Loase日志管理綜合審計系統(tǒng)用戶手冊V版

Loase日志管理綜合審

計系統(tǒng)用戶手冊V版精

編WORD版

IBMsystemofficeroom[A0816H-

LogBase日志管理綜合審計

系統(tǒng)

使用手冊

杭州思福迪信息技術(shù)有限公司

SAFETYBASEINFOTECHCO.LTD

2011.07

版權(quán)聲明

?版權(quán)所有2005-2011,杭州思福迪信息技術(shù)有限公司

本文中出現(xiàn)的任何文字?jǐn)⑹?、文檔格式、插圖、照

片、方法、過程等內(nèi)容，除另有特別注明，版權(quán)均屬杭

州思福迪信息技術(shù)有限公司所有，受到有關(guān)產(chǎn)權(quán)及版權(quán)

法保護(hù)。任何個人、機構(gòu)未經(jīng)杭州思福迪信息技術(shù)有限

公司的書面授權(quán)許可，不得以任何方式復(fù)制或引用本文

件的任何片斷。

商標(biāo)信息

SafetybaseLogAuditSystem>Logbase等是杭州思福迪

信息技術(shù)有限公司的商標(biāo)。

目錄

版權(quán)聲明...............................................

商標(biāo)信息...............................................

目錄..................................................

刖百..............................................................................

文檔范圍.................................錯誤!未定義書簽

獲得幫助................................錯誤!未定義書簽

格式約定.................................錯誤!未定義書簽

一、基本信息................................錯誤!未定義書簽

二、安裝方法...............................................

2.1準(zhǔn)備工作............................................

2.2接入網(wǎng)絡(luò)............................................

三、LOGBASE串口配置.....................................

四、系統(tǒng)管理...............................................

4.1登錄LOGBASE.......................................................................................

4.2系統(tǒng)用戶............................................

4?3系統(tǒng)組..............................................

4.4當(dāng)前用戶............................................

4.5日志權(quán)限............................................

4.6告警接口............................................

4.7系統(tǒng)設(shè)置............................................

4.8設(shè)備管理............................................

五、數(shù)據(jù)管理...............................................

5.1數(shù)據(jù)備份............................................

5.2數(shù)據(jù)恢復(fù)............................................

5.3歸檔設(shè)置............................................

六、對象管理...............................................

6.1自定義日志..........................................

6.2日志導(dǎo)入導(dǎo)出........................................

6.3探測器配置

七、規(guī)則定義

7.1配置管理............................................

7.2導(dǎo)入導(dǎo)出............................................

八、實時審計...............................................

8.1監(jiān)控總圖............................................

8.2主機監(jiān)控............................................

8.3系統(tǒng)監(jiān)控............................................

8.4分類監(jiān)控............................................

8.5最新告警日志.......................................

8.6最新重要日志

8.7最新原始日志.......................................

8.8最新系統(tǒng)日志.......................................

九、綜合審計...............................................

9.1動態(tài)報表............................................

9.2靜態(tài)報表............................................

十、日志查詢...............................................

10.1條件查詢...........................................

10.2查詢?nèi)蝿?wù)..........................................

10.3查詢模版..........................................

、.、八

前百

歡迎使用杭州思福迪信息有限公司竭誠為您提供的新一代網(wǎng)

絡(luò)安全產(chǎn)品一一思福迪日志管理綜合審計系統(tǒng)

隨著互聯(lián)網(wǎng)的飛速發(fā)展，客戶對網(wǎng)絡(luò)系統(tǒng)中的安全設(shè)備和網(wǎng)

絡(luò)設(shè)備、應(yīng)用系統(tǒng)和運行狀況進(jìn)行全面的監(jiān)測、分析、評估是保

障網(wǎng)絡(luò)安全的重要手段。網(wǎng)絡(luò)安全是動態(tài)的，對已經(jīng)建立的系

統(tǒng)，如果沒有實時的、集中的、可視化審計，就不能有效/及時的

評估系統(tǒng)究竟是不是安全的，并及時發(fā)現(xiàn)安全隱患，所以網(wǎng)絡(luò)安

全需要集中的審計系統(tǒng)。如果不能將在同一網(wǎng)絡(luò)中多個相同或者

不同廠商的產(chǎn)品實現(xiàn)技術(shù)上互操作，實現(xiàn)集中的審計，就無法發(fā)

揮有效的安全性，就無法有效管理。安全審計系統(tǒng)就可以滿足這

些要求，對網(wǎng)絡(luò)中的各種設(shè)備和系統(tǒng)進(jìn)行集中的、可視的綜合審

計，及時發(fā)現(xiàn)安全隱患，提高安全系統(tǒng)成效。

該產(chǎn)品是一款分布式，跨平臺的網(wǎng)絡(luò)日志管理審計系統(tǒng)，通過

對網(wǎng)絡(luò)設(shè)備、服務(wù)器、數(shù)據(jù)庫、應(yīng)用服務(wù)等通用計算機軟硬件系

統(tǒng)以及各種特定業(yè)務(wù)系統(tǒng)在運行過程中產(chǎn)生的日志、狀態(tài)、操作

等信息的采集，在實時分析的基礎(chǔ)上，監(jiān)測并發(fā)現(xiàn)各種異常事

件，準(zhǔn)確發(fā)出實時告警。審計系統(tǒng)同時提供對存儲的歷史日志數(shù)

