2022明御综合日志审计平台SOC.docx

SOC产品介绍日志审计概述日志审计是一站式的日志数据管理平台，主要致力于提供事前用警、事后审计的安全能力，符合相关法tt碗通过对日志数据的全面采集、解析和深度的关联分析,及时发现各种安全域胁和异常行为事件.产品结构日志接收原始事件处:多行事件合9复事件去除大数据平台态势感知邮件平台短信平台产品优势l三fs三合规思路：快速满足要求明啮合日志审计平台集日志统一采集、存储、解析、关联分析、实时告警、取证分析、监管合规于一体,可以快速实现网络设备、安全设备、主机操作系统、中间件、数据库、应用系统等在内的设备及系统的日志审计，全面满足各个行业及组织对日志的安全合规需求.顶科及格式.靛度.跨i三.多场'1多种灵解析F珂桁鼠关联分析，灵活定制.厂任息来源及格式，睇二1.多种疥议收集方式采萼,3W：多方式，自定义事件及时肯警a1厥警他证深入分析，快盛、出际:位，取证分析.1.内多饰防案，丰合KjFJ规报袤,灵活自定义报表合丹日志采集举例说明支持主流的网络安全设备、交换设备、路由设备、操作系统、应用系统等Sy61Og功能文本日志安恒明”蟀会日志审计系统WindowsHTTP系境日志访问日志AgenC系坡日本文本日志细粒度的日志解析功能强大丰富，细致高效/解析后维度多达200+;/可按需定制扩展；/正则、Grok,分隔符等多种支持模式/事件属性动态扩充（活动列表模块）灵活创新，简洁易用/解析规则界面自定义/性能列表可视化展示/网络设备、安全设备等支持SySlOg协议的设备通过配置SySlog将日志发送到日志审计/WindOWS系统日志、HTTpiJ洞日志等非SySlOg协议生成的日志需要安装agent进行收集,SySIOgt办Z½iiudp514端口辘日志，需确保设备到日志审计udp514端口网络可达先进的关联分析功能关联分析场景及规则可根据需求定制，也可自定义基于设备故障、认记S陆、攻击威胁、可用性、系统脆弱性等维度建立安全评估模型，根据资产价值、资产漏洞、针对漏洞的威胁事件进行威胁的自动关联分析快速的检索分析亿级事件,杪研&回资腔果合、近意,HS存储和检索效率关It字、200+条件自由蛆合灵活更府信息QM-2MjtyW,多重数据保障能力灵活的审计规则扩展能力,存储空间剩余预测1|数据分区告警推送,远程仓库状态监测1|资产活跃状态监测1I系统关键配置备份1I日志数据冗余备份/内SOX、WEB、安全、Windows.1.inU用解决方案包,内合规性报表100o+种,内置完善的等级保护合规报表性能监控能力数据库/Oracle/Mysql/SqlserTomcatApacheWeblogic(9.210.3)/Windows/1.inux/AIX/HPUX等且宜信患开放性的对接能力,大姐8平台、,态势初/第三方日志审计平台,邮件平台/短信平台平台多样-GD-O-QD-。-CD-。-QO实时转发/Kafka/http/syslog灵活设置,各种事件转发/事件告警自定义分析呈现笛解报表，用户自定义报表，报表支持调度任务，可导出为常见文件格式,报表内容可与安全策略独立演进,具有非常强的反馈速度和适应性,支持多种报表图的生成,如饵图、柱状图、折线图、面积图、地图、堆枳图等等分析场景/告警信息一目了然，威胁信息传递鬲准,支持多种告警方式,支持数据下钻与追溯，用户体验友好,分析场景可视化,全面地展示用户关注的信息三5B应用场景应用场景 合规审计 IT运维与故障排查 攻击与威胁检测 安全策略审计 三+（颊）部署模式单机部署模式介绍旁路单台部署：采用最简单的部署方式-旁路部署，无需更改现有网络，直接接入到客户指定的交换机上即可，只要网络能通.