LogBase日志管理综合审计系统用户手册V3.6版
LogBase运维安全系统运维用户手册(运维方式)
LogBase运维安全管理综合审计系统运维用户手册杭州思福迪信息技术有限公司2010。
9目录1。
基本信息 (3)2.运维方式 (3)2。
1. RDP/VNC/X11协议 (3)2。
1.1. C/S方式 (3)2。
1.2。
B/S方式 (9)2。
2。
SSH协议152。
2.1. C/S方式 (15)2。
2.2。
B/S方式 (20)2.3。
TELNET协议 (22)2.3。
1. C/S方式 (22)2。
3。
2. B/S方式 (25)2.4。
RLOGIN协议 (27)2。
4.1. C/S方式 (27)2。
4.2. B/S方式 (29)2.5。
FTP协议 (31)2。
5.1。
C/S方式 (31)2.5。
2。
B/S方式 (37)2.6。
ORACLE协议 (39)2。
6.1. B/S方式 (39)2.7。
MSSQL协议 (39)2。
7。
1。
C/S方式392。
8. SYBASE协议 (42)2。
8.1。
C/S方式 (42)1.基本信息本文档用于指导Logbase运维安全管理综合审计系统普通运维账号的使用,请用户根据Logbase运维安全系统管理员的指导下,选择相应的内容做参考。
2.运维方式2.1.RDP/VNC/X11协议三种图形协议支持C/S方式(客户端方式)和B/S方式(页面方式)连接,其中C/S(客户端方式)分为非认证方式、认证方式、菜单方式.2.1.1.C/S方式使用C/S方式连接时,三种图形协议均使用WINDOWS自带远程桌面工具。
2.1.1.1.非认证方式首先使用远程桌面工具连接运维安全系统,如图2。
1.1所示:运维安全系统地图2.1。
1 连接此处IP 为运维安全系统IP 地址。
点击连接后出现运维安全系统登录画面,如图2.1。
2 所示:图2。
1。
2 非认证方式登录在【protocol 】中选择要连接的协议;【domain 】中选择域(如用的是域帐号);【username 】中以“服务器帐号@服务器IP :端口”的方式填写,如使用默认端口(3389)可不填端口;【password 】中输入服务器密码.点解【OK 】即可登录服务器。
LogbaseV5运维安全管理系统审计管理员手册
运维安全管理系统(SOM)系统管理员使用手册思福迪信息技术有限公司版权声明本手册中涉及的任何文字叙述、文档格式、插图、照片、方法、过程等所有内容的版权属于思福迪信息技术有限公司所有。
未经思福迪信息技术有限公司许可,不得擅自拷贝、传播、复制、泄露或复写本文档的全部或部分内容。
本手册中的信息受中国知识产权法和国际公约保护。
版权所有,翻版必究。
Logbase运维安全管理系统配置管理员使用手册一、前言1.1 文档目的本文档编写目的主要是介绍如何安装、使用思福迪的运维安全管理系统。
通过阅读本文档,读者能够正确地安装和配置运维安全管理系统,并利用该设备提供的审计功能来强化现有的安全管理制度,规范安全管理流程,达到运维安全审计的目的。
1.2 相关文档运维安全管理系统相关的文档包括:●运维安全管理系统(SOM)_系统管理员使用手册●运维安全管理系统(SOM)_运维管理员使用手册●运维安全管理系统(SOM)_密码管理员使用手册●运维安全管理系统(SOM)_审计管理员使用手册…1.3 读者对象本文档适用于审计管理员。
1.4 约定本文中所有图例均为实际拍摄或屏幕截取菜单名称和按钮名称的表示方法:【菜单名称】,【按钮名称】图标表示的含义::系统管理、配置的重要说明、提示信息;:相关功能配置的举例说明信息;思福迪信息技术有限公司总部:杭州文一西路75号3号楼6楼邮编:电话:0571- 传真:0571- 网址:SOM:Security Operation And Maintenancs System,该产品中文名称为运维安全管理系统,英文简称为SOM。
RDP:Remote Desktop Protocol,远程桌面协议,RDP专门为运行在服务器上的、基于Windows 的应用程序提供网络连接上的远程显示和输入功能。
Windows 2003终端服务使用的是RDP 5.2,而Windows2008终端服务使用的是RDP 6.1,但是这两个版本是完全兼容的。
Logbase产品系列介绍
27
运维安全系列概述
BH 530 BH 1300 BH 3300
图形终端 字符终端
文件传输 数据库管理
运维安全产品系列
许可证 最大并发操作会话数
√
√
√
√
25
500
√
√
√
√
50
800
√
√
√
√
100
1500
BH ACC 应用客户端容器 BH HS 双机热备模块
典型案例
运维管理人员
Internet
Logbase堡垒机 (双机热备)
人工管理费时费力,效果差
日志管理系列概述
LOGBASE管理日志 化繁为简
实现日志全生命周期管理 • 实时采集 • 统一格式 • 实时分析 • 集中存储 • 事后分析
一体化设备 无须安装任何软件
WINDOWS 服务器
UNIX/LINUX 服务器
网络设备
LOGBASE
安全设备
系统软件
业务软件
日志管理系列概述
LOGBASE
运维安全管理审计系统
构建机房网络的门禁与监控 监管所有设备技术操作行为
18
Title of presentation
March 5, 2020
运维安全系列概述
应用背景
数字化业务 信息资产
政府部门,财政、公安、社保 金融机构,银行、证券、期货 通讯运营商,电信、移动、联通 电力能源,电网、电厂、核工业 企业,游戏、电子商务、自动化生产
控制维护访问 阻断危害操作 记录操作过程
运维安全系列概述
桌面 工具
浏览 器
授权列表
服务器A 服务器B 防火墙C 交换机D
思福迪LogBase使用手册2008版
LogBase 日志管理综合审计系统 v2.0 使用手册
