下载文档原格式
LogBase日志管理综合审计系统使用手册杭州思福迪信息技术有限公司SAFETYBASEINFOTECHCO.LTD2011.07版权声明版权所有2005-2011,杭州思福迪信息技术有限公司本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属杭州思福迪信息技术有限公司所有,受到有关产权及版权法保护。
任何个人、机构未经杭州思福迪信息技术有限公司的书面授权许可,不得以任何方式复制或引用本文件的任何片断。
商标信息SafetybaseLogAuditSystem、Logbase等是杭州思福迪信息技术有限公司的商标。
目录前言欢迎使用杭州思福迪信息有限公司竭诚为您提供的新一代网络安全产品——思福迪日志管理综合审计系统随着互联网的飞速发展,客户对网络系统中的安全设备和网络设备、应用系统和运行状况进行全面的监测、分析、评估是保障网络安全的重要手段。
网络安全是动态的,对已经建立的系统,如果没有实时的、集中的、可视化审计,就不能有效/及时的评估系统究竟是不是安全的,并及时发现安全隐患,所以网络安全需要集中的审计系统。
如果不能将在同一网络中多个相同或者不同厂商的产品实现技术上互操作,实现集中的审计,就无法发挥有效的安全性,就无法有效管理。
安全审计系统就可以满足这些要求,对网络中的各种设备和系统进行集中的、可视的综合审计,及时发现安全隐患,提高安全系统成效。
该产品是一款分布式,跨平台的网络日志管理审计系统,通过对网络设备、服务器、数据库、应用服务等通用计算机软硬件系统以及各种特定业务系统在运行过程中产生的日志、状态、操作等信息的采集,在实时分析的基础上,监测并发现各种异常事件,准确发出实时告警。
审计系统同时提供对存储的历史日志数据进行数据挖掘和关联分析,通过可视化的界面和报表向管理人员提供准确、详尽的统计分析数据和异常分析报告,协助管理人员及时发现安全漏洞,采取有效措施,提高整个计算机应用系统的安全等级。
日志审计系统需求一、总体要求⏹支持对操作系统、数据库系统、网络设备进行自动采集,记录所有系统操作和数据库操作。
⏹支持SYSLOG和OPSEC LEA标准日志协议,能通过代理收集日志文件,并将日志统一格式化处理。
⏹对采集的日志可分类实时监控和自动告警。
⏹对收集的日志信息可按日志所有属性进行组合查询和提供报表。
⏹能按日志来源、类型、日期进行存储。
⏹日志审计系统部署:日志审计系统网络拓扑,日志审计系统数据库服务器,采集器,分析入库服务器。
二、具体要求2.1日志收集对象要求2.2 日志收集方式要求需要支持的协议有syslog、snmp trap、windows log、checkpoint opsec、database、file、xml、soap等等。
⏹主动信息采集对路由器、交换机网络设备的日志采集支持采用SYSLOG(UDP514)和OPSEC LEA协议形式自动采集。
⏹日志文件采集支持本地系统平台上通过安装Agent采集日志文件采集日志信息。
⏹性能状态探测能获取系统平台的CPU、内存、端口使用率、应用的响应时间、进程数、TCP连接数、负载等性能参数。
2.3日志分析功能要求2.3.1告警功能⏹支持对紧急、严重日志进行自动报警,可自定义需报警的日志类型。
⏹监控台支持对收集的全部日志进行分类实时监控。
⏹应该能够将各种不同的日志格式表示为统一的日志数据格式。
且统一格式时不能造成字段丢失。
⏹能自动对各种类型的日志进行实时分析,并能将紧急、严重的事件日志通过设备远程主控台、短信、邮件、电话语音提示等方式向管理员发送实时告警消息,支持自定义报警日志的类型。
⏹通过对网络设备及系统平台的性能状态、安全访问、异常事件产生的日志进行分析统计,按数据源输出监控分析报表。
⏹支持对日志进行基于时间、源地址、目的地址、协议类型、危险级别等日志所有属性字段的组合搜索查询。
2.4 日志存储功能要求⏹可将收集的日志进行集中存储在日志服务器或外部存储设备。
H3C SecCenter CSAP-SA-AK系列综合日志审计系统用户FAQCopyright © 2019 新华三技术有限公司版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
目录1硬件类FAQ (1)1.1 硬件简介 (1)2售前FAQ (2)2.1 什么是综合日志审计? (2)2.2 为什么各类IT设备自身都有审计日志,还需要我们的什么产品? (2)2.3 综合日志审计平台能做什么? (2)3售后FAQ (2)3.1 日志采集范围: (2)3.2 端口可达的情况下,SSH远程连接失败? (3)3.3 Web页面无法访问 (3)3.4 Windows Agent安装失败 (3)3.5 Windows Agent配置无法保存 (4)3.6 Windows日志源无日志 (4)3.7 Syslog日志源无日志 (4)3.8 日志查询显示other和未知事件 (4)3.9 日志查询收集的日志之前可以解析,突然出现不能解析的情况 (5)3.10 网卡模块 (5)3.11 Windows XP和Winserver 2003系统安装完Agent后,系统日志采集列表处显示空白或显示不全 (5)3.12 