《LogBase日志管理综合审计系统用户手册V3.6版.doc》由会员分享,可在线阅读,更多相关《LogBase日志管理综合审计系统用户手册V3.6版.doc(31页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、如有侵权,请联系网站删除,仅供学习与交流LogBase日志管理综合审计系统用户手册V3.6版【精品文档】第 29 页LogBase日志管理综合审计系统使用手册杭州思福迪信息技术有限公司SAFETYBASE INFOTECH CO.LTD2011.07版权声明 版权所有2005-2011,杭州思福迪信息技术有限公司本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属杭州思福迪信息技术有限公司所有,受到有关产权及版权法保护。任何个人、机构未经杭州思福迪信息技术有限公司的书面授权许可,不得以任何方式复制或引用本文件的任何片断。商标信息Safetybase Log
2、 Audit System、Logbase等是杭州思福迪信息技术有限公司的商标。目 录版权声明1商标信息1目 录2前言4文档范围5获得帮助5格式约定7一、基本信息8二、安装方法102.1 准备工作102.2 接入网络10三、LOGBASE串口配置12四、系统管理224.1 登录LOGBASE224.2 系统用户224.3 系统组244.4 当前用户254.5 日志权限274.6 告警接口294.7 系统设置304.8 设备管理32五、数据管理345.1 数据备份345.2 数据恢复345.3 归档设置35六、对象管理376.1 自定义日志376.2 日志导入导出376.3 探测器配置38七、规
3、则定义447.1 配置管理447.2 导入导出47八、实时审计488.1 监控总图488.2 主机监控498.3 系统监控518.4 分类监控518.5 最新告警日志528.6 最新重要日志548.7 最新原始日志558.8 最新系统日志56九、综合审计589.1 动态报表589.2 静态报表59十、日志查询6010.1 条件查询6010.2 查询任务6110.3 查询模版62前言欢迎使用杭州思福迪信息有限公司竭诚为您提供的新一代网络安全产品思福迪日志管理综合审计系统 随着互联网的飞速发展,客户对网络系统中的安全设备和网络设备、应用系统和运行状况进行全面的监测、分析、评估是保障网络安全的重要手
4、段。网络安全是动态的,对已经建立的系统,如果没有实时的、集中的、可视化审计,就不能有效/及时的评估系统究竟是不是安全的,并及时发现安全隐患,所以网络安全需要集中的审计系统。如果不能将在同一网络中多个相同或者不同厂商的产品实现技术上互操作,实现集中的审计,就无法发挥有效的安全性,就无法有效管理。安全审计系统就可以满足这些要求,对网络中的各种设备和系统进行集中的、可视的综合审计,及时发现安全隐患,提高安全系统成效。该产品是一款分布式,跨平台的网络日志管理审计系统,通过对网络设备、服务器、数据库、应用服务等通用计算机软硬件系统以及各种特定业务系统在运行过程中产生的日志、状态、操作等信息的采集,在实时
5、分析的基础上,监测并发现各种异常事件,准确发出实时告警。审计系统同时提供对存储的历史日志数据进行数据挖掘和关联分析,通过可视化的界面和报表向管理人员提供准确、详尽的统计分析数据和异常分析报告,协助管理人员及时发现安全漏洞,采取有效措施,提高整个计算机应用系统的安全等级。二、安装方法2.1 准备工作在安装LOGBASE之前,请打开LOGBASE的随机配件盒, 查看配件清单,核对LOGBASE配件是否完整。除配件盒内物品外,还需要进行以下准备工作:IP地址请在网络中给LOGBASE预留1个管理IP地址。临时计算机配置LOGBASE需要一台临时管理用计算机,LOGBASE配置时可以通过串口连接;超级