6.2 实时监控日志管理......................................................................... 43 6.3 自定义服务管理............................................................................. 43 6.4 自定义服务采集............................................................................. 45 七、规则定义.............................................................................................. 47 7.1 实时分析规则................................................................................. 47 7.2 实时规则管理................................................................................. 50 八、实时审计.............................................................................................. 52 8.1 实时监控总图................................................................................. 52 8.2 最新告警信息................................................................................. 53 8.3 最新重要日志................................................................................. 53 8.4 最新原始日志................................................................................. 54 8.5 最新系统日志................................................................................. 56 8.6 系统最新状态................................................................................. 57 九、综合审计.............................................................................................. 58 9.1 系统管理审计................................................................................. 58 9.2 设备管理审计................................................................................. 59 9.3 上网管理审计.................................................................................. 59 9.4 运维审计......................................................................................... 60 9.5 数据库审计..................................................................................... 61 十、日志查询.............................................................................................. 64
日志审计手册
日志审计手册(原创实用版)目录1.日志审计手册概述2.日志审计的目的和重要性3.日志审计的基本流程4.日志审计的方法和技术5.日志审计的挑战与未来发展正文1.日志审计手册概述日志审计手册是一本关于如何进行日志审计的指南,旨在帮助组织和企业有效地管理和监控其日志数据,以便及时发现和预防安全威胁。
本文将详细介绍日志审计的目的和重要性、基本流程、方法和技术,以及当前面临的挑战和未来发展趋势。
2.日志审计的目的和重要性日志审计的主要目的是确保系统和数据的安全,通过对日志数据的审查和分析,可以发现潜在的安全事件和威胁,以便及时采取措施进行防范。
日志审计的重要性体现在以下几个方面:(1)满足合规要求:许多国家和行业的法规规定,组织和企业需要对其日志数据进行审计,以证明其系统和数据的安全性。
(2)提高安全意识:日志审计可以帮助企业和组织发现安全漏洞和威胁,提高其安全意识,防止数据泄露和经济损失。
(3)改进安全策略:通过对日志数据的分析,可以找出系统和网络的薄弱环节,为企业和组织提供有针对性的改进意见,以提高其安全策略的有效性。
3.日志审计的基本流程日志审计的基本流程通常包括以下几个步骤:(1)收集日志数据:首先需要收集所有与安全相关的日志数据,包括系统日志、网络日志、应用程序日志等。
