eLog快速入门培训胶片
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
步骤1:以管理员账号admin登录eLog。
步骤2:选择“系统管理-> 设备管理”,添加非Eudemon/USG设备( 以Apache应用服务器为例)。
Huawei Symantec Technologies Co., Ltd.
page 26
典型操作指导—查看日志审计的告警
步骤3:选择“系统管理->用户/角色管理”,如果角色已存在,单击要 管理Apache设备的角色右侧的 ,修改角色管理的设备类型和型号。
page 20
典型操作指导——定位访问者(NAT追踪)
通过查询防火墙的会话日志,您可以通过NAT后的源IP和目的IP定位到 发起会话的源IP,达到监控内部用户上网行为的目的。
步骤1:配置防火墙发送二进制日志到日志采集器(配置方法请参见《
Secospace eLog 日志管理系统 产品文档》->操作指南)。 步骤2:以创建的操作员用户账号登录eLog。 步骤3:选择“日志审计->会话查询”。
Huawei Symantec Technologies Co., Ltd.
page 21
典型操作指导—设定最大登录次数和锁定时长
设定最大登录次数之后,当用户登录次数超过此次数,用户账号即被 锁定,在“锁定时长”里,用户无法再登录,除非由管理员为其解除锁
定。可以进一步保障系统的安全,避免非法用户强力破解用户密码。
步骤1:以管理员账号admin登录eLog。 步骤2:选择“系统管理->在线用户管理”。
Huawei Symantec Technologies Co., Ltd.
page 22
典型操作指导——清除密码
当操作员忘记密码后,管理员可以为操作员用户清除密码,清除后操 作员可以用空密码登录系统。
步骤1:以管理员账号admin登录eLog。
page 4
申请License
步骤2:单击“copy”,将ESN码拷贝到文本文档中粘贴。 步骤3:从发货附件中找到License授权证书,从证书上获取LAC码。
步骤4:将ESN码和LAC码一起发送到license@huaweisymantec.com
华为赛门铁克技术支持工程师收到您的邮件后会尽快处理,并 将License发送到您的邮箱。
eLog中查询到,请谨慎操作。
步骤1:以管理员账号admin或新创建的操作员账号登录eLog。 步骤2:选择“策略管理-> Eudemon/USG防火墙->过滤策略设置”。
Huawei Symantec Technologies Co., Ltd.
page 25
典型操作指导—查看日志审计的告警
您可以对高危操作和异常行为设置审计策略,并设置针对此审计策略的 告警,一旦设备上有这种日志产生,系统便会产生告警,通知管理员。
日志存储空间也可设置预警阈值,当超过预警阈值时,系统将提醒您进 行日志备份,当未处理导致超过滚动存储阈值时,系统自动覆盖最旧的 日志数据。
Huawei Symantec Technologies Co., Ltd.
page 13
初始化配置
步骤6:设置邮件服务器。 当需要通过Email方式发送系统的告警信息以及报表任务中定时生
操作日志记录eLog系统的用户在使用eLog过程中进行的操作,包括 登录、登出、查询日志、设置策略等。审计员可以通过操作日志了解系
统用户的行为。
步骤1:以审计员账号auditor登录eLog。 步骤2:选择“系统管理->操作日志”。
Huawei Symantec Technologies Co., Ltd.
Huawei Symantec Technologies Co., Ltd. page 3
申请License
步骤1:从eLog 日志管理系统的安装光盘中找到ESN(Equipment Serial Number)码获取工具“GetESN.exe”,拷贝到要安装日志
服务器的机器后,双击运行。
Huawei Symantec Technologies Co., Ltd.
日志采集器的管理域范围之内。
Huawei Symantec Technologies Co., Ltd.
page 10
初始化配置
步骤3:添加角色。 角色介于设备和用户之间,将管理不同设备的权限赋予不同的角色,
再将具有不同设备权限的角色分给不同的用户,实现不同的用户分类管理
不同的设备。
Huawei Symantec Technologies Co., Ltd.
步骤2:选择“系统管理->用户/角色管理”。
Huawei Symantec Technologies Co., Ltd.
page 23
典型操作指导——归并相同的会话
防火墙会话日志量很大,为了减少日志量,您可以配置防火墙会话日 志的归并策略,将指定时间内的相同条件的会话日志合并为一条,以节
省存储空间。
page 19
典型操作指导—查看存储空间的使用情况
通过定期查看存储空间使用情况,可了解当前在线日志和转储日志的存 储情况,当磁盘空间不足时能够及时进行处理,避免由于磁盘空间不足
造成日志丢失。
步骤1:以管理员账号admin登录eLog。 步骤2:选择“系统管理->系统配置->日志转储策略设置”。
Huawei Symantec Technologies Co., Ltd.
page 8
初始化配置
步骤1:添加日志采集器。 需要首先将日志采集器添加到系统中,eLog系统才能对设备的日
志进行管理。
百度文库
Huawei Symantec Technologies Co., Ltd.