6、终端软件能够连接串口的终端软件(比如Windows的超级终端软件、Putty、SecureCRT等);浏览器请确定计算机系统已安装IE浏览器(建议使用IE7.0以上版本);2.2 接入网络请将LOGBASE按如图2.1所示的拓扑结构方式接入网络,此图考虑的是通常情况,在具体应用时,请根据自己网络的拓扑结构加以调整。图2.1 LOGBASE的网络接入拓扑结构图 接入网络时,请注意以下几点:l 使用网络直连线连接交换机和LOGBASE的LAN1口。l 将LOGBASE接入网络后请立即修改其网络配置,适应所在网络。 LOGBASE的网络设置默认如表2:表2 LOGBASE的工作网口默认设置IP192
7、.168.1.1MASK255.255.255.0默认网关192.168.1.254三、LOGBASE串口配置下面以Windows自带的超级终端软件为例,详细介绍实际连接过程:(1)设置端口属性,如图3.1所示:图3.1 超级终端连接端口设置窗口(2)点击【确定】后按回车键,出现提示符login: 这时输入控制台管理员的用户名和密码(默认菜单用户名:admin,默认密码:safetybase),如图3.2所示:3.2 配置菜单用户登录登录成功后,如图3.3所示:3.3 登录成功显示配置菜单(3)成功登录后,可以看到配置菜单如图3.3所示:1、Set system network paramet
8、er:配置相关网卡参数;2、Set system default gateway:配置默认网关参数;3、Set Device Serial:配置设备串口号;4、Set Device Console Admin Password设置串口菜单管理密码;5、Set Device Console Shell Password设置串口命令行管理密码;6、Set Web Admin Password;设置Web管理员密码;7、Set Log Server 1 Parameter;设置日志服务器1参数;8、Set Log Server 2 Parameter;设置日志服务器2参数;0、Exit:退出配置菜单
9、;(4)选择【1】,回车;如图3.4所示:图3.4 网络接口配置列表选择相应网卡(如a),配置网络参数,如图3.5所示:图3.5 网卡参数配置(5)选择【Device IP Address】,回车;配置【1-2】项输入为LOGBASE系统预留的管理IP地址、子网掩码,选择【3】保持配置即可;选择【0】返回上级菜单;(6)在上级菜单中(如图3.4),选择【b】、【c】【i】配置ETH1、ETH2ETH8的网络参数,配置内容同ETH0:选择【3】保持配置即可;选择【0】返回上级菜单;图3.6 串口配置主菜单(7)串口配置主菜单中选择【2】,Set System default gateway:设置
10、设备默认网关地址;回车;如图3.7所示:图3.7 设备网关配置界面(8)串口配置主菜单中选择【3】,Set Device Serial:配置设备串口号;回车;如图3.8所示:图3.8 设备串口号配置界面(9)选择【Get original serial number】,回车;即可获取该设备的串口序列号信息,将该序列号发送给生产厂家,申请相应的激活号码,然后选择【Input check serial number】,输入激活号码完成设备注册,重启设备。设备序列号注册工作,通常在设备出厂时已经完成。因此,在设备安装时不需要用户自行配置此项。(10)串口配置主菜单中选择【Set Device Con
11、sole Admin Password】设置串口菜单管理密码;如图3.9所示:图3.9 串口菜单登录密码配置(11)首先输入旧的密码,并连续两次输入新的密码,完成串口菜单登录密码的修改。为了确认设备安全,请用户及时更新串口登录密码。(12)串口配置主菜单中选择【Set Device Console Shell Password】设置串口命令行模式管理密码;如图3.10所示:图3.10 串口命令行模式登录密码配置(13)首先输入旧的密码,并连续两次输入新的密码,完成串口命令行模式登录密码的修改。为了确认设备安全,请用户及时更新串口命令行模式登录密码。(14)串口配置主菜单中选择【Set Web