实施设备分为：软件安装部署和硬件盒子部署分布式部署模式介绍11sS三巾Ql旁路分布式部署:集中管理，所有配置管理统一入库；日志事件分散解析、关联分析，集中存储、查询;管理中心集中存储解析、关联分析后的核心关键数据，降低嘘中心压力.33UW:77&忑I更点信感快速部署选型依据说明1、如果是普通的等保项目，主要满足日志留存的项目，可以用IP作为资产数量的选型依据.如果用户将日志审计作为安全运维的设备，建议通过应用的方式计算日志源数量，这样更符合真实的使用场景2、通过评估日志量与需要的存储周期计算磁盘空间部署前一、实施调研及规划设备实施前，需要对用户计划接入的审计日志源进行调研，同时，对实施的设备部署位置、配置的IP和客户进行沟通确认.日志源资产调研，需要客户提供接入的资产清单.如果客户没有现成的资产清单，也可以按照以下格式进行接入资产的调研.部署中设备登录方式介绍1、主要通过Web方式进行配置，C1.l方式则用来维护设备（ConSoie线或者SSH方式登录CiJ进行维护）2、设备出厂时设置的默认管理口地址为192.168.1.100/24,Web方式默认管理员用户名为admin,密码为1qazWSX3、C1.l方式默认用户名为root,在Web方式出现异常，无法进行Web配置时，可联系400技术支持人员提供设备服务1弋码申请root密码通过C1.l方式登录进行维护通过Web界面配置1、将PC的IP地址设置为与192.168.1.100/24同网段的IP地址，并用网线将PC的网口与设备的Admin接口相连.2、在PC的浏览器（建议使用Chrome浏览器）中输入'https4192J68JJ0Q"并接回车键，进入系统Web管理平台登录页面3、输入默认用户名和密码admin/IqaZWSX,点击登录,登录成功后进入首页Web用户说明产管理、弱点管理、规则库管理、系统配置、规则库中数据字典模块、系统配置中日志接收、日志分析、日志配置、出厂设置、配置文件等功能初始密码IqaZWSXopadmin:操作审计员权限；可查询系统日志及操作记录，初始密码IqaZWSX.useradmin:权限管理员权限；展示区显示所有角色信息，包括超级管理员、系统管理员、操作审计、权限管理员，初始密码：IqaZWSX（注意：IOG3000/5000取号无console口,需要接VGA显示ahat点来进行CIJ模式雄护，其它型号均有ConsoIe）步骤如下1、COnSoIe线接入：如右图所示使用COM转USB的线缆接调试PC的USB,另一头接设备的console口:设备前面板上标注"console"的接口2、使用SecUreCRT,XSheI阕滥端仿真程序工具登录设备设置参数如下ConSole方式登录设备2SSH方式登录以SeCUreCRT为例1、系系S护SSHService启用2、创建SSH2会话，默认用户名为root,空码需要联系400技术支持人员提供设备服务代码申请root密码3、连接SSH会话进行登录以SeCUreCRT为例1、设备管理器中先确认COM口名称2、创建Serial会话，波特率115200bps,流控参数为空即可3、输入回车，Iocalhostlogin:提示下输入默认用户名为root,密码需要联系40顺术支持人员提供设备服务代码申请root密码S1M.16&1.100Soc-sox0FEVwOp6omTrm*rS<tTookMndowHipW夕匚c?Oj0©0T?®IV192131.100,OCHIsogTnaDec4rtlocalhost-It(root01ocalhost-Jfcatetcrcdhat-releaseCentOS1.inuxrelease7.6.1810(Core)(rtlocalhost"修改设备IP地址1、在菜单栏选择"系统A系统配置A平台管理：选择网络配置页签，在网卡状态栏操作列下点击修改,根据实际现场网络环境填写分配的IP地址和子网掩码，并点击确定vM«*»122、在默认网关及策略路由配置区域，填写默认网关和DNS服务器IP地址，点击保存3、测试网络连通性.