據(jù)進(jìn)行數(shù)據(jù)挖掘和關(guān)聯(lián)分析，通過可視化的界面和報表向管理人

員提供準(zhǔn)確、詳盡的統(tǒng)計分析數(shù)據(jù)和異常分析報告，協(xié)助管理人

員及時發(fā)現(xiàn)安全漏洞，采取有效措施，提高整個計算機應(yīng)用系統(tǒng)

的安全等級。

二、安裝方法

2.1準(zhǔn)備工作

在安裝LOGBASE之前，請打開LOGBASE的隨機配件盒,

查看配件清單，核對LOGBASE配件是否完整。

除配件盒內(nèi)物品外，還需要進(jìn)行以下準(zhǔn)備工作：

IP地址——請在網(wǎng)絡(luò)中給LOGBASE預(yù)留1個管理IP地址。

臨時計算機一一配置LOGBASE需要一臺臨時管理用計算機，

LOGBASE配置時可以通過串口連接；

超級終端軟件——能夠連接串口的終端軟件（比如Windows的

超級終端軟件、Putty、SccurcCRT等）；

瀏覽器——請確定計算機系統(tǒng)已安裝出瀏覽器（建議使用

IE7.0以上版本）；

2.2接入網(wǎng)絡(luò)

請將LOGBASE按如圖2.1所示的拓?fù)浣Y(jié)構(gòu)方式接入網(wǎng)絡(luò)，此

圖考慮的是通常情況，在具體應(yīng)用時，請根據(jù)自己網(wǎng)絡(luò)的拓?fù)浣Y(jié)

構(gòu)加以調(diào)整。

圖2.1LOGBASE的網(wǎng)絡(luò)接入拓?fù)浣Y(jié)構(gòu)圖

、接入網(wǎng)絡(luò)時，請注意以下幾點：

使用網(wǎng)絡(luò)直連線連接交換機和LOGBASE的LAN1口。

將LOGBASE接入網(wǎng)絡(luò)后請立即修改其網(wǎng)絡(luò)配置，適應(yīng)所

在網(wǎng)絡(luò)。

LOGBASE的網(wǎng)絡(luò)設(shè)置默認(rèn)如表2:

表2LOGBASE的工作網(wǎng)口默認(rèn)設(shè)置

IP

MASK

默認(rèn)網(wǎng)關(guān)

54

三、LOGBASE串口配置

下面以Windows自帶的超級終端軟件為例，詳細(xì)介紹實際連

接過程：

(1)設(shè)置端口屬性，如圖3.1所示：

圖3.1超級終端連接端口設(shè)置窗口

(2)點擊【確定】后按回車鍵，出現(xiàn)提示符login：這時輸入控

制臺管理員的用戶名和密碼(默認(rèn)菜單用戶名：admin,默認(rèn)密

碼：safetybase),如圖3.2所示：

3.2配置菜單用戶登錄

登錄成功后，如圖3.3所示：

3.3登錄成功顯示配置菜單

(3)成功登錄后，可以看到配置菜單如圖3.3所示:

1、Setsystemnetworkparameter：配置相關(guān)網(wǎng)卡參數(shù)；

2^Setsystemdefaultgateway：配置默認(rèn)網(wǎng)關(guān)參數(shù)；

3、SetDeviceSerial：配置設(shè)備串口號；

4^SetDeviceConsoleAdminPassword設(shè)置串口菜單管理密

碼；

5、SetDeviceConsoleShellPassword設(shè)置串口命令行管理密

碼；

6、SetWebAdminPassword；設(shè)置Web管理員密碼；

7、SetLogServer1Parameter；設(shè)置日志服務(wù)器1參數(shù)；

8、SetLogServer2Parameter；設(shè)置日志服務(wù)器2參數(shù)；

0、Exit：退出配置菜單;

(4)選擇【1】，回車;如圖3.4所示:

圖3.4網(wǎng)絡(luò)接口配置列表

選擇相應(yīng)網(wǎng)卡(如a),配置網(wǎng)絡(luò)參數(shù)，如圖3.5所示：

圖3.5網(wǎng)卡參數(shù)配置

⑸選擇［DeviceIPAddress1,回車；配置［1-2］項輸入為

LOGBASE系統(tǒng)預(yù)留的管理IP地址、子網(wǎng)掩碼，選擇【3】保持配

置即可；選擇返回上級菜單；

(6)在上級菜單中(如圖3.4),選擇［b】、［c］［ij配置

ETH1、ETH2…ETH8的網(wǎng)絡(luò)參數(shù),配置內(nèi)容同ETH0:選擇［3］

保持配置即可；選擇【0】返回上級菜單；

圖3.6串口配置主菜單

(7)串口配置主菜單中選擇【2】，SetSystemdefaultgateway：

設(shè)置設(shè)備默認(rèn)網(wǎng)關(guān)地址；回車；如圖3.7所示：

圖3.7設(shè)備網(wǎng)關(guān)配置界面

(8)串口配置主菜單中選擇［3J,SetDeviceSerial：配置設(shè)備

串口號；回車；如圖3.8所示：

圖3.8設(shè)備串口號配置界面

(9)選擇［Getoriginalserialnumber),回車;即可獲取該設(shè)備

的串口序列號信息，將該序列號發(fā)送給生產(chǎn)廠家，申請相應(yīng)的激

活號碼，然后選擇【Inputcheckserialnumber］，輸入激活號碼完成

設(shè)備注冊，重啟設(shè)備。

、設(shè)備序列號注冊工作，通常在設(shè)備出廠時已經(jīng)完成。因

此，在設(shè)備安裝時不需要用戶自行配置此項。

(10)串口配置主菜單中選擇［SetDeviceConsoleAdmin

Password］設(shè)置串口菜單管理密碼；如圖3.9所示：

圖3.9串口菜單登錄密碼配置

(11)首先輸入舊的密碼，并連續(xù)兩次輸入新的密碼，完成串口

菜單登錄密碼的修改。

、模為了確認(rèn)設(shè)備安全，請用戶及時更新串口登錄密碼。

(12)串口配置主菜單中選擇［SetDeviceConsoleShell

Password］設(shè)置串口命令行模式管理密碼；如圖3.10所示：

圖3.10串口命令行模式登錄密碼配置

(13)首先輸入舊的密碼，并連續(xù)兩次輸入新的密碼，完成串口

命令行模式登錄密碼的修改。

.為了確認(rèn)設(shè)備安全，請用戶及時更新串口命令行模式登錄

密碼。

(14)串口配置主菜單中選擇［SetWebAdminPassword］初始化

WEB管理界面登錄密碼；如圖3.11所示:

圖3.11初始化WEB管理密碼

*在用戶忘記Web管理界面登錄密碼后，可通過該選項對

Web密碼進(jìn)行初始化配置。

(15)串口配置主菜單中選擇[SetLogServer1Parameter],回

車；配置日志服務(wù)器參數(shù)。選擇發(fā)送方法、輸入服務(wù)器IP并保存

配置。如圖（3.12）所示：

圖3.12日志服務(wù)器配置界面

、系統(tǒng)提供兩種日志發(fā)送方法（LOGBASE:LOGBASE專用日

志格式、SYSLOG:標(biāo)準(zhǔn)SYSLOG協(xié)議日志格式）將日志發(fā)送到其

它的日志服務(wù)器；系統(tǒng)同時支持兩個日志服務(wù)器的配置。

四、系統(tǒng)管理

4.1登錄LOGBASE

打開IE瀏覽器，輸入LOGBASE地址，(如

https://192.168.1.1),以LOGBASE管理員角色登錄，默認(rèn)用戶

名：admin；密碼：safetybase;

如圖4.1所示，點擊【登錄系統(tǒng)】：

圖4.1登錄界面

、請及時修改系統(tǒng)默認(rèn)密碼。密碼連續(xù)輸入錯誤三次，登錄頁

面會自動關(guān)閉；登錄成功后10分鐘未進(jìn)行任何操作，系統(tǒng)會超時

退出;

4.2系統(tǒng)用戶

選擇導(dǎo)航條上【系統(tǒng)管理】一〉【系統(tǒng)用戶】；查看當(dāng)前系統(tǒng)

用戶列表，并可執(zhí)行【添加】或【刪除】系統(tǒng)用戶操作：如圖4.2

所示

圖4.2系統(tǒng)用戶

點擊【添加】，產(chǎn)生一個新的系統(tǒng)用戶：輸入新用戶的基本

信息、賦予功能權(quán)限和隸屬組；如圖4.3所示

?系統(tǒng)管理員可根據(jù)用戶的崗位職權(quán)來分配相應(yīng)用戶帳號的功

能權(quán)限，保障LOGBASE審計系統(tǒng)的安全及用戶網(wǎng)絡(luò)信息的安

全。用戶添加入用戶組后，此用戶將自動繼承用戶組的所有日志

權(quán)限；

圖4.3添加系統(tǒng)用戶

圖4.4配置用戶功能權(quán)限

密碼長度建議8位以上的字母、數(shù)字、大小寫、特殊字符；

對功能權(quán)限設(shè)置應(yīng)該規(guī)范，系統(tǒng)用戶與管理員用戶的權(quán)限設(shè)置必

須權(quán)限分明。以防止越權(quán)行為；

4.3系統(tǒng)組

選擇導(dǎo)航條上【系統(tǒng)管理】一〉【用戶組】；可查看并添加/

刪除用戶組；

如圖4.5所示：

圖4.5系統(tǒng)用戶組

.添加系統(tǒng)用戶組只需添加組名及組描述，組名具有唯一性;