12、Admin Password】初始化WEB管理界面登录密码;如图3.11所示:图3.11 初始化WEB管理密码在用户忘记Web管理界面登录密码后,可通过该选项对Web密码进行初始化配置。(15)串口配置主菜单中选择【Set Log Server 1 Parameter】,回车;配置日志服务器参数。选择发送方法、输入服务器IP并保存配置。如图(3.12)所示:图3.12 日志服务器配置界面系统提供两种日志发送方法(LOGBASE:LOGBASE专用日志格式、SYSLOG:标准SYSLOG协议日志格式)将日志发送到其它的日志服务器;系统同时支持两个日志服务器的配置。四、系统管理4.1 登录LOGB
13、ASE打开IE浏览器,输入LOGBASE地址,(如https:/192.168.1.1),以LOGBASE管理员角色登录,默认用户名:admin;密码:safetybase;如图4.1所示,点击【登录系统】:图4.1登录界面 请及时修改系统默认密码。密码连续输入错误三次,登录页面会自动关闭;登录成功后10分钟未进行任何操作,系统会超时退出;4.2 系统用户选择导航条上【系统管理】【系统用户】;查看当前系统用户列表,并可执行【添加】或【删除】系统用户操作:如图4.2所示图4.2系统用户点击【添加】,产生一个新的系统用户:输入新用户的基本信息、赋予功能权限和隶属组;如图4.3所示 系统管理员可根据
14、用户的岗位职权来分配相应用户帐号的功能权限,保障LOGBASE审计系统的安全及用户网络信息的安全。用户添加入用户组后,此用户将自动继承用户组的所有日志权限;图4.3添加系统用户图4.4配置用户功能权限密码长度建议8位以上的字母、数字、大小写、特殊字符;对功能权限设置应该规范,系统用户与管理员用户的权限设置必须权限分明。以防止越权行为;4.3 系统组选择导航条上【系统管理】【用户组】;可查看并添加/删除用户组;如图4.5所示:图4.5系统用户组 添加系统用户组只需添加组名及组描述,组名具有唯一性;对系统用户组的权限管理请见后节【组日志权限管理】中的介绍; 选择导航条上【系统管理】【主机组】;可查
15、看并添加/删除主机组;如图4.6所示:图4.6主机组列表在主机组列表页面上,点击【添加】,新增主机组名,并勾选主机至主机组,如图4.7所示:图4.7:添加主机组:用户在主机组列表中,可以批量导入主机及主机组信息。点击【主机配置】可以新增主机信息。【主机配置】内容同【实时审计】【监控总图】【主机监控】里的【主机配置】一致; 4.4 当前用户选择导航条上【系统管理】【当前用户】、【修改密码】;针对当前用户的基本内容及密码进行修改等;如图4.8所示:图4.8修改本用户信息图4.9:修改用户密码点击【恢复】,可放弃修改内容,恢复原用户信息;拥有【系统用户】功能权限的帐号可以在【系统用户】列表中修改其它
16、所有用户的详细信息、功能权限、隶属组、密码等信息。初始化时,应该立即修改审计系统默认系统配置,以安全的保证系统管理员的唯一性;以上操作适用与当前登录的所有用户;安全性考虑密码长度建议8位以上的字母、数字、大小写、特殊字符;系统用户必须从管理制度上保障;以确保系统的安全性;4.5 日志权限选择导航条上【系统管理】【日志权限】;可分别针对用户或用户组进行日志管理权限的配置,如图4.10所示:图4.10用户日志权限管理 此系统用户列表只显示未加入【系统用户组】的系统用户,已添加入【系统用户组】的系统用户的日志权限不能独立管理,只能继承所属组的日志权限。详情请参见下节【组权限】;系统用户移出用户组后,