(2)整理和分析日志数据:对收集到的日志数据进行整理,去除重复和无用的信息,然后使用数据分析技术进行深入分析,以发现潜在的安全事件和威胁。
(3)审查和报告:将分析结果进行审查,编写审计报告,向相关管理人员和部门汇报,以便及时采取措施处理安全事件。
(4)存储和归档日志数据:对日志数据进行长期存储和归档,以备后续审计或调查使用。
4.日志审计的方法和技术日志审计的方法和技术主要包括以下几种:(1)手工审计:通过人工阅读和分析日志数据,发现异常和潜在威胁。
这种方法效率较低,容易出错,但适用于小型组织和企业。
(2)自动化审计:使用计算机软件或工具自动分析和筛选日志数据,提高审计效率。
中国移动云市场日志审计系统产品操作手册【模板】
中国移动云市场日志审计系统产品操作手册2022/2/3目录1. 修订目录 (3)2. 范围 (3)3. 应用介绍 (3)4. 相关术语与缩略语解释 (4)5. 产品的主要功能概述 (4)6. 功能使用说明 (5)6.1. 登录 (5)6.2. 主题 (6)6.3. 状态 (6)6.3.1. 添加图表 (7)6.3.2. 调整图表位置 (7)6.3.3. 图表数据钻取 (8)6.4. 分析 (10)6.4.1. 添加分析组 (10)6.4.2. 添加自定义图表 (11)6.4.3. 自定义图表预览功能 (12)6.4.4. 自定义图表查询统计条件 (13)6.5. 审计 (16)6.5.1. 事件查询 (16)6.5.2. 原始日志 (21)6.5.3. 关联事件 (24)6.5.4. 内部审计 (25)6.6. 资产 (26)6.6.1. 资产列表 (26)6.6.2. 资产类型 (33)6.7. 规则 (34)6.7.1. 解析规则 (34)6.7.2. 告警规则 (36)6.7.3. 过滤规则 (37)6.7.4. 关联规则 (40)6.7.5. 授权规则 (42)6.7.6. 角色列表 (43)6.7.7. 登录策略 (44)6.8. 报表 (46)6.8.1. 添加报表 (46)6.8.2. 预览/下载/生成报表 (47)6.9. 告警 (47)6.9.1. 钻取告警关联事件 (47)6.9.2. 告警通知 (48)6.9.3. 邮箱设置 (49)6.10. 网络 (49)6.10.1. 网络设置 (49)6.10.2. 通信设置 (50)6.10.3. 双机配置 (52)6.10.4. 级联管理 (53)6.11. 系统 (54)6.11.1. 采集器管理 (54)6.11.2. 插件中心 (56)6.11.3. 知识库 (56)6.11.4. 日志摘要 (57)6.11.5. 数据备份 (59)7. 应用常见问题 (61)1.修订目录2.范围本手册适用于负责支持维护建恒信安日志审计系统的系统管理员、操作员和审计员,是进行建恒信安日志审计系统配置管理时的必备手册。
Loase运维安全系统运维用户手册运维方式
LogBase运维安全管理综合审计系统运维用户手册杭州思福迪信息技术有限公司目录1.基本信息本文档用于指导Logbase运维安全管理综合审计系统普通运维账号的使用,请用户根据Logbase运维安全系统管理员的指导下,选择相应的内容做参考。
2.运维方式2.1.R DP/VNC/X11协议三种图形协议支持C/S方式(客户端方式)和B/S方式(页面方式)连接,其中C/S (客户端方式)分为非认证方式、认证方式、菜单方式。
2.1.1.C/S方式使用C/S方式连接时,三种图形协议均使用WINDOWS自带远程桌面工具。
2.1.1.1.非认证方式首先使用远程桌面工具连接运维安全系统,如图所示:运维安全系统地图连接此处IP为运维安全系统IP地址。
点击连接后出现运维安全系统登录画面,如图 所示:图 非认证方式登录在【protocol 】中选择要连接的协议;【domain 】中选择域(如用的是域帐号);【username 】中以“服务器帐号@服务器IP :端口”的方式填写,如使用默认端口(3389)可不填端口;【password 】中输入服务器密码。
点解【OK 】即可登录服务器。
选择“VNC ”协议时,由于只支持VNC 自带的认证,并设置密码,所以使用“VNC 协议”时有双重密码;【username 】填写时可不输入帐号,直接填写“@服务器IP ”,【password 】中输入VNC 设置的密码,连接后可按“Ctrl+Alt+End ”进行屏幕解锁,再输入服务器帐号和密码登录服务器。
选择“X11”协议时,由于X11协议不支持密码代填,在运维安全系统登录界面时,【username 】与VNC 协议相同,直接填写“@服务器IP ”,【password 】可不输入密码,连接后出现“X11”登录界面,再输入服务器帐号及密码登录服务器。
此处选择要连接的协议,可选择RDP 、VNC 、X11 如果登录服务器使用的是域帐号,此处可选择域服务器帐服务器IP 及端口服务器密码2.1.1.2.认证方式首先使用远程桌面工具连接运维安全系统,如图所示:运维安全系统地图连接此处IP为运维安全系统IP地址。
LogBase运维安全系统运维用户手册(运维方式)
LogBase运维安全管理综合审计系统运维用户手册杭州思福迪信息技术有限公司2010.9目录1.基本信息 (3)2.运维方式 (3)2.1. RDP/VNC/X11协议 (3)2.1.1. C/S方式 (3)2.1.2. B/S方式 (9)2.2. SSH协议 (15)2.2.1. C/S方式 (15)2.2.2. B/S方式 (20)2.3. TELNET协议 (22)2.3.1. C/S方式 (22)2.3.2. B/S方式 (25)2.4. RLOGIN协议 (27)2.4.1. C/S方式 (27)2.4.2. B/S方式 (29)2.5. FTP协议 (31)2.5.1. C/S方式 (31)2.5.2. B/S方式 (37)2.6. ORACLE协议 (39)2.6.1. B/S方式 (39)2.7. MSSQL协议 (39)2.7.1. C/S方式 (39)2.8. SYBASE协议 (42)2.8.1. C/S方式 (42)1.基本信息本文档用于指导Logbase运维安全管理综合审计系统普通运维账号的使用,请用户根据Logbase运维安全系统管理员的指导下,选择相应的内容做参考。
