本章节下载(33.09 MB)
目 录
2.4.1 SecCenter A1000的Web客户端的软件需求
2.4.2 使用浏览器登录SecCenter A1000的Web界面
3.2.2 缺省模板(Default Dashboard)介绍
SecCenter A1000安全管理中心是杭州华三通信技术有限公司(以下简称H3C公司)推出的安全管理解决方案中的重要组成部分。它提供了综合的安全智能、高效实施的安全信息和事件管理(SIEM)解决方案,能够对全网海量的安全事件、日志进行集中收集与统一分析,兼容异构网络中各厂商的多种设备,支持海量数据的高度聚合存储及归一化处理。图1-1所示的是SecCenter A1000的系统结构。
图1-1 SecCenter A1000的系统结构
SecCenter A1000按19英寸标准设计,支持19英寸标准机柜。
|
(1) 挂耳 |
(2) 面板 |
(3) 键锁 |
|
(4) 电源指示灯 |
(5) 告警指示灯 |
(6) 定位指示灯 |
图1-2 整机外观图
|
(1) 交流电源输入 |
(2) 电源模块 |
(3) 鼠标、键盘接口 |
|
(4) 串口1 |
(5) 串口2 |
(6) USB接口(2个) |
|
(7) 千兆网口1、2 |
(8) 千兆网口3、4 |
(9) 百兆网口 |
|
(10) 显示器接口 |
(11) PCI-X扩展槽 |
|
图1-3 背视图
SecCenter A1000共有五个以太网接口,包括四个千兆以太网接口(GE)和一个百兆以太网接口(FE),如图1-4所示。千兆以太网接口用于与设备通讯以及供Web客户端访问,百兆以太网接口用于管理SecCenter A1000设备,相当于控制台(Console)接口。
图1-4 SecCenter A1000网络接口示意图
百兆以太网接口出厂时配置的IP地址为192.168.0.1,掩码为255.255.255.0。这个百兆以太网接口是作为控制台接口使用的,建议用户在一般情况下不要修改这些配置。
在网络中,SecCenter A1000部署在防火墙后面,接收防火墙、IDS、路由器、交换机和应用服务器发送的日志信息和NetStream信息等。SecCenter A1000可以部署在防火墙后的信任区域,一般情况下不需要从外网访问。如果需要从外网的非信任区域访问,可将SecCenter A1000部署在DMZ区域。图2-1是SecCenter A1000的典型组网。
第一次登录SecCenter A1000时,使用一台运行Windows操作系统(Windows 2000、Windows XP、Windows Server 2003)的普通PC机。通过交换机、Hub或直连网线将PC机与SecCenter A1000的百兆网口相连。
配置PC机的网卡IP地址,使其与SecCenter A1000百兆网口的IP地址处于同一网段。SecCenter A1000百兆网口出厂时配置的IP地址为192.168.0.1,掩码255.255.255.0,所以PC机的网卡IP地址可以是192.168.0.2~192.168.0.254,掩码为255.255.255.0,如图2-2所示。
图2-2 PC机的IP地址配置界面
打开SecCenter A1000的电源开关,大约2分钟后系统启动完毕。确认PC机网口已经与SecCenter A1000正常连接(观察SecCenter A1000的百兆网口,绿灯闪烁表示连接正常),这时就可以进行远程桌面连接了。
在PC机的Windows界面,点击[开始/程序/附件/通讯/远程桌面连接],出现远程桌面连接对话框,如图2-3所示。输入SecCenter A1000的百兆网口的地址(192.168.0.1),点击<连接>按钮登录到SecCenter A1000桌面。
图2-3 远程桌面连接程序界面
登录到SecCenter A1000后,需要输入系统登录用户名和密码。登录用户名为Administrator,登录密码出厂设置为sca1000@。
登录成功后出现SecCenter A1000的系统桌面,SecCenter A1000采用Windows Server 2003 Web版作为操作系统。
远程登录到SecCenter A1000的桌面后,可配置千兆以太网接口地址。SecCenter A1000的千兆以太网接口用来与设备通讯和供Web客户端访问,根据具体组网情况选择一个部署SecCenter A1000的位置,并配置相应的IP地址。
配置网卡IP地址操作步骤如下:
在SecCenter A1000的远程桌面,打开[控制面板(control panel)/网络连接(Network Connections)],出现网络连接对话框,如图2-4所示。选择要修改的网卡(作管理接口的百兆网卡下面有:Intel 8255xER PCI Adapter标注,千兆网卡下面有Brodcom NetXtreme Gigabit Ethernet标注)。
图2-4 网络连接(Network Connections)对话框
