网络卫士安全审计系统用户手册.doc

网络卫士安全审计系统网络卫士安全审计系统 用户手册用户手册 天融信 TOPSEC 北京市海淀区上地东路 1 号华控大厦 4 层 100085 电话：+8610-82776666 传真：+8610-82776677 服务热线：+8610-8008105119 版权声明版权声明 本手册中的所有内容及格式的版权属于北京天融信公司（以下 简称天融信）所有，未经天融信许可，任何人不得仿制、拷贝、转 译或任意引用。 版权所有 不得翻印 2009 天融信公司 商标声明商标声明 本手册中所谈及的产品名称仅做识别之用。手册中涉及的其他 公司的注册商标或是版权属各商标注册人所有，恕不逐一列明。 TOPSEC 天融信公司 信息反馈信息反馈 1前言前言.1 1.1文档目的.1 1.2读者对象.1 1.3文档基本内容.2 1.4约定.2 1.5相关文档.2 1.6技术服务体系.3 2系统简介系统简介.4 2.1系统组成.4 2.2系统功能.5 2.2.1日志收集.5 2.2.2日志存储.5 2.2.3日志检索.6 2.2.4统计报表.6 2.2.5实时监视.7 2.2.6事件响应.7 3初次使用系统初次使用系统.8 3.1系统登录.8 3.2角色权限.9 4用户管理员用户管理员.10 4.1监控首页.10 4.2用户设置.11 5系统管理员系统管理员.14 5.1监控首页.14 5.2系统管理.15 5.2.1代理管理.15 5.2.2日志源管理.24 5.2.3系统配置.27 5.2.4Licence信息.32 5.3告警管理.34 5.3.1事件设置.34 5.3.2告警响应.38 6系统审计员系统审计员.47 6.1监控首页.47 6.2日志管理.48 6.2.1日志浏览.48 6.2.2日志查询.50 目目 录录 6.2.3自定义查询.54 6.2.4索引维护.57 6.2.5历史日志.58 6.3报表管理.60 6.3.1基本报表.60 6.3.2自定义报表.63 6.3.3计划报表.66 7日志审计员日志审计员.71 7.1监控首页.71 7.2日志查询.72 7.3基本报表.72 1 前言前言 本用户手册主要介绍了网络卫士安全审计系统（TopAudit）的系统架构、配置、使 用和管理。通过阅读本文档，用户可以了解安全审计系统的基本组成，并配置和使用安 全审计系统。 本章内容主要包括： 文档目的 读者对象 文档基本内容 约定 相关文档 技术服务体系 1.1文档目的文档目的 通过阅读本文档，使用户能够正确地部署和配置安全审计系统，并能通过对各种任 务策略的统一配置和管理，实现对事件的综合分析，同时能实时监控事件并生成报表。 1.2读者对象读者对象 本用户手册适用于具有基本网络知识的系统管理员和网络管理员阅读，通过阅读本 文档，他们可以独自完成以下一些工作： 浏览和查询日志。 生成报表和查询报表。 配置系统参数。 配置系统事件与告警响应的关联。 用户管理 1.3文档文档基本内容基本内容 本用户手册包含以下章节： 第一章“前言”，介绍了本手册目的、读者对象、各章节的基本内容、文档约 定和技术支持信息。 第二章“系统简介”，介绍了安全审计系统的功能、组成、配置和使用方法等。 第三章“初次使用系统”，主要介绍系统登录和用户管理。 第四章“用户管理员”，介绍了用户管理员权限内的功能操作。 第五章“系统管理员”，介绍了系统管理员权限内的功能操作。 第六章“系统审计员”，介绍了系统审计管理员权限内的功能操作。 第七章“日志审计员”，介绍了日志审计管理员权限内的功能操作。 1.4约定约定 本文档遵循以下约定： 图形界面操作的描述采用以下约定： “”表示按钮。 点击（选择）一个菜单项采用如下约定： 点击（选择） 高级管理高级管理 特殊对象特殊对象 用户用户。 文档中出现的提示、警告、说明、示例等，是关于用户在使用本手册过程中需要特 别注意的部分，请用户在明确可能的操作结果后，再进行相关配置。 