2.运维方式2.1.RDP/VNC/X11协议三种图形协议支持C/S方式(客户端方式)和B/S方式(页面方式)连接,其中C/S (客户端方式)分为非认证方式、认证方式、菜单方式。
2.1.1.C/S方式使用C/S方式连接时,三种图形协议均使用WINDOWS自带远程桌面工具。
2.1.1.1.非认证方式首先使用远程桌面工具连接运维安全系统,如图2.1.1所示:运维安全系统地图2.1.1 连接点击连接后出现运维安全系统登录画面,如图2.1.2 所示:图2.1.2 非认证方式登录在【protocol 】中选择要连接的协议;【domain 】中选择域(如用的是域帐号);【username 】中以“服务器帐号@服务器IP :端口”的方式填写,如使用默认端口(3389)可不填端口;【password 】中输入服务器密码。
Loase日志管理综合审计系统用户手册V版
LogBase日志管理综合审计系统使用手册杭州思福迪信息技术有限公司SAFETYBASEINFOTECHCO.LTD2011.07版权声明版权所有2005-2011,杭州思福迪信息技术有限公司本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属杭州思福迪信息技术有限公司所有,受到有关产权及版权法保护。
任何个人、机构未经杭州思福迪信息技术有限公司的书面授权许可,不得以任何方式复制或引用本文件的任何片断。
商标信息SafetybaseLogAuditSystem、Logbase等是杭州思福迪信息技术有限公司的商标。
目录前言欢迎使用杭州思福迪信息有限公司竭诚为您提供的新一代网络安全产品——思福迪日志管理综合审计系统随着互联网的飞速发展,客户对网络系统中的安全设备和网络设备、应用系统和运行状况进行全面的监测、分析、评估是保障网络安全的重要手段。
网络安全是动态的,对已经建立的系统,如果没有实时的、集中的、可视化审计,就不能有效/及时的评估系统究竟是不是安全的,并及时发现安全隐患,所以网络安全需要集中的审计系统。
如果不能将在同一网络中多个相同或者不同厂商的产品实现技术上互操作,实现集中的审计,就无法发挥有效的安全性,就无法有效管理。
安全审计系统就可以满足这些要求,对网络中的各种设备和系统进行集中的、可视的综合审计,及时发现安全隐患,提高安全系统成效。
该产品是一款分布式,跨平台的网络日志管理审计系统,通过对网络设备、服务器、数据库、应用服务等通用计算机软硬件系统以及各种特定业务系统在运行过程中产生的日志、状态、操作等信息的采集,在实时分析的基础上,监测并发现各种异常事件,准确发出实时告警。
审计系统同时提供对存储的历史日志数据进行数据挖掘和关联分析,通过可视化的界面和报表向管理人员提供准确、详尽的统计分析数据和异常分析报告,协助管理人员及时发现安全漏洞,采取有效措施,提高整个计算机应用系统的安全等级。
LogBase日志综合审计系统v
规律,帮助用户更好地了解系统的运行状况。
告警与通知
告警配置
用户可以根据实际需求配置告警规则,对异常行为和风险 进行实时监测和告警。
01
通知方式多样
系统支持多种通知方式,如邮件、短信、 电话等,确保相关人员能够及时收到告 警信息。
02
03
告警记录与统计
系统记录每一次告警的详细信息,并 提供告警统计功能,帮助用户了解告 警发生的频次和规律。
数据分析与挖掘
分享logbase在日志数据分析与挖掘方面的最佳实践,如何利用机器学习和数据挖掘技术对日志数据进行深入分析, 发现潜在的风险和价值。
审计与安全
分享logbase在日志审计与安全方面的最佳实践,如何结合日志数据实现安全事件的监控和预警,提高系 统的安全防护能力。
问题与解决方案
日志丢失与损坏
将收集的日志存储在稳定的存储介质上,保证数据不 会丢失。
分层存储设计
根据日志的重要性和访问频率,将日志存储在不同的 存储层级,提高存储效率。
数据备份与恢复
定期对日志数据进行备份,确保在数据丢失时能够快 速恢复。
日志存储优化
压缩存储
对日志数据进行压缩,减少存储空间占用。
索引优化
建立高效的索引机制,提高日志查询速度。
THANKS
感谢观看
实时可视化展示
系统提供实时的数据可视化界面, 帮助用户直观地了解日志数据的 分布、趋势和关联关系。
历史审计
历史数据存储
01
系统能够长期保存日志数据,支持对历史数据的查询、分析和
审计。
自定义查询
02
用户可以根据需求自定义查询条件,对历史日志数据进行筛选、
聚合和分析。
趋势分析与对比
日志审计手册
日志审计手册一、手册概述本手册旨在提供一套完整的日志审计指南,帮助用户了解和实施有效的日志审计策略。
手册涵盖了日志审计的各个方面,包括标准、流程、工具、数据收集与分析、报告编写、常见问题与解决方案、法规与合规要求、计划与执行方案、测试与评估,以及维护与管理。
二、日志审计标准1.定义:日志审计是对系统、网络、应用程序和其他安全相关事件的记录进行收集、分析和报告的过程。
2.标准:日志审计应遵循以下标准:a) 完整性:确保日志数据的完整性,以防止数据被篡改或丢失。
b) 可靠性:确保日志数据的可靠性,以便准确反映事件情况。
c) 实时性:实时收集和分析日志数据,以便及时发现和应对安全事件。
d) 可用性:确保日志数据的可用性,以便进行后续分析和报告。
三、日志审计流程1.日志收集:从各种系统和应用程序中收集日志数据。
2.日志存储:将收集的日志数据存储在安全、可靠和易于访问的地方。
3.日志分析:对收集的日志数据进行深入分析,以发现潜在的安全事件。
