LogBase日志管理综合审计系统使用手册杭州思福迪信息技术有限公司SAFETYBASEINFOTECHCO.LTD2011.07版权声明版权所有2005-2011，杭州思福迪信息技术有限公司本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属杭州思福迪信息技术有限公司所有，受到有关产权及版权法保护。

任何个人、机构未经杭州思福迪信息技术有限公司的书面授权许可，不得以任何方式复制或引用本文件的任何片断。

商标信息SafetybaseLogAuditSystem、Logbase等是杭州思福迪信息技术有限公司的商标。

目录前言欢迎使用杭州思福迪信息有限公司竭诚为您提供的新一代网络安全产品——思福迪日志管理综合审计系统随着互联网的飞速发展，客户对网络系统中的安全设备和网络设备、应用系统和运行状况进行全面的监测、分析、评估是保障网络安全的重要手段。

网络安全是动态的，对已经建立的系统，如果没有实时的、集中的、可视化审计，就不能有效/及时的评估系统究竟是不是安全的，并及时发现安全隐患，所以网络安全需要集中的审计系统。

如果不能将在同一网络中多个相同或者不同厂商的产品实现技术上互操作，实现集中的审计，就无法发挥有效的安全性，就无法有效管理。

安全审计系统就可以满足这些要求，对网络中的各种设备和系统进行集中的、可视的综合审计，及时发现安全隐患，提高安全系统成效。

该产品是一款分布式,跨平台的网络日志管理审计系统，通过对网络设备、服务器、数据库、应用服务等通用计算机软硬件系统以及各种特定业务系统在运行过程中产生的日志、状态、操作等信息的采集，在实时分析的基础上，监测并发现各种异常事件，准确发出实时告警。

审计系统同时提供对存储的历史日志数据进行数据挖掘和关联分析，通过可视化的界面和报表向管理人员提供准确、详尽的统计分析数据和异常分析报告，协助管理人员及时发现安全漏洞，采取有效措施，提高整个计算机应用系统的安全等级。

二、安装方法2.1准备工作在安装LOGBASE之前，请打开LOGBASE的随机配件盒，查看配件清单，核对LOGBASE配件是否完整。

除配件盒内物品外，还需要进行以下准备工作：IP地址——请在网络中给LOGBASE预留1个管理IP地址。

临时计算机——配置LOGBASE需要一台临时管理用计算机，LOGBASE配置时可以通过串口连接；超级终端软件——能够连接串口的终端软件（比如Windows的超级终端软件、Putty、SecureCRT等）；浏览器——请确定计算机系统已安装IE浏览器（建议使用IE7.0以上版本）；2.2接入网络请将LOGBASE按如图2.1所示的拓扑结构方式接入网络，此图考虑的是通常情况，在具体应用时，请根据自己网络的拓扑结构加以调整。

图2.1LOGBASE的网络接入拓扑结构图接入网络时，请注意以下几点：●使用网络直连线连接交换机和LOGBASE的LAN1口。

●将LOGBASE接入网络后请立即修改其网络配置，适应所在网络。

LOGBASE的网络设置默认如表2：IPMASK默认网关三、LOGBASE串口配置下面以Windows自带的超级终端软件为例，详细介绍实际连接过程：（1）设置端口属性，如图3.1所示：图3.1超级终端连接端口设置窗口（2）点击【确定】后按回车键，出现提示符login:这时输入控制台管理员的用户名和密码（默认菜单用户名：admin，默认密码：safetybase），如图3.2所示：3.2配置菜单用户登录登录成功后，如图3.3所示：3.3登录成功显示配置菜单（3）成功登录后，可以看到配置菜单如图3.3所示：1、Setsystemnetworkparameter：配置相关网卡参数；2、Setsystemdefaultgateway：配置默认网关参数；3、SetDeviceSerial：配置设备串口号；4、SetDeviceConsoleAdminPassword设置串口菜单管理密码；5、SetDeviceConsoleShellPassword设置串口命令行管理密码；6、SetWebAdminPassword；设置Web管理员密码；7、SetLogServer1Parameter；设置日志服务器1参数；8、SetLogServer2Parameter；设置日志服务器2参数；0、Exit：退出配置菜单；（4）选择【1】，回车;如图3.4所示：图3.4网络接口配置列表选择相应网卡（如a），配置网络参数，如图3.5所示：图3.5网卡参数配置（5）选择【DeviceIPAddress】，回车；配置【1-2】项输入为LOGBASE 系统预留的管理IP地址、子网掩码，选择【3】保持配置即可；选择【0】返回上级菜单；（6）在上级菜单中（如图3.4），选择【b】、【c】…【i】配置ETH1、ETH2…ETH8的网络参数，配置内容同ETH0：选择【3】保持配置即可；选择【0】返回上级菜单；图3.6串口配置主菜单（7）串口配置主菜单中选择【2】，SetSystemdefaultgateway：设置设备默认网关地址；回车；如图3.7所示：图3.7设备网关配置界面（8）串口配置主菜单中选择【3】，SetDeviceSerial：配置设备串口号；回车；如图3.8所示：图3.8设备串口号配置界面（9）选择【Getoriginalserialnumber】，回车；即可获取该设备的串口序列号信息，将该序列号发送给生产厂家，申请相应的激活号码，然后选择【Inputcheckserialnumber】,输入激活号码完成设备注册，重启设备。