1.5相关文档相关文档 网络卫士安全审计系统安装手册 网络卫士安全审计系统产品说明 1.6技术技术服务体系服务体系 天融信公司对于自身所有安全产品提供远程产品咨询服务，广大用户和合作伙伴可 以通过多种方式获取在线文档、疑难解答等全方位的技术支持。 公司主页 在线技术资料 安全解决方案 技术支持中心 天融信全国安全服务热线 800-810-5119 2 系统简介系统简介 天融信网络卫士安全审计系统 V3.0（TopAudit）是一个跨平台的日志审计系统。该 系统通过收集网络中的各种安全设备（包括但不限于防火墙、IDS 系统、VPN 和防病毒 软件），操作系统（即 Windows 和 Unix/Linux），应用服务（包括但不限于 Email、WWW、FTP 和 DNS）等产生的大量日志数据，进行集中管理和全面、有效的综 合统计，为用户提供了一个方便、高效、直观的日志安全审计平台，能够帮助用户能够 及时发现网络中存在的安全风险，准确地进行事后取证，更加有效地保障自身网络的安 全运行。 本章概要介绍了日志审计系统组成和简单功能介绍。 2.1系统组成系统组成 网络卫士安全审计系统主要由客户端、审计服务器和审计代理三部分组成。 日志收集子系统 日志存储子系统 日志收集代理 WEB 浏览器 检索子系统 报表子系统告警子系统 客户端 审计服务器 审计代理 1.审计服务器审计服务器 审计服务器是整个系统的核心，提供日志收集、存储、检索、报表和系统告警功能。 内置了本地代理模块，可以直接收集 syslog、snmp 方式发送的日志。审计服务器集中存 储各种类型日志，提供统一的日志管理、查询和报表功能，并能够对系统的关键状态和 事件发出告警。 2.审计代理审计代理 审计代理用来收集无法在服务器上收集的各种应用日志，包括 windows 系统日志、 各种文件型日志。 3.客户端客户端 日志审计系统是 B/S 架构的，通过 IE 等标准 web 浏览器进行访问和管理系统。 2.2系统功能系统功能 2.2.1 日志日志收集收集 通过配置多种类型的日志代理，安全审计系统能够支持安全产品、应用协议、网络 设备、操作系统等多种产品及系统的日志数据的收集。 目前，网络卫士安全审计审计系统支持的日志类型主要包括： 天融信公司产品系列日志 Windows Event 日志 标准 Syslog 日志 路由器日志 交换机日志 其他防火墙日志 WEB 服务日志 Exchange 服务日志 IDS 及安全日志 审计系统日志 2.2.2 日志日志存储存储 安全审计系统集中存储所有日志，并且尽最大可能按照原始日志格式存储。 集中存储 集中存储可以提高日志的安全性并方便管理。日志存储策略支持按照时间和存储空 间存储和备份日志文件。当存储空间不足时优先存储最新产生的日志。 审计系统产生的日志单独存储，并可以设置独立的存储策略。 原始格式 日志审计系统按照原始格式存储日志，以便能够最大限度还原原始信息，为准确取 证提供保障。 2.2.3 日志日志检索检索 日志审计系统提供了多样、灵活的日志信息查询功能，方便管理员快速查找定位关 键日志和准确地进行事后取证。 日志浏览 可以根据日志类型、设备 IP、收集时间直接浏览原始日志。浏览结果可以导出到文 本文件中。 基本查询 支持根据日志类型，设备 IP，收集时间和日志关键字条件，使用全文检索方式查询 日志数据。日志关键字支持多条件组合，查询结果可以导出到文本文件中。 索引维护 全文检索方式要预先对检索范围内的日志建立索引，索引维护功能能够按照日志类 型、产生设备 IP、收集时间确定准确的日志检索范围，只对检索范围内的日志建立索引。 这样可以提高索引效率，降低索引空间。 历史日志检索 备份到系统外部的历史日志可以重新导入查询，目前支持按照导出日志文件为单位 进行查询管理。 2.2.4 统计报表统计报表 日志审计系统支持实时统计报表，能够根据预置的各种报表模板实时生成统计报表 数据，达到快速生成并展示报表的效果。系统根据各种设备日志类型预置了丰富的报表 模板，并提供日、月、季度、年等统计周期。 2.2.5 实时监视实时监视 日志审计系统可以实时监视安全审计中心的 CPU、内存和磁盘空间使用率以及当前 平均日志流量，方便管理员及时了解系统运行和负载情况，并能根据策略及时发出告警。 