4.日志报告:根据分析结果编写报告,提供有关安全事件的详细信息。
5.持续监控:对系统、网络和应用程序进行持续监控,以发现新的安全事件。
四、日志审计工具1.工具类型:有以下几种常见的日志审计工具:a) 网络监控工具:用于监控网络流量和异常行为。
b) 漏洞扫描工具:用于发现系统和应用程序中的漏洞。
c) 安全事件管理(SIEM)系统:用于收集、分析和报告安全事件。
d) 主机入侵检测系统(HIDS):用于监控主机系统上的活动,并检测潜在的入侵行为。
2.选择工具:应根据组织的需求和预算选择合适的工具。
五、日志审计数据收集与分析1.数据收集:从各种来源收集日志数据,包括系统、网络设备、应用程序、安全设备等。
2.数据筛选:根据特定标准筛选日志数据,以减少数据量和分析时间。
3.数据分析:使用合适的技术和方法对筛选后的数据进行深入分析,以发现潜在的安全事件。
4.数据可视化:将分析结果以图表、图形和其他可视化形式展示,以便更直观地理解数据和分析结果。
LogBase运维安全系统运维用户手册运维方式
LogBase运维安全管理综合审计系统运维用户手册杭州思福迪信息技术有限公司目录1.基本信息本文档用于指导Logbase运维安全管理综合审计系统普通运维账号的使用,请用户根据Logbase运维安全系统管理员的指导下,选择相应的内容做参考。
2.运维方式2.1.RDP/VNC/X11协议三种图形协议支持C/S方式(客户端方式)和B/S方式(页面方式)连接,其中C/S (客户端方式)分为非认证方式、认证方式、菜单方式。
2.1.1.C/S方式使用C/S方式连接时,三种图形协议均使用WINDOWS自带远程桌面工具。
2.1.1.1.非认证方式首先使用远程桌面工具连接运维安全系统,如图所示:运维安全系统地图连接此处IP为运维安全系统IP地址。
点击连接后出现运维安全系统登录画面,如图 所示:图 非认证方式登录在【protocol 】中选择要连接的协议;【domain 】中选择域(如用的是域帐号);【username 】中以“服务器帐号@服务器IP :端口”的方式填写,如使用默认端口(3389)可不填端口; 【password 】中输入服务器密码。
点解【OK 】即可登录服务器。
选择“VNC ”协议时,由于只支持VNC 自带的认证,并设置密码,所以使用“VNC协议”时有双重密码;【username 】填写时可不输入帐号,直接填写“@服务器IP ”,【password 】中输入VNC 设置的密码,连接后可按“Ctrl+Alt+End ”进行屏幕解锁,再输入服务器帐号和密码登录服务器。
选择“X11”协议时,由于X11协议不支持密码代填,在运维安全系统登录界面时,【username 】与VNC 协议相同,直接填写“@服务器IP ”,【password 】可不输入密码,连接后出现“X11”登录界面,再输入服务器帐号及密码登录服务器。
此处选择要连接的协议,可选择RDP 、VNC 、X11 如果登录服务器使用的是域帐号,此处可选择域服务器帐服务器IP 及端口服务器密码2.1.1.2.认证方式首先使用远程桌面工具连接运维安全系统,如图所示:运维安全系统地图连接此处IP为运维安全系统IP地址。
(产品管理)LOGBASE产品功能介绍
(产品管理)LOGBASE产品功能介绍(产品管理)LOGBASE产品功能介绍4.6日志管理系统——LOGBASE为满足用户对网络基础架构及其应用系统的安全事件进行自动化、智能化集中管理和分析的要求,LogBase为用户提供了功能强大的事件采集模块、完善的日志分析模块,高效的日志管理及存储模块,庞杂的日志分析和管理工作从此变得轻松、简单。
4.6.1事件采集功能●采集对象LogBase支持的采集对象包括:操作系统:Linux、Solaris、AIX等所有主流类Unix操作系统的运行状态及系统日志;Windows操作系统的事件日志(EventLog)、服务器主机性能、网络连接状态等;网络及安全设备:天融信、绿盟、东软、联想网御、Cisco、Checkpoint、Juniper、Fortinet、等国内外主流网络及安全设备厂商的各种网络设备及安全设备;主流数据库访问行为:支持对ORACLE、MS-SQL、SYBASE、Informix、DB2等主流数据库网络访问协议的解析。
常见网络协议访问行为:支持对HTTP、FTP、SMTP、POP3、T elnet、MSN、BT等常见内网及互联网应用层访问协议的解析。
应用系统:支持对常见Web及应用中间件系统(Apache、IIS、Tomcat、Resin、Websphere、WebLogic、TUXEDO、VisiBroker等)、EMAIL系统、FTP系统和常见应用系统产生的系统运行及用户访问日志。
●采集方式LogBase的安全事件采集由基于网络监听的硬件探测器设备、基于网络协议采集的硬件探测器设备和软件形式的软件探针等三类探测器完成,对不同类型的事件类型采用不同的采集手段。
网络监听方式部署于网络中的硬件探测器设备通过监听及协议仍原方式获取,采取旁路方式部署于网络中,通过交换机镜像对网络流量进行采集分析。
主要完成以下网络操作行为的收集工作:(1)对用户通过数据库客户端对各种数据库系统的各种操作行为,包括登录、查询、修改、删除、数据定义和权限管理等;(2)上网行为日志(Web访问、Email、BT、Msn等)、T elnet访问、FTP 访问行为等。
LogBase日志管理综合审计系统用户手册
LogBase日志管理综合审计系统使用手册杭州思福迪信息技术有限公司SAFETYBASE INFOTECH CO.LTD2011.07版权声明©版权所有2005-2011,杭州思福迪信息技术有限公司本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属杭州思福迪信息技术有限公司所有,受到有关产权及版权法保护。
