LogBase日志管理综合审计系统使用手册2008版.doc

LogBase日志管理综合审计系统v2.1使用手册LogBase日志管理综合审计系统使用说明书杭州思福迪信息技术有限公司SAFETYBASE INFOTECH CO.LTD2008.08版权声明 版权所有2005-2008，杭州思福迪信息技术有限公司本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属杭州思福迪信息技术有限公司所有，受到有关产权及版权法保护。任何个人、机构未经杭州思福迪信息技术有限公司的书面授权许可，不得以任何方式复制或引用本文件的任何片断。商标信息Safetybase Log Audit System、LOGBASE等是杭州思福迪信息技术有限公司的商标。目 录版权声明1商标信息1目 录2前言4文档范围5获得帮助5格式约定6一、基本信息7二、安装方法92.1 准备工作92.2 接入网络9三、LOGBASE串口配置11四、系统管理204.1 登录LOGBASE204.2 系统用户204.3 系统用户组224.4 修改本用户信息234.5 修改本用户密码254.6 用户日志权限管理264.7 组日志权限管理294.8 探测器配置314.9 告警接口344.10 系统升级36五、数据管理395.1 日志备份395.2 日志恢复39六、对象管理416.1 主机416.2 显示列设置416.3 实时监控日志管理436.4 自定义服务管理446.5 自定义服务管理466.6 自定义syslog服务采集48七、规则定义507.1 实时分析规则507.2 实时规则管理53八、实时审计558.1 实时监控总图558.2 syslog日志流量568.3 WINDOWS日志流量568.4 最新告警信息578.5 最新重要日志598.6 最新原始日志618.7 最新系统日志638.8 系统最新状态65九、综合审计679.1 系统管理审计679.2 设备管理审计689.3上网管理审计689.4 运维审计699.5 数据库审计709.6 自定义报表配置719.7 自定义报表管理739.8 自定义审计759.9 报表76十、日志查询783杭州思福迪信息技术有限公司 第 3 页 共 67页 LogBase日志管理综合审计系统v2.1使用手册前言欢迎使用杭州思福迪信息有限公司竭诚为您提供的新一代网络安全产品思福迪日志管理综合审计系统 随着互联网的飞速发展，客户对网络系统中的安全设备和网络设备、应用系统和运行状况进行全面的监测、分析、评估是保障网络安全的重要手段。网络安全是动态的，对已经建立的系统，如果没有实时的、集中的、可视化审计，就不能有效/及时的评估系统究竟是不是安全的，并及时发现安全隐患，所以网络安全需要集中的审计系统。如果不能将在同一网络中多个相同或者不同厂商的产品实现技术上互操作，实现集中的审计，就无法发挥有效的安全性，就无法有效管理。安全审计系统就可以满足这些要求，对网络中的各种设备和系统进行集中的、可视的综合审计，及时发现安全隐患，提高安全系统成效。该产品是一款分布式,跨平台的网络日志管理审计系统，通过对网络设备、服务器、数据库、应用服务等通用计算机软硬件系统以及各种特定业务系统在运行过程中产生的日志、消息、状态等信息的采集，在实时分析的基础上，监测并发现各种异常事件，准确发出实时告警。审计系统同时提供对存储的历史日志数据进行数据挖掘和关联分析，通过可视化的界面和报表向管理人员提供准确、详尽的统计分析数据和异常分析报告，协助管理人员及时发现安全漏洞，采取有效措施，提高整个计算机应用系统的安全等级。文档范围本文将列出安全审计系统（以下简称Safetybase Log Audit System 或LOGBASE）的基本信息，详细介绍LOGBASE的安装使用方法。获得帮助安全相关资料可以访问公司网站：本产品相关最新信息可以访问网址：/product/您可以给我们的技术支持发电子邮件，Email地址是： 获取更详尽的杭州思福迪网络安全专业服务信息、商务信息，您可通过如下方式和我们联系：杭 州地址：杭州市文一西路75号3号楼6楼 邮编：310012电话真mail：上 海地址：上海市中山西路1878弄凯托大厦1号楼1701室 邮编：200233电话真 京地址：北京市西城区裕民东路5号瑞得大厦303室 邮编：100029电话真式约定l 本文中所有图例均为实际拍摄或屏幕截取l 菜单名称和按钮名称的表示方法：【菜单名称】，【按钮名称】l 图标表示的含义： 有用的使用技巧、建议和对其他文档的引用等信息。 