设备序列号注册工作，通常在设备出厂时已经完成。

因此，在设备安装时不需要用户自行配置此项。

（10）串口配置主菜单中选择【SetDeviceConsoleAdminPassword】设置串口菜单管理密码；如图3.9所示：图3.9串口菜单登录密码配置（11）首先输入旧的密码，并连续两次输入新的密码，完成串口菜单登录密码的修改。

为了确认设备安全，请用户及时更新串口登录密码。

（12）串口配置主菜单中选择【SetDeviceConsoleShellPassword】设置串口命令行模式管理密码；如图3.10所示：图3.10串口命令行模式登录密码配置（13）首先输入旧的密码，并连续两次输入新的密码，完成串口命令行模式登录密码的修改。

为了确认设备安全，请用户及时更新串口命令行模式登录密码。

（14）串口配置主菜单中选择【SetWebAdminPassword】初始化WEB管理界面登录密码；如图3.11所示：图3.11初始化WEB管理密码在用户忘记Web管理界面登录密码后，可通过该选项对Web密码进行初始化配置。

（15）串口配置主菜单中选择【SetLogServer1Parameter】，回车；配置日志服务器参数。

选择发送方法、输入服务器IP并保存配置。

如图（3.12）所示：图3.12日志服务器配置界面系统提供两种日志发送方法（LOGBASE：LOGBASE专用日志格式、SYSLOG：标准SYSLOG协议日志格式）将日志发送到其它的日志服务器；系统同时支持两个日志服务器的配置。

四、系统管理4.1登录LOGBASE打开IE浏览器，输入LOGBASE地址，（如https，以LOGBASE 管理员角色登录，默认用户名：admin；密码：safetybase;如图4.1所示，点击【登录系统】：图4.1登录界面请及时修改系统默认密码。

密码连续输入错误三次，登录页面会自动关闭；登录成功后10分钟未进行任何操作，系统会超时退出；4.2系统用户选择导航条上【系统管理】—>【系统用户】；查看当前系统用户列表，并可执行【添加】或【删除】系统用户操作：如图4.2所示图4.2系统用户点击【添加】，产生一个新的系统用户：输入新用户的基本信息、赋予功能权限和隶属组；如图4.3所示系统管理员可根据用户的岗位职权来分配相应用户帐号的功能权限，保障LOGBASE审计系统的安全及用户网络信息的安全。

用户添加入用户组后，此用户将自动继承用户组的所有日志权限；图4.3添加系统用户图4.4配置用户功能权限密码长度建议8位以上的字母、数字、大小写、特殊字符；对功能权限设置应该规范，系统用户与管理员用户的权限设置必须权限分明。

以防止越权行为；4.3系统组选择导航条上【系统管理】—>【用户组】；可查看并添加/删除用户组；如图4.5所示：图4.5系统用户组添加系统用户组只需添加组名及组描述，组名具有唯一性；对系统用户组的权限管理请见后节【组日志权限管理】中的介绍；选择导航条上【系统管理】—>【主机组】；可查看并添加/删除主机组；如图4.6所示：图4.6主机组列表在主机组列表页面上，点击【添加】，新增主机组名，并勾选主机至主机组，如图4.7所示：图4.7：添加主机组：用户在主机组列表中，可以批量导入主机及主机组信息。

点击【主机配置】可以新增主机信息。

【主机配置】内容同【实时审计】—>【监控总图】—>【主机监控】里的【主机配置】一致；4.4当前用户选择导航条上【系统管理】—>【当前用户】、【修改密码】；针对当前用户的基本内容及密码进行修改等；如图4.8所示：图4.8修改本用户信息图4.9：修改用户密码点击【恢复】，可放弃修改内容，恢复原用户信息；拥有【系统用户】功能权限的帐号可以在【系统用户】列表中修改其它所有用户的详细信息、功能权限、隶属组、密码等信息。

初始化时，应该立即修改审计系统默认系统配置，以安全的保证系统管理员的唯一性；以上操作适用与当前登录的所有用户；安全性考虑密码长度建议8位以上的字母、数字、大小写、特殊字符；系统用户必须从管理制度上保障；以确保系统的安全性；4.5日志权限选择导航条上【系统管理】—>【日志权限】；可分别针对用户或用户组进行日志管理权限的配置，如图4.10所示：图4.10用户日志权限管理此系统用户列表只显示未加入【系统用户组】的系统用户，已添加入【系统用户组】的系统用户的日志权限不能独立管理，只能继承所属组的日志权限。

详情请参见下节【组权限】；系统用户移出用户组后，将恢复默认日志权限。

若直接删除用户组，组中的用户仍保持原有的日志权限，直到该用户加入其它用户组，继承新的日志权限；点击【修改】，操作所选定帐号的日志权限管理，如图4.11所示：图4.11修改用户日志权限针对所有日志类型，都可选择【全部允许】、【全部限制】及【部分允许】，若选择【全部允许】、【全部限制】相应【操作】功能为灰色不可用。

【全部允许】指此用户可以操作此类日志的所有功能（实时、综合、查询）；【全部限制】指此用户将看不到此类日志的任何信息、更无法审计；【部分允许】指根据条件来限制此用户可操作某些发生地址IP 的此类日志；若选择【部分允许】，点击相应【操作】，如图4.12所示：图4.12设置【部分允许】权限勾选【允许部分IP】，可以选择输入单个IP或IP段；保存设置后，此用户将只能操作这段IP内的此类日志内容；勾选【限制部分IP】同理推之；选择导航条上【日志权限】—>【组权限】如图4.13所示：图4.13组权限管理组日志权限管理操作同用户日志权限管理操作，【组权限】中的权限设置，组内的所有用户会完全继承该组的日志权限。