page 9
初始化配置
步骤2:添加设备。 在此,您可以将需要管理的设备全部添加到系统中,IP地址必须在
如果角色不存在,请添加角色。
Huawei Symantec Technologies Co., Ltd.
page 27
典型操作指导—查看日志审计的告警
步骤4:添加用户。 如果用户已存在,且已经属于步骤3的角色,可跳过此步。如果用户已
存在,但是不属于步骤3的角色,单击 ,将角色添加给用户。如果用户不
步骤1:以管理员账号admin或新创建的操作员账号登录eLog。 步骤2:选择“策略管理->会话->归并策略设置”。
Huawei Symantec Technologies Co., Ltd.
page 24
典型操作指导—摒弃不关注的Eudemon/USG防 火墙日志
如果您想要采集器只采集您关注的日志,您可以设置过滤策略,摒弃不 关注的Eudemon/USG防火墙日志。注意:被过滤掉的日志将无法在
系统日志记录eLog系统运行过程中 产生的日志,当系统运行出现问题 时,可通过系统日志初步定位系统的故障。
步骤1:以管理员账号admin登录eLog。
步骤2:选择“系统管理->系统日志”。
Huawei Symantec Technologies Co., Ltd.
page 17
典型操作指导——查询操作日志
Huawei Symantec Technologies Co., Ltd.
page 5
登录系统
步骤1:在IE浏览器的地址栏内输入https://IP/,其中IP需要替换为日志服 务器的IP地址,并回车,首次登录必须以系统默认的管理员账号登录。
系统默认的管理员账号为:admin,密码为:Admin@123。
page 18
典型操作指导——设置用户密码策略
为了保障系统用户的密码安全,可设置用户的密码策略,提高密码的 复杂度,以增强系统的安全性。
步骤1:以管理员账号admin登录eLog。
步骤2:选择“系统管理->系统配置->系统用户密码强度配置”。
Huawei Symantec Technologies Co., Ltd.
Huawei Symantec Technologies Co., Ltd.
page 6
登录系统
步骤2:上传License。
首次登录完成后请立即修改管理员密码。
Huawei Symantec Technologies Co., Ltd.
page 7
初始化配置
在进行初始化配置前,请确保已在设备侧完成了日志发送功能的配置, 包括:
角色介绍
用户角色遵循三权分立原则,系统角色可以分为管理员,审计员, 操作员,一个用户只能属于一类角色。
管理员: 负责系统的维护,包括采集器管理,用户管理,设备管理 和默认策略的设置 审计员: 对系统的用户操作进行审计,查看系统的操作日志。。
操作员: 执行具体业务操作的用户角色。包括报表任务定制,报表 查询,日志查询,告警监控等业务功能
page 11
初始化配置
步骤4:添加用户。 将具有不同设备权限的角色分给用户,控制用户对设备的管理权
限。
Huawei Symantec Technologies Co., Ltd.
page 12
初始化配置
步骤5:设置日志转储策略。 您可配置在线日志存储空间的存储天数和磁盘使用率,当超过阈
值时,系统自动将日志转存到转储空间。您也可以进行手动转储。转储
1、调整设备的时区和时间与日志采集器的时区和时间一致。
2、确认设备侧的日志记录功能已开启。 3、配置日志接收主机的IP地址和端口。 4、配置日志发送源接口。 详细的配置方法请参见《Secospace eLog 日志管理系统 产品文档》-> 操作指南和设备侧的相关配置手册。
Huawei Symantec Technologies Co., Ltd.
成的报表时,需要设置邮件服务器。
Huawei Symantec Technologies Co., Ltd.
page 14
初始化配置
步骤7:设置会话时间和审计事件转储策略。 为了节省存储空间,请及时将会话事件和审计事件进行转储。
Huawei Symantec Technologies Co., Ltd.
page 29
典型操作指导—查看日志审计的告警
步骤7:当设备上有符合审计规则的日志产生时,以步骤4创建的操作员 用户登录eLog,选择“告警->告警查询”,设置查询条件可查询到日志审
计告警信息。
Huawei Symantec Technologies Co., Ltd.
page 30
page 15
初始化配置
步骤8:设置系统日志告警策略。 对于比较重要的系统日志,如:日志服务器停止、日志采集器停
止等等,建议设置告警方式,当有该类日志产生时,系统能及时产生告
警通知管理员进行处理。
Huawei Symantec Technologies Co., Ltd.
page 16
典型操作指导——查询系统日志
存在,请添加用户。
Huawei Symantec Technologies Co., Ltd.
page 28
典型操作指导—查看日志审计的告警
步骤5:以管理员或操作员账号登录eLog。 步骤6:选择“策略管理->日志审计->设置审计策略”,设置审计策略。
Huawei Symantec Technologies Co., Ltd.
文档密级 :
eLog快速入门培训
Huawei Symantec Technologies Co., Ltd.
Huawei Symantec Confidential
2014-6-26
目录
• • • • • 角色介绍 申请License 登录系统 初始化配置 典型操作指导
Huawei Symantec Technologies Co., Ltd.