17、将恢复默认日志权限。若直接删除用户组,组中的用户仍保持原有的日志权限,直到该用户加入其它用户组,继承新的日志权限;点击【修改】,操作所选定帐号的日志权限管理,如图4.11所示:图4.11修改用户日志权限针对所有日志类型,都可选择【全部允许】、【全部限制】及【部分允许】,若选择【全部允许】、【全部限制】相应【操作】功能为灰色不可用。【全部允许】指此用户可以操作此类日志的所有功能(实时、综合、查询);【全部限制】指此用户将看不到此类日志的任何信息、更无法审计;【部分允许】指根据条件来限制此用户可操作某些发生地址IP的此类日志;若选择【部分允许】,点击相应【操作】,如图4.12所示:图4.12设置【
18、部分允许】权限 勾选【允许部分IP】,可以选择输入单个IP或IP段;保存设置后,此用户将只能操作这段IP内的此类日志内容;勾选【限制部分IP】同理推之;选择导航条上【日志权限】【组权限】如图4.13所示:图4.13组权限管理组日志权限管理操作同用户日志权限管理操作,【组权限】中的权限设置,组内的所有用户会完全继承该组的日志权限。系统用户移出用户组后,将恢复默认日志权限。若直接删除用户组,组中的用户仍保持原有组的日志权限,直到该用户加入其它用户组,继承新的日志权限;点击相关组的【修改】操作,执行组日志权限管理。如图4.14所示:图4.14修改组日志权限组日志权限管理操作方法同用户日志权限管理,详
19、细操作方法请参见上节【用户日志权限管理】操作说明;4.6 告警接口选择导航条上【系统管理】【告警接口】,如图4.15所示:图(1)邮件告警接口图(2)SNMP告警接口图4.15告警接口 LOGBASE默认提供三种告警接口:邮件告警、SNMP告警、SYSLOG告警;配置成功后,系统会自动将用户自定义的告警日志信息通过邮件或其它两种方式发送给用户。有关告警日志配置的内容,请参见【规则定义】章节;4.7 系统设置选择导航条上【系统管理】【系统设置】,配置管理【日志显示】、【超时设置】、【配置管理】、【认证方式】等内容。选择【日志显示】,如图4.16所示:图4.16日志显示列管理管理员可在此选择设置所
20、有日志类型的日志字段显示,在此勾选的字段会在【实时审计】栏的日志列表中呈现出来。当作一种类型的日志查询时,字段同此处设置的一致,但做多种类型日志的多重查询时,显示出的日志列表将取不同类型日志的相同的字段。选择您需要修改显示列的日志类型,点击【设置】日志字段显示,如图4.17所示:图4.17:设置日志显示列 管理员可在此勾选日志的显示字段,点击确定后,将在【实时审计】【最新日志】中更改日志的显示字段为管理员勾选的字段。选择【超时设置】,如图4.18所示:图4.18:页面超时设置 在超时时间设置中输入等待时间即可。如果在设定时间内管理页面没有任何动作,系统将超时退出,返回登录页面。选择【配置管理】
21、,如图4.19所示:图4.19系统配置管理可以将系统配置文件选择导出到本地计算机上或者将本地计算机上的配置文件导入到LOGBASE上。选择【认证方式】,如图4.20所示:图4.20系统认证方式系统支持本地认证和Radius认证两种方式。默认选择是本地认证方式,如果需要第三方Radius服务器认证,如图4.21所示:图4.21Radius认证配置4.8 设备管理选择导航条上【系统管理】【设备管理】,如图4.22所示:图4.22启停设备用户可以在页面上重启设备或者关闭设备。选择导航条上【系统管理】【时间同步】,如图4.23所示:图4.23配置系统时间同步可以通过此功能与外部时间服务器进行同步,点击
22、【立即同步】立即与时间同步服务器同步。点击【同步配置】,可配置同步时间服务器,如图4.24所示:图4.24时间服务器配置填写时间同步服务器IP地址,设置同步间隔时间,点击确定保存配置。五、数据管理5.1 数据备份选择导航条上【数据管理】【数据备份】【日志备份】,如图5.1所示:图5.1日志备份 管理员可自主选择日志类型、时间范围来备份日志数据,并可以选择备份、备份并删除或直接删除日志数据。故使用此项功能权限的管理员需谨慎。备份任务完成后可下载,或者选择删除这个备份任务。日志备份功能是备份文本形式的日志,文件备份功能是备份动态显示操作的回放文件。5.2 数据恢复选择导航条上【数据管理】【数据恢复
