配置管理407.2導入導出43八、實時審計448.1監(jiān)控總圖448.2主機監(jiān)控458.3系統(tǒng)監(jiān)控478.4分類監(jiān)控478.5最新告警日志488.6最新重要日志5C8.7最新原始日志518.8最新系統(tǒng)日志52九、綜合審計549.1動態(tài)報表549.2靜態(tài)報表55十、日志查詢5610.1條件查詢561C.2查詢?nèi)蝿?710.3查詢模版58杭州思福迪信息技術(shù)有限公司第4頁共62頁刖言歡迎使用杭州思福迪信息有限公司竭誠為您提供的新一代網(wǎng)絡安全產(chǎn)品思福迪日志管理綜合審計系統(tǒng)

4、隨著互聯(lián)網(wǎng)的飛速發(fā)展，客戶對網(wǎng)絡系統(tǒng)中的安全設(shè)備和網(wǎng)絡設(shè)備、應用系統(tǒng)和運行狀況進行全面的監(jiān)測、分析、評估是保障網(wǎng)絡安全的重要手段。網(wǎng)絡安全是動態(tài)的，對已經(jīng)建立的系統(tǒng)，如果沒有實時的、集中的、可視化 審計，就不能有效/及時的評估系統(tǒng)究竟是不是安全的，并及時發(fā)現(xiàn)安全隱患,所以網(wǎng)絡安全需要集中的審計系統(tǒng)。如果不能將在同一網(wǎng)絡中多個相同或者 不同廠商的產(chǎn)品實現(xiàn)技術(shù)上互操作，實現(xiàn)集中的審計，就無法發(fā)揮有效的安 全性，就無法有效管理。安全審計系統(tǒng)就可以滿足這些要求，對網(wǎng)絡中的各 種設(shè)備和系統(tǒng)進行集中的、可視的綜合審計，及時發(fā)現(xiàn)安全隱患，提高安全 系統(tǒng)成效。該產(chǎn)品是一款分布式，跨平臺的網(wǎng)絡日志管理審計系統(tǒng)，

5、通過對網(wǎng)絡設(shè) 備、服務器、數(shù)據(jù)庫、應用服務等通用計算機軟硬件系統(tǒng)以及各種特定業(yè)務 系統(tǒng)在運行過程中產(chǎn)生的日志、狀態(tài)、操作等信息的采集，在實時分析的基 礎(chǔ)上，監(jiān)測并發(fā)現(xiàn)各種異常事件，準確發(fā)出實時告警。審計系統(tǒng)同時提供對 存儲的歷史日志數(shù)據(jù)進行數(shù)據(jù)挖掘和關(guān)聯(lián)分析，通過可視化的界面和報表向 管理人員提供準確、詳盡的統(tǒng)計分析數(shù)據(jù)和異常分析報告，協(xié)助管理人員及 時發(fā)現(xiàn)安全漏洞，采取有效措施，提高整個計算機應用系統(tǒng)的安全等級。、安裝方法2.1準備工作在安裝LOGBASE之前，請打開LOGBASE的隨機配件盒，查看配件 清單，核對LOGBASE配件是否完整。除配件盒內(nèi)物品外，還需要進行以下準備工作：IP地址

6、請在網(wǎng)絡中給 LOGBASE 預留1個管理IP地址。 臨時計算機一一配置 LOGBASE需要一臺臨時管理用計算機，LOGBASE配置時可以通過串口連接；超級終端軟件能夠連接串口的終端軟件（比如 Win dows的超級終端軟件、Putty、SecureCRT 等）；瀏覽器一一請確定計算機系統(tǒng)已安裝IE瀏覽器（建議使用IE7.0以上版本）；22接入網(wǎng)絡請將LOGBASE按如圖2.1所示的拓撲結(jié)構(gòu)方式接入網(wǎng)絡，此圖考慮的 是通常情況，在具體應用時，請根據(jù)自己網(wǎng)絡的拓撲結(jié)構(gòu)加以調(diào)整。網(wǎng)絡探針審計貝LOGBASE_t 機SYSLOGSNNPTrap< Opsec Lea丿.：卜協(xié)議型探鈾圖2.1

