LogBase日志综合审计系统v2.0

合集下载

LogBase日志管理综合审计系统用户手册

任何个人、机构未经杭州思福迪信息技术有限公司的书面授权许可，不得以任何方式复制或引用本文件的任何片断。

商标信息Safetybase Log Audit System、Logbase等是杭州思福迪信息技术有限公司的商标。

获得帮助................................ 错误！未定义书签。

格式约定................................ 错误！未定义书签。

一、基本信息............................... 错误！未定义书签。

二、安装方法 (3)2.1 准备工作 (3)2.2 接入网络 (4)三、LOGBASE串口配置 (5)四、系统管理 (11)4.1 登录LOGBASE (11)4.2 系统用户 (11)4.3 系统组 (12)4.4 当前用户 (13)4.5 日志权限 (14)4.6 告警接口 (16)4.7 系统设置 (17)4.8 设备管理 (18)五、数据管理 (20)5.1 数据备份 (20)5.2 数据恢复 (20)5.3 归档设置 (20)六、对象管理 (22)6.1 自定义日志 (22)6.2 日志导入导出 (22)6.3 探测器配置 (23)七、规则定义 (27)7.1 配置管理 (27)7.2 导入导出 (28)八、实时审计 (30)8.1 监控总图 (30)8.2 主机监控 (31)8.3 系统监控 (31)8.4 分类监控 (32)8.5 最新告警日志 (32)8.6 最新重要日志 (33)8.7 最新原始日志 (34).8.8 最新系统日志 (35)九、综合审计 (36)9.1 动态报表 (36)9.2 静态报表 (36)十、日志查询 (38)10.1 条件查询 (38)10.2 查询任务 (38)10.3 查询模版 (39).。

国家信息安全产品认证获证名单

第一级
网御 SIS-3000 安全隔离与信息交换系统 V1.0（千兆）第二级
网康互联网控制网关 NS-ICG/V5.5.1（安全审计产品）基本级
数字电视条件接收系统智能卡软件（V5.1）
EAL4 增强级
绿盟安全审计系统 V5.6
增强级
绿盟网络入侵检测系统 V5.6?（百兆）
第三级
绿盟安全网关 V5.6（百兆）（防火墙产品）
证书状态有效有效有效有效有效有效有效有效有效有效
精心整理
序证书号
号
11
12
13
200
14 15 16 17 18 19
20
21 22 23 24
25
26
27
20
产品名称及型号/版本捷普入侵检测系统 JIDS-N1000/V3.0（千兆）
捷普信息审计系统 JBCA/V3.0
捷普主机监控与审计系统 JHAUDIT/V2.0 SecowayUSG2000?防火墙 V3.3（百兆） SecowayUSG5000?防火墙 V3.3（千兆） QuidwayEudemon200E 防火墙 V3.3（百兆） QuidwayEudemon1000E 防火墙 V3.3（千兆）华堂千兆网络安全防御系统 V4.3(防火墙产品) 华堂网络安全防御系统 V4.0(防火墙产品)（百兆）
有限公司北京天融信科技有限公
司北京天融信科技有限公
司北京网御星云信息技术
有限公司杭州迪普科技有限公司北京网御星云信息技术
有限公司北京网御星云信息技术
有限公司
发证时间 2009-12-10 2009-12-22 2009-12-24 2009-12-24 2009-12-24

思福迪LogBase使用手册2008版

杭州思福迪信息技术有限公司第 2 页共 67 页 2
LogBase 日志管理综合审计系统 v2.0 使用手册
6.2 实时监控日志管理......................................................................... 43 6.3 自定义服务管理............................................................................. 43 6.4 自定义服务采集............................................................................. 45 七、规则定义.............................................................................................. 47 7.1 实时分析规则................................................................................. 47 7.2 实时规则管理................................................................................. 50 八、实时审计.............................................................................................. 52 8.1 实时监控总图................................................................................. 52 8.2 最新告警信息................................................................................. 53 8.3 最新重要日志................................................................................. 53 8.4 最新原始日志................................................................................. 54 8.5 最新系统日志................................................................................. 56 8.6 系统最新状态................................................................................. 57 九、综合审计.............................................................................................. 58 9.1 系统管理审计................................................................................. 58 9.2 设备管理审计................................................................................. 59 9.3 上网管理审计.................................................................................. 59 9.4 运维审计......................................................................................... 60 9.5 数据库审计..................................................................................... 61 十、日志查询.............................................................................................. 64

KILL日志审计中心用户手册

文档编号：K I L L日志审计中心（K F W-L O G V e r2.0）使用手册北京冠群金辰软件有限公司CA Jinchen Software Co.,Ltd.© 版权所有2005~2008目录1.KILL日志审计中心简介 (4)2.配置说明 (5)3.系统安装 (6)3.1.硬件要求 (6)3.1.1.软件要求 (6)3.2.系统安装 (6)3.3.安装数据库 (10)3.4.启动 (11)4.日志审计中心的使用 (14)4.1.系统主界面 (14)4.2.系统菜单 (15)4.2.1.系统设置 (16)4.2.2.用户管理 (19)4.2.3.修改密码 (20)4.2.4.锁定控制台 (20)4.2.5.注销登录 (21)4.2.6.系统配置导入 (21)4.2.7.系统配置导出 (21)4.2.8.退出 (22)4.3.工具 (22)4.3.1.报表分析器 (23)4.4.日志 (25)4.4.1.日志浏览 (26)4.4.2.日志的查询和导出 (26)4.5.数据库 (28)4.5.1.数据库备份 (29)4.5.2.数据库还原 (30)1.KILL日志审计中心简介KILL日志审计中心是一款装在服务器上的应用软件，可以实时显示冠群金辰安全产品的日志等信息，并可以以数据库的形式将日志保存到硬盘，以供查看。