设备关机重启 (6)3.13 设备WMI采集不到日志 (6)3.14 设备导入授权后资产数和剩余资产数显示不变 (6)3.15 设置了自动转存路径,但是在转存路径下无文件 (6)3.16 告警通知、日志导出、内部审计日志导出、ping工具、日志监测功能不生效 (7)3.17 设备插上或拔出插卡未初始化,导致网络>网络设置,修改设备地址功能不生效 (7)3.18 配置完过滤规则后,过滤功能不生效 (7)3.19 点击日志还原,日志还原功能不生效 (7)3.20 设备已导入正式授权,再导入之前临时的授权文件,License会更新 (7)3.21 设备同时配置主备DNS,当主DNS生效时,备DNS不生效 (8)3.22 日志审计系统通过snmptrap接收日志,当前交换机、数据库审计等设备可以接收到日志,但日志不解析,ACG等设备无法接收到日志 (8)3.23 设置session会话超时时间,修改后,会自动退出到登录界面 (8)3.24 系统内存总量、磁盘总量显示不准确,无法读出磁盘使用量 (8)3.25 分析目录下部分图表的横坐标IP地址及应用名称显示不全 (9)3.26 Web页面无法恢复出厂设置 (9)3.27 通过监控平台IMC等设备监控到的cpu和内存与日志审计平台页面显示的cpu和内存值存在偏差 (9)3.28 设备面板口接口坏掉一个或多个,初始化后会导致接口顺序混乱 (9)3.29 设备面板口接口坏掉一个或多个,初始化后会导致接口顺序混乱 (9)本文档介绍H3C SecCenter CSAP-SA综合日志审计平台的用户常见问题及解答。
LogBase日志管理综合审计系统使用手册杭州思福迪信息技术有限公司SAFETYBASE INFOTECH CO.LTD2011.07版权声明©版权所有2005-2011,杭州思福迪信息技术有限公司本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属杭州思福迪信息技术有限公司所有,受到有关产权及版权法保护。
任何个人、机构未经杭州思福迪信息技术有限公司的书面授权许可,不得以任何方式复制或引用本文件的任何片断。
商标信息Safetybase Log Audit System、Logbase等是杭州思福迪信息技术有限公司的商标。
目录版权声明 0商标信息 (1)目录 (2)前言 (5)文档范围 .................................................................. 错误!未定义书签。
获得帮助 .................................................................. 错误!未定义书签。
格式约定 .................................................................. 错误!未定义书签。
一、基本信息 ................................................................ 错误!未定义书签。
二、安装方法 (5)2.1 准备工作 (5)2.2 接入网络 (6)三、LOGBASE串口配置 (8)四、系统管理 (16)4.1 登录LOGBASE (16)4.2 系统用户 (16)4.3 系统组 (18)4.4 当前用户 (19)4.5 日志权限 (20)4.6 告警接口 (23)4.7 系统设置 (24)五、数据管理 (28)5.1 数据备份 (28)5.2 数据恢复 (28)5.3 归档设置 (29)六、对象管理 (31)6.1 自定义日志 (31)6.2 日志导入导出 (31)6.3 探测器配置 (32)七、规则定义 (37)7.1 配置管理 (37)7.2 导入导出 (39)八、实时审计 (41)8.1 监控总图 (41)8.2 主机监控 (42)8.3 系统监控 (43)8.4 分类监控 (43)8.5 最新告警日志 (44)8.6 最新重要日志 (45)8.7 最新原始日志 (46)8.8 最新系统日志 (47)九、综合审计 (49)9.2 静态报表 (49)十、日志查询 (51)10.1 条件查询 (51)10.2 查询任务 (52)10.3 查询模版 (52)前言欢迎使用杭州思福迪信息有限公司竭诚为您提供的新一代网络安全产品——思福迪日志管理综合审计系统随着互联网的飞速发展,客户对网络系统中的安全设备和网络设备、应用系统和运行状况进行全面的监测、分析、评估是保障网络安全的重要手段。
