-
LogBase
日志管理综合审计系统
使用手册
杭州思福迪信息技术有限公司
SAFETYBASE INFOTECH
2011.07
LogBase
< br>日志管理综合审计系统
v3.6
使用手册
版权声明
?
版权所有
2005-2011
,杭州思福迪信息技
术有限公司
本文中出现的任何文字叙述、文档格式、插图、照
片、方法、过
程等内容,除另有特别注明,版权均属杭州思福迪信息技术有限公
司所有,受到有关产权及版权法保护。任何个人、机构未经杭州思
福迪信
息技术有限公司的书面授权许可,不得以任何方式复制或引
用本文件的任何片断。
商标信息
Safetybase Log Audit System
、
Logbase
等是杭州思福迪信息技术
有限公司的商标。
杭州思福迪信息技术有限公司
第
1
页
共
62
页
<
/p>
LogBase
日志管理综合审计系统
v
3.6
使用手册
目
录
版权声明
.......................
..................................................
........................ 1
商标信息
.......................
..................................................
........................ 1
目
录
.
..................................................
..................................................
2
前言
............
..................................................
.................................................
4
文档范围
..........
..................................................
...
错误!未定义书签。
获得帮助
.......................
........................................
错误!未定义书签。
格式约定
.......................
........................................
错误!未定义书签。
一、基本信息
.....................
........................................
错误!未定义书签。
二、安装方法
.....................
..................................................
........................ 5
2.1
准备工作
........
..................................................
................................ 5
2.2
接入网络
........
..................................................
................................ 5
三、
LOGBASE
串口配置
< br>
.
.......................
..................................................
.. 7
四、系统管理
.....
..................................................
......................................
17
4.1
登录
LOGBASE
.......
..................................................
....................... 17
4.2
系统用户
........
..................................................
.............................. 17
4.3
系统组
.........
..................................................
................................. 19
4.4
当前用户
........
..................................................
.............................. 21
4.5
日志权限
........
..................................................
.............................. 22
4.6
告警接口
........
..................................................
.............................. 25
4.7
系统设置
........
..................................................
.............................. 26
4.8
设备管理
........
..................................................
.............................. 28
五、数据管理
.....................
..................................................
...................... 30
5.1
数据备份
........
..................................................
.............................. 30
5.2
数据恢复
........
..................................................
.............................. 30
5.3
归档设置
........
..................................................
.............................. 31
六、对象管理
.....................
..................................................
...................... 33
杭州思福迪信息技术有限公司
第
2
页
共
62
页
<
/p>
LogBase
日志管理综合审计系统
v
3.6
使用手册
6.1
自定义日志
......................
..................................................
............ 33
6.2
日志导入导出
.....................
..................................................
......... 33
6.3
探测器配置
......................
..................................................
............ 34
七、规则定义
.....................
..................................................
...................... 40
7.1
配置管理
........
..................................................
.............................. 40
7.2
导入导出
........
..................................................
.............................. 43
八、实时审计
.....................
..................................................
...................... 44
8.1
监控总图
........
..................................................
.............................. 44
8.2
主机监控
.......................
..................................................
............... 45
8.3
系统监控
.......................
..................................................
............... 47
8.4
分类监控
.......................
..................................................
............... 47
8.5
最新告警日志
.....................
..................................................
......... 48
8.6
最新重要日志
.....................
..................................................
......... 50
8.7
最新原始日志
.....................
..................................................
......... 51
8.8
最新系统日志
.....................
..................................................
......... 52
九、综合审计
.....................
..................................................
...................... 54
9.1
动态报表
........
..................................................
.............................. 54
9.2
静态报表
........
..................................................
.............................. 55
十、日志查询
.....................
..................................................
...................... 56
10.1
条件查询
.......
..................................................
............................. 56
10.2
查询任务
.......
..................................................
............................. 57
10.3
查询模版
.......
..................................................