對系統(tǒng)用戶組的權(quán)限管理請見后節(jié)【組日志權(quán)限管理】中的介

紹；

選擇導(dǎo)航條上【系統(tǒng)管理】一＞【主機組】；可查看并添加/

刪除主機組;

如圖4.6所示:

圖4.6主機組列表

在主機組列表頁面上，點擊【添加】，新增主機組名，并勾選主

機至主機組，如圖4.7所示：

圖4.7:添加主機組

用戶在主機組列表中，可以批量導(dǎo)入主機及主機組信息。

點擊【主機配置】可以新增主機信息?！局鳈C配置】內(nèi)容同【實

時審計】一＞【監(jiān)控總圖】一＞【主機監(jiān)控】里的【主機配置】一

致；

4.4當(dāng)前用戶

選擇導(dǎo)航條上【系統(tǒng)管理】一＞【當(dāng)前用戶】、【修改密

碼1；針對當(dāng)前用戶的基本內(nèi)容及密碼進(jìn)行修改等；如圖4.8所

示：

圖4.8修改本用戶信息

圖4.9:修改用戶密碼

、點擊【恢復(fù)】，可放棄修改內(nèi)容，恢復(fù)原用戶信息；擁有

【系統(tǒng)用戶】功能權(quán)限的帳號可以在【系統(tǒng)用戶】列表中修改其

它所有用戶的詳細(xì)信息、功能權(quán)限、隸屬組、密碼等信息。

、初始化時，應(yīng)該立即修改審計系統(tǒng)默認(rèn)系統(tǒng)配置，以安全的

保證系統(tǒng)管理員的唯一性；以上操作適用與當(dāng)前登錄的所有用

戶；

安全性考慮密碼長度建議8位以上的字母、數(shù)字、大小

寫、特殊字符；

系統(tǒng)用戶必須從管理制度上保障；以確保系統(tǒng)的安全性;

4.5日志權(quán)限

選擇導(dǎo)航條上【系統(tǒng)管理】一＞【日志權(quán)限】；可分別針對用

戶或用戶組進(jìn)行日志管理權(quán)限的配置，如圖4.10所示：

圖4.10用戶日志權(quán)限管理

、此系統(tǒng)用戶列表只顯示未加入【系統(tǒng)用戶組】的系統(tǒng)用戶，

已添加入【系統(tǒng)用戶組】的系統(tǒng)用戶的日志權(quán)限不能獨立管理，

只能繼承所屬組的日志權(quán)限。詳情請參見下節(jié)【組權(quán)限】；系統(tǒng)

用戶移出用戶組后，將恢復(fù)默認(rèn)日志權(quán)限。若直接刪除用戶組，

組中的用戶仍保持原有的日志權(quán)限，直到該用戶加入其它用戶

組，繼承新的日志權(quán)限；

點擊【修改】，操作所選定帳號的日志權(quán)限管理，如圖4.11

所示:

圖4.11修改用戶日志權(quán)限

針對所有日志類型，都可選擇【全部允許】、【全部限制】

及【部分允許】，若選擇【全部允許】、【全部限制】相應(yīng)【操

作】功能為灰色不可用。

【全部允許】指此用戶可以操作此類日志的所有功能（實

口寸、綜合、查詢）；

【全部限制】指此用戶將看不到此類日志的任何信息、更無

法審計；

【部分允許】指根據(jù)條件來限制此用戶可操作某些發(fā)生地址

IP的此類日志；

若選擇【部分允許】，點擊相應(yīng)【操作】，如圖4.12所示:

圖4.12設(shè)置【部分允許】權(quán)限

、勾選【允許部分1P】，可以選擇輸入單個IP或IP段；保存

設(shè)置后，此用戶將只能操作這段IP內(nèi)的此類日志內(nèi)容；勾選【限

制部分IP】同理推之;

選擇導(dǎo)航條上【日志權(quán)限】一＞【組權(quán)限】如圖4.13所示:

圖4.13組權(quán)限管理

、組日志權(quán)限管理操作同用戶日志權(quán)限管理操作，【組權(quán)限】

中的權(quán)限設(shè)置，組內(nèi)的所有用戶會完全繼承該組的日志權(quán)限。系

統(tǒng)用戶移出用戶組后，將恢復(fù)默認(rèn)日志權(quán)限。若直接刪除用戶

組，組中的用戶仍保持原有組的日志權(quán)限，直到該用戶加入其它

用戶組，繼承新的日志權(quán)限；

點擊相關(guān)組的【修改】操作，執(zhí)行組日志權(quán)限管理。如圖4.14

所示：

圖4.14修改組日志權(quán)限

組日志權(quán)限管理操作方法同用戶日志權(quán)限管理，詳細(xì)操作方

法請參見上節(jié)【用戶日志權(quán)限管理】操作說明；

4.6告警接口

選擇導(dǎo)航條上【系統(tǒng)管理】一＞【告警接口】，如圖4.15所

示：

圖（1）郵件告警接口

圖（2）SNMP告警接口

圖4.15告警接口

01LOGBASE默認(rèn)提供三種告警接口：郵件告警、SNMP告

警、SYSLOG告警；配置成功后，系統(tǒng)會自動將用戶自定義的告

警日志信息通過郵件或其它兩種方式發(fā)送給用戶。有關(guān)告警日志

配置的內(nèi)容，請參見【規(guī)則定義】章節(jié);

