NAR2系统管理手册.docx

配置管理手册通用日志审计系统NAR2版权声明NAR2安全审计软件用户手册本手册详细介绍NAR2安全审计软件用户的访问方法和管理配置方法，为用户在使用综合日志审计的服务时提供参考。本手册和NAR2安全审计软件一起发行。作者：北京信联云通科技有限责任公司Copyright2011 by Octopus Link，北京信联云通科技有限责任公司，版权所有。北京信联云通科技有限责任公司发行。未经发行人书面许可，不得使用任何形式或任何途径，包括使用影印、录制在内的电子或机械手段、其他信息储存和恢复系统等对该书任何部分进行复制或传播。警告和承诺：本手册用于提供关于“NAR2安全审计软件”的操作使用信息。尽管我们做了大量的努力使本书尽可能完备和准确，但疏漏和缺陷之处在所难免。本手册信息是建立在“NAR2安全审计软件”的基础之上，没有成为标准或规范，仅作为“NAR2安全审计软件”操作使用的参考。本手册中表达的观点权属于北京信联云通科技有限责任公司。本手册的解释权归北京信联云通科技有限责任公司所有。由于本手册是基于“NAR2安全审计软件”编写，产品的升级和更新，将导致本手册内容的相关变更，手册内容的更改恕不另行通知。本手册将不作为北京信联云通科技有限责任公司的任何承诺，北京信联云通科技有限责任公司对本手册中可能出现的任何错误不负任何责任。反馈信息欢迎您对我们的产品及本手册提供宝贵的意见和建议，您的支持是我们工作的动力。对于您的帮助，我们十分感激。请与我们联系：。本系统的开发单位北京信联云通科技有限责任公司地址：北京市海淀北四环中路257号科群大厦西座607,100083电话：(86)10-82386083邮箱：本系统版权受到中华人民共和国国家法律保护，任何单位个人不得非法使用、拷贝、修改、扩散本软件及其文档，否则将受到法律的制裁。本系统及其文档中使用到其他公司的有关资源，其版权归相应公司所有，同样受到法律的保护。目录版权声明2第1部分 产品使用方法介绍41.登陆系统42.主页面介绍53.系统功能介绍61.系统注册功能介绍62.系统升级功能介绍73.重启关闭功能介绍74.网络85.报警管理81.添加报警方式82.报警规则添加96.导入规则107. 定义类型138.日志管理151.日志查询152.历史查询169.报表管理161.图形报表162.定时报表183.历史报表19第1部分 产品使用方法介绍1. 登陆系统NAR2 采用BS架构，当安装本产品后，可以通过网络访问本系统Figure 1如Figrue 1假如你已经安装上了本软件，在地址栏里输入安装设备的地址，后面加端口：8080，按Enter键，即进入系统登陆界面。如图Figure 2.Figure 2输入用户名与密码，登陆到系统，默认登录名：admin， 密码：adminFigure 3点击登录后，进入主页面，如图Figure 4Figure 4Figure 4 为登录后的主页面，默认显示系统信息。2. 主页面介绍如Figure 4 所示，左侧位菜单，右侧为信息显示区。下面我们详细讲解各部分的功能l 系统功能： 包括“系统信息、系统注册、系统升级、重启关闭以及用户账号”系统信息菜单显示的主页面。系统注册菜单提供序列号下载，用于申请注册文件。注册完以后，可以用来查看注册信息。系统升级功能是用来上传升级文件的，当我们有新版本出现的时候，可以通过此功能上产升级文件。重启和关闭功能是用来重启此软件所在的操作系统。l 网络：用来管理本软件的网络设置，你可以通过网络中的接口管理功能，来设置本软件所在操作系统的IP地址，以及子网掩码。通过路由设置功能来配置路由。l 报警管理：报警规则栏有报警规则和报警方式，通过报警方式可以添加对某些日志的过滤行为，而添加报警规则，则可以添加报警。当有符合条件的日志出现后，系统会把报警通过你配置的方式发送给你。我们现在支持邮件报警、syslog 报警以及手机短信报警。l 数据管理：数据管理栏，有导入规则、定义类型以及别名编辑。导入规则是用来设置某个端口用来监听某种日志的规则。而定义类型功能可以提供一种日志类型的定义，别名编辑可以对我们查询日志的每个字段进行别名编辑。具体的使用方法我们会在后面的例子中具体介绍。l 日志管理：日志管理功能提供日志查询和历史查询，日志查询功能可以用来查询日志，历史查询提供以往查过的日志信息。l 报表管理：提供三种报表查询，图形报表、历史报表和定时报表，图形报表是按照你的查询条件形成的报表，历史报表包含以往的图形报表以及定时报表。定时报表，提供定时功能，你可以通过它定时生成报表。