在菜单栏选择系统A系统管理A系统维护，选择Ping页签，输入网络中的有效IP地址或域名，点击ping一下测试网络是否连通.如果网络连通正常，则设备的网络配置成功.（截图略）0090MMBW修改admin用户密码更点信惠M*tereyOadmmQ1、在页面右上角点击用户名，选择密码修改(g)BStt特殊字2、输入旧密码，输入新密码并确认新密码（密码要求：812个字符，密码必须包含:符,数字,字母小写,字母大写）快速实施部署流程快速部署实施的流程$口下1、日志审计平台修改IP后，校准系统时间并旁路部署接入到实际网络中2、日志源资产设备配置SySlog协议发送日志到日志审计平台3、日志审计平台上发现资产并添加资产4、日志审计平台上查询已添加的日志源资产并在事件查询中能查到其日志，说明接入喇U孑且旧居患日志审计设备一般旁路接入到网络中，日志源通过SySIog协议方式向日志审计发送日志1、交换机、路由器，近火墙等网络设备配置型12发送日志至平台2、WindQWS服务器资产上辗嬴通过!凶3向乎台通过逊咙议发送日志3、1.inUX服务器资产可配好鼠而服务向日志审计平台发送SySIog日志交换机/路由器资产日志审计接入1、交换机/路由器网络设备接入交换机、路由器，防火墙等网络设备配置SySlog协议方式发送日志至平台以H3C的交换机为例，日志审计IP为172.16.30.2H3CS3600系列以太网交换机配置命令如下system-viewinfo-centerenableinfo-centersourcedefaultchannelloghostlogleveldebugginginfo-centerloghost172.16.30.2facilityIocaIO参考链接http:/www.h3c.corn/cn/d_200711/317187_30005_O.htm#Tod64570689配置说明：1）保证金换机到区志服务器网络可达2）配置SySIog协议发送日送后注意要保存配置3）不同厂家，不同型号的配置命令与方法不同4）请按照交换机/路由器厂家的官方技术文档进行配置一、1.inUX服务器配置rsyslog示例的服务器资产为CemC）S7操作系统，平台的Pi½t>9l92.168.31.75.1、登录资产后台，使用vietcrsyslog.conf命令修改rsysog.conf文件，添加以下内容：”."192.168.31.75”2、修改完成后，使用SerViCersyslogrestart三Jc者SyStemCtlrestartrsyslog命令重启rsyslog服务QlocalhostIfvietcrsyslog.confClocalbostIfIinUX服务器资产日志审计接入2、1.inUX服务器资产配置rsyslog接入到日志审计9999beginforwardingrule9999Thestatementbetweenthebein.enddefineaSINC1.Eforwarding9rule.TheybelongtOQether.doNOTsplitthe.IfyoucreateMultiple9forwardingrules,duplicatethe4oleblockI,RemoteIo9gin9(weuseTCPforreliabledelivery)99Anon-diskqueueiscreatedforthisaction.Ifthereotehostis9down,messaesarespooledtodiskandsentwhenitisupagain.9SActiOnQueueFi1eNa*efwdRulel9uniquena»eprefixforspoolfiles9SActiOnQueueMaxOiskSpaceIg9IgbspaceIiaHt(useasmuchaspossible)fSActiOnQueuesaveOnShutdownon9savemessagestodiskonshutdownfSActiOnQueueType1.inked1.ist#runasynchronouslyIsActionResuBeRetryCount-19infiniteretriesifhostisdown，remotehostis:name/ip:port,e.g.192.168.0.1:514.portoptional.Mre0Ote-host:514<IMmdQftheforwardingrule"，T192.168.¾1.7SJOiocaibostj#tail-n5etcrsys1og.conffSActionResueRetryCount-1，infiniteretriesifhostisdownfremotehostis:name/ip:port.e.g.192.168.0.1:514.portoptionalf*.*remote-hostzS14Fendoftheforwardingrule999K192.168.31.75(©localhostIfservicersyslogrestartYRedirectingto/binAysremcrTrestartrsyslog.service；GlocaibostIf©localhostJfI二、日志审计上添加资产1、登录系统Web管理平台，在菜单栏选择"资产管理A资产A发现资产"，在资产列表中显示以SySlog发送日志的资产设备，资产类型选择NIX,编码选择utf-8（根据实际编码方式进行调整），根据需求选择相应的组织架构，点击确定2、在菜单栏选择"资产管理资产A全邰资产"，找到新添加的资产设备SlSfSSOSo三、在日志审计平台上选择该1.inUX服务器资产进行事件直询在资产设备上触发系统日志，比如重启一下rsyslog服务.之后登录系统Web管理平台，在菜单栏选择"事件管理事件A自定义查询”，日志源选择新添加的资产，点击查询,如果查询到日志信息，说明收集日志成功WindoWS服务器资产日志审计接入3、WindoWS服务器资产安装nxlog接入到日志审计一、WindOWS服务器nxlog-ce程序安装社区https:bbs.dbaDD将下载的WlNDOWS-nxlog.zip安装包解压，解防有一名为WINDOWS-nxlog的文件夹.该文件夹下有以下内容，如下图所示1）、nxlog-ce-2.10.2150.msi（nxlog-ce的WindOWS版本msi安装包）2）、n×log.conf（nxlog（onfffi置模板文件）以系统管理员的身份双击此目录下的nxlog-ce-210.2150msi文件，按照提示进行默认安装即可.安装成功后，会以服务形式注册到服务列表中，64位WindoWS操作系统中的nxlog安装目录在C:ProgramFiles（x86）nxlog二、nxlog.cOn廊置文件替换用原先解压出来的WlNDoWS-nxlog文件夹中nxlog.confR置文彳牛替换C:ProgramFiles（x86）nxlogConf目录下的百名支件nxlog.conf一文件具体步骤如下D将nxlogce安装完成产生的nxlog.conf文件删除或者由命名为nxlog.confdefault2）原先解压出来的WlNDdvS-nxlog文件夹中|1。9。11直置文件拷贝至1C:ProgramFiIeS（X86）nxlogconf目录下，完成nxlogconfR置文件的替换88<0ucputOUt>ModuleHost91Port<0UtPUM9394<Routeudpl>95*Patheventlog,in2,in3->OUtPatheventlog,in2->out97<Route>om-udp10720.90.46514二、nxlog.ConfK置文件修改修改的1。