4.7系統(tǒng)設(shè)置

選擇導(dǎo)航條上【系統(tǒng)管理】一》【系統(tǒng)設(shè)置】，配置管理【日

志顯示】、【超時設(shè)置】、【配置管理】、【認(rèn)證方式】等內(nèi)

容。

選擇【日志顯示】，如圖4.16所示：

圖4.16日志顯示列管理

、管理員可在此選擇設(shè)置所有日志類型的日志字段顯示，在此

勾選的字段會在【實時審計】欄的日志列表中呈現(xiàn)出來。當(dāng)作一

種類型的日志查詢時，字段同此處設(shè)置的一致，但做多種類型日

志的多重查詢時，顯示出的日志列表將取不同類型日志的相同的

字段。

選擇您需要修改顯示列的日志類型，點擊【設(shè)置】日志字段

顯示，

如圖4.17所示:

圖4.17:設(shè)置日志顯示列

、管理員可在此勾選日志的顯示字段，點擊確定后，將在【實

時審計】

-＞【最新日志】中更改日志的顯示字段為管理員勾選的字段。

選擇【超時設(shè)置】，如圖4.18所示：

圖4.18:頁面超時設(shè)置

、在超時時間設(shè)置中輸入等待時間即可。如果在設(shè)定時間內(nèi)管

理頁面沒有任何動作，系統(tǒng)將超時退出，返回登錄頁面。

選擇【配置管理】，如圖4.19所示：

圖4.19系統(tǒng)配置管理

、可以將系統(tǒng)配置文件選擇導(dǎo)出到本地計算機上或者將本地計

算機上的配置文件導(dǎo)入到LOGBASE±o

選擇【認(rèn)證方式】，如圖4.20所示：

圖4.20系統(tǒng)認(rèn)證方式

、系統(tǒng)支持本地認(rèn)證和Radius認(rèn)證兩種方式。默認(rèn)選擇是本地

認(rèn)證方式，如果需要第三方Radius服務(wù)器認(rèn)證，如圖4.21所示：

圖4.21Radius認(rèn)證配置

4.8設(shè)備管理

選擇導(dǎo)航條上【系統(tǒng)管理】一＞【設(shè)備管理】，如圖4.22所

示：

圖4.22啟停設(shè)備

、用戶可以在頁面上重啟設(shè)備或者關(guān)閉設(shè)備。

選擇導(dǎo)航條上【系統(tǒng)管理】一＞【時間同步】，如圖4.23所示：

圖4.23配置系統(tǒng)時間同步

、可以通過此功能與外部時間服務(wù)器進(jìn)行同步，點擊【立即同

步】立即與時間同步服務(wù)器同步。

點擊【同步配置】，可配置同步時間服務(wù)器，如圖4.24所

示：

圖4.24時間服務(wù)器配置

填寫時間同步服務(wù)器IP地址，設(shè)置同步間隔時間，點擊確定保存

配置。

五、數(shù)據(jù)管理

5.1數(shù)據(jù)備份

選擇導(dǎo)航條上【數(shù)據(jù)管理】一＞【數(shù)據(jù)備份】一＞【日志備

份】，如圖5.1所示：

圖5.1日志備份

、管理員可自主選擇日志類型、時間范圍來備份日志數(shù)據(jù)，并

可以選擇備份、備份并刪除或直接刪除日志數(shù)據(jù)。故使用此項功

能權(quán)限的管理員需謹(jǐn)慎。備份任務(wù)完成后可下載，或者選擇刪除

這個備份任務(wù)。

日志備份功能是備份文本形式的日志，文件備份功能是備份動

態(tài)顯示操作的回放文件。

5.2數(shù)據(jù)恢復(fù)

選擇導(dǎo)航條上【數(shù)據(jù)管理】一＞【數(shù)據(jù)恢復(fù)】一＞【日志恢

復(fù)】，如圖5.2所示：

圖5.2日志恢復(fù)

、日志恢復(fù)是將日志備份文件重新加載到LOGBASE審計系統(tǒng)