23、】【日志恢复】,如图5.2所示:图5.2日志恢复 日志恢复是将日志备份文件重新加载到LOGBASE审计系统中;文件恢复是将【文件备份】的文件重新加载到LOGBASE审计系统中。5.3 归档设置选择导航条上【数据管理】【归档设置】【归档策略】,如图5.3所示:图5.3数据归档配置归档策略功能是当磁盘存储空间达到触发条件后,自动处理日志文件。可选择的处理方式为:自动丢弃、本地保存、FTP上传、SFTP上传。触发条件在【磁盘配额】中设置。若不设置,默认为当磁盘存储空间达到100%时出发归档机制。若不设置归档策略,默认策略为自动丢弃。一旦磁盘存储空间达到100%之后,将会自动覆盖时间最早的日志。选择左
24、侧导航栏上的【磁盘配额】如图5.4所示:图5.4 磁盘配额用户可以通过磁盘配额设置每种协议日志的磁盘存储空间。选择左侧导航栏上的【存储周期】如图5.5所示:图5.5:存储周期配置存储周期也是自动归档的周期。如设定存储周期为100天,那么100天前的数据就会被归档,以选定的归档方式进行处理。用户可以选择是否清除已经归档的在线数据。六、对象管理6.1 自定义日志选择导航条上【对象管理】【自定义日志】【日志列表】,如图6.1所示:图6.1自定义日志服务管理 添加、删除自定义服务类型;点击相应序号,可查看相关已有自定义服务的配置;自定义日志的添加接口并没有在管理页面上,如有需要,请联系厂商售后工程师。
25、6.2 日志导入导出 选择导航条上【对象管理】【自定义日志】【日志导出】,如图6.2所示: 图6.2导出自定义日志配置 管理员可勾选需要导出的自定义服务类型,并导出保存在PC中。点击【日志导入】,可以选择需要导入的自定义日志的文件,并可以选择是否要覆盖主机中相同ID的服务配置,如图6.3所示: 图6.3导入自定义日志配置6.3 探测器配置选择导航条上【对象管理】【探测器配置】【DEFAULT】;可看到探测器列表及模块列表,修改或删除已有探测器、添加新的探测器及相应的模块。如图6.4所示:图6.4探测器配置 每个探测器有不同的模块列表,在删除探测器时,此探测器下的所有模块会同时全部删除; 当您需
26、要安装软件探测器来采集日志时,必须先配置好相应探测器和模块;点击【添加】新探测器,如图6.5所示:图6.5添加探测器 LOGBASE探测器包括硬件探测器和软件探测器两类;每个探测器需配置唯一的编号(ID)。安装的各类探测器需与探测器配置(ID、密码)保持一致才能保证连接; CPU、MEM项表示探测器的性能达到某个阀值,系统会自动产生告警日志信息;优先级项表示该探测器的优先级别;配置完成新的探测器后,继续配置相应模块;如图6.6所示:图6.6添加探测器模块 请选择这个探测器所要采集的日志类型;一个探测器中可以添加多个模块,同一种模块类型只能添加一个。如何采集字段信息可在【自定义服务管理】中配置;
27、 请正确输入采集的日志的绝对路径,否则日志信息将无法成功被此探测器采集;采集时间间隔默认为5秒;若停用此模块,相应日志将不再采集,探测器仍有效;选择导航条上【对象管理】【探测器配置】【Syslog自定义】,将配置的自定义日志类型使用SYSLOG协议采集。如图6.7所示:图6.7SYSLOG自定义采集日志选择导航条上【对象管理】【探测器配置】【Syslog预定义】,将使用预定义SYSLOG日志分割手法采集网络设备的日志。如图6.8所示:图6.8:syslog预定义采集系统新增了主流安全及网络设备的syslog日志预定义功能,该功能把这些日志类型定义预置在设备中;目前支持的日志类型有:TOPSEC
28、日志、ARRAY日志、IPS日志、CISCO2821日志、JUNIPER日志、思科FWSM日志、SSL日志、安氏FW日志等。选择导航条上【对象管理】【探测器配置】【流量探测器】,对流量型探测器的规则进行配置管理。如图6.9所示:图6.9:流量型探测器配置规则加载:选择停用或启用,这里的规则指的是这个页面的相关配置规则;选择启用后相对应的规则生效;否则探测器不能工作;SYSLOG操作分割:该功能只有当开启send log server parameter参数为syslog方式时才有意义;LogBase探测器目前支持两种方式往主机发送日志分别是slas和syslog;启用该功能后,当发送信息过长时