产品特点：●支持多种方式的告警信息自动处理●可为用户提供种类丰富，可定制的审计报表●采用模块化的管理组件，能够方便的扩展管理功能2.配置说明配置过程分为以下4步：第一步：在KFW设备界面配置日志服务器，包括接收日志所使用的协议（有TCP和UDP 两种），及接收日志的端口。

第二步：运行KILL日志审计中心的安装向导，按提示对日志服务器进行安装。

第三步：按照安装向导进行安装所有程序。

第四步：运行KILL日志审计中心接收查看日志。

3.系统安装3.1.硬件要求CPU ： PIII 800 以上内存： 256M或更多硬盘： 20G或更大网卡：一片3.1.1.软件要求WIN 2000 /XP 或以上操作系统，MSD E，Microsoft .NET Framework 2.0，Microsoft .N ET Framework 2.0简体中文包注意：用户应将管理控制系统安装在打过系统补丁的安全WIN2000/XP上（系统拥有强壮的管理员口令、运行最少的服务、文件格式为NTFS、限制用户访问权限等）必须打过Window sInstaller 3_1的补丁。

Loase日志管理综合审计系统用户手册V版

任何个人、机构未经杭州思福迪信息技术有限公司的书面授权许可，不得以任何方式复制或引用本文件的任何片断。

商标信息SafetybaseLogAuditSystem、Logbase等是杭州思福迪信息技术有限公司的商标。

目录前言欢迎使用杭州思福迪信息有限公司竭诚为您提供的新一代网络安全产品——思福迪日志管理综合审计系统随着互联网的飞速发展，客户对网络系统中的安全设备和网络设备、应用系统和运行状况进行全面的监测、分析、评估是保障网络安全的重要手段。

网络安全是动态的，对已经建立的系统，如果没有实时的、集中的、可视化审计，就不能有效/及时的评估系统究竟是不是安全的，并及时发现安全隐患，所以网络安全需要集中的审计系统。

如果不能将在同一网络中多个相同或者不同厂商的产品实现技术上互操作，实现集中的审计，就无法发挥有效的安全性，就无法有效管理。

安全审计系统就可以满足这些要求，对网络中的各种设备和系统进行集中的、可视的综合审计，及时发现安全隐患，提高安全系统成效。

该产品是一款分布式,跨平台的网络日志管理审计系统，通过对网络设备、服务器、数据库、应用服务等通用计算机软硬件系统以及各种特定业务系统在运行过程中产生的日志、状态、操作等信息的采集，在实时分析的基础上，监测并发现各种异常事件，准确发出实时告警。

审计系统同时提供对存储的历史日志数据进行数据挖掘和关联分析，通过可视化的界面和报表向管理人员提供准确、详尽的统计分析数据和异常分析报告，协助管理人员及时发现安全漏洞，采取有效措施，提高整个计算机应用系统的安全等级。

LogBase日志综合审计系统v

规律，帮助用户更好地了解系统的运行状况。
告警与通知
告警配置
用户可以根据实际需求配置告警规则，对异常行为和风险进行实时监测和告警。
01
通知方式多样
系统支持多种通知方式，如邮件、短信、电话等，确保相关人员能够及时收到告警信息。
02
03
告警记录与统计
系统记录每一次告警的详细信息，并提供告警统计功能，帮助用户了解告警发生的频次和规律。
数据分析与挖掘
分享logbase在日志数据分析与挖掘方面的最佳实践，如何利用机器学习和数据挖掘技术对日志数据进行深入分析，发现潜在的风险和价值。
审计与安全
分享logbase在日志审计与安全方面的最佳实践，如何结合日志数据实现安全事件的监控和预警，提高系统的安全防护能力。
问题与解决方案
日志丢失与损坏
将收集的日志存储在稳定的存储介质上，保证数据不会丢失。
分层存储设计
根据日志的重要性和访问频率，将日志存储在不同的存储层级，提高存储效率。
数据备份与恢复
定期对日志数据进行备份，确保在数据丢失时能够快速恢复。
日志存储优化
压缩存储
对日志数据进行压缩，减少存储空间占用。
索引优化
建立高效的索引机制，提高日志查询速度。
THANKS
感谢观看
实时可视化展示
系统提供实时的数据可视化界面，帮助用户直观地了解日志数据的分布、趋势和关联关系。
历史审计
历史数据存储
01
系统能够长期保存日志数据，支持对历史数据的查询、分析和
审计。
自定义查询
02
用户可以根据需求自定义查询条件，对历史日志数据进行筛选、
聚合和分析。
趋势分析与对比

LogBase日志管理审计系统(ppt32张)