9（:。门假置文件中日志审计平台地址下面以测试日志审计平台10.20.90.46为例把配置文件中的Output。3段中HOStIP修改成实际现场环境中综合日志审计平台的IP,例如10.20.90.46;ZX注意：Port默认属PDP端口514如果综合日志审计平台有做过励的麻这蛇需要修改成相应的端口号三、nxlog-ce程序服务重启在控制面板-管理工具一服务中，找到nxog服务，点击右键启动nxlog服务注意：若修改过nxlogconf,需要在重启nxlog服务使配置生效SoC支持的采集日志协议方式s三tss常用的日志接入方式如下1.直接文本型日志是入2、SySIOg（最常用）3、Snmptrap4、http5、WMI6、FTP7、SFTPMkEI×a三*mqMS9<ttWindowiZSYUOGSNMFAPHTTPWMIFTPSFTPSe«RG6K5TISO-MM-I1、Web界面导入曰志文件具体方法：斐产管理页面一全部资产点击某个具体资产右上角“导入日志”按钮选择编码，根据日志文件的编码进行选择其编码格式导入文本型日志（文本型日志文件或者压缩包，压缩包只支持zip和tar.gz结尾）2、SySlog协议接入方式一、WindoWS服务器资产1）安装SOcAgem2）安亲nxlog二、1.inUX服务器资产1）安装SOCAgent2）默认安装了rsyslog服务，配置rsyslog转发（Agem的配H方法这里限于篇幅不详细展开介绍，可以参考安恒社区上SOCAgent软件中配置说明文档）三、路由器、交换机类等网络设备SySlog配置例如CiSC0、H3CHuawei,锐捷的交换机/路由器，可以配置信息中心参考如下链接H3C交梅机置信.息中心将R志方送到R志服条器3、Wmi方式接入WMI的全称是WindoWSManagementInstrumentation,即WindoWS管理工J1.是WindoWS授作系统中衿理数电和操作的基础模块1.日志收发新增日志接收b点击新增AWmi接收”.根据系统自身系统事件产生速度配2S心跳间隔，点击保存点击保存完成以上配日后备要点击页面右上角的南启.强启SoC籁务,使配Ht生效2、资产管理，在菜单栏选择"资产A全部资产-迸入全部资产页面，点击新增资产类型选择WindoWs,编蜩资产相关信息，点击保存办加姿产IP地址，点击保存发送日志配置,日志协议选择WM1.第5B相关信息，点击保存域一WMl向域，TS情况下不堪表示It询全部.IP注怜诺?i的IP账号®码一WindbWS资产的账号代码MvJdlQQX国MMMSesMr31yeWWoWySs*rM>>er>sr>BfMGKVTFtrso<s>42«MB穆og.a)“AdmMratof84、FTP协议方式上传日志文件1、选择一资产，在该资产的发送日志MH一新iFT物议类型（注意日志编码格式选择）'2、SoC系统系统维沪FTP接收开关后用，并直看FTP用户SOC的密码3.WindoWS主机窘录SoC该FT咱颗上传日志文件例如：ftp:10.20.91.15/zffuwqSaBSKBS三IS!o*>Mz*rB*jtm.4.cv5.SFTP协议方式上传日志文件1.选择一个引产,在该资产的发送日志配三t新增SFTPt办议类型（注意日志媪码格式选择）2、SoC系统系献护SFT喉收开关启用,并膏卷SFTP用户SoC的密屿3、iiiiXshell/WinSCP/SecureCRT峥tH登录SoC该SFTP目录后上传日志文件sftp10.20.91.15/bqoemy基础功能其他姿产管理一手动添加奥产添加资产有两种方式：手动添加资产和对平台自动发现的资产迸行确认.手动添力喻E包括单个添加和批导入两种方式1 .在上边栏选择资产管理，在左口菜单栏选择“资产全部资产“进入资产页面2 .