29、可以自动进行分割成几条日志进行发送;规则阻断:启用该功能需要在网口参数中设置网卡标识,如eth1;启用该功能后设备会往该网卡发送reset包以达到中断当前连接的目的;特定服务器:该功能一般用作存在中间件时的数据库操作;在此场景下,数据库操作连接处于长连接状态,即用户登录后并不退出;需要在此处填写数据库服务器地址,若有多个数据库服务器地址则用回车分开;模块加载:该功能指定探测器采集的协议,以及协议对应的端口号,选择启用或停用来启用或停用对应协议的日志采集功能;若存在多个端口则用逗号分开;如图6.10所示:图6.10探测器采集模块加载协议配置:TELNET配置:该功能指定登录提示符,常用的提示符信
30、息已经预置在该配置中;当遇到特殊提示符,且不在配置列表中时,需要在这里手工将提示符信息添加到末行(默认配置不要更改,注意这里的配置对空格,制表符敏感)HTTP配置:用以配置协议相关参数用来标识网页邮件和网页附件日志,一般就用默认设置,不需要更改UDP配置:这里输入IP地址列表,以回车分隔;用以统计镜像口中UDP目标地址udp flow信息;如图6.11所示:图6.11协议配置七、规则定义7.1 配置管理选择导航条上【实时规则】【配置管理】,如图7.1所示:图7.1实时分析规则 用户可在此增加、删除、修改实时分析规则;规则定义通过多重条件匹配,根据用户关注点对海量日志进行筛选、定义、告警或者丢弃
31、;规则定义可将采集到的日志类型分成原始、重要、告警、丢弃四类;实时分析规则可包含两层规则定义,第一层规则下可添加子类规则;点击【规则编号】可查看、修改现有规则条件; 点击【增加新规则】,如图7.2所示:图7.2增加新规则增加新规则:输入易识别的、信息;规则条件可选择所有服务列表并相应的服务字段来定义;通过勾选可添加无穷层级规则条件匹配;新规则定义应优先定义大类规则,如:数据库类、SYSLOG类、网络行为类、系统日志类等;然后在此大类下增加子类规则进行细分;告警日志规则定义:若此规则定义为产生告警,则需输入告警消息、选择告警等级、事件分类、攻击手段、告警接受组(已添加系统用户组)以及短信和邮件告
32、警(已配置好告警接口);设置规则条件:需要注意逻辑关系以及运算顺序(括号的操作),以保证规则正常的被使用;丢弃规则拥有最高优先级;子类规则应该是对上层规则的细化,脱离了上层规则是无效的;规则设置需要注意:规则以树型结构设计;对后续规则的设定要仔细:如日志不符合当前规则定义,此规则是否跳转或结束,跳转会继续匹配到下一条规则定义;定义不当会引起日志是否正确的被反应在实时审计中;严重情况会出现定义的敏感日志信息没有产生告警,破坏系统的实时性与功能性;选择要增加子类规则的项,点击【子类列表】,查看,修改、增加此规则下的子类规则;如图7.3所示:图7.3子规则列表 子规则是对父规则的细化定义,增加了规定
33、定义的灵活性;新子规则的增加操作方法同父规则;7.2 导入导出选择导航条上【实时规则】【导入导出】选项,如图7.4所示:图7.4实时规则管理 实时规则管理提供了常用实时规则定义文件的导入接口,并可以导出系统实时规则进行备份;八、实时审计8.1 监控总图选择导航条上【实时审计】【监控总图】【应用监控】,如图8.1所示:图8.1实时监测主机列表点击【面板设置】【编辑面板】,可选择界面中显示的数据内容,如图8.2所示:图8.2编辑面板点击【添加】,如图8.3所示:图8.3添加面板选择插件类型,即选择面板显示的信息内容,包括日志接受类型实施时监控、日志接收明细实时监控等数种插件。可选择使用饼状图或柱状