任何个人、机构未经杭州思福迪信息技术有限公司的书面授权许可,不得以任何方式复制或引用本文件的任何片断。
商标信息Safetybase Log Audit System、Logbase等是杭州思福迪信息技术有限公司的商标。
目录版权声明 0商标信息 (1)目录 (2)前言 (5)文档范围 .................................................................. 错误!未定义书签。
获得帮助 .................................................................. 错误!未定义书签。
格式约定 .................................................................. 错误!未定义书签。
一、基本信息 ................................................................ 错误!未定义书签。
二、安装方法 (5)2.1 准备工作 (5)2.2 接入网络 (6)三、LOGBASE串口配置 (8)四、系统管理 (16)4.1 登录LOGBASE (16)4.2 系统用户 (16)4.3 系统组 (18)4.4 当前用户 (19)4.5 日志权限 (20)4.6 告警接口 (23)4.7 系统设置 (24)五、数据管理 (28)5.1 数据备份 (28)5.2 数据恢复 (28)5.3 归档设置 (29)六、对象管理 (31)6.1 自定义日志 (31)6.2 日志导入导出 (31)6.3 探测器配置 (32)七、规则定义 (37)7.1 配置管理 (37)7.2 导入导出 (39)八、实时审计 (41)8.1 监控总图 (41)8.2 主机监控 (42)8.3 系统监控 (43)8.4 分类监控 (43)8.5 最新告警日志 (44)8.6 最新重要日志 (45)8.7 最新原始日志 (46)8.8 最新系统日志 (47)九、综合审计 (49)9.2 静态报表 (49)十、日志查询 (51)10.1 条件查询 (51)10.2 查询任务 (52)10.3 查询模版 (52)前言欢迎使用杭州思福迪信息有限公司竭诚为您提供的新一代网络安全产品——思福迪日志管理综合审计系统随着互联网的飞速发展,客户对网络系统中的安全设备和网络设备、应用系统和运行状况进行全面的监测、分析、评估是保障网络安全的重要手段。
LogBase日志管理综合审计系统
L o g B a s e日志管理综合审计系统技术白皮书杭州思福迪信息技术有限公司SAFETYBASE INFOTECH CO.LTD版权说明© 版权所有2005-2010,杭州思福迪信息技术有限公司本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属杭州思福迪信息技术有限公司所有,受到有关产权及版权法保护。
任何个人、机构未经杭州思福迪信息技术有限公司的书面授权许可,不得以任何方式复制或引用本文件的任何片断。
商标信息Safetybase、LogBase均是杭州思福迪信息技术有限公司注册商标,受商标法保护。
目录第一章概述 (4)1.1 信息安全审计的必要性 (4)1.2 信息安全审计目标 (5)第二章 LogBase产品介绍 (6)2.1 产品概述 (6)2.2 体系结构 (7)第三章 LogBase功能介绍 (8)第四章 LogBase产品特性 (10)5.1 全面的日志采集能力 (10)5.2 可靠的安全保障能力 (10)5.3 专用的日志专家规则库 (10)5.4 灵活开放的查询条件 (11)5.5 高效的事件定位能力 (11)5.6 安全的旁路审计模式 (11)5.7 良好的扩展性设计 (12)5.8 丰富的合规性报表 (12)第五章典型部署 (13)第六章产品规格与指标 (14)6.1 审计主机规格指标 (14)6.2 硬件探测器性能指标 (15)第一章概述1.1 信息安全审计的必要性随着政府、企事业单位等各类组织的信息化程度不断提高,对信息系统的依赖程度也随之增加,如何保障信息系统安全是所有单位都十分关注的一个问题。
当前,大部分组织都已对信息安全系统进行了基本的安全防护,如实施防火墙、入侵检测系统、防病毒系统等。
然而,信息系统维护过程中依然还面临着诸多的困难及风险,如:✓系统运维风险:由于操作系统、硬件、应用程序等故障或配置错误导致系统异常运行,服务中断。
思福迪LogBase日志综合审计系统介绍
日志采集
Logbase Lec
协议型探针
✓ Syslog ✓ Snmp Trap
✓ Netflow ✓ Opsec Lea
文件型探针
✓ 通用日志文件 ✓ IIS、apache ✓ Unix系统日志 ✓ 中间件 ✓ 应用系统
日志管理的必要性
合规的主要依据: ➢等级保护 ➢风险评估
➢各行业安全管理规定 技术管理的主要依据
➢了解系统运行变化 ➢事前发现事故隐患评估
➢及时获得故障通知 安全事故的追查依据
• 日志海量,每天数以亿计 • 输出方式,多种多样 • 格式复杂,可读性差
• 分析备份,工作烦复 • 易篡改或删除
人工管理费时费力,效果差
➢ 背景分析 ➢ 产品介绍 ➢ 产品部署
LogBase日志管理综合审计系统是思福迪公司自 主研发的拥有自主知识产权的专业信息安全审计产 品,通过监测及采集信息系统中的系统安全事件、 用户访问行为、系统运行日志、系统运行状态等各 类信息,经过规范化、过滤、归并和告警分析等处 理后,以统一格式的日志形式进行集中存储和管理, 结合丰富的日志统计汇总及综合分析功能,实现对 信息系统整体安全状况的全面审计。
SysLog File
Agent
Web服务器 邮件服务器 FTP服务器 防病毒服务器 数据库服务器
应用服务器
Thank You!