7、LOGBASE 的網(wǎng)絡接入拓撲結(jié)構(gòu)圖接入網(wǎng)絡時，請注意以下幾點：使用網(wǎng)絡直連線連接交換機和LOGBASE的LAN1 口。將LOGBASE接入網(wǎng)絡后請立即修改其網(wǎng)絡配置，適應所在網(wǎng)絡。LOGBASE的網(wǎng)絡設(shè)置默認如表 2:表2 LOGBASE的工作網(wǎng)口默認設(shè)置IPMASK默認網(wǎng)關(guān)54三、LOGBASE串口配置F面以Windows自帶的超級終端軟件為例，詳細介紹實際連接過程:（1）設(shè)置端口屬性，如圖3.1所示:圖3.1超級終端連接端口設(shè)置窗口（2）點擊【確定】后按回車鍵，出現(xiàn)提示符logi n:這時輸入控制臺管理員的用戶名和密碼

8、（默認菜單用戶名：admin，默認密碼：safetybase ），如圖3.2所示：ad伯rLogBase-Audn-De'.-1ce login： LogBaje-Aud1t-Device login： -Audit-Dev1ce login;Password:3.2配置菜單用戶登錄登錄成功后，如圖 3.3所示:+：-。曲匚亡（2Qll-01-2Bi-+|丄$亡£眄日匸已：111 nEWoizk par am亡匕亡gI 2. Sec 鄴卻te血defaulc 口包匸e切豈y13,Sec Device StKiaiI 4.Set Device Conso丄亡 Admin Pas

9、BordI 5.Set Device Consale Shell PasswordI 6.Set Web Adnin PasswordI7t Set Lo$ SetVez 1 Parauetez18.$ec Log Setver Z P4£am4t.eE| OrEKitr_ip IIS«c system n±tuark pazamtitet|IIII IIIHlI+1+3.3登錄成功顯示配置菜單(3) 成功登錄后，可以看到配置菜單如圖3.3所示：1、 Set system network parameter: 配置相關(guān)網(wǎng)卡參數(shù);2、Set system defau

10、lt gateway :配置默認網(wǎng)關(guān)參數(shù)；3、Set Device Serial :配置設(shè)備串口號；4、 Set Device Con sole Admin Password設(shè)置串口菜單管理密碼；5、 Set Device Con sole Shell Password設(shè)置串口命令行管理密碼;6、Set Web Admin Password ;設(shè)置 Web 管理員密碼；7、 Set Log Server 1 Parameter;設(shè)置日志服務器 1參數(shù)；8、 Set Log Server 2 Parameter;設(shè)置日志服務器 2參數(shù)；0、Exit :退出配置菜單;(4) 選擇【1】，回車；如圖

11、3.4所示:+呂號ysteiTi netTOrk parameterIbSet I c.SetId. Set |e*Set IfSet | g Set Ih.Set |i.Setsystem system system system system system system systeELnettJOtk network network network network network network netwrk1 paiajaetei：2 paramet.已工3 parmnetsr4 paianeter5 parmieter6 parajaeter7 paweter8 parajaeteiI

12、CLExit to previous menuIS-et system netwek 0 pacanetet:+圖3.4網(wǎng)絡接口配置列表選擇相應網(wǎng)卡(如 a)，配置網(wǎng)絡參數(shù)，如圖3.5所示:第10頁共62頁+ 血七 呂tho neEwk parameter -+1.Device IP Addxtss: 192.166.1,16I 2.Device NetMask: 255.255.255.CI 3.Save and Active Network SettingIO»Exit to ptevious menuHHI Device IP Addressi 192,166.1.184I I

13、圖3.5網(wǎng)卡參數(shù)配置（5）選擇【Device IP Address】，回車；配置【1-2】項輸入為LOGBASE 系統(tǒng)預留的管理IP地址、子網(wǎng)掩碼，選擇【3】保持配置即可；選擇【0】返 回上級菜單；（6）在上級菜單中（如圖3.4 ），選擇【b】、【c-i】配置ETH1、ETH2ETH8 的網(wǎng)絡參數(shù)，配置內(nèi)容同 ETH0 :選擇3保持配置即可；選擇0返回 上級菜單；第11頁共62頁+I軒fcl翩就卻卅雖臥隣蜩嗣恒也*Device (2011-01-28)I 2.Set3. SetI 4. SetI 5.Set 16.SetI 7.Set18.setsystemDeviceDeviceDevice

14、WebL口gLogdefaultSerialConsoleConsolegatewayAilniin PasswordShell PasswordAdmin PasswordServer 1 Patajuegi:s&Evec 2 ParamotstI O.Exit+I Set systeia netwoEk paEameteKDi+i圖3.6串口配置主菜單3.7所示:(7) 串口配置主菜單中選擇【2】，Set System default gateway :設(shè)置設(shè)備默認網(wǎng)關(guān)地址；回車；如圖Set system： default grateTjayI 2.Save and Active