点击新增进入新增资产页面,选q择资产类型（如下T弋防火墙）.3 .编对资产的相关信息，点击保存A*4、设置资产识别信息IP,点击保存5 .配署发送日志配置，选择接入的日志M议和日志I码，点击保存资产管理一批量导入姿产1.在资产页面点击右上角的的导入.2、在弹出的对话框中点击模板下我.下载模板文件至本地，喝彩模板文件CSV文件并保存，格式如下图所示，.号为必选项3.点击选择文件,选择编洞好的根板文件，点击导入资产管理:一自动发现资产平台会自动发现向平台发送日志的费产.对平台自动发现的资产进行确认添加的源作方法如下：1.选择资产管理，在左储菜单栏选择资产A发现资产：选择时间段，查看平台发现的资产.2、在发现资产列表中设SS资产类型、编玛、编织架构，点击确定.蝴.D当设备通过SySlOg.SNMPTraP等分议以及SOCAgen晌平台发送日当时，平台会在发现资产列表中发现产性质为日志，谕产的i己录2）安装SoCAgent并启用了性能监控的设备向平台发送住战监控BH.平台会H发现更产列表中发现一个资产住屋为APm住建监控费产的记录3）点击湾理曰出源发现资产,在弹出的对话根中点击定,可以SM除已发理的日志资产；点击清理APm发现资产.在弹出的对话框中点击（聋定,可以酬Jt已发现的APm费产资产管理日志源资产状态资产管悭，在左制菜单栏选择"资产A日芯源资产状态".可直看日志源资产的状态信息（包括发送事件数三及是否活跃等）.说明：默认资产活跃超时时间为5分tZ事件管理自定义查询菜单栏选择事件管理，在左例菜单栏选择-事件A自定义直询”迸入自定义合询页面.设2S查询杏件，点击查询即可查询事件,点击清空可以清空查询条件Aa旬条件如何设黄，可以参考安恒社区综合日志审计平台用户手册事件管理事件导出在自定义杳询结果页面，点击右上角的导出.莅弹出的对话枢中点击常用字段列表框中的字段,将其设者为导出字段,点击导出将事件字段信息导出至本地导出后为CSV表格事件管理查看全部字段在查询结果中点击某条事件即可进入该事件的事件详情页面在事件详情页面右上焦点.全部字段.按招宜春该日志事件解析出来的全白蟀段事件管理已保存查询s三se数据维护一数据分区设置IHI分区也.Fznrefl已保存直询保存了系统Z认设者的直询条件及查询结果，作为直询模板，方便查询符合条件的事件.搔作方法如下：在上边栏选择事件管理，在左侧菜单栏选择已保存查询"，在已保存查询导IK栏中选择已保存查询名称.可查询符合该已保存查M名称对应自询条件的事件.如下图所示：综合分析一告瞽（事件级别为3）数据维护一数据分区55,5b"数据维护是指对日志数据的备份、归档、清理等掾作系统主菜单界面一在左外菜单栏选择-散我维护，触分区.迸入数据分区页面，可直专数据次态信息»数况分区以日期为位,由天减H会产生附一天的日Wuag分区.si3KBaK分区的状态，修括以下几片Dd线无籥份0在线数抿元新份包.如该分区事件可以通过事件IW询到内咨.b«分区没有效任何发作，默认伏态M为在携无备份.2）在t有备份有在钱数IK也有备圻包.！谀分区件可以通过李傅苣IJ违询到内容.并且存在爸份包.显示在找有备份状存,T表示该分区执行了解份ImWKRifff.3）离烧无备份表示该分区数露已经完全掇It涂.邺龙去恢IB谖效富.薄非有迸行凶¥备份,显不离做无备饰状石一般是指谖分区执行了0档且清理高线数58或若执行了清理在线数帚及IetM蝠?A作.4）离线育部伤即通过事件ISlf无去金Ihfl分区的事忖.但JS留备份包.可以通过饮叁.将状不变成在找村务份才可以t*C.后示为离母右务缶tt.TS表示执行了门后成者不怩名清理在战ItJg艇3.务份前故Jg分区箭伤前占用破盘交IBj的大小备份店IS限分区AWJ后占用阻位交I司的大小数据维护是指对日志数制的备份、归档.清理等操作1 .在数据分区页面点击右上角的设2 .