SysLog
InternBiblioteka tLogBaseSysLog File
Agent
SYSLOG等协议型日志 文件型日志 软件探针
防火墙/VPN
SysLog
日志审计管理系统需求说明书
日志审计管理系统需求说明书一、总体要求⏹支持对主流操作系统、数据库系统、应用软件系统、网络设备、安全设备进行自动采集。
⏹支持SYSLOG和OPSEC LEA标准日志协议,能通过代理收集日志文件,并将日志统一格式化处理。
⏹对采集的日志可分类实时监控和自动告警。
⏹对收集的日志信息可按日志所有属性进行组合查询和提供报表。
⏹能按日志来源、类型、日期进行存储,支持日志加密压缩归档。
⏹不影响日志源对象运行性能和安全。
⏹操作简便直观,可用性好。
二、具体要求2.1日志收集对象要求用户可根据自己的需求很容易定制开发新的日志收集代理。
2.2 日志收集方式要求需要支持的协议有syslog、snmp trap、windows log、checkpoint opsec、database、file、xml、soap等等。
⏹主动信息采集对路由器、交换机、防火墙、VPN、IDS/IPS等网络设备的日志采集支持采用SYSLOG(UDP514)和OPSEC LEA协议形式自动采集。
⏹日志文件采集支持本地系统平台上通过安装Agent采集日志文件中的日志信息。
⏹性能状态探测能获取系统平台的CPU、内存、端口使用率、应用的响应时间、进程数、TCP连接数、负载等性能参数。
2.3日志分析功能要求2.3.1告警功能⏹支持对紧急、严重日志进行自动报警,可自定义需报警的日志类型。
⏹监控台支持对收集的全部日志进行分类实时监控。
⏹应该能够将各种不同的日志格式表示为统一的日志数据格式。
且统一格式时不能造成字段丢失。
⏹能自动对各种类型的日志进行实时分析,并能将紧急、严重的事件日志通过设备远程主控台、短信、邮件、电话语音提示等方式向管理员发送实时告警消息,支持自定义报警日志的类型。
⏹通过对网络设备及系统平台的性能状态、安全访问、异常事件产生的日志进行分析统计,按数据源输出监控分析报表。
⏹支持对日志进行基于时间、源地址、目的地址、协议类型、危险级别等日志所有属性字段的组合搜索查询。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
LogBase日志管理综合审计系统使用手册杭州思福迪信息技术有限公司SAFETYBASE INFOTECH CO.LTD2011.07版权声明© 版权所有2005-2011,杭州思福迪信息技术有限公司本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属杭州思福迪信息技术有限公司所有,受到有关产权及版权法保护。
任何个人、机构未经杭州思福迪信息技术有限公司的书面授权许可,不得以任何方式复制或引用本文件的任何片断。
商标信息Safetybase Log Audit System、Logbase等是杭州思福迪信息技术有限公司的商标。
目录版权声明 (1)商标信息 (1)目录 (2)前言 (4)文档范围 .................................................................. 错误!未定义书签。
获得帮助 .................................................................. 错误!未定义书签。
格式约定 .................................................................. 错误!未定义书签。
一、基本信息 ................................................................ 错误!未定义书签。
二、安装方法 (5)2.1 准备工作 (5)2.2 接入网络 (5)三、LOGBASE串口配置 (7)四、系统管理 (17)4.1 登录LOGBASE (17)4.2 系统用户 (17)4.3 系统组 (19)4.4 当前用户 (21)4.5 日志权限 (22)4.6 告警接口 (25)4.7 系统设置 (26)4.8 设备管理 (28)五、数据管理 (30)5.1 数据备份 (30)5.2 数据恢复 (30)5.3 归档设置 (31)六、对象管理 (33)6.1 自定义日志 (33)6.2 日志导入导出 (33)6.3 探测器配置 (34)七、规则定义 (40)7.1 配置管理 (40)7.2 导入导出 (43)八、实时审计 (44)8.1 监控总图 (44)8.2主机监控 (45)8.3 系统监控 (47)8.4 分类监控 (47)8.5 最新告警日志 (48)8.6 最新重要日志 (50)8.7 最新原始日志 (51)8.8 最新系统日志 (52)九、综合审计 (54)9.1 动态报表 (54)9.2 静态报表 (55)十、日志查询 (56)10.1 条件查询 (56)10.2 查询任务 (57)10.3 查询模版 (58)前言欢迎使用杭州思福迪信息有限公司竭诚为您提供的新一代网络安全产品——思福迪日志管理综合审计系统随着互联网的飞速发展,客户对网络系统中的安全设备和网络设备、应用系统和运行状况进行全面的监测、分析、评估是保障网络安全的重要手段。
网络安全是动态的,对已经建立的系统,如果没有实时的、集中的、可视化审计,就不能有效/及时的评估系统究竟是不是安全的,并及时发现安全隐患,所以网络安全需要集中的审计系统。
如果不能将在同一网络中多个相同或者不同厂商的产品实现技术上互操作,实现集中的审计,就无法发挥有效的安全性,就无法有效管理。
安全审计系统就可以满足这些要求,对网络中的各种设备和系统进行集中的、可视的综合审计,及时发现安全隐患,提高安全系统成效。
该产品是一款分布式,跨平台的网络日志管理审计系统,通过对网络设备、服务器、数据库、应用服务等通用计算机软硬件系统以及各种特定业务系统在运行过程中产生的日志、状态、操作等信息的采集,在实时分析的基础上,监测并发现各种异常事件,准确发出实时告警。
审计系统同时提供对存储的历史日志数据进行数据挖掘和关联分析,通过可视化的界面和报表向管理人员提供准确、详尽的统计分析数据和异常分析报告,协助管理人员及时发现安全漏洞,采取有效措施,提高整个计算机应用系统的安全等级。