15、Default GateVay SettingIO.Exit to prEvioua menuIbefault Gateway: 54Di+圖3.7設(shè)備網(wǎng)關(guān)配置界面(8) 串口配置主菜單中選擇【3】，Set Device Serial :配置設(shè)備串口號；回車；如圖3.8所示：+一“ Device Serial Check一一+l.Get original seKial nuoibedI 2. Input check serial ntuubeLIO.Exit to previous menuTHI Get ocigLn&l secial ntuabtrI IIIi

16、 III111IT H+圖3.8設(shè)備串口號配置界面(9) 選擇【Get original serial number】，回車；即可獲取該設(shè)備的串口序 列號信息，將該序列號發(fā)送給生產(chǎn)廠家，申請相應的激活號碼，然后選擇【In put check serial number】，輸入激活號碼完成設(shè)備注冊，重啟設(shè)備。%設(shè)備序列號注冊工作，通常在設(shè)備出廠時已經(jīng)完成。因此，在設(shè)備 安裝時不需要用戶自行配置此項。(10 )串口配置主菜單中選擇【Set Device Con sole Admin Password 】設(shè) 置串口菜單管理密碼；如圖 3.9所示:+Dence (2011-01-28)I lb Set

17、 system network parameter12.Set jystea default gateway| 4 Set Device Console Ailniin Pa3SBorcI5.Set Device Console Shell Password I 6.Set WebI 7 Set LO*IB,LogIO.EklcAdmin PasswordSezvet 1 PadServer 2 P«l + t III十 專-i-+ I十1-+Ok ><Can.cel>+ 1-+第14頁共62頁第#頁共62頁圖3.9串口菜單登錄密碼配置(11 )首先輸入舊的密碼，并

18、連續(xù)兩次輸入新的密碼，完成串口菜單登錄密碼的修改。為了確認設(shè)備安全，請用戶及時更新串口登錄密碼。第#頁共62頁第#頁共62頁】設(shè)置串口命令行模式管理密碼；如圖3.10所示:(12 )串口配置主菜單中選擇【 Set Device Con sole Shell Password第#頁共62頁+Il.Set system networkI 2 Set systeia defaultI 3. Set. Device Serial 丨4+名電匸D色電匚口丄色Device (2011-01-28) pacametecgateuay-+5. Set Device Console Shell Password

19、lI 6.Set WebI 7*Set LogIB.Set LogI O.ExitAdmin PasswordServet 1 Pa+-Server 2 Pal +-Iiut OLDI + I<Caiicel>+-4-sword圖3.10串口命令行模式登錄密碼配置(13 )首先輸入舊的密碼，并連續(xù)兩次輸入新的密碼，完成串口命令行模式登錄密碼的修改。為了確認設(shè)備安全,請用戶及時更新串口命令行模式登錄密碼。(14 )串口配置主菜單中選擇【 Set Web Admin Password】初始化 WEB管理界面登錄密碼；如圖3.11所示:systen system Device Dewic

20、e DeviceneworM default. SerialConsoleConsoleDevice (2011-01-28) pataneurgatewayAdmin PasswordShell Password6Set Web Admin Passwoi17*Set Log Server 1 Pa+IBSet Log Setvex 2 PalI 0.Exit|+|T<CanceL>Inut NEF passwrd+-+-+0在用戶忘記進行初始化配置。圖3.11初始化WEB管理密碼Web密碼Web管理界面登錄密碼后，可通過該選項對（15 ）串口配置主菜單中選擇【 Set Log

21、Server 1 Parameter】，回車；配置日志服務器參數(shù)。 選擇發(fā)送方法、輸入服務器IP并保存配置。如圖（3.12） 所示：+-Device (2011-01-28> Set log setver 0 iiarameter已nd Log M巴izhod:喘山罰IRLogsetver IP Address: 127*0a 0.1I 13,.Save and Active Logserver: SettingI l|O-Exit to previous menu+I Send Log Method: SLA5圖3.12日志服務器配置界面%系統(tǒng)提供兩種日志發(fā)送方法（LOGBASE :

22、LOGBASE專用日志格式、 SYSLOG :標準SYSLOG協(xié)議日志格式）將日志發(fā)送到其它的日志服務器； 系統(tǒng)同時支持兩個日志服務器的配置。第19頁共62頁四、系統(tǒng)管理4.1 登錄 LOGBASE打開 IE 瀏覽器，輸入 LOGBAS地址，(如 https :/),以LOGBAS管理員角色登錄，默認用戶名：admin ;密碼：safetybase;如圖4.1所示，點擊【登錄系統(tǒng)】：99 g 日志管理綜合審計系統(tǒng)H 古冑 *SBfetySa&BAudlE SystemI圖4.1登錄界面0請及時修改系統(tǒng)默認密碼。密碼連續(xù)輸入錯誤三次，登錄頁面會自動關(guān)閉；登錄成功后1