表示需要读者注意的信息；一、基本信息LOGBASE为一个整体硬件设备（可另配置硬件探测器），软件系统为嵌入式Linux精简优化内核系统平台，整体硬件设备的基本信息如下：表1 LOGBASE硬件环境指标LOGBASE功率（瓦）300电源要求100-243V 50-60HZ平均无障碍时间（MTBF）超过100,000小时执行辐射标准GB9254-1998和GB/T17618-1998中A级要求运行环境工作温度：050摄氏度储存温度：-2070摄氏度工作湿度：10%95%，非凝露硬件概览图2 LOGBASE-1200系列 硬件整体外观二、安装方法2.1 准备工作在安装LOGBASE之前，请打开LOGBASE的随机配件盒， 查看配件清单，核对LogBase配件是否完整。除配件盒内物品外，还需要进行以下准备工作：IP地址请在网络中给LOGBASE预留1个管理IP地址。临时计算机配置LOGBASE需要一台临时管理用计算机，LOGBASE配置时可以通过串口；超级终端软件能够连接串口的终端软件（比如Windows的超级终端软件、Putty、SecureCRT等）；浏览器请确定计算机系统已安装IE浏览器（建议使用IE6.0以上版本）；2.2 接入网络请将LOGBASE按如图2.1所示的拓扑结构方式接入网络，此图考虑的是通常情况，在具体应用时，请根据自己网络的拓扑结构加以调整。图2.1 LOGBASE的网络接入拓扑结构图 接入网络时，请注意以下几点：l 使用网络直连线连接交换机和LOGBASE的LAN1口。l 将LOGBASE接入网络后请立即修改其网络配置，适应所在网络。LOGBASE的网络设置默认如表2：表2 LOGBASE的工作网口默认设置IPMASK默认网关54三、LOGBASE串口配置下面以Windows自带的超级终端软件为例，详细介绍实际连接过程：（1） 设置端口属性，如图3.1所示：图3.1 超级终端连接端口设置窗口（2）点击【确定】后按回车键，出现提示符login: 这时输入控制台管理员的用户名和密码（默认菜单用户名：admin，默认密码：safetybase），如图3.2所示：3.2 配置菜单用户登录登录成功后，如图3.3所示：3.3 登录成功显示配置菜单（3）成功登录后，可以看到配置菜单如图3.3所示：1、Set eth0 system network parameter：配置eth0网卡系统网络参数；2、Set eth1 system network parameter：配置eth1网卡系统网络参数；3、Set eth2 system network parameter：配置eth2网卡系统网络参数；4、Set eth3 system network parameter：配置eth3网卡系统网络参数；5、Set Device Firewall：设置设备防火墙；6、Set Log Server 0 Parameter；设置日志服务器0参数；7、Set Log Server 1 Parameter；设置日志服务器1参数；8、Set Device Serial：设置设备串口号；9、Set Device Console Password设置串口管理密码；0、Exit：退出配置菜单；（4）选择【1】，回车;如图3.4所示：图3.4 配置网络参数界面（5）选择【Device IP Address】，回车；配置【1-3】项输入为LOGBASE系统预留的管理IP地址、子网掩码、网关，选择【确定】；【4-5】项默认保持配置即可；最后选择【6】保存并应用网络设置更新;设置成功后，选择【0】返回上级菜单；（6）在主菜单中，选择【2】、【3】、【4】配置ETH1、ETH2、ETH3的网络参数，输入与LOGBASE硬件探测器连接的IP地址、子网掩码、网关，选择【确定】；最后选择【6】保存并应用网络设置更新;设置成功后，选择【0】返回上级菜单；如图3.5所示：图3.5 设置ETH1的IP地址;（7）串口配置主菜单中选择【5】，Set Device Firewall：设置设备防火墙；回车；如图3.6所示：图3.6 设备防火墙配置界面（8）选择空的防备防火墙规则（如c）,进入防火墙规则设置菜单如图3.7所示：规则动作：ACCEP和DROP，已禁用;源IP或网络地址；源子网掩码；目标应用：页面管理和探测器禁用此规则：设置此功能，在规则动作上显示为“已禁用”注： syslog采集网络范围，请在“目标应用”选择“页面管理”图3.7 设备防火墙规则配置界面（9）串口配置主菜单中选择【6】或【7】，回车；配置日志服务器参数。