LogBase日志管理审计系统
思福迪信息技术有限公司
主题
公司概况
• 思福迪公司（SAFETYBASE INFORMATION TECHNOLOGY CO.,LTD）是
国内安全审计与IT内控管理的领先厂商，成立于2005年2月，总部和研发中心设立在杭州，在北京、上海、武汉、福建等地设有分支机构。
网络探测器协议探测器
IDS
核心交换机
文件探测器
File Agent
File Agent
File Agent
File Agent
SysLog File Agent
SysLog File Agent
Web服务器
邮件服务器
FTP服务器
防病毒服务器
数据库服务器
应用服务器
产品应用效果Байду номын сангаас
• • • • 集中采集信息系统中的各类安全日志通过规则对各类异常事件进行实时检测、告警大大提高内部安全审计工作效率加强企业对内上网行为管理能力，提高办公效率，降低安全风险 • 为安全事件追踪分析提供客观依据
• • • • • • • • • • • • • • • • • • • •
1、想要体面生活，又觉得打拼辛苦；想要健康身体，又无法坚持运动。人最失败的，莫过于对自己不负责任，连答应自己的事都办不到，又何必抱怨这个世界都和你作对？人生的道理很简单，你想要什么，就去付出足够的努力。 2、时间是最公平的，活一天就拥有24小时，差别只是珍惜。你若不相信努力和时光，时光一定第一个辜负你。有梦想就立刻行动，因为现在过的每一天，都是余生中最年轻的一天。 3、无论正在经历什么，都请不要轻言放弃，因为从来没有一种坚持会被辜负。谁的人生不是荆棘前行，生活从来不会一蹴而就，也不会永远安稳，只要努力，就能做独一无二平凡可贵的自己。 4、努力本就是年轻人应有的状态，是件充实且美好的事，可一旦有了表演的成分，就会显得廉价，努力，不该是为了朋友圈多获得几个赞，不该是每次长篇赘述后的自我感动，它是一件平凡而自然而然的事，最佳的努力不过是：但行好事，莫问前程。愿努力，成就更好的你！ 5、付出努力却没能实现的梦想，爱了很久却没能在一起的人，活得用力却平淡寂寞的青春，遗憾是每一次小的挫折，它磨去最初柔软的心智、让我们懂得累积时间的力量；那些孤独沉寂的时光，让我们学会守候内心的平和与坚定。那些脆弱的不完美，都会在努力和坚持下，改变模样。 6、人生中总会有一段艰难的路，需要自己独自走完，没人帮助，没人陪伴，不必畏惧，昂头走过去就是了，经历所有的挫折与磨难，你会发现，自己远比想象中要强大得多。多走弯路，才会找到捷径，经历也是人生，修炼一颗强大的内心，做更好的自己！ 7、“一定要成功”这种内在的推动力是我们生命中最神奇最有趣的东西。一个人要做成大事，绝不能缺少这种力量，因为这种力量能够驱动人不停地提高自己的能力。一个人只有先在心里肯定自己，相信自己，才能成就自己！ 8、人生的旅途中，最清晰的脚印，往往印在最泥泞的路上，所以，别畏惧暂时的困顿，即使无人鼓掌，也要全情投入，优雅坚持。真正改变命运的，并不是等来的机遇，而是我们的态度。 9、这世上没有所谓的天才，也没有不劳而获的回报，你所看到的每个光鲜人物，其背后都付出了令人震惊的努力。请相信，你的潜力还远远没有爆发出来，不要给自己的人生设限，你自以为的极限，只是别人的起点。写给渴望突破瓶颈、实现快速跨越的你。 10、生活中，有人给予帮助，那是幸运，没人给予帮助，那是命运。我们要学会在幸运青睐自己的时候学会感恩，在命运磨练自己的时候学会坚韧。这既是对自己的尊重，也是对自己的负责。 11、失败不可怕，可怕的是从来没有努力过，还怡然自得地安慰自己，连一点点的懊悔都被麻木所掩盖下去。不能怕，没什么比自己背叛自己更可怕。 12、跌倒了，一定要爬起来。不爬起来，别人会看不起你，你自己也会失去机会。在人前微笑，在人后落泪，可这是每个人都要学会的成长。 13、要相信，这个世界上永远能够依靠的只有你自己。所以，管别人怎么看，坚持自己的坚持，直到坚持不下去为止。 14、也许你想要的未来在别人眼里不值一提，也许你已经很努力了可还是有人不满意，也许你的理想离你的距离从来没有拉近过......但请你继续向前走，因为别人看不到你的努力，你却始终看得见自己。 15、所有的辉煌和伟大，一定伴随着挫折和跌倒；所有的风光背后，一定都是一串串揉和着泪水和汗水的脚印。 16、成功的反义词不是失败，而是从未行动。有一天你总会明白，遗憾比失败更让你难以面对。 17、没有一件事情可以一下子把你打垮，也不会有一件事情可以让你一步登天，慢慢走，慢慢看，生命是一个慢慢累积的过程。 18、努力也许不等于成功，可是那段追逐梦想的努力，会让你找到一个更好的自己，一个沉默努力充实安静的自己。 19、你相信梦想，梦想才会相信你。有一种落差是，你配不上自己的野心，也辜负了所受的苦难。 20、生活不会按你想要的方式进行，它会给你一段时间，让你孤独、迷茫又沉默忧郁。但如果靠这段时间跟自己独处，多看一本书，去做可以做的事，放下过去的人，等你度过低潮，那些独处的时光必定能照亮你的路，也是这些不堪陪你成熟。所以，现在没那么糟，看似生活对你的亏欠，其实都是祝愿。