进入设雷页面.妃错相关信息,点击保存数据满第晴设置数拯占;M三也后的策略:涌方差：新的数据藩盖之前的历史数更2）满停止：不再存储效岖在线数Ig至少保留时间可设置为1天、2天、天、T星期或者Y月.数据清理：曲S破杳空间开始清理和停止清理的条件.U告鲁设餐：设金磁盅空间告警的条件自动归档时间：建议设置为凌晨1点归档设看：设置归档多少天之前的初8.要设“成大于在姣数据至少保留时间的天数.数据维护一基本操作数IHHd勾选数据状态为.在线无备份-的数更分区，点击备份.与数据归档不同，数据备份完成后,选中数更仍保留在在线数据列表中数据归档_归档是旨将当前分区的数据（事件和索引）备份,并E除在战数据.作方法：勾选数据状态为在线无备份"的物S分区,点击归档m三a数据保豆是指把箭份包数更变成在线数据,即可以通过界面查询该分区的事件煤作方法：勾选数据状态为一湎线有备份”的数据分区，点击恢复InrF0一数省下线是指将敌梃分区下载至本地.操作方法：勾选数据分区，点击下我研得份一远程备份是指将数据分区备份至远程仓座，操物法：勾选数据分区，点击远程备份,在弹出的对话枢中勾选远程仓库，点击确定远程恢置一远程依W是指将远程仓库中的箫份包恢Sl为在城数据.骤作方法：点击远程恢复.在弹出的对话框中选撞远程仓南，勾选数嵬分区，点击确定mm-数据清理分为清理质或数据和清理本地将份散曙.清理在线数据的臊作方法为：勾选数据状态为-在线”的放施分区，点击清理A清理在线数据”.清理本地品份数据的映作方法为：勾选数据状态为一有番份”的数娓分区，点击清理A清理本地备份”.数据维护维护日志5eB®®QSSIBR彳在数据分区页面点击右上角的墩护日志A,可通着败据分区的堆护记录系统管理IP地址修改系统管理策略路由步S三3设B徽认网关和DNS服务器点击V保存完成配宜后，会出现保存成功，网卡正在重启中，Sfi后完成后网络。«5生效在实际的生产环境，需对平曲行网络IP修改，接入到现场同络中来暧作方加下：步塞1.在系统菜单栏，在左侬单栏选释系垸配H一平台管理选择网络配苔页签迸入网络配百页面，步寮2.选择础进行修改IP的阿卡，点击修改,在弹出的对话框中编OiiP地址，子网译码等信息，.点击够定系统管理配置备份以双网卡为例综合日志审计平台配理双网卡接入到外网，以及内网多个网络中如右图拓扑所示1. ens33为外网网卡，IP192.168.198.132/24,网关地址192.168.198.22. ens37为内网网卡，IP172.16.10.1/24.内网网关172.16.10.254由于福要访问外网00Q0,所以设置默认网关为外网网关对应的网关地址192.168.198.2（IK认咫关相当于t0三由00.00/0T-M192.168.1982）这时由于内网网卡ens37172.16.10.1与内网网段172.1620.0/24及172.1630.0/24处于不同河段，跨了网段，因此这时需要手动添加策略路由（也杯为手工静态路由）1）目的同段172.16.20.0/255.255.255.0,T-Rl72.16.102S42）目的冏段17216300/255255.255.0,下一BU726.10254对系统的配Bl文件迸行备份，以便当系统配电错误或者配H文件损坏时，对系统进行依旦.可极大地减少配Bl工作国（配置区件务份主要包括资产丸系统设25中的配雷文件.是不包含解析规则三1日忑故Ig文件）步界1.达泽系统菜单栏，在左口菜单栏选技系统配置高级配置进入扃级配Bt页面，选择配旨备份页签.步碟2.点击立即寻仍备扮系统当前配置可以将配SSsi份下我到本地电脑作为存档说明迸入离级配2S页面目粒寓IMt人动态密犯,关于动态艺Fiia向400技术热&R产品技术支持人员荻取.高级也宜包?看笈H番份.日毛存飞.分布式配营.