[系统运维]日志审计（启明设备）

1.基础知识

通过分析信息系统的安全日志来检验信息系统安全机制的有效性

1.作用：

1.安全审计通过收集存储网络上所有软硬件设 备产生的日志、审计信息，根据策略进行存 储，为事后取证提供依据
2.对所收集的信息进行汇总、分析、报警，对 安全问题进行挖掘，提供各种报表，帮助管 理员更好的掌握网络情况

2.必要性

1.合规要求
2.网络安全法要求
3.等级保护要求

3.启明产品特点

2.设备介绍

1.设备接入

串口或网口后台登陆信息如下默认波特率： 9600。Eth0默认IP：10.0.0.1 后台默认账号密码：admin/sysadmin3010

2.后台常用命令

修改网口命令
syscmd -i eth0 显示接口网络属性
syscmd -e eth0 –p ip -m mask -gw gateway
Syscmd -d dnsip 修改接口网络属性

串口或网口后台其他常用命令
syscmd -v 查看日志审计版本
syscmd --https on 开启https服务（默认关闭）
syscmd --https off 关闭https服务
syscmd --start 启用服务（默认启用）
syscmd --stop 关闭服务
syscmd --restart 重启服务
syscmd --status 查看服务状态
syscmd --poweroff 关机
syscmd --reboot 重启

3.web访问

在浏览器地址栏输入： http://<SERVER_IP>:8888/ 即可以访问系统。
如果是采用安全的证书访问，请输入： https://<SERVER_IP>:8443/
系统的默认用户名为:
  系统管理员：sysadmin 口令为: venus.sysadmin
  用户管理员：useradmin口令为：venus.useradmin
  审计管理员：auditor口令为venus.audito

4.部署架构

5.控制台登陆

连接出厂设备Eth0管理口，WEB登录 https://10.0.0.1，admin/sysadmin3010； 
注意：切换协议后，需要重新登录；
启用https时，访问路径格式为：https://192.168.19.11:8443； 
关闭https时，访问路径格式为：http://192.168.19.11:8888

6.授权导入

系统管理员登录，在【系统】->【产品授权与升级】->【产品许可导入】中点击“选择文件”上传授权文件。

7.系统升级

系统管理员登录，在【系统】->【产品授权与升级】->【产品升级】中点击“选择文件”上传升级文件，然后升级

3.设备上架

1.部署

01 配置网络 02 更新授权文件 03 日志采集与范式化 04 日志合并与过滤 05 事件展示、查询与统计

2.日志采集与范化

1、设置智能解析配置 
2、关联解析文件查看所采集的日志是否已经范式化，如果没有需要编写范式化文件

3.日志合并与过滤

1、设置过滤器，并在采集器上引用该过滤器，对事件进行过滤
2、设置合并规则，在采集器上引起该合并规则，对特定事件进行合并

4.事件展示、查询与统计

1.实时监视：默认10秒刷新一次（时间可自定义），实时查看日志接入情况
2.实时统计：默认统计5分钟内数据，60秒刷新一次（时间可自定义），近实时
3.历史统计：默认统计一天内数据（时间可自定义），长周期统计接入数据
4.历史查询：自定义查询策略，支持可选字段和关键字模糊查询

4.基础功能介绍

1.事件来源

主动采集
  通过日志代理，或者 文件共享/FTP/JDBC 等方式去主动采集设备的日志。
  采集设备可以使用这种方式由 TSOC-SA 采集器主动去采集设备或应用的日志。这种方式主要针对没有日志发送功能的设备，比如 Windows主机日志。
被动接收
  审计中心或采集器只是被动地接收设备发过来的日志。
  只有对有日志转发功能的设备才能使用这种方式。可以在设备上配置，将日志转发给TSOC-SA 日志审计系统或 TSOC-SA 的
日志采集器。

2.采集器

1.被动采集为主
  FTP Server
  SNMP Trap
  Syslog
2.主动采集为辅
  文件共享
  WMI
  ODBC
  私有协议
  采集器
  OPSEC LEA