............................. 58
杭州思福迪信息技术有限公司
第
3
页
共
62
页
前言
欢迎使用杭州思福迪信息有限公
司竭诚为您提供的新一代网络安全产品
——思福迪日志管理综合审计系统
随着互联网的飞速发展,客户对网络系统中的安全设备和网络设备、应
用系统和运行状况进行全面的监测、
分析、
评估是保障网络安全的重要手段。
网络安全是动态的,对已经建立的系统,如果没有实时
的、集中的、可视化
审计,
就不能有效
/
及时的评估系统究竟是不是安全的,
并及时发现安全隐患,<
/p>
所以网络安全需要集中的审计系统。如果不能将在同一网络中多个相同或者
不同厂商的产品实现技术上互操作,实现集中的审计,就无法发挥有效的安
全性
,就无法有效管理。安全审计系统就可以满足这些要求,对网络中的各
种设备和系统进行
集中的、可视的综合审计,及时发现安全隐患,提高安全
系统成效。
该产品是一款分布式
,
跨平台的
网络日志管理审计系统,通过对网络设
备、服务器、数据库、应用服务等通用计算机软硬
件系统以及各种特定业务
系统在运行过程中产生的日志、状态、操作等信息的采集,在实
时分析的基
础上,监测并发现各种异常事件,准确发出实时告警。审计系统同时提供对<
/p>
存储的历史日志数据进行数据挖掘和关联分析,通过可视化的界面和报表向
管理人员提供准确、详尽的统计分析数据和异常分析报告,协助管理人员及
时发
现安全漏洞,采取有效措施,提高整个计算机应用系统的安全等级。
第
4
页
共
62
页
二、安装方法
2.1
准备工作
在安装
LOGBASE
之前,请打开
LOGBASE
的随机配件盒,
查看配件
清单,核对
LOGBASE
配件是否完整。
除配件盒内物品外,还需要进行以下准备工作:
IP
地址——请在网络中给
LOGBASE<
/p>
预留
1
个管理
I
P
地址。
临时计算机——配置
LOGBASE
需要一台临时管理用计算机,
LOGBASE
配置时可以通过串口连接;
< br>超级终端软件——能够连接串口的终端软件(比如
Windows
的超级终
端软件、
Putty
、
SecureCRT
等)
;
浏览器——请确定计算机系统已安装
IE
浏览器(建议使用
IE7.0
以上版
本)
;
2.2
接入网络
请将
LOGBASE
按如图
2.1
所示的
拓扑结构方式接入网络,此图考虑的
是通常情况,在具体应用时,请根据自己网络的拓扑
结构加以调整。
第
5
页
共
62
页
图
2.1
LOGBASE
的网络接入拓扑结构图
接入网络时,请注意以下几点:
?
使用网络直连线连接交换机和
LOGBASE
的
LAN1
口。
?
< br>将
LOGBASE
接入网络后请立即修改其网络配置,适
应所在网络。
LOGBASE
的网络设置默认如表
2
:
表
2
LOGBASE
的工作网口默认设置
IP
MASK
默认网关
192.168.1.1
255.255.255.0
192.168.1.254
第
6
页
共
62
页
<
/p>
三、
LOGBASE
串口配置
下面以
Windows
自带的超级终端软件为例,详细介绍实际连接过程:
(
1
)设置端口属性,如图
3.1
所示:
图
3.1
超级终端连接端口设置窗口
(
2
)点击【确定】后按回车键,出现提示符
l
ogin:
这时输入控制台管
理员的用户名和密码(默认菜单
用户名:
admin
,默认密码:
sa
fetybase
)
,
如图
3.2
所示:
第
7
页
共
62
页
3.2
配置菜单用户登录
登录成功后,如图
3.3
所示:
3.3
登录成功显示配置菜单
(
3
)成功登录后,可以看到配置菜单如图
3.3<
/p>
所示:
1
、
Set system
network parameter
:配置相关网卡参数;
2
、
Set system
default gateway
:配置默认网关参数;
第
8
页
共
62
页
3
、
Set Device
Serial
:配置设备串口号;
4
、
Set Device
Console Admin