思福迪LogBase日志综合审计系统介绍ppt课件

SAFETY INFORMATION TECHNOLOGY CO., LTD
存储管理
• 用户权限管理、自带防火墙、存储数据加密
SAFETY INFORMATION TECHNOLOGY CO., LTD
产品特性
全面的日志采集能力
• 全面采集硬件设备、操作系统、应用系统日志信息，自定义文本格式采集
丰富的合规性报表审计能力
• 丰富的SOX合规性报表模板、自定义报表样式、动/静态报表发送至指定邮箱
高效的日志检索、安全事件定位能力
• 基于海量日志索引的高效检索引擎、预置常用合规审计报表模板，自定义报表功能
数据管理、系统安全保障能力
• 嵌入式64位精简内核平台、防火墙、专用日志存储系统、传输加密、细化权限管理
日志采集-硬件设备
• 路由器、交换机、 • 防火墙、VPN、负载均衡设备、防毒墙、代理设备、 IDS/IPS等
SAFETY INFORMATION TECHNOLOGY CO., LTD
日志采集-网络访问
• HTTP、Mail、MSN、FTP、BT等
SAFETY INFORMATION TECHNOLOGY CO., LTD
事件检索
• 自主研发的基于海量日志存储及检索系统，检索速度比使用关系型数据库大大提高。 • 支持查询结果导出为.csv文件 • 支持逻辑运算符多重条件组合查询
SAFETY INFORMATION TECHNOLOGY CO., LTD
综合审计
• 多样式、全方位的合规性报表模板； • 自定义报表，支持多种格式导出； • 支持动、静态报表，直接发送管理员；
ltd产品特性全面采集硬件设备操作系统应用系统日志信息自定义文本格式采集全面的日志采集能力全面的日志采集能力丰富的sox合规性报表模板自定义报表样式动静态报表发送至指定邮箱丰富的合规性报表审计能力丰富的合规性报表审计能力基于海量日志索引的高效检索引擎预置常用合规审计报表模板自定义报表功能高效的日志检索安全事件定位能力高效的日志检索安全事件定位能力嵌入式64位精简内核平台防火墙专用日志存储系统传输加密细化权限管理数据管理系统安全保障能力数据管理系统安全保障能力探测器负载均衡报表模块检索模块负载存储模块分析模块负载模块化设计高扩展性集群部署能力模块化设计高扩展性集群部署能力safetyinformationtechnologyco

思迪福上网审计解决方案

江苏国骏关于上网审计解决方案背景互联网的使用已经成为人们日常工作中密不可分的一部分，但是通过网络访问各种非法内容、对网站进行各种攻击等行为越来越频繁，LogBase产品应用关键字实时跟踪分析技术，从发起者、访问时间、访问对象、访问方法、使用频率各个角度，提供丰富的统计分析报告，帮助用户在统一管理互联网访问日志的同时，及时发现安全隐患，协助优化网络资源的使用。

需求首先，面临的是国家对互联网接入单位的管理要求，《公安部82号令》中规定，互联网服务提供者应当落实以下互联网安全保护技术措施：1、记录并留存用户登录和退出时间、系统维护日志的技术措施；2、记录、跟踪网络运行状态，监测、记录网络安全事件等安全审计功能。

如果单位在互联网访问方面没有采取措施保留原始记录（日志），一旦发生通过互联网开展的违法乱纪行为，只能追查到单位，追究管理责任，给单位在经济和声誉上带来巨大损失，甚至要求停网整顿，将严重干扰正常工作的开展。

其次，互联网的滥用现象十分严重，员工在办公时间内浏览与工作无关的网站，花大量时间在聊天（即时信息）、玩游戏、流媒体（听音乐看电影）、炒股票、下载等。

这样一方面，导致员工的工作效率严重受到影响；另一方面，带宽资源始终不够，缓慢的网速将干扰正常工作的开展。

主要功能1、网站访问（HTTP），包括发起访问客户端的IP、访问日期和时间、访问方法、网址URL、网页内容，支持论坛和WEBMAIL内容保留；2、收发邮件（SMTP/POP3），包括发件人客户端的IP、发件人邮箱地址、收件人邮箱地址、发件日期和时间、主题、正文、附件名称、附件大小，根据用户的要求还可以保留附件；3、文件下载（FTP），包括下载客户端的IP、目标服务器IP、登录名和密码、FTP指令操作、发生日期和时间、下载文件名和大小，根据用户的要求还可以保留附件；4、远程登陆（TELNET），包括客户端IP、目标IP、协议、信息（客户端命令、目标端返回信息）5、聊天（MSN等），包括客户端IP、登录名、昵称、在线时间、聊天对象名称和昵称、聊天内容、传送文件名和大小，根据用户的要求还可以保留文件。