2.2.6 事件响应事件响应 审计系统能够对系统状态和关键时间及时作出响应。目前支持邮件、短消息、执行 本地命令、windows 消息和铃声五种响应方式。 3 初次使用系统初次使用系统 本章面向初次接触使用网络卫士安全审计系统的用户，介绍如何登录安全审计系统 以及管理系统的四种角色权限。本章内容主要包括： 系统登录，介绍如何通过默认帐户登录系统。 角色权限，介绍管理系统的四种角色权限。 3.1系统登录系统登录 用户在登录系统前应首先在管理主机上安装审计系统服务器，安装成功后启动相应 的程序，才能登录系统对系统进行集中管理。安全审计系统的安装请参见网络卫士安 全审计系统安装手册。 管理员可以通过 http 协议以 WEB 访问的方式对安全审计系统进行远程管理。在访 问时，管理员需要在管理主机的浏览器地址栏中输入安全审计系统服务器的管理 URL 加 上“/tal-web”，例如：6/tal-web，弹出如下的登录页面。 初次登录输入用户名：tal，密码：12345678，点击“登录”即可成功登录系统且管 理员首次只能以该身份登录。“tal”为系统内置用户管理员，可以帮助初次登录系统的 管理员设置不用角色的用户；登录后，添加所需的用户角色，再以相应的用户角色身份 重新登录即可。关于用户管理的具体操作请参见 4 用户管理。 3.2角色权限角色权限 网络卫士安全审计系统依据三权分立的设计原则将用户角色分为以下四个类别，不 同的角色对系统拥有不同的管理权限： 用户管理员：权限包括监控首页仪表、进行用户管理。 系统管理员：权限包括监控首页仪表、进行系统和告警设置。 系统审计员：权限包括监控首页仪表、日志管理和报表管理。 日志审计员：权限包括监控首页仪表、日志查询和基本报表操作。 管理员以哪种角色登录即拥有相应的管理权限，本手册将依据以上四种权限对系统 功能进行详细介绍。 4 用户管理用户管理员员 用户管理员拥有监控首页和用户管理的管理权限。 4.1监控首页监控首页 用户管理员登录系统后即进入系统监控首页，如下图所示。 首页上的四个图表显示了当前安全审计服务器工作的性能，分别表示日志流量、内 存使用率、CPU 使用率和存储空间使用率，四个图表每 10 秒刷新一次，其表示意义如 下： 1. 流量监视 数轴中的纵轴表示在某一秒内安全审计服务器接收到的日志数量。 2. 内存使用率 内存使用率以柱形图的方式显示安全审计服务器的所使用的内存占全部内存的比例。 3. CPU 使用率 钟表的指针所指数字即为安全审计服务器当前的 CPU 利用率。 4. 存储空间使用率 存储空间指的是用于存储文件的磁盘，存储空间使用率是该磁盘全部已用空间与该 磁盘总空间的比例。 4.2用户设置用户设置 安全审计系统包含用户管理员、系统管理员、系统审计员和日志审计员四种管理角 色，不同的角色对系统拥有不同的管理权限： 用户管理员：权限包括监控首页仪表、进行用户管理。 系统管理员：权限包括监控首页仪表、进行系统和告警设置。 系统审计员：权限包括监控首页仪表、日志管理和报表管理。 日志审计员：权限包括监控首页仪表、日志查询和基本报表操作。 每种角色帐户的设置类似，下面以设置用户管理员帐户为例说明具体的设置过程。 以用户管理员身份登录系统后可以对系统内的用户进行管理，设置用户管理员的操 作如下： 1）以具有用户管理权限的身份登录系统后，选择 用户管理用户管理 用户管理员用户管理员，如下图。 tal 为系统默认帐户（系统默认只提供这一个帐户，密码为 12345678），用来供初次 使用安全审计系统的管理员进行用户管理。 2）点击页面右上角的“新建用户”添加用户管理员，如下图。 界面上各参数的说明解释请参见下表。 参数说明 姓名必填项，管理员姓名，登录后会出现在页面左下角。 电子邮件选填项，管理员电子邮件地址。 角色管理员所属的角色类型，包括：用户管理员、系统管理员、系统审计员和日志审计 员，本例中为用户管理员。 描述选填项，管理员相关信息描述。 