Password
设置串口菜单管理密码;
5
、
Set Device
Console Shell
Password
设置串口命令行管理密码;
6
、
Set Web Admin P
assword
;设置
Web
管理员密
码;
7
、
Set Log Server
1 Parameter
;设置日志服务器
1
< br>参数;
8
、
Set Log Server
2 Parameter
;设置日志服务器
2
< br>参数;
0
、
< br>Exit
:退出配置菜单;
(
4
)选择【
1
】
,回车
;
如图
3.4
所示:
图
3.4
网络接口配置列表
选择相应网卡(如
a
)
,配置网络参数,如图
3.5
所示:
第
9
页
共
62
页
图
3.5
网卡参数配置
(
5
)选择【
Device IP Address
】
,回车;配置【
1-2
】项输入为
LOGBASE
系统
预留
的管理
IP
地址、子网掩码,选择【
3
】保持配置即可;选择【
0
】返
回上级菜单;
(
6
)
在上级菜单中
(如图
3.4
)
,
选择
【
b
】
【
< br>c
】
、
…
【
i
】
配置
ETH1
、
ETH2
…
ETH8
的网络参数,配置内容同
ETH0
:选择【
3
】保持配置即可;选择【
0
】返回
上级菜单;
第
10
页
共
62
页
图
3.6
串口配置主菜单
(
< br>7
)串口配置主菜单中选择【
2
】
,
Set System default gateway
:设置设
备默认网关地址;回车;如图
3.7
所示:
第
11
页
共
62
页
图
3.7
设备网关配置界面
(
8
)串口配置主菜单中选择【
3
】
,
Set Device Serial
< br>:配置设备串口号;
回车;如图
3.8
< br>所示:
图
3.8
设备串口号配置界面
(
9
)选择【
Get original
serial number
】
,回车;即可获取该设备的串口
序
列号信息,将该序列号发送给生产厂家,申请相应的激活号码,然后选择
【
Input check serial number
< br>】
,
输入激活号码完成设备注册,重启设备。
设备序列号注册工作,通常在设备出厂时已经完成。因此,在设备
安装时不需要用户自行配置此项。
(
10
)串口配置主菜单中选择
【
Set Device Console Admin Password
】设
置串口菜单管理密码;如图
3.9
所示:
第
12
页
共
62
页
图
3.9
串口菜单登录密码配置
(
11
)首先输入旧的密码,并连续两次输入新的密码,完成串口菜单登录<
/p>
密码的修改。
为了确认设备安全,请用户及时更新串口登录密码。
(
12
)串
口配置主菜单中选择【
Set Device Console Shell Pass
word
】设
置串口命令行模式管理密码;如图
3.10
所示:
第
13
页
共
62
页
图
3.10
串口命令行模式登录密码配置
(
13
)首先输入旧的密码,并连续两次输入新的密码,完成串口命令
行模
式登录密码的修改。
为了确认设备安全,请用户及时更新串口命令行模式登录密码。
(
14
)串
口配置主菜单中选择【
Set Web Admin Password
】初始化
WEB
管理界面登录密码;如图
3.11
所示:
第
14
页
共
62
页
图
3.11
初始化
WEB
管理密码
在用户忘记
Web
管理界面登录密码后,可通过该
选项对
Web
密码
进行初始化配置。<
/p>
(
15
)串口配置主菜单中选择【
Set Log Server 1 P
arameter
】
,回车;配
置日志
服务器参数。
选择发送方法、
输入服务器
IP
并保存配置。
如图
(
3.12
)
所示:
第
15
页
共
62
页
图
3.12
日志服务器配置界面
系统提供两种日
志发送方法(
LOGBASE
:
LOG
BASE
专用日志格式、
SYSLOG
:标准
SYSLOG
协议日志格式)将日志发送到其它的日志服