LogBase内控堡垒审计系统介绍

目标：通过检索快速定位特定事件检索条件组合项

时间 IP地址
用户名
自然人名字指令
指令执行结果状态（成功、失败）

支持查询模板功能
思福迪信息技术有限公司
产品功能—会话过程回放

通过查询方式快速定位特定回放记录文件

以视频方式还原、回放，完整再现原始操作过程
支持快进、拖劢、暂停、重放等多种播放控制

管理员
审计员用户

支持内部存储空间规划功能
思福迪信息技术有限公司
良好的扩展性
支持HA双机部署支持分布式部署支持外部存储扩展支持报表二次开发

思福迪信息技术有限公司
主题
公司介绍
背景分析产品介绍产品优势案例介绍
思福迪信息技术有限公司
典型客户

重庆移劢

思福迪信息技术有限公司
产品功能—设备远程维护

通过WEB界面管理Windows服务器、Unix服务器、网络设备等

使用其他第三方客户端软件访问服务器(如SecureCRT)
思福迪信息技术有限公司
产品功能—行为记录
操作记录
• 针对命令行操作（telnet、ftp、ssh）
• 方便对操作命令进行检索、审计 • 可将指令记录输出到Logbase日志审计系统中
行为审计模块
检索系统报表系统告警系统审计规则
协议处理模块
协议代理协议控制行为记录
思福迪信息技术有限公司
支持协议

命令行
telnet
Ssh
Ftp、Scp、Sftp

图形操作

LogBase日志管理综合审计系统-15页word资料

任何个人、机构未经杭州思福迪信息技术有限公司的书面授权许可，不得以任何方式复制或引用本文件的任何片断。

商标信息Safetybase、LogBase均是杭州思福迪信息技术有限公司注册商标，受商标法保护。

目录第一章概述 (4)1.1 信息安全审计的必要性 (4)1.2 信息安全审计目标 (5)第二章 LogBase产品介绍 (6)2.1 产品概述 (6)2.2 体系结构 (6)第三章 LogBase功能介绍 (8)第四章 LogBase产品特性 (10)5.1 全面的日志采集能力 (10)5.2 可靠的安全保障能力 (10)5.3 专用的日志专家规则库 (10)5.4 灵活开放的查询条件 (11)5.5 高效的事件定位能力 (11)5.6 安全的旁路审计模式 (11)5.7 良好的扩展性设计 (12)5.8 丰富的合规性报表 (12)第五章典型部署 (13)第六章产品规格与指标 (14)6.1 审计主机规格指标 (14)6.2 硬件探测器性能指标 (14)第一章概述1.1 信息安全审计的必要性随着政府、企事业单位等各类组织的信息化程度不断提高，对信息系统的依赖程度也随之增加，如何保障信息系统安全是所有单位都十分关注的一个问题。

当前，大部分组织都已对信息安全系统进行了基本的安全防护，如实施防火墙、入侵检测系统、防病毒系统等。

然而，信息系统维护过程中依然还面临着诸多的困难及风险，如：✓系统运维风险：由于操作系统、硬件、应用程序等故障或配置错误导致系统异常运行，服务中断。

日志综合审计系统v2.0讲解

思福迪产品介绍
LogBase日志综合审计系统
思福迪信息技术有限公司
公司概况
思福迪公司（SAFETYBASE INFORMATION TECHNOLOGY CO.,LTD）是国内信息安全审计与IT内控管理的领先厂商，成立于2005年2月，总部和研发中心设立在杭州，在北京、上海、武汉、福建等地设有分支机构。
a) 应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录； b) 审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息； c) 应能够根据记录数据进行分析，并生成审计报表； d) 应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等。
b) 当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。
思福迪信息技术有限公司
什么是信息安全审计？
信息安全审计是评判一个信息系统是否真正安全的重要标准之一。通过安全审计收集、分析、评估安全信息、掌握安全状态，制定安全策略，确保整个安全体系的完备性、合理性和适用性，才能将系统调整到“最安全”和“ 最低风险”的状态。安全审计已成为企业内控、信息系统安全风险控制等不可或缺的关键手段，也是威慑、打击内部计算机犯罪的重要手段。
a) 审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户； b) 审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件； c) 审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等； d) 应能够根据记录数据进行分析，并生成审计报表； e) 应保护审计进程，避免受到未预期的中断；
思福迪信息技术有限公司
什么是信息安全审计？

LogBase日志管理综合审计系统用户手册

任何个人、机构未经杭州思福迪信息技术有限公司的书面授权许可，不得以任何方式复制或引用本文件的任何片断。

商标信息Safetybase Log Audit System、Logbase等是杭州思福迪信息技术有限公司的商标。

获得帮助 .................................................................. 错误！未定义书签。

格式约定 .................................................................. 错误！未定义书签。

一、基本信息 ................................................................ 错误！未定义书签。