23、0分鐘未進行任何操作，系統(tǒng)會超時退出；4.2系統(tǒng)用戶選擇導航條上【系統(tǒng)管理】一 【系統(tǒng)用戶】；查看當前系統(tǒng)用戶列表,并可執(zhí)行【添加】或【刪除】系統(tǒng)用戶操作：如圖4.2所示第21頁共62頁*馥祜飛軸 w韭話紳里誡”期融 mta理軸1尊:翳理 *d科蜒4利儷3ISKi*彳mA捕劭 ?謁群 .：耀口-我if« «Tfl圖4.2系統(tǒng)用戶點擊【添加】，產(chǎn)生一個新的系統(tǒng)用戶：輸入新用戶的基本信息、賦予功 能權(quán)限和隸屬組；如圖 4.3所示系統(tǒng)管理員可根據(jù)用戶的崗位職權(quán)來分配相應用戶帳號的功能權(quán)限，保障LOGBASE審計系統(tǒng)的安全及用戶網(wǎng)絡信息的安全。用戶添加入用戶組后，此用戶將自動繼承用

24、戶組的所有日志權(quán)限；LogBase-不*:用L爭即!1MA自陽戶& BEK®I旨書EC口a用處妞O WM第23頁共62頁圖4.3添加系統(tǒng)用戶圖4.4配置用戶功能權(quán)限密碼長度建議 8位以上的字母、數(shù)字、大小寫、特殊字符；對功能權(quán) 限設(shè)置應該規(guī)范，系統(tǒng)用戶與管理員用戶的權(quán)限設(shè)置必須權(quán)限分明。以防止 越權(quán)行為；4.3系統(tǒng)組選擇導航條上【系統(tǒng)管理】一 【用戶組】；可查看并添加/刪除用戶組;如圖4.5所示:LogB&se Elsa十吝占 如工：.匸 一 丫昨i IW»PtarnHimttllb.圖4.5系統(tǒng)用戶組0*添加系統(tǒng)用戶組只需添加組名及組描述，組名具有唯一性；

25、對系統(tǒng)用戶組的權(quán)限管理請見后節(jié)【組日志權(quán)限管理】中的介紹；選擇導航條上【系統(tǒng)管理】一 【主機組】；可查看并添加/刪除主機組;如圖4.6所示：Hr 切削融晉ijBS觀RRa AtRre®cBWiJbRfra佩Di列靜Hf&豈耶3*砂» AA1H第25頁共62頁第#頁共62頁圖4.6主機組列表在主機組列表頁面上， 點擊【添加】，新增主機組名，并勾選主機至主機組, 如圖4.7所示：Log Ba se書鼻甘I戟”曹評板JHUbS呂倉曹尺滬寶* m蜩h+d. «Krt口+勺*忖*計甲F審電審計Etg&iSillTsndMKEyiCLfikl1RL IffiL

26、LlNjSJJiS*1rr口iftLH!.!. i(>T(iOn1 皚 JflLZoLZinEEOlIBO. L4I. F. ISBOdJ圖4.7:添加主機組0*:用戶在主機組列表中，可以批量導入主機及主機組信息。點擊【主機配置】可以新增主機信息?！局鳈C配置】內(nèi)容同【實時審計】一【監(jiān)控總圖】一 【主機監(jiān)控】里的【主機配置】一致；4.4當前用戶選擇導航條上【系統(tǒng)管理】一 【當前用戶】、【修改密碼】；針對當前用 戶的基本內(nèi)容及密碼進行修改等；如圖4.8所示：i 1目戶i 1目戶fc毬肝第26頁共62頁第#頁共62頁+ +圖4.8修改本用戶信息圖4.9：修改用戶密碼0*點擊【恢復】，可放棄修改

27、內(nèi)容，恢復原用戶信息；擁有【系統(tǒng)用戶】 功能權(quán)限的帳號可以在【系統(tǒng)用戶】列表中修改其它所有用戶的詳細信息、 功能權(quán)限、隸屬組、密碼等信息。'初始化時，應該立即修改審計系統(tǒng)默認系統(tǒng)配置，以安全的保證系統(tǒng) 管理員的唯一性；以上操作適用與當前登錄的所有用戶；A 安全性考慮密碼長度建議 8位以上的字母、數(shù)字、大小寫、特殊字符; 系統(tǒng)用戶必須從管理制度上保障；以確保系統(tǒng)的安全性；4.5日志權(quán)限選擇導航條上【系統(tǒng)管理】一 【日志權(quán)限】；可分別針對用戶或用戶組 進行日志管理權(quán)限的配置，如圖4.10所示：IflrFwbu.戶圖4.10用戶日志權(quán)限管理% *此系統(tǒng)用戶列表只顯示未加入【系統(tǒng)用戶組】的系統(tǒng)