务器;
系统同时支持两个日志服务器的配置。
第
16
页
共
62
页
四、系统管理
4.1
登录
LOGBASE
打开
IE
浏览器,输入
LOGBASE
地址,
(如
https
://
192.168.1.1
)
,以
LOG
BASE
管理员角色登录,默认用户名:
admin
;密码:
safetybase;
如图
4.1
所示,点击【登录系统】
:
图
4.1
登录界面
请及时修改系
统默认密码。密码连续输入错误三次,登录页面会自动
关闭;登录成功后
10
分钟未进行任何操作,系统会超时退出;
4.2
系统用户
选择导航条上【系统管理】
—
>
【系统用户】
;查看当前系统用户
列表,
并可执行【添加】或【删除】系统用户操作:如图
4.2
所示
第
17
页
共
62
页
图
4.2
系
统用户
点击【添加】
,产生一个新的
系统用户:输入新用户的基本信息、赋予功
能权限和隶属组;如图
4.3
所示
系统管理员可根据用户的岗位职权来分配相应用户帐号的
功能权限
< br>,
保障
LOGBASE
审计系统
的安全及用户网络信息的安全。用户添加入用户组
后,此用户将自动继承用户组的所有<
/p>
日志权限
;
第
18
页
共
62
页
<
/p>
图
4.3
添加系统用户
< br>
图
4.4
< br>配置用户功能权限
密码长度建议
8
位以上的字母、数字、大小写、特殊字符;对功能权
限设置
应该规范,系统用户与管理员用户的权限设置必须权限分明。以防止
越权行为;
4.3
系统组
<
/p>
选择导航条上【系统管理】—
>
【用户组
】
;可查看并添加
/
删除用户组;
如图
4.5
所示
:
图
4.
5
系统用户组
第
19
页
共
62
页
添加系统用户组只需添加组名及组描述,组名具有唯一性;对
系统用
户组的权限管理请见后节【组日志权限管理】中的介绍;
选择导航条上【系统管理】—
>
【主机组】
;可查看并添加
/
删除主机组;
如图
4.6
所示:
图
4.6
主机组列表
< br>在主机组列表页面上,
点击
【添加】
,
新增主机组名,
并勾选主机至主机组,
< br>如图
4.7
所示:
图
4.7
:添加主机组
:用户在主机组列表中,可以批量导入主机及主机组信息。点击【主
第
20
页
共
62
页
<
/p>
机配置】可以新增主机信息。
【主机配置】内容同【实时审计】—
>
【监控总
图】—
>
【主机监控】里的【主机配置】一致;
4.4
当前用户
选择导航条上【系统管理】
—
>
【当前用户】
、
< br>【修改密码】
;针对当前用
户的基本内容及密码进行修改
等;如图
4.8
所示:
图
4.8
修
改本用户信息
图
< br>4.9
:修改用户密码
点击【
恢复】
,可放弃修改内容,恢复原用户信息;拥有【系统用户】
功能权限的帐号可以在【系统用户】列表中修改其它所有用户的详细信息、
功能权限、隶
属组、密码等信息。
初始化时,应该立即修改审计系统默认系
统配置,以安全的保证系统
管理员的唯一性;以上操作适用与当前登录的所有用户;
第
21
页
共
62
页
<
/p>
安全性考虑密码长度建议
8
位以上的字母
、
数字、
大小写、
特殊字符;
系统用户必须从管理制度上保障;以确保系统的安全性;
4.5
日志权限
选择导航条上【系统管理】
—
>
【日志权限】
;可分别针对用户或
用户组
进行日志管理权限的配置,如图
4.10
所示:
图
4.10
用户日志权限管理
此系统用户列表只显示未加入【系统用户组】的系统用户,已添加入
【系统用户组】的系统用户的日志权限不能独立管理,只能继承所属组的日
志权限。
详情请参见下节【组权限】
;系统用户移出用户组后,将恢复默认日
志权限。若直接删除用户组,组中的用户仍保持原有的日志权限,直到该用
户加入其
它用户组,继承新的日志权限;
点击【修改】
,操作所选定帐号的日志权限管理,如图
4.11
所示:<
/p>
第
22
页
共
62
页
图
4.11
修改用户日志权限
针对所有日志类
型,
都可选择
【全部允许】
、
【全部限制】
及
【部分允许】