二、安装方法 (5)2.1 准备工作 (5)2.2 接入网络 (6)三、LOGBASE串口配置 (8)四、系统管理 (16)4.1 登录LOGBASE (16)4.2 系统用户 (16)4.3 系统组 (18)4.4 当前用户 (19)4.5 日志权限 (20)4.6 告警接口 (23)4.7 系统设置 (24)五、数据管理 (28)5.1 数据备份 (28)5.2 数据恢复 (28)5.3 归档设置 (29)六、对象管理 (31)6.1 自定义日志 (31)6.2 日志导入导出 (31)6.3 探测器配置 (32)七、规则定义 (37)7.1 配置管理 (37)7.2 导入导出 (39)八、实时审计 (41)8.1 监控总图 (41)8.2 主机监控 (42)8.3 系统监控 (43)8.4 分类监控 (43)8.5 最新告警日志 (44)8.6 最新重要日志 (45)8.7 最新原始日志 (46)8.8 最新系统日志 (47)九、综合审计 (49)9.2 静态报表 (49)十、日志查询 (51)10.1 条件查询 (51)10.2 查询任务 (52)10.3 查询模版 (52)前言欢迎使用杭州思福迪信息有限公司竭诚为您提供的新一代网络安全产品——思福迪日志管理综合审计系统随着互联网的飞速发展，客户对网络系统中的安全设备和网络设备、应用系统和运行状况进行全面的监测、分析、评估是保障网络安全的重要手段。

Logbase日志审计系统技术白皮书

L o g B a s e日志管理审计系统技术白皮书杭州思福迪信息技术有限公司SAFETYBASE INFOTECH CO.LTD目录第一章概述.................................................................................. 错误!未定义书签。

第二章为什么需要日志审计系统.............................................. 错误!未定义书签。

第三章 Logbase日志审计系统总体介绍................................... 错误!未定义书签。

2.1 产品简介........................................................................ 错误!未定义书签。

2.2 体系架构........................................................................ 错误!未定义书签。

第四章产品功能.......................................................................... 错误!未定义书签。

4.1日志采集.......................................................................... 错误!未定义书签。

4.2集中存储.......................................................................... 错误!未定义书签。

4.3异常事件监控告警.......................................................... 错误!未定义书签。

LogBase日志管理综合审计系统

任何个人、机构未经杭州思福迪信息技术有限公司的书面授权许可，不得以任何方式复制或引用本文件的任何片断。

商标信息Safetybase、LogBase均是杭州思福迪信息技术有限公司注册商标，受商标法保护。

目录第一章概述 (4)1.1 信息安全审计的必要性 (4)1.2 信息安全审计目标 (5)第二章 LogBase产品介绍 (6)2.1 产品概述 (6)2.2 体系结构 (7)第三章 LogBase功能介绍 (8)第四章 LogBase产品特性 (10)5.1 全面的日志采集能力 (10)5.2 可靠的安全保障能力 (10)5.3 专用的日志专家规则库 (10)5.4 灵活开放的查询条件 (11)5.5 高效的事件定位能力 (11)5.6 安全的旁路审计模式 (11)5.7 良好的扩展性设计 (12)5.8 丰富的合规性报表 (12)第五章典型部署 (13)第六章产品规格与指标 (14)6.1 审计主机规格指标 (14)6.2 硬件探测器性能指标 (15)第一章概述1.1 信息安全审计的必要性随着政府、企事业单位等各类组织的信息化程度不断提高，对信息系统的依赖程度也随之增加，如何保障信息系统安全是所有单位都十分关注的一个问题。

当前，大部分组织都已对信息安全系统进行了基本的安全防护，如实施防火墙、入侵检测系统、防病毒系统等。

LogBase日志审计系统介绍

• 资质荣誉：
ISCCC信息安全服务资质二级认证国家计算机网络应急技术处理协调中心省级应急服务支撑单位全国安全防范报警系统标准化技术委员会通讯委员单位 “2007中国电信业信息化十佳解决方案奖 ” “2007最受用户欢迎的安全审计品牌奖”
公司业务
安全产品
安全服务
典型客户
主题
背景
络设备（交换机、路由器、防火墙）审计；审计效果：通过LogBase日志管理综合审计平台，实
现对网络中数以百计的服务器、网络设备的集中管理，实时监控它们的运行状况，协查设备故障。
• WEB server • 中间件 • FTP SERVER、MailServer • 防病毒软件 • 自主开发应用系统
网络及安全设备
• 路由器、交换机、 • 防火墙、VPN、负载均衡设备、防毒墙、代理设
备、IDS/IPS等
上网行为
• HTTP、Mail、MSN、FTP、BT等
数据库系统
• Mssql、db2、oracle、informix、sybase、 mysql
• 支持远程访问协议及本地日志文件
实时审计
• 日志流量监控； • 实时访问行为监控； • 敏感事件实时告警；
• 基于安全事件规则库
事件检索
• 基于自主研发的海量日志存储及检索系统，检索速度比使用关系型数据库大大提高。
• 支持查询结果导出为.csv文件 • 支持基于以下条件进行多重条件组合查询
• 时间 • 发生IP地址 • 事件内容 • 用户名
，降低安全风险 • 为安全事件追踪分析提供客观依据
主题
携程网
客户名称：携程网需求：内部上网管理审计内容：MSN审计审计效果：监控所有内部MSN聊天行为，每月根据