3. 系统功能介绍1. 系统注册功能介绍系统注册功能，提供本产品的注册方法，我们通过设备号生成注册文件Figure 5点击左侧菜单栏“系统功能 系统注册”右侧会有Figure 5 图所示的界面出现。把设备号发送给我们用来生成注册文件。上传注册文件后此软件才可以使用。Figure 7 及为注册后的信息显示。通过“备份”功能，可以把注册文件备份到别的地方。Figure 62. 系统升级功能介绍系统升级功能，当我们有新的版本发布时，可以通过此功能更新系统，使您可以使用我们最新的功能。Figure 6 显示的是系统升级界面，通过此界面可以把升级包或者补丁包上传至系统，并进行升级。Figure 73. 重启关闭功能介绍此功能用于对本软件所在的操作系统进行重启或者关闭，慎用。Figure 84. 网络用来设置本软件所在操作系统的IP地址子网掩码，以及用来添加和删除路由，使用简单，不多述。5. 报警管理提供对某种日志，在某种情况下，出现某种情况的时候把报警信息传递给管理员（设置报警规则的时候要先添加报警方式）报警方式提供对各种日志进行过滤，并且可以定义在什么时间，什么事情发生后，产生多少条这种日志的情况下，系统会把日志信息发送到你想要的地方，我们提供三种方式：邮件报警、短信报警、以及syslog报警，下面是一个添加报警方式和报警规则的例子。在此例中我们选择邮件报警方式。1. 添加报警方式Figure 9Figure 10如Figure 9， 点击报警方式 新增，接下来会出现Figure 10 图所示，填写相关信息，用户名和密码可以不写。填写完成后点击提交，完成报警方式的添加。Figure 11 （添加完成后）2. 报警规则添加当添加好报警方式的时候我们可以添加报警规则，下面几张图告诉你如何添加。Figure 12 （点击新增以后，进入Figure 13 所示）Figure 13 （填写相关信息，选择报警方式，点击添加，最后提交，完成报警规则的添加）Figure 14 （添加完报警规则）6. 导入规则用于选择采用何种方式导入日志数据1. 点击“导入规则” “新增”接下来你将会看到下图Figure 152. 在Figure 15图 处，输入规则名，这个“必须使用英文或者汉语拼音，而且中间不允许使用空格”在处的下拉框内选择数据类型，在Figure 16 中我们填写了必要信息，点击提交后你将会看到Figure 17Figure 16Figure 173. 点击Figure 17 图中的处，对此类型的导入方法进行配置，接下来你能看到，如Figure 18 所示，点击Figure 18 的 导入规则处，开始创建如何导入，接下来看Figure 19Figure 18Figure 194. 在接下来的步骤中我们能看到如Figure 19 所示，在导入方式中，我们选择Syslog，另外还有“Snmp、Agent、Proxy、Ftpwebserver、Local”共6种数据导入方式，我们此次选择通过syslog接收日志信息。填写完成后点击提交，完成本次数据导入。如果一切正常你将看到如Figure 20 所示。Figure 205. 本次，是通过网络导入的数据，数据导入成功，你可以通过日志查询功能查看是否接收到日志信息。（前提，必须有日志信息通过UDP方式发送到本系统所在的地址，下面是一个比较简单的syslog配置，我们通过syslog 把日志发送到本系统）附注：下面是一个Syslog 的配置方法，具体的配置可以查syslog的手册（此例中我在本局域网内的一台机器上配置rsyslog，并把日志发送到本系统所在的地址：1，端口514）OS: Debian 6.01. 通过ssh登陆到本局域网内的一台机器，查看IP为Figure 212. 编辑系统自带的rsyslog.conf文件，向本系统所在的地址发送日志信息， 的机器默认安装的是rsyslog 软件，我们先以此为例，至于你们的网络环境，请联系网路管理员。Figure 223 编辑如Figure 22 所示文件, 我们在此配置文件上稍作修改，为了简单方便，我只做了三处修改。Figure 23Figure 241. 在Figure 23 中，打开了UDP 514 端口，在Figure 24 中，写入一句话，把所有通过rsyslog接收的日志转发到 1，即NAR2 系统所在的地址。2. 接下来我们看看是否有日志发送到了NAR2，如开头所说，打开浏览器，输入NAR2 所在的地址，端口，查收是否收到日志。日志管理 日志查询， 选择好后，点击“查询”，如下图Figure 25所示Figure 253. 