28、用戶，已添加入 【系統(tǒng)用戶組】的系統(tǒng)用戶的日志權(quán)限不能獨立管理，只能繼承所屬組的日 志權(quán)限。詳情請參見下節(jié)【組權(quán)限】；系統(tǒng)用戶移出用戶組后，將恢復默認日 志權(quán)限。若直接刪除用戶組，組中的用戶仍保持原有的日志權(quán)限，直到該用 戶加入其它用戶組，繼承新的日志權(quán)限；點擊【修改】，操作所選定帳號的日志權(quán)限管理，如圖4.11所示:A SURF-t&Ji *8ita ««!T4E£UB立啊aIM弧1£詢專orrttutlfl-B-prF專prrrrnKauHE-Rrr恤泗專RrrMCElHRrrPrrutHbP廣rrrprrWHS®Orr3ET9&#

29、163;rFuranJtKMHV m«. miesb町存cExtum啟針對所有日志類型,都可選擇【全部允許】、【全部限制】及【部分允許】，圖4.11修改用戶日志權(quán)限若選擇【全部允許】、【全部限制】相應【操作】功能為灰色不可用?！救吭试S】指此用戶可以操作此類日志的所有功能（實時、綜合、查 詢）；【全部限制】指此用戶將看不到此類日志的任何信息、更無法審計；【部分允許】指根據(jù)條件來限制此用戶可操作某些發(fā)生地址IP的此類日志;若選擇【部分允許】，點擊相應【操作】，如圖4.12所示:_ SV.YffH3!側(cè)亦' Fl fc«/ Mito巳 MUI F彳 Tjli*1 HXM

30、i TTLJSVlHif4C* !* r*03J叩事兩產(chǎn)*單¥ehi用EMWmi la i羽:1 iw W 11 1mJ1匸一亠圖4.12設(shè)置【部分允許】權(quán)限勾選【允許部分IP】，可以選擇輸入單個IP或IP段；保存設(shè)置后， 此用戶將只能操作這段IP內(nèi)的此類日志內(nèi)容；勾選【限制部分IP】同理推之;選擇導航條上【日志權(quán)限】一 【組權(quán)限】如圖4.13所示：H.&R內(nèi)甲）=*吐W齊iiel1旺芒圖4.13組權(quán)限管理0*組日志權(quán)限管理操作同用戶日志權(quán)限管理操作，【組權(quán)限】中的權(quán)限設(shè)置，組內(nèi)的所有用戶會完全繼承該組的日志權(quán)限。系統(tǒng)用戶移出用戶組后， 將恢復默認日志權(quán)限。若直接刪除用戶組，

31、組中的用戶仍保持原有組的日志 權(quán)限，直到該用戶加入其它用戶組，繼承新的日志權(quán)限；點擊相關(guān)組的【修改】操作，執(zhí)行組日志權(quán)限管理。如圖4.14所示:圖4.14修改組日志權(quán)限辛* _i&UBl.+£.曲SMJRX iftpwA，m 口t.耳zx4* Q_Mnmirn e0jBILLI Qr廠hmsESjuq耳廠im日或tiiwiiarTTFflE鼻r組日志權(quán)限管理操作方法同用戶日志權(quán)限管理，詳細操作方法請參見上 節(jié)【用戶日志權(quán)限管理】操作說明;4.6告警接口選擇導航條上【系統(tǒng)管理】一【告警接口】，如圖4.15所示:J耳I*耳聊a* snn*tHQI1N+J.口-L ItaH Fi

32、BiTSlLn 險*世 riCVd+ MKBQ-MB-A-fl I" - Iat圖（1）郵件告警接口凰看BUtJk：1圖（2）SNMP告警接口5T沁odE號EKF. 151. .口 h314第30頁共62頁第#頁共62頁圖4.15告警接口SNMP 告警、SYSLOGLOGBASE默認提供三種告警接口： 郵件告警、 告警；配置成功后，系統(tǒng)會自動將用戶自定義的告警日志信息通過郵件或其 它兩種方式發(fā)送給用戶。有關(guān)告警日志配置的內(nèi)容，請參見【規(guī)則定義】章 節(jié);4.7系統(tǒng)設(shè)置選擇導航條上 【系統(tǒng)管理】一【系統(tǒng)設(shè)置】，配置管理【日志顯示】、【超 時設(shè)置】、【配置管理】、【認證方式】等內(nèi)容。選擇【