LogBase内控堡垒审计系统介绍

检索方式灵活
支持对日志中的所有字段信息进行检索唯一支持不限次数组合条件查询的产品检索结果自动分类显示支持查询模板，简化查询操作
记录安全保障能力强大
高度精简优化的内核模块化设计，内部模块之间权限独立防篡改设计，充分保证日志客观性严格的用户角色权限设定：
管理员审计员用户
产品部署
代理模式
透明模式
规格指标
技术指标体积规格部署模式
LogBase BH530 LogBase BH1300
1U
2U
代理/透明
代理/透明
Bypass支持
管理方式
分中心模式网络接口存储容量并发数默认许可证
支持
不支持 4
500GB 600 25个
支持
B/S
支持 4
1TB 1200 50个
安全产品
日志审计
数据库审计
内控堡垒
数据库扫描
网站扫描
网页防篡改
安全服务
安全评估安全加固渗透测试安全咨询服务外包
典型客户
主题
公司介绍背景分析产品介绍产品优势解决方案
背景-为什么要做IT内控
2006年，UT斯达康员工程稚瀚侵入北京移动充值中心盗取密码谋利 370万，从2005年2月开始作案，7月案发
基于事件、日志进行审计
日志只是记录了部分结果，无法展现整个过程
旁路审计
缺乏对行为的控制能力缺乏帐号管理能力，导致责任定位困难
如何真正满足内控需求？
结果审计
过程审计
过程控制
局部审计
全面审计
全面控制
对IT内控审计产品的要求