点击查询后，如果收到数据，就能看到类似Figure 26 图所示Figure 26Figure 27 是第一条日志的放大Figure 277. 定义类型日志的格式有很多种，对于格式比较简单的日志，我们可以通过定义类型，来生成新的日志类型，下面是两种日志类型的定义步骤，当定义好日志类型的时候，可以通过“别名编辑”去更改显示字段名。比如我们有新的日志格式如下：address= name=helloworld browser=”Firefox xbc xad” msg=”helloworld” 对于以上的日志格式，我们可以定义一种新的日志类型，并通过“别名编辑”更改字段名称，下面是步骤：1. 点击“类型定义” “新增”， 会看到如Figure 28 所示Figure 28在处，填写类名，（必须使用英文或拼音，且不允许出现空格）填好类型名后选择byLINE-A=B （因为我们要处理的日志类型如上文蓝色字体），点击“提交”2. 你将看到如Figure 29 图所示的表单，点击红色方框中的绿色按钮，会出现Figure 30的表单。Figure 29Figure 303. 如图Figure 30， 点击新增，添加新的字段，接下来看Figure 31 图所示Figure 314. 如Figure 31 图所示，我们开始对第一个字段进行编辑，字段名默认是C01，我们要进行一下更改，如上一页蓝色字体所示，我们第一个字段为address，现在我对之进行一次更改，编辑好后点击“保存”接下来看Figure 32.Figure 325. 如以上步骤，接下来编辑其他字段，点击“新增”，添加其他字段，Figure 33 是完全编辑好的。Figure 33 （如本图所示，完全编辑好后，点击保存即可）如果需要修改，可以在别名编辑里面，进行修改。完成以上步骤后，在“导入规则”里面就能看到新定义的日志类型，现在就可以向在“导入规则”中介绍的方法去导入数据了。8. 日志管理1. 日志查询在日志管理功能中，我们可以随时查看收到的日志，也可以查看过往查看到的日志。下面，我们以message日志类型为例。1. 点击“日志查询” 数据类型选择“message”，接下来的表单你可以按照需求选择，选择好后点击“查询”，在Figure 34 中，我们按照默认方式设置的查询表单，（注：当数据量很大的时候，我们建议选择详细的查询规则），Figure 35 是查到的日志。Figure 34Figure 352. 历史查询在历史查询中，你可以查阅最近查询的日志信息，点击“历史查询”能看到如Figure 36所示的图像，在“历史查询”里，可以删除历史和回顾历史。Figure 36 （红色的按钮用来删除这条查询记录，红色方框中标的是查询，点击后会重复历史查询）9. 报表管理在报表管理里面，我们提供三种报表查询：图形报表、定时报表和历史报表。其中图形报表时根据你的选择所产生的报表、定时报表相当于任务计划，当你设定后，系统会在设定的时间自动执行，生成报表。历史报表包含最近生成的图形报表和定时报表。1. 图形报表图形报表，可以对某种日志类型生成图形报表，可以查看某种类型的日志走势，下面我们以message日志类型为例。点击“图形报表” “报表名称”（可以填写或者不填写），根据需求对表单进行编辑，如图Figure 37，填写好后，点击“生成报表”即可看到类似于Figure 38 所示的报表。Figure 37Figure 38在图形报表里面可以选择“柱状图”或者“饼状图”，Figure 39 是饼状图，并且可以下载或打印图片报表，操作位置很明显，此处不多述。Figure 392. 定时报表定时报表用来定时生成报表，避免人工重复操作，定义好定时报表后，你将可以在历史报表中查找报表。下面是一个例子点击“定时报表”可以看到如Figure 40 所示的表单，根据要求填写好表达。Figure 40点击Figure 40右上方的“新增”，接下来出现类似于Figure 41 所示的表单，点击“启动任务” 定时报表编辑完成。你将看到如Figure 42 所示的界面。Figure 41Figure 42 （此时，定时报表添加完成，你将可以在历史报表中查询）3. 历史报表历史报表里面包含“图形报表”和“定时报表”，你可以随时查看，和删除，如Figure 43 所示，具体使用方法，不多述。Figure 4310. 名词解释11. 系统信息：包含CPU、硬盘、内存、序列号、版本信息、版权信息等数据12. 系统注册：提供上传