用户账号必填项，设置该管理员的登录名称，即管理员使用该名称登录系统。 状态帐户状态默认为开启，勾选“锁定”后该帐户即不可用。 密码必填项，设置该帐户的登录密码。 IP 地址范围选填项，设置可使用该账号登录系统的 IP 地址范围，即范围之外的 IP 地址不可以 使用该账号登录系统。 有效期选填项，设置可使用该账号登录系统的有效日期，即在有效期之外该帐户是不可用 的。 3）用户信息设置完成后，点击“确定”完成用户管理员的添加，新添加的帐户会出 现在其所对应角色的用户列表中（本例为用户管理员），如下图。 点击“角色”栏处的“修改”可直接对该帐户的角色进行修改，修改后该帐户即会 出现在修改角色所对应的用户列表中。 点击“操作”栏处的“锁定”可锁定该帐户；锁定之后点击“解锁”可解除锁定状 态。 点击“操作”栏处的“删除”即可删除该帐户。 点击“操作”栏处的“修改”可以修改帐户信息。 说明说明 tal 为系统默认帐户，只能对其进行帐户信息的修改。 对于正在登录的帐户，只能通过页面右上角“修改个人信息”对帐户进行编辑。 帐户只支持单点登录。 5 系统管理员系统管理员 系统管理员拥有监控首页、系统管理和告警管理的管理权限。 5.1监控首页监控首页 系统管理员登录系统后即进入系统监控首页，如下图所示。 系统首页面显示了安全审计服务器当前的工作情况，左侧导航栏是常用功能，点击 链接即可进入相应功能的设置，具体的设置方法请参见 5.2.2 日志源管理 和 高危 事件；首页上的四个图形显示了当前安全审计服务器工作的性能状况，分别表示日志流 量、内存使用率、CPU 使用率和存储空间使用率，四个图表每 10 秒刷新一次，其表示 意义如下： 1. 流量监视 数轴中的纵轴表示在某一秒内安全审计服务器接收到的日志数量。 2. 内存使用率 内存使用率以柱形图的方式显示安全审计服务器的所使用的内存占全部内存的比例。 3. CPU 使用率 钟表的指针所指数字即为安全审计服务器当前的 CPU 利用率。 4. 存储空间使用率 存储空间指的是用于存储文件的磁盘，存储空间使用率是该磁盘全部已用空间与该 磁盘总空间的比例。 5.2系统管理系统管理 系统管理主要包含了系统的基本管理，包括代理管理、日志源管理、系统配置管理 及 Licence 管理。 5.2.1 代理管理代理管理 网络卫士安全审计系统支持以下两种类型的代理： 本地代理：用来收集 syslog 和 snmp 型日志，必须和 server 安装在一起。注： 不能远程部署。 远程代理：用来收集文件日志和任务类型的日志，只能远程部署，启动后可以 在代理管理中统一管理。 代理安装并成功启动后会自动出现在安全审计系统的代理列表中，具有系统管理权 限的管理员可以对其进行编辑操作，操作如下： 1）选择 系统管理系统管理 代理管理代理管理，进入代理管理界面，如下图。 代理列表的“类型”字段显示了该代理的类型。对于在线的代理，其状态图标为绿 色；不在线代理的状态图标为红色。 2）在代理列表中，点击某远程代理对应的“修改”，可以对代理上的各模块进行管 理，如下图。 界面中显示了该远程代理的模块信息和代理信息。用户可以根据需要对代理进行编 辑。另外，用户也可以对代理上运行的模块进行修改、停止/启动等操作。 3）设置好该代理的代理信息、模块信息以后，点击“保存”按钮，完成修改。 说明说明 两种类型的代理所包含的模块信息不同，本地代理包含日志转发过滤器、Snmp Trap 数据 收集器和 Syslog 数据收集器；远程代理包含文件数据收集器和计划任务数据收集器。 可编辑模块的操作将会在后面的内容中进行详细说明。 4）在代理列表中，点击远程代理对应的“删除”可以对其执行删除操作。注：本地 代理不可以删除。 编辑文件日志收集模块编辑文件日志收集模块 文件日志收集模块支持“修改”和“停止/启动”操作。 文件日志收集模块的“修改” 点击“文件数据收集器”的“修改”，可以进行文件日志收集模块的设置。管理员 可以根据实际需要，设置要收集的文件日志的类型。如下图所示。 Agent 的文件日志收集模块可以同时收集多个类型的日志文件。 