相关主题

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

思福迪信息技术有限公司
LogBase日志综合审计可以为用户解决什么问题 LogBase日志综合审计可以为用户解决什么问题
9. 通过LogBase日志审计系统的建设，用户的信息系统能够进一步完善信息安全保障体系，改变针对事中及事后的安全防护设施建设较弱的现状，为落实各项监管机构及内部检查提供技术支撑手段，不断完善信息安全管理办法，提高信息安全管理水平。 10. 通过LogBase日志审计系统，提升用户的信息系统日常安全运维的水平，实现信息系统IT计算环境日志信息的集中管理，全面掌握IT计算环境运行过程中出现的隐患，通过安全事件报警和日志报表的方式，在运维人员有限的条件下，有效地把握运维工作的重点，进一步增强系统安全运维工作的主动性，更好地保障系统的正常运行。同时，有效规避日志信息分散存储存在的非法删除风险，确保安全事故处置的取证工作。
等级保护第三级安全审计具体要求 Nhomakorabeaa) 应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录； b) 审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息； d) 应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等。 b) 当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。 a) 审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户；
思福迪信息技术有限公司
什么是信息安全审计？什么是信息安全审计？
通俗来讲，信息安全审计就是信息网络中的“监控摄像头”，通过运用各种技术手段，洞察网络信息系统中的活动，全面监测信息系统中的各种会话和事件，记录分析各种网络可疑行为、违规操作、敏感信息，帮助定位安全事件源头和追查取证，防范和发现计算机网络犯罪活动，为信息系统安全策略制定、风险内控提供有力的数据支撑。
思福迪信息技术有限公司
为什么需要信息安全审计？为什么需要信息安全审计？
《信息系统安全等级化保护基本要求》二级以上信息系统安全等级化保护基本要求》《商业银行内部控制指引》第一百二十六条商业银行内部控制指引》《银行业金融机构信息系统风险管理指引》第四十六条银行业金融机构信息系统风险管理指引》《证券公司内部控制指引》第一百一十七条证券公司内部控制指引》《互联网安全保护技术措施规定》第八条互联网安全保护技术措施规定》《萨班斯（SOX）法案》第404款萨班斯（SOX）法案》 404款《企业内部控制基本规范》企业内部控制基本规范》
思福迪信息技术有限公司
什么是信息安全审计？什么是信息安全审计？
信息安全审计是评判一个信息系统是否真正安全的重要标准之一。通过安全审计收集、分析、评估安全信息、掌握安全状态，制定安全策略，确保整个安全体系的完备性、合理性和适用性，才能将系统调整到“最安全”和“ 最低风险”的状态。安全审计已成为企业内控、信息系统安全风险控制等不可或缺的关键手段，也是威慑、打击内部计算机犯罪的重要手段。
7. 1 技术要求
7.1. 3主机安全
7.1.3.3 安全审计（G3 ）
b) 审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件； c) 审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等； d) 应能够根据记录数据进行分析，并生成审计报表； e) 应保护审计进程，避免受到未预期的中断； f) 应保护审计记录，避免受到未预期的删除、修改或覆盖等。
思福迪信息技术有限公司
LogBase日志综合审计可以为用户解决什么问题 LogBase日志综合审计可以为用户解决什么问题
1. 通过LogBase日志审计系统建设，用户的信息系统能够落实《信息系统安全等级化保护基本要求》、《ISO27001:2005》、《企业内部控制基本规范》和《萨班斯（SOX）法案》中有关安全审计控制点及日志和事件存储的要求，积累信息系统安全等级保护工作经验。 2. 通过LogBase日志审计系统的建设，为用户的信息系统建立全面的风险管理和内控体系提供必要的支撑。 3. 通过LogBase日志审计系统建设，为用户的信息系统快速定位全网发生问题。 4. 通过LogBase日志审计系统建设，为用户的信息系统快速的日志查询分析呈现网中发生安全问题。
7.1. 4应用安全 7. 2 管理要求 7.2. 5 系统运维管理
7.1.4.3 安全审计（G3 ） 7.2.5.5 监控管理和安全管理中心（G3）
a) 应提供覆盖到每个用户的安全审计功能，对应用系统重要安全事件进行审计； c) 审计记录的内容至少应包括事件的日期、时间、发起者信息、类型、描述和结果等； d) 应提供对审计记录数据进行统计、查询、分析及生成审计报表的功能。 a) 应对通信线路、主机、网络设备和应用软件的运行状况、网络流量、用户行为等进行监测和报警，形成记录并妥善保存 b) 应组织相关人员定期对监测和报警记录进行分析、评审，发现可疑行为，形成分析报告，并采取必要的应对措施； c) 应建立安全管理中心，对设备状态、恶意代码、补丁升级、安全审计等安全相关事项进行集中管理。
思福迪产品介绍
LogBase日志综合审计系统 LogBase日志综合审计系统
思福迪信息技术有限公司
公司概况
思福迪公司（SAFETYBASE INFORMATION TECHNOLOGY CO.,LTD）是国内信息安全审计与IT内控管理的领先厂商，成立于2005年2月，总部和研发中心设立在杭州，在北京、上海、武汉、福建等地设有分支机构。公司理念：安全创造价值资质荣誉： ISCCC信息安全服务资质二级认证国家计算机网络应急技术处理协调中心省级应急服务支撑单位全国安全防范报警系统标准化技术委员会通讯委员单位国家信息安全服务一级资质军用信息安全产品认证资质
思福迪信息技术有限公司
为什么需要信息安全审计？为什么需要信息安全审计？
• 全国人大常委会在今年2月28日通过了刑法修正案(七)的表决，全国人大常委会在今年2 28日通过了刑法修正案( 并且从颁布之日起实施。刑法修正案( 并且从颁布之日起实施。刑法修正案(七)第二百五十三条规定： • 国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。 • 窃取、收买或者以其他方法非法获取上述信息，情节严重的，依照前款的规定处罚。 • 单位犯前两款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各相应条款的规定处罚。
思福迪信息技术有限公司
什么是信息安全审计？什么是信息安全审计？
在国际通用的CC准则（即ISO/IEC15408-2:1999《在国际通用的CC准则（即ISO/IEC15408-2:1999《信息技术安全性评估准则》）中对信息系统安全审计（ISSA 息技术安全性评估准则》）中对信息系统安全审计（ISSA ，Information System Security Audit）给出了明确定义：信 Audit）给出了明确定义：信息系统安全审计主要指对与安全有关的活动的相关信息进行识别、记录、存储和分析；审计记录的结果用于检查网络上发生了哪些与安全有关的活动，谁（哪个用户）对这个活动负责；主要功能包括：安全审计自动响应、安全审计数据生成、安全审计分析、安全审计浏览、安全审计事件选择、安全审计事件存储等。
思福迪信息技术有限公司
主题
① 什么是信息安全审计？ ② 为什么需要信息安全审计？ ③ LogBase日志综合审计可以为用户解决什么问题？ LogBase日志综合审计可以为用户解决什么问题？ ④ LogBase日志综合审计系统介绍 LogBase日志综合审计系统介绍 ⑤ LogBase日志综合审计系统目标用户群 LogBase日志综合审计系统目标用户群 ⑥ LogBase日志综合审计系统产品选型 LogBase日志综合审计系统产品选型
10 思福迪信息技术有限公司
国家和行业法律法规都有安全审计的要求！国家和行业法律法规都有安全审计的要求！
4.3.3小节小节、 10.10小节《ISO27001:2005 》4.3.3小节、《ISO17799:2005 》10.10小节
为什么需要信息安全审计？为什么需要信息安全审计？
项目 7.1. 2网络安全 7.1.2.3 安全审计（G3 ） 7.1.2.5 入侵防范（G3 ） c) 应能够根据记录数据进行分析，并生成审计报表；
公司业务
安全产品安全服务
典型客户
主题
① 什么是信息安全审计？ ② 为什么需要信息安全审计？ ③ LogBase日志综合审计可以为用户解决什么问题？ LogBase日志综合审计可以为用户解决什么问题？ ④ LogBase日志综合审计系统介绍 LogBase日志综合审计系统介绍 ⑤ LogBase日志综合审计系统目标用户群 LogBase日志综合审计系统目标用户群 ⑥ LogBase日志综合审计系统产品选型 LogBase日志综合审计系统产品选型
思福迪信息技术有限公司
主题
① 什么是信息安全审计？ ② 为什么需要信息安全审计？ ③ LogBase日志综合审计可以为用户解决什么问题？ LogBase日志综合审计可以为用户解决什么问题？ ④ LogBase日志综合审计系统介绍 LogBase日志综合审计系统介绍 ⑤ LogBase日志综合审计系统目标用户群 LogBase日志综合审计系统目标用户群 ⑥ LogBase日志综合审计系统产品选型 LogBase日志综合审计系统产品选型
思福迪信息技术有限公司
主题
① 什么是信息安全审计？ ② 为什么需要信息安全审计？ ③ LogBase日志综合审计可以为用户解决什么问题？ LogBase日志综合审计可以为用户解决什么问题？ ④ LogBase日志综合审计系统介绍 LogBase日志综合审计系统介绍 ⑤ LogBase日志综合审计系统目标用户群 LogBase日志综合审计系统目标用户群 ⑥ LogBase日志综合审计系统产品选型 LogBase日志综合审计系统产品选型