中；

文件恢復(fù)是將【文件備份】的文件重新加載到LQGBASE審計系

統(tǒng)中。

5.3歸檔設(shè)置

選擇導(dǎo)航條上【數(shù)據(jù)管理】一＞【歸檔設(shè)置】一＞【歸檔策

略】，如圖5.3所示：

圖5.3數(shù)據(jù)歸檔配置

F歸檔策略功能是當(dāng)磁盤存儲空間達(dá)到觸發(fā)條件后，自動處

理日志文件?？蛇x擇的處理方式為：自動丟棄、本地保存、FTP

上傳、SFTP上傳。觸發(fā)條件在【磁盤配額】中設(shè)置。若不設(shè)置，

默認(rèn)為當(dāng)磁盤存儲空間達(dá)到100%時出發(fā)歸檔機制。

2^若不設(shè)置歸檔策略，默認(rèn)策略為自動丟棄。一旦磁盤存儲

空間達(dá)到100%之后，將會自動覆蓋時間最早的日志。

選擇左側(cè)導(dǎo)航欄上的【磁盤配額】如圖5.4所示：

圖5.4磁盤配額

、用戶可以通過磁盤配額設(shè)置每種協(xié)議日志的磁盤存儲空間。

選擇左側(cè)導(dǎo)航欄上的【存儲周期】如圖5.5所示：

圖5.5:存儲周期配置

"存儲周期也是自動歸檔的周期。如設(shè)定存儲周期為1。。天，

那么100天前的數(shù)據(jù)就會被歸檔，以選定的歸檔方式進(jìn)行處理。用

戶可以選擇是否清除已經(jīng)歸檔的在線數(shù)據(jù)。

六、對象管理

6.1自定義日志

選擇導(dǎo)航條上【對象管理】一＞【自定義日志】一＞【日志列

表】，如圖6.1所示：

圖6.1自定義日志服務(wù)管理

添加、刪除自定義服務(wù)類型；點擊相應(yīng)序號，可查看相關(guān)已

有自定義服務(wù)的配置；自定義日志的添加接口并沒有在管理頁面

上，如有需要，請聯(lián)系廠商售后工程師。

6.2日志導(dǎo)入導(dǎo)出

選擇導(dǎo)航條上【對象管理】一＞【自定義日志】一＞【日志導(dǎo)

出】，如圖6.2所示：

圖62導(dǎo)出自定義日志配置

F管理員可勾選需要導(dǎo)出的自定義服務(wù)類型，并導(dǎo)出保存在

PC中。

點擊【日志導(dǎo)入】，可以選擇需要導(dǎo)入的自定義日志的文

件，并可以選擇是否要覆蓋主機中相同【D的服務(wù)配置，如圖6.3

所示：

圖6.3導(dǎo)入自定義日志配置

6.3探測器配置

選擇導(dǎo)航條上【對象管理】一＞【探測器配置】一＞

[DEFAULT];可看到探測器列表及模塊列表，修改或刪除已有

探測器、添加新的探測器及相應(yīng)的模塊。如圖6.4所示：

圖6.4探測器配置

.每個探測器有不同的模塊列表，在刪除探測器時，此探測器

下的所有模塊會同時全部刪除;

A當(dāng)您需要安裝軟件探測器來采集日志時，必須先配置好相

應(yīng)探測器和模塊；

點擊【添加】新探測器，如圖6.5所示：

圖6.5添加探測器

ALOGBASE探測器包括硬件探測器和軟件探測器兩類；每

個探測器需配置唯一的編號(ID)o安裝的各類探測器需與探測

器配置(ID、密碼)保持一致才能保證連接；

?CPU、MEM項表示探測器的性能達(dá)到某個閥值，系統(tǒng)會自

動產(chǎn)生告警日志信息；優(yōu)先級項表示該探測器的優(yōu)先級別；

配置完成新的探測器后，繼續(xù)配置相應(yīng)模塊；如圖6.6所示：

圖6.6添加探測器模塊

請選擇這個探測器所要采集的日志類型；一個探測器中可以

添加多個模塊，同一種模塊類型只能添加一個。如何采集字段信

息可在【自定義服務(wù)管理】中配置；

A請正確輸入采集的日志的絕對路徑，否則日志信息將無法

成功被此探測器采集；采集時間間隔默認(rèn)為5秒；若停用此模塊,

相應(yīng)日志將不再采集，探測器仍有效；

選擇導(dǎo)航條上【對象管理】一＞【探測器配置】一＞【Syslog自

定義】，將配置的自定義日志類型使用SYSLOG協(xié)議采集。如圖

6.7所不：

圖6.7SYSLOG自定義采集日志

選擇導(dǎo)航條上【對象管理】—＞【探測器配置】一＞【Syslog預(yù)

定義】，將使用預(yù)定義SYSLOG日志分割手法采集網(wǎng)絡(luò)設(shè)備的日

志。如圖6.8所示:

圖6.8:syslog預(yù)定義采集

7a系統(tǒng)新增了主流安全及網(wǎng)絡(luò)設(shè)備的syslog日志預(yù)定義功能，

該功能把這些日志類型定義預(yù)置在設(shè)備中；目前支持的日志類型

有：TOPSEC日志、ARRAY日志、IPS日志、CISCO2821日志、

JUNIPER日志、思、科FWSM日志、SSL日志、安氏FW日志等。

選擇導(dǎo)航條上【對象管理】一＞【探測器配置】一＞【流量探測

器】，對流量型探測器的規(guī)則進(jìn)行配置管理。如圖6.9所示：

圖6.9:流量型探測器配置

、規(guī)則加載：選擇停用或啟用，這里的規(guī)則指的是這個頁面的

相關(guān)配置規(guī)則；選擇啟用后相對應(yīng)的規(guī)則生效；否則探測器不能

工作；

SYSLOG操作分割：該功能只有當(dāng)開啟sendlogserver

parameter參數(shù)為syslog方式時才有意義；LogBase探測器目前支持

兩種方式往主機發(fā)送日志分別是slas和syslog；啟用該功能后，當(dāng)

發(fā)送信息過長時可以自動進(jìn)行分割成幾條日志進(jìn)行發(fā)送;

規(guī)則阻斷：啟用該功能需要在網(wǎng)口參數(shù)中設(shè)置網(wǎng)卡標(biāo)識，如

ethl;啟用該功能后設(shè)備會往該網(wǎng)卡發(fā)送reset包以達(dá)到中斷當(dāng)前

連接的目的；

特定服務(wù)器：該功能一般用作存在中間件時的數(shù)據(jù)庫操作；在

此場景下，數(shù)據(jù)庫操作連接處于長連接狀態(tài)，即用戶登錄后并不

退出；需要在此處填寫數(shù)據(jù)庫服務(wù)器地址，若有多個數(shù)據(jù)庫服務(wù)

器地址則用回車分開；

模塊加載：該功能指定探測器采集的協(xié)議，以及協(xié)議對應(yīng)的端

口號，選擇啟用或停用來啟用或停用對應(yīng)協(xié)議的日志采集功能；

若存在多個端口則用逗號分開；如圖6.10所示：

圖6.10探測器采集模塊加載

協(xié)議配置：

TELNET配置：該功能指定登錄提示符，常用的提示符信息已

經(jīng)預(yù)置在該配置中；當(dāng)遇到特殊提示符，且不在配置列表中時,

需要在這里手工將提示符信息添加到末行（默認(rèn)配置不要更改,

注意這里的配置對空格，制表符敏感）

HTTP配置：用以配置協(xié)議相關(guān)參數(shù)用來標(biāo)識網(wǎng)頁郵件和網(wǎng)頁

附件日志，一般就用默認(rèn)設(shè)置，不需要更改

UDP配置：這里輸入IP地址列表，以回車分隔；用以統(tǒng)計鏡

像口中UDP目標(biāo)地址udpflow信息；如圖6.11所示：

圖6.11協(xié)議配置

七、規(guī)則定義

7.1配置管理

選擇導(dǎo)航條上【實時規(guī)則】一＞【配置管理】，如圖7.1所

示：

圖7.1實時分析規(guī)則

、用戶可在此增加、刪除、修改實時分析規(guī)則；

規(guī)則定義通過多重條件匹配，根據(jù)用戶關(guān)注點對海量日志進(jìn)

行篩選、定義、告警或者丟棄；

規(guī)則定義可將采集到的日志類型分成原始、重要、告警、丟

棄四類；

實時分析規(guī)則可包含兩層規(guī)則定義，第一層規(guī)則下可添加子

類規(guī)則；

點擊【規(guī)則編號】可查看、修改現(xiàn)有規(guī)則條件;

點擊【增加新規(guī)則】，如圖7.2所示:

圖7.2增加新規(guī)則

、增加新規(guī)則：

輸入易識別的〈規(guī)則編號〉、〈名稱〉、＜描述〉信息；

規(guī)則條件可選擇所有服務(wù)列表并相應(yīng)的服務(wù)字段來定義；

通過勾選〈增加條件〉可添加無窮層級規(guī)則條件匹配；

新規(guī)則定義應(yīng)優(yōu)先定義大類規(guī)則，如：數(shù)據(jù)庫類、SYSLOG

類、網(wǎng)絡(luò)行為類、系統(tǒng)日志類等；然后在此大類下增加子類規(guī)則

進(jìn)行細(xì)分；

、告警日志規(guī)則定義：

若此規(guī)則定義為產(chǎn)生告警，則需輸入告警消息、選擇告警等

級、事件分類、攻擊手段、告警接受組（已添加系統(tǒng)用戶組）以

及短信和郵件告警（已配置好告警接口）；

A設(shè)置規(guī)則條件：需要注意邏輯關(guān)系以及運算順序（括號的

操作），以保證規(guī)則正常的被使用；丟棄規(guī)則擁有最高優(yōu)先級；

子類規(guī)則應(yīng)該是對上層規(guī)則的細(xì)化，脫離了上層規(guī)則是無效的；

規(guī)則設(shè)置需要注意：規(guī)則以樹型結(jié)構(gòu)設(shè)計；

對后續(xù)規(guī)則的設(shè)定要仔細(xì)：如日志不符合當(dāng)前規(guī)則定義，此

規(guī)則是否跳轉(zhuǎn)或結(jié)束，跳轉(zhuǎn)會繼續(xù)匹配到下一條規(guī)則定義；定義

不當(dāng)會引起日志是否正確的被反應(yīng)在實時審計中；嚴(yán)重情況會出

現(xiàn)定義的敏感日志信息沒有產(chǎn)生告警，破壞系統(tǒng)的實時性與功能

性；

選擇要增加子類規(guī)則的項，點擊【子類列表】，查看:修

改、增加此規(guī)則下的子類規(guī)則；如圖7.3所示：

圖7.3子規(guī)則列表

子規(guī)則是對父規(guī)則的細(xì)化定義，增加了規(guī)定定義的靈活性;

新子規(guī)則的增加操作方法同父規(guī)則;

7?2導(dǎo)入導(dǎo)出

選擇導(dǎo)航條上【實時規(guī)則】一＞【導(dǎo)入導(dǎo)出】選項，如圖7.4

所示:

圖7.4實時規(guī)則管理

實時規(guī)則管理提供了常用實時規(guī)則定義文件的導(dǎo)入接口，并

可以導(dǎo)出系統(tǒng)實時規(guī)則進(jìn)行備份；

八、實時審計

8.1監(jiān)控總圖

選擇導(dǎo)航條上【實時審計】一＞【監(jiān)控總圖】一＞【應(yīng)用監(jiān)

控】，如圖8.1所示：

圖8.1實時監(jiān)測主機列表

點擊【面板設(shè)置】一＞【編輯面板】，可選擇界面中顯示的數(shù)

據(jù)內(nèi)容，如圖8.2所示：

圖8.2編輯面板

點擊【添加】，如圖8.3所示：

圖8.3添加面板

■選擇插件類型，即選擇面板顯示的信息內(nèi)容，包括日志接受

類型實施時監(jiān)控、日志接收明細(xì)實時監(jiān)控等數(shù)種插件?？蛇x擇使

用餅狀圖或柱狀圖顯示日志接受類型實施監(jiān)控。日志接收明細(xì)實

時監(jiān)控采用表格形式，可對某一特定IP實行監(jiān)控。時間分布圖采

用曲線形式。

8.2主機監(jiān)控

選擇導(dǎo)航條上【實時審計】一＞【監(jiān)控總圖】一＞【主機監(jiān)

控】，如圖8.4所示：

圖8.4實時監(jiān)測主機列表

、實時監(jiān)測主機列表顯示內(nèi)容分為三部分：

上部分：應(yīng)用主機日志狀態(tài)；顯示了【主機配置】中添加的

主機實時日志流量狀態(tài)，點擊【主機配置】如圖8.5:

圖8.5主機添加

中部分：當(dāng)天流量TOP5列表；顯示了當(dāng)天流量最高的5個網(wǎng)

絡(luò)設(shè)備的狀態(tài);

下部分：當(dāng)前一分鐘流量TOP5列表；顯示了前一分鐘內(nèi)流量

最高的5個網(wǎng)絡(luò)設(shè)備的狀態(tài)；

8.3系統(tǒng)監(jiān)控

選擇導(dǎo)航條上【監(jiān)控總圖】一＞【系統(tǒng)信息】，如圖8.6所

示：

圖8.6系統(tǒng)信息

0?系統(tǒng)信息顯示了LOGBASE當(dāng)前的CPU、內(nèi)存和硬盤的使用

情況，包括已登錄用戶的操作記錄。

8.4分類監(jiān)控

選擇導(dǎo)航條上【實時審計】一＞【分類監(jiān)控】，如圖8.7所示：

圖8.7分類監(jiān)控

、點擊左邊的日志類型，可單獨查看該日志類型的最新日志，

點擊柱狀圖，可以查看相關(guān)日志明細(xì)列表。

8.5最新告警日志

選擇導(dǎo)航條上【實時審計】一＞【最新日志】一＞【最新告警

日志】，如圖8.8所示：

圖8.8最新告警信息

、最新告警信息：實時動態(tài)顯示最新通過【規(guī)則定義】過濾，

定義為告警信息的日志列表；

點擊列表中任一條日志，可查看此日志的詳細(xì)內(nèi)容；如圖8.9

所示：

圖8.9最新告警信息詳細(xì)內(nèi)容

點擊【上一條】，顯示上一條的詳細(xì)內(nèi)容，點擊【下一

條】，顯示下一條的詳細(xì)內(nèi)容。

8.6最新重要日志

選擇導(dǎo)航條上【實時審計】一＞【最新日志信息】一＞【最新

重要日志】，如圖8.10所示：

圖8.10最新重要日志

、最新重要日志：實時動態(tài)顯示最新通過【規(guī)則定義】過濾