清澧业务用期旅巨出厂设置系统管理恢复配置备份<SISfBS两种75C方式1）在蕾份列表中点击操作列中的恢复可将系统恢复至该配置.恢复过程中谓酎心等待，系统会提示恢复完成所需时间方式2）上传备份文件（之前下找到本地电脑的存档）并恢复0消点击每份上传在弹出的对话框中点击选撵文件,选择要上传的文件,点击认上传上传配片文件并恢复系统配雷，恢发过程中蹴心等待系统管理一恢复出厂设置5三三D清兽业务数据清理业务数据会弱除事件和索引、统计数再、APM和SNMP数据，或三Kt后不可恢量，诵圜A爆作.在高级配S1.页面选择出厂没置页短，点击清理业务IHe,在弹出的对话框中点击定,可潘理业务数掂.清理完成后会”系统.2）恢籁出厂设SS恢复出厂设置将热除系统所有数克，恢复到出厂状态，调谖慎撰作.在高级配曰页面选择出厂设N页答，点击恢发出厂设2,在弹出的对话框中点击V定.可恢复设备至出厂设日并重启系统权限管理一权限管理员USeradmin且料信患权限管理平台默认的权限管理员用户名为USeradmin.默认密码为IqaZWSX.平台默认的角色有系统管理员、J*作管理员和权限管理员三抑.权限管理员可以新墙角色权限管理员可对用户迸行管理，主要包括新烟用户、到除用户.动态令牌管理权限管理一权限管理员USeradmin重置admin用户密码歹更IMW针对忘记了admin用户密码，但USeadmin用户可以登录的情况，可以使用权限管理员USeradmin登录后，对admin用户迸行重,密玛操作方法1）选择admin用户，点击修改密码2加入新密码并确认新生码（新型码需要满足的条件：872个字符，密码必须包含：特殊字符，数字,字母小写,字母大与权限管理登录安全设置左的菜单栏选择1认证安全A登录安全设置进入登录安全设置页面.则相关信息,包括连续登录失败次数、锁定时长、出码过期时间、曾录超时时间、密码长度/强度等，点击保存操作管理员可查看所有用户对平台的操作记录平台默认的撮作审计员用户名为OPadmin,默认密码为IqaZWSX.在左侧菜单栏选撵"系统管理系蜕日志“，可食看所有用户的操作记录瘦索过法功修D输入用户名，点击搜索图标.可宜看振定用户的挪作记录M44MI权限管理OPadmin操作审计员查看系统操作日志2）点击下拉图标，在弹出的对话框中设过送条件,点击过滤.可直看符合过迪条件的操作记录常用配置1、日志过滤日志过滤通过设定过速条件对采集到的日志迸行彝选过滤，对匹配到过迎条杵的日志不做人库处理使用admm账号登录平台，在上边栏选择系统，在左1桌单栏选择系统配置日志分析”选入日志分析页面.选择过观更甚，点击蟹增设置比丽事忤序情况向中两任意框的内容就是字段对应金文本柜中的格式义须为S（keyfJ_«中kefi磬叼以手的取值.事件详情页面字段获取方法：在上边栏选择事件管理.在左依菜单选理事件一自定义查询指定有询条件后点击宣询.在查询结果中点击任意事件皆看事件详懦.满足过渔条件的事件将会被过滤附不保存到平台的数据库中.邮件告警2、邮件告警注意：如JRifiaI了多个过淖条件，过淖条件之间关系为K".满足X中任意一个条件事件就会被S平台通过邮件服务器将告警信息以邮件形式发送给相关人,供相关人处理告警.配H步骤步费1.使用admin赚号登录平台，在上边栏选择系统，在左网菜单栏选择系统配置一告三通知一.步累2.在邮件页签下，完成邮件服务器相关的配遗（其中密码不支持某些特殊字符）并点击保存保存后可以通过发送测试邮件来检的邮件服务器是否连通.（如果使用的外网邮箱，需要日志审计平台修访问外网自髓服务器）步骤3.如果赛试邮件能够正簿发送，在页面右上角点击重启西启SOC0务.步骤4.事件管理，在左测菜单栏选择告鳌_外部告警用户",点击新埔新增外部告警用户,将邮箱设置成收件人的邮箱地址，设黄邮件聚合周期步舞5.设53完成后可以进行邮件告警订阅.在告警订阅页面,未订阅页面选择左侧的审计方案条目进行订阅,在邮件订阅项中勾选