选择发送方法、输入服务器IP并保存配置。如图（3.8）所示：系统提供两种日志发送方法（SLAS：LOGBASE专用日志格式、SYSLOG：标准SYSLOG协议日志格式）将日志发送到其它的日志服务器；图3.8 日志服务器配置界面（10）串口配置主菜单中选择【8】，Set Device Serial：设置设备序列号；回车：选择【1】获取设备原始序列号并提供给厂家，申请设备授权序列号；然后选择【2】输入厂家提供的授权序列号，注册成功后，重启设备； 如图（3.9）所示：图3.9 日志服务器注册界面（16）串口配置主菜单中选择【9】，Set Device Console Password 设置串口管理密码；回车；;输入旧密码、输入新密码、确认新密码，依次点【确定】；四、系统管理4.1 登录LOGBASE打开IE浏览器，输入LOGBASE地址，（如），以LOGBASE管理员角色登录，默认用户名：admin；密码：safetybase;点击【登录系统】 请及时修改系统默认密码。密码连续输入错误三次，登录页面会自动关闭；登录成功后10分钟未进行任何操作，系统会超时退出；4.2 系统用户选择导航条上【系统管理】【系统用户】；查看当前系统用户列表，并可执行【添加】或【删除】系统用户操作：如图（2）所示图（2）系统用户点击【添加】，产生一个新的系统用户：输入新用户的基本信息、付予功能权限和隶属组；如图（3）所示 系统管理员可根据用户的岗位职权来分配相应用户帐号的功能权限，保障LOGBASE审计系统的安全及用户网络信息的安全。用户添加入用户组后，此用户将自动继承用户组的所有日志权限；图（3）添加系统用户密码长度建议8位以上的字母、数字、大小写、特殊字符；对功能权限设置应该规范，系统用户与管理员用户的权限设置必须权限分明。以防止越权行为；4.3 系统用户组选择导航条上【系统管理】【系统用户组】；可查看并添加/删除组；如图（4）所示：图（4）系统用户组 添加系统用户组只需添加组名及组描述，组名具有唯一性；对系统用户组的权限管理请见后节【组日志权限管理】中的介绍； 4.4 修改本用户信息选择导航条上【系统管理】【修改本用户信息】；填写、修改姓名、描述、部门、地址、电话、手机、邮件、MSN、QQ等；如图（5）图（5）修改本用户信息点击【恢复】，可放弃修改内容，恢复原有本用户信息；拥有【系统用户】功能权限的帐号可以在系统用户列表中修改其它所有用户的详细信息、功能权限、隶属组，如图（6）所示图（6）管理其它用户信息4.5 修改本用户密码选择导航条上【系统管理】【修改本用户密码】；填写旧密码（初始时，因为密码为空，可不用填写），填写新密码及确认新密码；如图（7） 图（7）修改本用户密码初始化时，应该立即修改审计系统默认系统配置，以安全的保证系统管理员的唯一性；以上操作适用与当前登录的所有用户；安全性考虑密码长度建议8位以上的字母、数字、大小写、特殊字符；系统用户必须从管理制度上保障；以确保系统的安全性；4.6 用户日志权限管理选择导航条上【系统管理】【用户日志权限管理】；可以看到系统用户列表信息，如图（8）所示：图（8）用户日志权限管理 此系统用户列表只显示未加入【系统用户组】的系统用户，已添加入【系统用户组】的系统用户的日志权限不能独立管理，只能继承所属组的日志权限。详情请参见下节【组日志权限管理】；系统用户移出用户组后，将恢复默认日志权限。若直接删除用户组，组中的用户仍保持原有的日志权限，直到该用户加入其它用户组，继承新的日志权限； 点击【修改】，操作所选定帐号的日志权限管理，如图（9）所示：图（9）修改用户日志权限针对所有日志类型，都可选择【全部允许】、【全部限制】及【部分允许】，若选择【全部允许】、【全部限制】相应【操作】功能为灰色不可用。