34、图显示日志接受类型实施监控。日志接收明细实时监控采用表格形式,可对某一特定IP实行监控。时间分布图采用曲线形式。8.2 主机监控选择导航条上【实时审计】【监控总图】【主机监控】,如图8.4所示:图8.4实时监测主机列表 实时监测主机列表显示内容分为三部分:上部分:应用主机日志状态;显示了【主机配置】中添加的主机实时日志流量状态,点击【主机配置】如图8.5:图8.5主机添加中部分:当天流量TOP5列表;显示了当天流量最高的5个网络设备的状态;下部分:当前一分钟流量TOP5列表;显示了前一分钟内流量最高的5个网络设备的状态;8.3 系统监控选择导航条上【监控总图】【系统信息】,如图8.6所示:图8
35、.6系统信息系统信息显示了LOGBASE当前的CPU、内存和硬盘的使用情况,包括已登录用户的操作记录。8.4 分类监控选择导航条上【实时审计】【分类监控】,如图8.7所示:图8.7分类监控点击左边的日志类型,可单独查看该日志类型的最新日志,点击柱状图,可以查看相关日志明细列表。8.5 最新告警日志选择导航条上【实时审计】【最新日志】【最新告警日志】,如图8.8所示:图8.8最新告警信息最新告警信息:实时动态显示最新通过【规则定义】过滤,定义为告警信息的日志列表;点击列表中任一条日志,可查看此日志的详细内容;如图8.9所示: 图8.9最新告警信息详细内容点击【上一条】,显示上一条的详细内容,点击
36、【下一条】,显示下一条的详细内容。8.6 最新重要日志选择导航条上【实时审计】【最新日志信息】【最新重要日志】,如图8.10所示:图8.10最新重要日志最新重要日志:实时动态显示最新通过【规则定义】过滤,定义为重要日志的日志列表;点击列表中任一条日志,可查看此日志的详细内容;如图8.11所示: 图8.11最新重要日志详细内容点击【上一条】,显示上一条的详细内容,点击【下一条】,显示下一条的详细内容。8.7 最新原始日志选择导航条上【实时审计】【最新日志信息】【最新原始日志】,如图8.12所示:图8.12最新原始日志 最新原始日志:实时动态显示最新通过【规则定义】过滤,实时采集到的所有原始日志列
37、表;点击列表中任一条日志,可查看此日志的详细内容;如图8.13所示:图8.13最新原始日志详细内容点击【上一条】,显示上一条的详细内容,点击【下一条】,显示下一条的详细内容。8.8 最新系统日志选择导航条上【实时审计】【最新日志信息】【最新系统日志】,如图8.14所示:图8.14最新系统日志 最新系统日志:实时动态显示LOGBASE审计系统的配置信息;点击列表中任一条日志,可查看此日志的详细内容;如图8.15所示:图8.15最新系统日志详细内容点击【上一条】,显示上一条的详细内容,点击【下一条】,显示下一条的详细内容。九、综合审计9.1 动态报表选择导航条上【综合审计】【报表分类】,如图9.1
38、所示:图9.1系统管理审计 报表模版可自定义生成。点击【生成动态报表】,如图9.2所示:图9.2生成动态报表点击【查看】即可查看该报表。9.2 静态报表选择导航条上【综合审计】【报表分类】,在页面中部点击【静态配置】,如图9.3所示:图9.3静态配置管理员可以定义静态报表模版来实现定时自动生成报表。十、日志查询10.1 条件查询选择导航条上【日志查询】【条件查询】,如图10.1所示:图10.1日志查询 日志查询时,条件分为:日志属性、入库日志、日志类型等;根据需要查询的日志条件进行选择,查询条件可以多重组合,日志详细内容中的所有字段均可以作为查询服务字段使用;设定完成后点击【保存模板】可将本次
39、配置的查询条件保存下来,显示在【查询模板列表】中。点击【查询】,如图10.2所示:图10.2日志查询详表 缓存日志查询时间小于5秒;当查询海量日志时,用户也无需等待,日志查询支持即查即显,当后台仍在查询中,前台已显示部分查询内容;10.2 查询任务选择选择导航条上【日志查询】【查询任务】,如图10.3所示:图10.3查询任务列表查询任务列表中列出了所有查询的任务,点击【导出】可将该次查询的结果导出到本地计算机上。点击【删除】仅将删除该任务,该任务查找出的日志不会被删除。10.3 查询模版选择选择导航条上【日志查询】【查询模板】,如图10.4所示:图10.4查询模板列表选择某个查询模板,就可以直接使用或修改部分查询条件,进行二次查询操作。