1）添加日志文件类型，点击“新建文件收集模块”可以添加要收集的日志文件类型， 并设置收集时间，如下图。 界面上各参数的说明解释请参见下表。 参数说明 名称文件日志收集任务的名称 类型要收集的日志类型，目前支持收集的日志类型包括：Apache Web 服务器、微软 IIS 服务器、微软 Exchange 邮件服务器、微软 ISA 服务器、SUN Iplanet 代理服务器、 Kill 日志收集、腾讯通和中创防篡改。 源地址要收集日志的主机的 IP 地址。注：如果是收集本机的日志，IP 必须填写 ，而不能填写真实 IP，否则无法收集日志。 任务类型/执行时间设置收集文件日志的频率，可选值有：每天、每周、每月、一次性、指定的时间循 环。 当设置为“每周”时需要指定每周的周几执行； 当设置为“每月”时需要指定每月的几号执行； 当设置为“一次性”时需要制定具体的执行日期； 当设置为“指定的时间循环”时，需要指定具体的执行日期和执行间隔。 对于所有类型，都需要用户在“执行时间”处设置具体的执行时间 点击“添加”按钮设置日志文件的路径或日志文件所在目录。 2）修改文件日志收集任务，点击已添加任务的“编辑”可以进行文件日志收集任务 的修改。 3）删除文件日志收集任务 点击已添加任务的“删除”可以删除文件日志收集任务。 文件日志收集模块的“停止/启动” 点击文件日志收集模块的“停止/启动”可以切换文件日志收集模块的工作状态。 编辑定制任务模块编辑定制任务模块 定制任务模块支持“修改”和“停止/启动”操作。 定制任务模块的“修改” 点击“计划任务数据收集器”的“修改”，可以进行定制任务模块的设置。用户可 以根据实际需要，设置定制任务，以便监视和管理关心的数据和信息。如下图所示。 Agent 的定制任务模块可以同时运行多个定制任务，每个定制任务可以分别监视不 同的信息。 1）添加定制任务，点击“添加定制任务”可以添加一个定制任务。 在“任务模块”下拉框中选择要监视的信息类型。目前可监视的信息类型包括： WINDOWS 日志收集、Checkpoint 日志收集。 选择选择 WINDOWS 日志收集日志收集 在任务模板中选择“WINDOWS 日志收集”，如下图。 请根据“描述信息”配置参数，需要注意的是：如果要收集本机的 WINDOWS 日志， 仅需将“EventLog address”设为 即可，其他参数无需设置。 选择选择 Checkpoint 日志收集日志收集 在任务模板中选择“Checkpoint 日志收集”，如下图。 请根据“描述信息”配置参数。 2）修改定制任务，点击已添加任务的“修改”可以进行定制任务的修改。 3）删除定制任务，点击已添加任务的“删除”可以删除定制任务。 定制任务模块的“停止/启动” 点击定制任务模块的“停止/启动”可以切换定制任务模块的工作状态，即是否启动 定制任务模块。 编辑日志转发过滤器模块编辑日志转发过滤器模块 日志转发过滤器模块支持“修改”和“停止/启动”操作。 过滤器模块的“修改” 点击过滤器模块的“修改”，可以进行过滤器模块的设置。用户可以根据实际需要， 灵活地调整参数，以便从大量的日志信息中，过滤出用户关心的数据。如下图所示。 在条件编辑中，用户可以根据需要设置查询条件。 类型说明 操作按钮 “&”、“|”、“!=”分别代表与、或、非操作。 删除用来删除已编辑的条件内容。 验证帮助用户在编辑完成后，查看编辑的完整条件，检查语法。 按钮下方是编辑显示区域，已经编辑的条件将会显示在此处。 在列集显示区域中，用户可以使用已定义的查询条件。 类型说明 字段集选择已定义的列集 名称列集中各字段项的名称 操作符查询的各种操作符 条件设置查询具体条件值 设置完成后交，点击“保存”完成过滤器模块的编辑。 过滤器模块的“停止/启动” 点击过滤器模块的“停止/启动”可以切换过滤器模块的工作状态，即是否进行过滤。 说明说明 过滤器是和日志转发模块配合使用的。 编辑编辑 Snmp Trap 数据收集器数据收集器 Snmp 日志收集模块支持“修改”和“停止/启动”操作。 