【全部允许】指此用户可以操作此类日志的所有功能（实时、综合、查询）；【全部限制】指此用户将看不到此类日志的任何信息、更无法审计；【部分允许】指根据条件来限制此用户可操作某些发生地址IP的此类日志；若选择【部分允许】，点击相应【操作】，如图（10）所示：图（10）设置【部分允许】权限 勾选【允许部分IP】，可以选择输入单个IP或IP段；保存设置后，此用户将只能操作这段IP内的此类日志内容；勾选【限制部分IP】同理推之；4.7 组日志权限管理选择导航条上【系统管理】【组日志权限管理】如图（11）所示：图（11）组日志权限管理组日志权限管理操作同用户日志权限管理操作，【组日志权限管理】中的权限设置，组内的所有用户会完全继承该组的日志权限。系统用户移出用户组后，将恢复默认日志权限。若直接删除用户组，组中的用户仍保持原有组的日志权限，直到该用户加入其它用户组，继承新的日志权限；点击相关组的【修改】操作，执行组日志权限管理。如图（12）所示：图（12）修改组日志权限组日志权限管理操作方法同用户日志权限管理，详细操作方法请参见上节【用户日志权限管理】操作说明；4.8 探测器配置选择导航条上【系统管理】【探测器配置】；可看到探测器列表及模块列表，修改或删除已有探测器、添加新的探测器及相应的模块。如图（13）所示：图（13）探测器配置 每个探测器有不同的模块列表，在删除探测器时，此探测器下的的所有模块会同时全部删除； 当您需要安装软件探测器来采集日志时，必须先配置好相应探测器和模块；点击【添加】新探测器，如图（14）所示：图（14）添加探测器 LOGBASE探测器包括硬件探测器和软件探测器两类；每个探测器需配置唯一的编号（ID）。安装的各类探测器需与探测器配置（ID、密码）保持一致才能保证连接； CPU、MEM项表示探测器的性能达到某个阀值，系统会自动产生告警日志信息；优先级项表示该探测器的优先级别；配置完成新的探测器后，继续配置相应模块；如图（15）所示：图（15）添加探测器模块 请选择这个探测器所要采集的日志类型；一个探测器中可以添加多个模块，同一种模块类型只能添加一个。选择DYNAMIC类型可采集所有文件型日志，如何采集字段信息可在【自定义服务管理】中配置； 请正确输入采集的日志的绝对路径，否则日志信息将无法成功被此探测器采集；采集时间间隔默认为5秒；若停用此模块，相应日志将不再采集，探测器仍有效；4.9 告警接口选择导航条上【系统管理】【告警接口】，如图（16）所示：图（16）告警接口 LOGBASE默认提供两种告警接口：邮件告警、短信告警；配置成功后，系统会自动将用户自定义的告警日志信息通过邮件或短信发送给用户。有关告警日志配置的内容，请参见【规则定义】章节；短信告警配置，如图（17）所示：图（17）短信告警配置 配置短信告警方式，需要用户环境中，有短信网关；输入相关数据即可测试并开通；4.10 系统升级选择导航条上【系统管理】【系统升级】，如图（18）所示：图（18）系统升级选择更新模块的类型，如（查询模块、报表模块、页面模块等），输入厂家提供的hash值并选择模块更新文件。上传成功后，可点击确定更新；查看上传文件列表，可选择上传成功的文件，确定更新；如图（19）所示：图（19）系统升级五、数据管理5.1 日志备份选择导航条上【数据管理】【日志备份】，如图（20）所示：图（20）日志备份 管理员可自主选择日志类型、时间范围来备份日志数据，并可以选择备份、备份并删除或直接删除日志数据。故使用此项功能权限的管理员需谨慎。备份任务完成后可下载，或者选择删除这个备份任务。5.2 日志恢复选择导航条上【数据管理】【日志恢复】，如图（21）所示：图（21）日志恢复 日志恢复是将日志备份文件重新加载到LOGBASE审计系统中；六、对象管理6.1 主机选择导航条上【对象管理】【主机】，如图（22）所示：图（22）主机 主机管理是针对用户网络中的主机（Windows服务器、Linux服务器、网络设备、安全设备、防火墙、VPN等）进行流量统计；用户可添加主机IP地址、名称、类型以及是否实时监控；若选择实时监控，可出现在【实时审计】-【实时监控总图】中，详情请参见此节；6.2 显示列设置 选择导航条上【对象管理】【显示列设置】如图（23）所示： 图（23）显示列设置 管理员可在此选择设置所有日志类型的日志字段显示。