中国移动通信企业标准 中国移动日志集中管理和审计系统 功能及技术规范版本号:1.0.0 中国移动通信有限公司 发布2008-╳╳-╳╳发布2008-╳╳-╳╳实施 QB-╳╳-╳╳╳-╳╳╳╳ T h e R e q u i r e m e n t s a n d T e c h n i c a l S p e c i f i c a t i o n o f t h e C e n t r a l i z e d S y s t e m f o r L o g m a n a g e m e n t a n d A u d i t目录1. 范围 (1)2. 规范性引用文件 (1)3. 术语、定义和缩略语 (1)4. 综述 (2)4.1.建设需求 (2)4.2.建设目的 (3)4.3.系统总体框架 (4)5. 日志采集 (5)5.1. 采集对象及关键操作 (6)5.2. 采集机制与策略 (8)6. 日志标准化 (10)7. 日志分析 (11)7.1. 功能要求 (11)7.1.1. 用户身份关联 (11)7.1.2. 资产关联 (12)7.1.3. 操作行为分析能力 (12)7.1.4. 高危操作审计 (13)7.1.5. 数据库操作指令还原 (13)7.1.6. 会话重放 (13)7.1.7. 事件生成效率 (14)7.1.8. 审计查询 (14)7.1.9. 审计分析报告 (14)7.2. 审计策略 (15)7.2.1. 事件分类 (15)7.2.2. 事件分级 (15)7.2.3. 缺省策略 (15)7.2.4. 策略定制 (15)7.2.5. 定义合法行为 (15)7.3. 事件响应 (16)7.3.1. 触发警报条件 (16)7.3.2. 告警方式 (16)7.3.3. 告警信息 (16)8. 自身管理功能 (16)8.1. 日志功能 (16)8.1.1. 原始记录管理 (17)8.1.2. 备份管理 (17)8.2. 自身安全管理功能 (17)8.2.1. 多级用户划分 (17)8.2.2. 用户帐号管理 (17)8.2.3. 日志分组管理 (17)8.2.4. 用户认证管理 (18)8.2.5. 认证失败处理 (18)8.2.6. 自身审计数据生成 (18)8.2.7. 自身安全审计记录 (18)8.2.8. 组件管理 (18)9. 时间同步要求 (19)10. 系统部署方面的要求 (19)10.1. 整体要求 (19)10.2. 代理程序的安装和卸载 (19)10.3. 产品卸载安全 (19)11. 日志存储与备份 (20)11.1. 日志存储 (20)11.1.1. 存储安全性要求 (20)11.1.2. 存储配置管理 (20)11.2. 日志备份 (20)11.2.1. 备份日志安全性要求 (20)11.2.2. 备份数据存储压缩比 (21)11.2.3. 备份恢复功能 (21)11.2.4. 备份管理配置 (21)12. 接口要求 (21)12.1. 与被管理系统接口 (22)12.1.1. 采集接口 (22)12.1.2. 采集信息 (22)12.2. 与帐号口令集中管理系统接口 (23)12.2.1. 采集接口 (23)12.2.2. 采集信息 (23)12.2.3. 用户管理接口 (23)12.2.4. 身份认证接口 (24)12.3. 与综合维护接入平台接口 (24)12.3.1. 采集接口 (24)12.3.2. 采集信息 (24)12.4. 与工单系统接口 (24)12.5. 告警转发接口 (25)12.6. 日志转发接口 (25)12.7. 数据传输安全 (25)13. 性能要求 (25)13.1. 稳定性 (25)13.2. 资源占用 (25)13.3. 网络影响 (25)14. 编制历史 (26)前言随着中国移动通信网、业务网及各支撑系统的不断发展,各类设备产生的日志信息也越来越多。
综合日志审计系统LAS系列随着IT的高速发展,数据中心部署了大量的网络设备、系统应用、防火墙、入侵检测系统、漏洞扫描系统、防病毒系统等,这些IT系统及其安全防御设施不断产生大量的日志和事件。
日志信息对于系统的正常运营非常重要,它记录了系统每天发生各种各样的事情,借助它来检查错误发生的原因,监控使用行为,发现异常情况等等。
通常,日志分散在各个设备上,易被篡改、删除。
由于日志量巨大,人工审计已无法完成。
中云腾天LAS系列产品是一款针对网络设备、安全设备、主机和应用系统的综合日志审计与报表系统,是一套集中的、可视化的、自动化的审计手段。
核心功能●分布式海量信息采集:LAS系统能够通过网络获取需要审计的各类日志信息,对于信息的收集,LAS系统具备高效的日志处理引擎,每秒钟处理能力高达近10000条标准日志。
●信息分析功能:对采集上来的标准与非标准日志信息进行分析和审计。
LAS系统能够处理通用标准化日志及用户自定义日志,真正实现集中日志审计的作用。
●信息取样报表功能:LAS系统针对海量信息的检索非常高效,并且能够以多种报表、图标形式展示检索结果,一目了然。
●智能管理功能:通过用户配置的规则,LAS系统能够定期提供自动化检索结果,能够为用户提供自定义语法检索和报警,为用户的安全监控做最大保障。
●部署模式:提供单机部署以及多级部署的设计方案,适应不同规模的应用场景。
产品特色:●强大的处理能力采用了多线程的设计,能更好的利用多核CPU的特性,因此也有了更好的性能;在I/O 读写方面,采用了SQL语句组织与写入分离的形式,不能及时写入数据库的内容会被缓存起来,保证不会有数据的丢失。
●冗余设计应对剑锋流量LAS系统除了拥有超强的处理性能,同时设计了强大的缓存,可以最多缓存100万条日志,保证在极端情况下,日志也不会丢失。
●数据安全保障多表的备份机制,方便了用户的备份要求,同时也保证了数据的安全;LAS系统通过FTP 方式进行数据备份、提供自动备份与临界备份的功能。
