1.基础知识

通过分析信息系统的安全日志来检验信息系统安全机制的有效性

1.作用：

1.安全审计通过收集存储网络上所有软硬件设 备产生的日志、审计信息，根据策略进行存 储，为事后取证提供依据

2.对所收集的信息进行汇总、分析、报警，对 安全问题进行挖掘，提供各种报表，帮助管 理员更好的掌握网络情况

2.必要性

1.合规要求

2.网络安全法要求

3.等级保护要求

3.启明产品特点

2.设备介绍

1.设备接入

串口或网口后台登陆信息如下默认波特率： 9600。Eth0默认IP：10.0.0.1 后台默认账号密码：admin/sysadmin3010

2.后台常用命令

修改网口命令

syscmd -i eth0 显示接口网络属性

syscmd -e eth0 –p ip -m mask -gw gateway

Syscmd -d dnsip 修改接口网络属性

串口或网口后台其他常用命令

syscmd -v 查看日志审计版本

syscmd --https on 开启https服务（默认关闭）

syscmd --https off 关闭https服务

syscmd --start 启用服务（默认启用）

syscmd --stop 关闭服务

syscmd --restart 重启服务

syscmd --status 查看服务状态

syscmd --poweroff 关机

syscmd --reboot 重启

3.web访问

在浏览器地址栏输入： http://:8888/ 即可以访问系统。

如果是采用安全的证书访问，请输入： https://:8443/

系统的默认用户名为:

系统管理员：sysadmin 口令为: venus.sysadmin

用户管理员：useradmin口令为：venus.useradmin

审计管理员：auditor口令为venus.audito

4.部署架构

5.控制台登陆

连接出厂设备Eth0管理口，WEB登录 https://10.0.0.1，admin/sysadmin3010；

注意：切换协议后，需要重新登录；

启用https时，访问路径格式为：https://192.168.19.11:8443；

关闭https时，访问路径格式为：http://192.168.19.11:8888

6.授权导入

系统管理员登录，在【系统】->【产品授权与升级】->【产品许可导入】中点击“选择文件”上传授权文件。

7.系统升级

系统管理员登录，在【系统】->【产品授权与升级】->【产品升级】中点击“选择文件”上传升级文件，然后升级

3.设备上架

1.部署

01 配置网络 02 更新授权文件 03 日志采集与范式化 04 日志合并与过滤 05 事件展示、查询与统计

2.日志采集与范化

1、设置智能解析配置

2、关联解析文件查看所采集的日志是否已经范式化，如果没有需要编写范式化文件

3.日志合并与过滤

1、设置过滤器，并在采集器上引用该过滤器，对事件进行过滤

2、设置合并规则，在采集器上引起该合并规则，对特定事件进行合并

4.事件展示、查询与统计

1.实时监视：默认10秒刷新一次（时间可自定义），实时查看日志接入情况

2.实时统计：默认统计5分钟内数据，60秒刷新一次（时间可自定义），近实时

3.历史统计：默认统计一天内数据（时间可自定义），长周期统计接入数据

4.历史查询：自定义查询策略，支持可选字段和关键字模糊查询

4.基础功能介绍

1.事件来源

主动采集

通过日志代理，或者 文件共享/FTP/JDBC 等方式去主动采集设备的日志。

采集设备可以使用这种方式由 TSOC-SA 采集器主动去采集设备或应用的日志。这种方式主要针对没有日志发送功能的设备，比如 Windows主机日志。

被动接收

审计中心或采集器只是被动地接收设备发过来的日志。

只有对有日志转发功能的设备才能使用这种方式。可以在设备上配置，将日志转发给TSOC-SA 日志审计系统或 TSOC-SA 的

日志采集器。

2.采集器

1.被动采集为主

FTP Server

SNMP Trap

Syslog

2.主动采集为辅

文件共享

WMI

ODBC

私有协议

采集器

OPSEC LEA