点击【设置】日志字段显示，如图（24）所示： 图（24）日志字段显示选择 管理员可在此勾选日志的显示字段，点击确定后，将在【实时审计】【最新原始日志】中更改日志的显示字段为管理员勾选的字段。6.3 实时监控日志管理选择导航条上【对象管理】【实时监控日志管理】如图（25）所示：图（25）实时监控日志管理 管理员可在此勾选日志类型，最大不能超过十项。所勾选的日志类型将在【实时审计】-【实时监控总图】中实时动态显示；6.4 自定义服务管理选择导航条上【对象管理】【自定义服务管理】，如图（26）所示：图（26）自定义服务管理 添加、删除自定议服务类型；点击相应序号，可修改相关已有自定义服务的配置；点击【添加】自定义服务，如图（27）所示：图（27）添加自定义服务 如图所示，用户可根据日志文件的编码文式、读取类型等特征，通过字段的自定义匹配，来提取日志文件的有效信息；对探测器DYNAMIC模块类型采集来的日志进行格式化显示和存储。6.5 自定义服务管理 选择导航条上【对象管理】【自定义服务管理】，如图（28）所示： 图（28）导出自定义服务 管理员可勾选需要导出的自定义服务类型，并导出保存在PC中。点击导入自定义服务，可以选择需要导入的自定义服务的文件，并可以选择是要覆盖主机中一样的服务配置还是不覆盖，如图（29）所示： 图（29）导入自定义服务6.6 自定义syslog服务采集选择导航条上【对象管理】【自定义syslog服务采集】，如图（30）所示： 图（30）自定义syslog服务采集 用户通过勾选自定义syslog服务，来采集一些网络设备的syslog，并按照自定义服务配置进行日志分割，此处只对勾选自定义syslog服务有作用，勾选其他服务不产生效果。七、规则定义7.1 实时分析规则选择导航条上【规则定义】【实时分析规则】，如图（31）所示：图（31）实时分析规则 用户可在此增加、删除、修改实时分析规则；规则定义通过多重条件匹配，根据用户关注点对海量日志进行筛选、定义、告警或者丢弃；规则定义可将采集到的日志类型分成原始、重要、告警、丢弃四类；实时分析规则可包含两层规则定义，第一层规则下可添加子类规则；点击【规则编号】可查看、修改现有规则条件； 点击【增加新规则】，如图（32）所示：图（32）增加新规则增加新规则：输入易识别的、信息；规则条件可选择所有服务列表并相应的服务字段来定义；通过勾选可添加无穷层级规则条件匹配；新规则定义应优先定义大类规则，如：数据库类、SYSLOG类、网络行为类、系统日志类等；然后在此大类下增加子类规则进行细分；告警日志规则定义： 若此规则定义为产生告警，则需输入告警消息、选择告警等级、事件分类、攻击手段、告警接受组（已添加系统用户组）以及短信和邮件告警（已配置好告警接口）；设置规则条件：需要注意逻辑关系以及运算顺序（括号的操作），以保证规则正常的被使用;丢弃规则拥有最高优先级；子类规则应该是对上层规则的细化，脱离了上层规则是无效的；规则设置需要注意：规则以树型结构设计；对后续规则的设定要仔细：如日志不符合当前规则定义，此规则是否跳转或结束，跳转会继续匹配到下一条规则定义，；定义不当会引起日志是否正确的被反应在实时审计中；严重情况会出现定义的敏感日志信息没有产生告警，破坏系统的实时性与功能性；选择要增加子类规则的项，点击【子类列表】，查看，修改、增加此规则下的子类规则；如图（33）所示：图（33）子规则列表 子规则是对父规则的细化定义，增加了规定定义的灵活性；新子规则的增加操作方法同父规则；7.2 实时规则管理选择导航条上【规则定义】【实时规则管理】，如图（34）所示：图（34）实时规则管理 实时规则管理提供了常用实时规则定义文件的导入接口，并可以导出系统实时规则进行备份；八、实时审计8.1 实时监控总图选择导航条上【实时审计】【实时监测管理】【实时监测主机列表】，如图（35）所示：图（35）实时监测主机列表 实时监测主机列表显示内容分为三部分：上部分：应用主机日志状态；显示了【对象管理】-【主机】中添加的主机实时日志流量状态；中部分：当天流量TOP5列表；显示了当天流量最高的5个网络设备的状态；下部分：当前一分钟流量TOP5列表；显示了前一分钟内流量最高的5个网络设备的状态；8.2 syslog日志流量选择导航条上【实时审计】【实时监测管理】【syslog日志流量】，如图（36）所示： 图（36）syslog日志流量 syslog日志流量显示内容分为四个图，分别为：syslog工具分布流量图、syslog工具分布柱状图、syslog等级分布流量图、syslog等级分布柱状图，显示了当前24小时内syslog日志的分布情况。