< br>,
若选择【全部允许】
、
【全部
限制】相应【操作】功能为灰色不可用。
【全部允许】指此用
户可以操作此类日志的所有功能(实时、综合、查
询)
;
【全部限制】指此用户将看不到此类日志的任何信息、更无法审计;
【部分允许】
指根据条件来限制此用
户可操作某些发生地址
IP
的此类日
志
;
若选择【部分允许】
,点击相应【
操作】
,如图
4.12
所示:
第
23
页
共
62
页
<
/p>
图
4.12
设置【部分允许】权限
勾选【允许部分
IP
】
,可以选择输入单个
IP
或
IP
段;保存设置后,
此用户将只能操作这段
IP
内的此类日志内容;
勾选
【限制部分
IP
】<
/p>
同理推之;
选择导航条上【日志权限】—
>
【组权
限】如图
4.13
所示:
图
4.13
组权限管理
组日志权限管理操作同用户日志权限管理操作,<
/p>
【组权限】中的权限设
置,组内的所有用户会完全继承该组的日志
权限。系统用户移出用户组后,
将恢复默认日志权限。若直接删除用户组,组中的用户仍
保持原有组的日志
权限,直到该用户加入其它用户组,继承新的日志权限;
点击相关组的【修改】操作,执行组日志权限管
理。如图
4.14
所示:
图
4.14
修改组日志权限
第
24
页
共
62
页
<
/p>
组日志权限管理操作方法同用户日志权限管理,详细操作方法请参见上
节【用户日志权限管理】操作说明;
4.6
告警接口
< br>选择导航条上【系统管理】—
>
【告警接口】
,如图
4.15
所示:
图(
1
)邮
件告警接口
图(
< br>2
)
SNMP
告警接口
图
4.15
告警接口
LOG
BASE
默认提供三种告警接口:
邮件告警、
< br>SNMP
告警、
SYSLOG
告
警;配置成功后,系统会自动将用户自定义的告警日志信息通过邮件或其
它两种方式发送
给用户。有关告警日志配置的内容,请参见【规则定义】章
节;
第
25
页
共
62
页
4.7
系统设置
< br>选择导航条上
【系统管理】
—
>
【系统设置】
,
配置管理
【日志显示】
、
【超
时设置
】
、
【配置管理】
、
< br>【认证方式】等内容。
选择【日志显示】
,如图
4.16
所示:
图
4.16
日志显示列管理
管理员可在此选择设置所有日志类型的日志字
段显示,在此勾选的字
段会在
【实时审计】
栏的日志列表中呈现出来。
当作一种类型的日志查询时,
字
段同此处设置的一致,但做多种类型日志的多重查询时,显示出的日志列
表将取不同类型
日志的相同的字段。
选择您需要修改显示列的日志类型,点击
【设置】日志字段显示,
如图
4.1
7
所示:
第
26
页
共
62
页
图
4.17
:设置日志显示列
管理员可在此勾
选日志的显示字段,点击确定后,将在【实时审计】
—
>
【最新日志】中更改日志的显示字段为管理员勾选的字段。
选择【超时设置】
,如图
4.18
所示:
图
4.18
:页面超时设置
在超时时间设置中
输入等待时间即可。如果在设定时间内管理页面
没有任何动作,系统将超时退出,返回登
录页面。
选择【配置管理】
,如图
4.19
所示:
图
4.19
系统配置管理
可以将系统配置文件选择导出到本地计算机
上或者将本地计算机上的
第
27
页
共
62
页
<
/p>
配置文件导入到
LOGBASE
上。
选择【认证方式】
,如图
4.20
所示:
图
4.20
系统认证方式
系统支持本地认证和
R
adius
认证两种方式。
默认选择是本地认证方式,
如果需要第三方
Radius
服务器认证,如图
4.21
所示:
图
4.21Radius
认证配置
4.8
设备管理
选择导航条上【系统管理】
—
>
【设备管理】
,如图
4.22
所示:
图
4.22
启停设备
用户可以在页面上重启设备或者关闭设备。
选择导航条上【系统管理】—
>
【时间同步】
,如图
4.23
所示:
第
28
页
共
62
页
-
-
-
-
-
-
-
-
-
上一篇:知识讲解 对数函数及其性质 基础
下一篇:(完整版)典范英语8-6