Snmp 日志收集模块的“修改” 点击 Snmp Trap 数据收集器的“修改”，可以管理该 Agent 能够收集的 snmp 日志信 息源，如下图所示。 1）添加 snmp 日志收集源 点击“新建日志收集源”可以添加该代理能够收集的 snmp 日志信息源。如下图所 示。 设置“名称”、“设备 IP”、“设备类型”以及“字符集”等参数，目前设备类型 支持：金诺入侵检测、安氏入侵检测、启明天阗入侵检、绿盟冰之眼 IDS、网神 IDS 设 备支持、McAfee Antivirus 网络版、McAfee Webshield、Avaya 交换机和 Norton 防病毒。 设置完成后，点击“保存”按钮，完成 Snmp 日志信息源的添加；点击“取消”按 钮，放弃此次操作。 2）修改 snmp 日志收集源 点击已设置好的 Snmp 日志信息源的“修改”可以修改此日志源的配置：“名称”、 “设备 IP”、“设备类型”以及“字符集”等参数。修改完成后，点击“保存”按钮， 完成修改；点击“取消”按钮，放弃此次修改。 3）删除 snmp 日志收集源 用户可以点击已设置好的 Snmp 日志信息源的“删除”删除此日志源的配置。 Snmp 日志收集模块的“停止/启动” 点击 Snmp 日志收集模块的“停止/启动”可以切换 Snmp 日志收集模块的工作状态， 即是否接受 Snmp 日志。 编辑编辑 Syslog 数据收集器数据收集器 Syslog 日志收集模块支持“修改”和“停止/启动”操作。 Syslog 日志收集模块的“修改” 点击 Syslog 数据收集器的“修改”，可以管理该 agent 能够收集的 syslog 日志信息 源，如下图所示。 1）添加 syslog 日志收集源 点击上图中的“新建日志收集源”可以添加该代理能够收集的 syslog 日志信息源。 如下图所示。 用户需要依次设置“名称”、“设备 IP”、“设备类型”以及“字符集”等参数。 设置好以后，点击“保存”按钮，完成 syslog 日志信息源的添加；点击“取消”按 钮，放弃此次操作。 2）修改 syslog 日志收集源 点击已设置好的 syslog 日志信息源的“修改”可以修改此日志源的配置。用户可以 修改 “名称”、“设备 IP”、“设备类型”以及“字符集”等参数。 修改后，点击“保存”按钮，完成修改；点击“取消”按钮，放弃此次修改。 3）删除 syslog 日志收集源 点击已设置好的 Syslog 日志信息源的“删除”按钮可以删除此日志源的配置。 Syslog 日志收集模块的“停止/启动” 点击 Syslog 日志收集模块的“停止/启动”可以切换 Syslog 日志收集模块的工作状 态，即是否接受 Syslog 日志。 5.2.2 日志源管理日志源管理 安全审计系统将日志源分为两类：一种可以主动向安全审计系统发送日志，称为主 动型日志源，该类型的日志源只要由管理员将其添加到安全审计系统中，便可以收到该 系统或设备发出的日志；另外一种日志源的日志为文件型日志，不可以主动向外发送日 志，需要由远程代理进行收集。关于远程代理的管理请参见 5.2.1 代理管理。 日志源浏览日志源浏览 具有日志源管理权限的管理员可以查看系统内的所有日志源，具体操作如下： 选择 系统管理系统管理 日志源管理日志源管理，点击左侧导航区域的“日志源浏览”，查看系统内 已有的日志收集源，如下图。 点击标题栏的“名称”、“类型”、“IP 地址”、“代理 IP 地址”可将日志源进行 相应关键字的升序或降序排列。上图中即为按照“名称”的降序排列。 主动日志源管理主动日志源管理 日志代理安装并配置完毕后，审计中心接收任何可以主动发送日志的系统或者设备 的日志前，必须在日志收集源处添加该系统或者设备的日志源，即 IP 地址和日志格式类 型。审计服务器还可以通过启用或禁用该日志源来确定是否允许该系统或者设备的日志 向审计服务器发送。具体操作步骤如下： 1）选择 系统管理系统管理 日志源管理日志源管理，点击左侧导航区域的“主动日志源管理”，进入 日志源配置管理界面，如下图。 