8.3 WINDOWS日志流量 选择导航条上【实时审计】【实时监测管理】【WINDOWS日志流量】，如图（37）所示： 图（37）WINDOWS日志流量 WINDOWS日志流量显示内容分为四个图，分别为：WINDOWS类型日志流量分布图、WINDOWS类型日志流量柱状图、WINDOWS事件日志流量分布图、WINDOWS事件日志流量柱状图，显示了当前24小时内WINDOWS日志的分布情况。8.4 最新告警信息选择导航条上【实时审计】【最新告警信息】，如图（38）所示：图（38）最新告警信息最新告警信息：实时动态显示最新通过【规则定义】过滤，定义为告警信息的日志列表；点击列表中任一条日志，可查看此日志的详细内容；如图（39）所示： 图（39）最新告警信息详细内容点击【返回】，返回最新告警信息列表，点击【上一条】，显示上一条的详细内容，点击【下一条】，显示下一条的详细内容。8.5 最新重要日志选择导航条上【实时审计】【最新重要日志】，如图（40）所示：图（40）最新重要日志最新重要日志：实时动态显示最新通过【规则定义】过滤，定义为重要日志的日志列表；点击列表中任一条日志，可查看此日志的详细内容；如图（41）所示： 图（41）最新重要日志详细内容点击【返回】，返回最新重要日志列表，点击【上一条】，显示上一条的详细内容，点击【下一条】，显示下一条的详细内容。8.6 最新原始日志选择导航条上【实时审计】【最新原始日志】，如图（42）所示：图（42）最新原始日志 最新原始日志：实时动态显示最新通过【规则定义】过滤，实时采集到的所有原始日志列表； 点击列表中任一条日志，可查看此日志的详细内容；如图（43）所示：图（43）最新原始日志详细内容点击【返回】，返回最新原始日志列表，点击【上一条】，显示上一条的详细内容，点击【下一条】，显示下一条的详细内容。8.7 最新系统日志选择导航条上【实时审计】【最新系统日志】，如图（44）所示：图（44）最新系统日志 最新系统日志：实时动态显示LOGBASE审计系统的配置信息；点击列表中任一条日志，可查看此日志的详细内容；如图（45）所示： 图（45）最新系统日志详细内容点击【返回】，返回最新系统日志列表，点击【上一条】，显示上一条的详细内容，点击【下一条】，显示下一条的详细内容。8.8 系统最新状态选择导航条上【实时审计】【系统最新状态】，如图（46）所示：图（46）系统最新状态 系统最新状态：实时动态显示LOGBASE审计系统的系统信息；九、综合审计9.1 系统管理审计选择导航条上【综合审计】【系统管理】，如图（47）所示：图（47）系统管理审计 系统管理：包括Windows系统、类Unix系统的常用审计报表模板； 综合审计报表为动态报表，用户可自定义报表生成条件： 选择报表：通过下拉菜单选择现有默认审计报表，报表支持二次开发； 报表格式：可选HTML格式、EXCEL格式； 时间范围：选取统计报表包括的日志发生时间段； 日志源：所有、原始日志、重要日志、告警信息； 报表状态：显示此类所有已做报表列表，包括生成成功及生成失败的报表信息，可选择查看或删除报表；9.2 设备管理审计选择导航条上【综合审计】【设备管理】，如图（48）所示：图（48）设备管理审计设备管理：包括网络设备、安全设备的常用审计报表模板； 网络设备、安全设备的配置请参见【对象管理】【主机】；9.3上网管理审计选择导航条上【综合审计】【上网管理】，如图（49）所示：图（49）上网管理审计上网管理：包括网页访问、邮件收发、FTP访问、MSN应用、BT应用的常用审计报表模板；通过不同分析角度生成各种网络行为统计报表，满足用户对内部网络管理的需求；9.4 运维审计选择导航条上【综合审计】【运维审计】，如图