33、日志顯示】，如圖4.16所示：耳腳tr*SEM口dl«n圖4.16日志顯示列管理管理員可在此選擇設(shè)置所有日志類型的日志字段顯示，在此勾選的字 段會在【實時審計】 欄的日志列表中呈現(xiàn)出來。當作一種類型的日志查詢時,字段同此處設(shè)置的一致，但做多種類型日志的多重查詢時，顯示出的日志列 表將取不同類型日志的相同的字段。選擇您需要修改顯示列的日志類型，點擊【設(shè)置】日志字段顯示，如圖4.17所示：石弭號PElprr時嶼r謝口rrffiMW廠巳再點S!r3LEAirbUrttkipp口rrpFF?SMffiFF?r1HHW.rewtunr聊內(nèi)曲irq暮riH曲徉rrrrr廣理口W*口圖4.17 :

34、設(shè)置日志顯示列管理員可在此勾選日志的顯示字段，點擊確定后，將在【實時審計】 【最新日志】中更改日志的顯示字段為管理員勾選的字段。選擇【超時設(shè)置】，如圖4.18所示:祗 e1 1+m圖4.18:頁面超時設(shè)置在超時時間設(shè)置中輸入等待時間即可。如果在設(shè)定時間內(nèi)管理頁面 沒有任何動作，系統(tǒng)將超時退出，返回登錄頁面。選擇【配置管理】，如圖4.19所示：柱癥S種號Hi I:ri- 圖4.19系統(tǒng)配置管理配置文件導入到 LOGBASE上。選擇【認證方式】，如圖4.20所示:第34頁共62頁第#頁共62頁系統(tǒng)支持本地認證和圖4.20系統(tǒng)認證方式Radius認證兩種方式。默認選擇是本地認證方式,如果需要第三方

35、Radius服務器認證，如圖 4.21所示: rr鉗* .證靂Kuta uiUi血 Idl . 1.MlQi1|. jUj:."圖4.21Radius認證配置4.8設(shè)備管理選擇導航條上【系統(tǒng)管理】一【設(shè)備管理】，如圖4.22所示:圖4.22啟停設(shè)備0用戶可以在頁面上重啟設(shè)備或者關(guān)閉設(shè)備。選擇導航條上【系統(tǒng)管理】一 【時間同步】，如圖4.23所示:第#頁共62頁第35頁共62頁滬由 If 單 円住尸 "-rMfiB it l«h hit*» tKAA.曰 口nqfa*. IJl naL«L時AIL1黃9HiMl 1*14 1JEsS!I2t-iA

36、ftHMIiMINE >.HI i-M-U LLlj-.BAIH1W第#頁共62頁WWW圖4.23配置系統(tǒng)時間同步可以通過此功能與外部時間服務器進行同步，點擊【立即同步】立即與時間同步服務器同步。點擊【同步配置】，可配置同步時間服務器，如圖 4.24所示:flO. ri. 146.44圖4.24時間服務器配置填寫時間同步服務器IP地址，設(shè)置同步間隔時間，點擊確定保存配置。五、數(shù)據(jù)管理5.1數(shù)據(jù)備份選擇導航條上【數(shù)據(jù)管理】一 【數(shù)據(jù)備份】一 【日志備份】，如圖5.1所示:第37頁共62頁3 eiwi* nvit ”日s?f«n nrium "Mb£j xfri

37、ita-畳片良+L M<V日耳也 KSv-MKIi町:BafiRj-gaJai jPWi «M 產(chǎn)賈lft rMiHBlS氏 ©塞«&H9EWX*<MXFM iWi第#頁共62頁第#頁共62頁圖5.1日志備份%管理員可自主選擇日志類型、時間范圍來備份日志數(shù)據(jù)，并可以選擇 備份、備份并刪除或直接刪除日志數(shù)據(jù)。故使用此項功能權(quán)限的管理員需謹 慎。備份任務完成后可下載，或者選擇刪除這個備份任務。日志備份功能是備份文本形式的日志，文件備份功能是備份動態(tài)顯示操作 的回放文件。5.2數(shù)據(jù)恢復【數(shù)據(jù)恢復】一 【日志恢復】，如圖5.2選擇導航條上【數(shù)據(jù)管理】一