第4 页共62页二、安装方法2.1 准备工作在安装LOGBASE之前,请打开LOGBASE的随机配件盒,查看配件清单,核对LOGBASE配件是否完整。
除配件盒内物品外,还需要进行以下准备工作:IP地址——请在网络中给LOGBASE预留1个管理IP地址。
临时计算机——配置LOGBASE需要一台临时管理用计算机,LOGBASE配置时可以通过串口连接;超级终端软件——能够连接串口的终端软件(比如Windows的超级终端软件、Putty、SecureCRT等);浏览器——请确定计算机系统已安装IE浏览器(建议使用IE7.0以上版本);2.2 接入网络请将LOGBASE按如图2.1所示的拓扑结构方式接入网络,此图考虑的是通常情况,在具体应用时,请根据自己网络的拓扑结构加以调整。
第5 页共62页图2.1 LOGBASE的网络接入拓扑结构图接入网络时,请注意以下几点:●使用网络直连线连接交换机和LOGBASE的LAN1口。
●将LOGBASE接入网络后请立即修改其网络配置,适应所在网络。
LOGBASE的网络设置默认如表2:IP192.168.1.1MASK 255.255.255.0默认网关192.168.1.254第6 页共62页三、LOGBASE串口配置下面以Windows自带的超级终端软件为例,详细介绍实际连接过程:(1)设置端口属性,如图3.1所示:图3.1 超级终端连接端口设置窗口(2)点击【确定】后按回车键,出现提示符login: 这时输入控制台管理员的用户名和密码(默认菜单用户名:admin,默认密码:safetybase),如图3.2所示:第7 页共62页3.2 配置菜单用户登录登录成功后,如图3.3所示:3.3 登录成功显示配置菜单(3)成功登录后,可以看到配置菜单如图3.3所示:1、Set system network parameter:配置相关网卡参数;2、Set system default gateway:配置默认网关参数;第8 页共62页3、Set Device Serial:配置设备串口号;4、Set Device Console Admin Password设置串口菜单管理密码;5、Set Device Console Shell Password设置串口命令行管理密码;6、Set Web Admin Password;设置Web管理员密码;7、Set Log Server 1 Parameter;设置日志服务器1参数;8、Set Log Server 2 Parameter;设置日志服务器2参数;0、Exit:退出配置菜单;(4)选择【1】,回车;如图3.4所示:图3.4 网络接口配置列表选择相应网卡(如a),配置网络参数,如图3.5所示:第9 页共62页图3.5 网卡参数配置(5)选择【Device IP Address】,回车;配置【1-2】项输入为LOGBASE 系统预留的管理IP地址、子网掩码,选择【3】保持配置即可;选择【0】返回上级菜单;(6)在上级菜单中(如图3.4),选择【b】、【c】…【i】配置ETH1、ETH2…ETH8的网络参数,配置内容同ETH0:选择【3】保持配置即可;选择【0】返回上级菜单;第10 页共62页图3.6 串口配置主菜单(7)串口配置主菜单中选择【2】,Set System default gateway:设置设备默认网关地址;回车;如图3.7所示:第11 页共62页图3.7 设备网关配置界面(8)串口配置主菜单中选择【3】,Set Device Serial:配置设备串口号;回车;如图3.8所示:图3.8 设备串口号配置界面(9)选择【Get original serial number】,回车;即可获取该设备的串口序列号信息,将该序列号发送给生产厂家,申请相应的激活号码,然后选择【Input check serial number】,输入激活号码完成设备注册,重启设备。
设备序列号注册工作,通常在设备出厂时已经完成。
因此,在设备安装时不需要用户自行配置此项。
(10)串口配置主菜单中选择【Set Device Console Admin Password】设置串口菜单管理密码;如图3.9所示:第12 页共62页图3.9 串口菜单登录密码配置(11)首先输入旧的密码,并连续两次输入新的密码,完成串口菜单登录密码的修改。
为了确认设备安全,请用户及时更新串口登录密码。
(12)串口配置主菜单中选择【Set Device Console Shell Password】设置串口命令行模式管理密码;如图3.10所示:第13 页共62页图3.10 串口命令行模式登录密码配置(13)首先输入旧的密码,并连续两次输入新的密码,完成串口命令行模式登录密码的修改。
为了确认设备安全,请用户及时更新串口命令行模式登录密码。
(14)串口配置主菜单中选择【Set Web Admin Password】初始化WEB 管理界面登录密码;如图3.11所示:第14 页共62页图3.11 初始化WEB管理密码在用户忘记Web管理界面登录密码后,可通过该选项对Web密码进行初始化配置。
(15)串口配置主菜单中选择【Set Log Server 1 Parameter】,回车;配置日志服务器参数。
选择发送方法、输入服务器IP并保存配置。
如图(3.12)所示:第15 页共62页图3.12 日志服务器配置界面系统提供两种日志发送方法(LOGBASE:LOGBASE专用日志格式、SYSLOG:标准SYSLOG协议日志格式)将日志发送到其它的日志服务器;系统同时支持两个日志服务器的配置。
第16 页共62页四、系统管理4.1 登录LOGBASE打开IE浏览器,输入LOGBASE地址,(如https://192.168.1.1),以LOGBASE管理员角色登录,默认用户名:admin;密码:safetybase;如图4.1所示,点击【登录系统】:图4.1登录界面请及时修改系统默认密码。
密码连续输入错误三次,登录页面会自动关闭;登录成功后10分钟未进行任何操作,系统会超时退出;4.2 系统用户选择导航条上【系统管理】—>【系统用户】;查看当前系统用户列表,并可执行【添加】或【删除】系统用户操作:如图4.2所示第17 页共62页图4.2系统用户点击【添加】,产生一个新的系统用户:输入新用户的基本信息、赋予功能权限和隶属组;如图4.3所示系统管理员可根据用户的岗位职权来分配相应用户帐号的功能权限,保障LOGBASE审计系统的安全及用户网络信息的安全。