点击标题栏的“名称”、“类型”、“IP 地址”、“所属 Agent”、“流量（条/秒） ”可将日志源进行相应关键字的升序或降序排列。 2）点击页面右上角“新建日志源”，如下图。 参数说明见下表： 参数说明 名称输入作为日志源的设备或系统的名称 设备 IP输入该设备或系统的 IP 地址 模块名选择日志收集模块类型，包括：Syslog Collector、Snmp Collector 设备类型选择添加日志源的设备类型，安全审计系统支持的日志源设备类型 包括：天融信 TOS 防火墙、Topsec 防火墙、Topsec 入侵防御系统、 cisco pix 防火墙、netscreen 防火墙、阿姆瑞特防火墙、中华卫士防 火墙、海信防火墙、Nokia 防火墙、东软 NetEye4000 防火墙、网神 防火墙支持、snort 入侵检测、Topsec 入侵检测、Topsec 入侵检测 V1.0、鹰眼 IDS、绿盟 anti ddos、海信入侵检测、东软 NetEye2400 入侵检测系统、Topsec vpn、Sunyard vpn、Checkpoint VPN-100 pro、安达通 VPN、sygate、servgate、McAfee Webshield、冠群金辰 KSG 邮件网关、联想网闸、金电网安网闸、syslog 设备、Topsec TMC 终端管理、TopPolicy 系统监视、北塔、Webtrends 设备、格尔 保险箱、启明天钥网络审计、汉邦强审计、Topsec 病毒网关、反垃 圾邮件、安全控制管理信息系统、联想网御 UTM、启明天清汉马 UTM、天融信安全网关、Cisco 路由器、Foundry 路由器、华为路由 器、锐捷路由器、Cisco 交换机、华为交换机、北电交换机、 Foundry 交换机、港湾交换机。 字符集选择设备产生的日志所支持的字符编码格式 参数配置完毕后，点击“提交”完成日志源添加。 3）添加成功后，新添加的日志源会显示在日志源列表中，如下图所示。 点击日志源编辑栏对应的“删除”或“修改”，可对该日志源执行相应的操作。 提示提示 系统最多能够添加的日志源个数是由系统 license 数决定的，如果达到最大数目时继续 添加，系统将会弹出“日志源数目已达最大限制”的提示信息。关于系统 license 信息 的查看请参见5.2.4Licence 信息。 5.2.3 系统配置系统配置 邮件服务器配置邮件服务器配置 在邮件告警以及计划报表中，邮件服务器负责将告警信息或报表信息发给收信人。 邮件服务器的配置步骤如下： 以具有系统管理权限的身份登录系统后，选择 系统管理系统管理 系统配置系统配置，在左侧导航 区域选择“邮件服务器”，如下图所示。 参数说明见下表： 参数说明 邮件服务器 ip设置邮件服务器 IP 地址 邮件服务器端口设置邮件服务器端口 邮件发送人设置收信方的 Emai 地址 用户名收信方登录邮件系统的用户名 口令收信方登录邮件系统的口令 参数设置完成后，点击“修改”即可。 日志转发配置日志转发配置 安全审计系统支持日志转发功能，可以把系统收集到的日志连同系统日志一起以 syslog 形式转发到指定地址。具体配置步骤如下： 以具有系统管理权限的身份登录系统后，选择 系统管理系统管理 系统配置系统配置，在左侧导航 区域选择“日志转发”，如下图所示。 参数说明见下表： 参数说明 日志转发 ip 地址列表设置日志转发地址，可添加多个。 端口设置转发端口。 发送最大频率设置每秒钟转发日志的最大条数，范围：1-2000。 转发状态设置转发状态，包括：停止、启动。 在“日志转发 ip 地址列表”栏内填入要转发日志的 IP 地址，然后点击“添加”， 新添加的 IP 地址就会出现在下方的地址列表中；选中列表中的 IP 地址，点击“删除” 可将其删除。 参数设置完成后，点击“修改”即可。 日志存储策略日志存储策略 日志存储策略主要用来管理历史日志对系统的影响，其设置步骤如下： 以具有系统管理权限的身份登录系统后，选择 系统管理系统管理 系统配置系统配置，在左侧导航 区域选择“日志存储策略”，如下图所示。 参数说明见下表： 参数说明 系统日志保存期（天）该