38、 所示：L咖*騎.His vniX himt ' * nwA'H c vfMivT事時f U軸F- EIjLHHdi1S. 土jl >4AT-Im-H-ri ii n *taia 133MTKE：<i!&XUJ彳 4|_ i'uniia.x - - j aIRJIIP0如HflS 汁也pMa.fflKI FITXM0圖5.2日志恢復LOGBASE審計系統(tǒng)中；LOGBASE審計系統(tǒng)中。7日志恢復是將日志備份文件重新加載到文件恢復是將【文件備份】的文件重新加載到5.3歸檔設(shè)置選擇導航條上【數(shù)據(jù)管理】一 【歸檔設(shè)置】一 【歸檔策略】，如圖5.3所示：中掃粗

39、逵日0矗略rar-ttf+Menrtt i» 18<fT 胃+unr岸*"5 It±上 nwr-第39頁共62頁第#頁共62頁圖5.3數(shù)據(jù)歸檔配置歸檔策略功能是當磁盤存儲空間達到觸發(fā)條件后，自動處理日志文件。可選擇的處理方式為：自動丟棄、本地保存、FTP上傳、SFTP上傳。觸發(fā)條件在【磁盤配額】 中設(shè)置。若不設(shè)置，默認為當磁盤存儲空間達到 100% 時出發(fā)歸檔機制。A宀若不設(shè)置歸檔策略，默認策略為自動丟棄。一旦磁盤存儲空間達到100%之后，將會自動覆蓋時間最早的日志。第40頁共62頁第41頁共62頁選擇左側(cè)導航欄上的【磁盤配額】如圖 5.4所示:tig*i日

40、電JfE* 事“urni：住豈呦皿口當MkM2H91*rr&t-k. J rhiM第#頁共62頁第#頁共62頁圖5.4磁盤配額用戶可以通過磁盤配額設(shè)置每種協(xié)議日志的磁盤存儲空間。選擇左側(cè)導航欄上的【存儲周期】如圖 5.5所示：LogBasfir-p.i -,：-. mmw- - *-P 如亡甘甘曹1 口£"1nf4l 刊"7iff Itp -hfliNa.iMitrri x -fA, WlffiL圖5.5：存儲周期配置存儲周期也是自動歸檔的周期。如設(shè)定存儲周期為100天，那么100天前的數(shù)據(jù)就會被歸檔，以選定的歸檔方式進行處理。用戶可以選擇是否清 除已經(jīng)歸

41、檔的在線數(shù)據(jù)。六、對象管理【自定義日志】一 【日志列表】，如圖6.1自定義日志選擇導航條上【對象管理】一6.1所示：亠 HKH-ITK-Ji i-iULu；IT耳"i IltMB'E!- .：|j4-SH-sIPM-HjBtfeunT啊|grg(4Efl圖6.1自定義日志服務管理添加、刪除自定義服務類型；點擊相應序號，可查看相關(guān)已有自定義服務的配置；自定義日志的添加接口并沒有在管理頁面上，如有需要，請 聯(lián)系廠商售后工程師。6.2日志導入導出選擇導航條上【對象管理】一 【自定義日志】一 【日志導出】，如圖6.2所示：Hicairif-K列拿無 IISHE-Q A,B,L命 rr

42、ww.iMi圖6.2導出自定義日志配置管理員可勾選需要導出的自定義服務類型，并導出保存在PC中。點擊【日志導入】，可以選擇需要導入的自定義日志的文件，并可以選擇是否要覆蓋主機中相同ID的服務配置，如圖 6.3所示:玄 "''1- 口lit 0405 MI. 電用日劃i HEWt HE4K 3 工ff*4EHa*1!*|；4afl-iite：4Jj£O圖6.3導入自定義日志配置6.3探測器配置選擇導航條上【對象管理】一 【探測器配置】一 【DEFAULT】；可看 到探測器列表及模塊列表，修改或刪除已有探測器、添加新的探測器及相應 的模塊。如圖6.4所示：圖6.

43、4探測器配置0*每個探測器有不同的模塊列表，在刪除探測器時，此探測器下的所有模塊會同時全部刪除；A當您需要安裝軟件探測器來采集日志時，必須先配置好相應探測器和模塊；點擊【添加】新探測器，如圖6.5所示:圖6.5添加探測器ALOGBASE探測器包括硬件探測器和軟件探測器兩類；每個探測器 需配置唯一的編號（ID）。安裝的各類探測器需與探測器配置（ID、密碼）保持一致才能保證連接；CPU、MEM 項表示探測器的性能達到某個閥值，系統(tǒng)會自動產(chǎn)生告 警日志信息；優(yōu)先級項表示該探測器的優(yōu)先級別；配置完成新的探測器后，繼續(xù)配置相應模塊；如圖 6.6所示:flUWS | MA-砒|BJltf. j'n

44、utv'rimwrarBjaTqHll*冏用I叩.SP： U巾廠事審第46頁共62頁第#頁共62頁圖6.6添加探測器模塊請選擇這個探測器所要采集的日志類型；一個探測器中可以添加多個模塊，同一種模塊類型只能添加一個。如何采集字段信息可在【自定義服務 管理】中配置；請正確輸入采集的日志的絕對路徑，否則日志信息將無法成功被此探測器采集；采集時間間隔默認為5秒；若停用此模塊，相應日志將不再采集，探測器仍有效；選擇導航條上【對象管理】一 【探測器配置】一 【Syslog自定義】，將 配置的自定義日志類型使用SYSLOG協(xié)議采集。如圖6.7所示：lu>g>aM曰亦!R嘗 I*口曰耳1宣

45、如自*Ui1»1廠曲«=Ml蟲|祁屮亦1g遠叭出rIB iiM:H*|iM-圖6.7SYSLOG自定義采集日志選擇導航條上【對象管理】一 【探測器配置】一 【Syslog預定義】，將 使用預定義SYSLOG日志分割手法采集網(wǎng)絡設(shè)備的日志。如圖6.8所示：書"i片F(xiàn)T車許血M-itT "W«!帀削E*xnhcAkkenl#rEm in i noiMtwaxH-t. n#jb«'i! It£-u6ll圖6.8： syslog預定義采集系統(tǒng)新增了主流安全及網(wǎng)絡設(shè)備的syslog日志預定義功能，該功能把這些日志類型定義預置在

46、設(shè)備中；目前支持的日志類型有：TOPSEC日志、ARRAY日志、IPS日志、CISCO2821日志、JUNIPER日志、思科FWSM日 志、SSL日志、安氏FW日志等。選擇導航條上【對象管理】一 【探測器配置】一 【流量探測器】，對流 量型探測器的規(guī)則進行配置管理。如圖6.9所示： IX£d£罕 BMBrt2. MFJ1A.T1 VrniKiU. 二 vmiKClu.T #1苗irrn圖6.9 :流量型探測器配置規(guī)則加載：選擇停用或啟用，這里的規(guī)則指的是這個頁面的相關(guān)配置 規(guī)則；選擇啟用后相對應的規(guī)則生效；否則探測器不能工作；SYSLO（操作分割： 該功能只有當開啟 sen

47、d log server parameter參數(shù)為 syslog方式時才有意義；LogBase探測器目前支持兩種方式往主機發(fā)送日志 分別是slas和syslog;啟用該功能后，當發(fā)送信息過長時可以自動進行分割 成幾條日志進行發(fā)送；規(guī)則阻斷：啟用該功能需要在網(wǎng)口參數(shù)中設(shè)置網(wǎng)卡標識，如ethl ；啟用該功能后設(shè)備會往該網(wǎng)卡發(fā)送reset包以達到中斷當前連接的目的；特定服務器：該功能一般用作存在中間件時的數(shù)據(jù)庫操作；在此場景下,數(shù)據(jù)庫操作連接處于長連接狀態(tài)，即用戶登錄后并不退出；需要在此處填寫 數(shù)據(jù)庫服務器地址，若有多個數(shù)據(jù)庫服務器地址則用回車分開；模塊加載：該功能指定探測器采集的協(xié)議，以及協(xié)議對應

48、的端口號，選 擇啟用或停用來啟用或停用對應協(xié)議的日志采集功能；若存在多個端口則用 逗號分開；如圖6.10所示：圖6.10探測器采集模塊加載協(xié)議配置：TELNET配置：該功能指定登錄提示符，常用的提示符信息已經(jīng)預置在該配置中；當遇到特殊提示符，且不在配置列表中時，需要在這里手工將提 示符信息添加到末行（默認配置不要更改，注意這里的配置對空格，制表符 敏感）HTTP配置：用以配置協(xié)議相關(guān)參數(shù)用來標識網(wǎng)頁郵件和網(wǎng)頁附件日志， 一般就用默認設(shè)置，不需要更改UDP配置：這里輸入IP地址列表，以回車分隔；用以統(tǒng)計鏡像口中 UDP 目標地址udp flow信息；如圖6.11所示：Lu圖6.11協(xié)議配置七、規(guī)則定義7.1配置管理選擇導航條上【實時規(guī)則】 >【配置管理】，如圖7.1所示:LogBase