用鼠标右键点击网卡图标弹出右键菜单,选择Properties菜单项弹出网卡属性设置对话框,如图2-5所示。
图2-5 网卡属性设置对话框
双击列表中的Internel Protocol(TCP/IP)项,弹出Internel Protocol(TCP/IP) Prpperties对话框,如图2-6所示。输入要修改的新的IP地址、网络掩码、默认网关,点击<OK>按钮完成修改。
图2-6 IP地址配置对话框
配置了SecCenter A1000的IP地址后,就可以通过千兆以太网接口访问SecCenter A1000的Web界面进行使用了。SecCenter A1000的Web界面可以从五个网络接口的任意一个登录,只要该接口配置了IP并保证登录的PC机可以ping通这个网络接口即可。建议用户使用千兆以太网接口登录SecCenter A1000的Web界面。
l 操作系统为Windows 2000、Windows XP、Windows Server 2003
l 浏览器为Internet Explorer 6.0以上版本
l 安装Java运行环境(JRE)
通过Web浏览器访问SecCenter A1000需要浏览器安装Java运行环境,版本为Java 2 Runtime Environment JRE v1.5 以上。JRE会在随机光盘中提供,执行jre-1_5_0_09-windows-i586-p.exe安装程序即可安装。
l Adobe Reader浏览器插件安装
SecCenter A1000可以生成多种格式的报表,通过安装相应的浏览器插件,可以在浏览器上直接打开这些报表。对于PDF格式的报表,需要安装Adobe Reader 6.0及以上版本的软件浏览;在随机光盘AdobeReader目录中执行安装程序AdbeRdr60_enu_full.exe进行安装。
打开SecCenter A1000Web客户端的IE浏览器,在地址栏输入http:// <SecCenter A1000的IP地址> :9216,会出现SecCenter A1000的Web登录界面,如图2-7所示。
图2-7 Web登录界面
如果使用出厂设置,在User Name中输入“admin”,在Password中输入“sca1000@”,即可进入SecCenter A1000的应用系统界面。
设置H3C的SecPath防火墙、VPN网关、路由器、交换机的Syslog Server IP地址为SecCenter A1000的IP地址,这样这些设备发出的Syslog就可以被SecCenter A1000接收。
主要介绍SecCenter A1000应用系统的七个部分内容,各部分在界面中的位置如图3-1所示。
图3-1 SecCenter A1000的应用系统界面
SecCenter A1000的主监控画面,实时显示当前的安全统计信息。通过Dashboard可以对网络中当前的安全状况有一个直观的了解。Dashboard可以根据需要自定义显示的内容组合,可以保存多个Dashboard画面,还可以在这些自定义的画面间快速切换。
Alert(报警)显示画面可显示由Policies(策略)产生的报警。报警可定义几种动作:在报警列表中显示、发送包含报警内容的E-mail给预先定义的地址、发送包含报警内容的SNMP Trap报文到网管系统。
Policies(策略)是一些规则(Rules)的组合,通过策略的定义可以实时过滤出符合规则的重要事件,在海量的信息中发现重要的问题。策略过滤出的事件可触发告警,也可以将符合策略的数据保存在SecCenter A1000的报告数据库中。
Profiles(定制报表)功能可以根据用户需要定制各种报告,用户可以在Profile中定义生成报告的各种条件,如报告源数据的时间范围、数据源设备选择、数据源过滤器设置、定期自动生成报告选择、报告的类型、输出报告的格式和报告风格等。
Security Center(安全中心)提供一个快速且风格统一的网络安全实时监视界面,提供常用的预定义安全监视模板,包含最常用的安全监视功能。自定义功能可根据用户的实际需要灵活组合监视画面,满足用户的精细化需求。安全中心包含近千个即时安全报告和几十个实时监视器(Monitor)画面,是集中了解网络安全状况的有力工具。
Forensics(深度分析)功能,提供对事件进行深度分析的能力。
Device Manager(设备管理),包括组管理(Groups)、设备管理(Devices)和主机管理(Hosts)三部分。集中管理设备和主机,提供将设备和主机分组管理的功能。
Dashboard是SecCenter A1000系统的欢迎界面,Dashboard中显示用户最关心的网络安全信息内容,如图3-2所示。通常用户在不操作SecCenter A1000界面时会使用Dashboard作为长期监视的画面。
Dashboard提供了一个缺省显示内容模板(Default Dashboard),显示经过统计分析后的比较活跃的端口、协议、各种级别事件比例等信息。用户可根据实际情况定义自己的Dashboard显示模板,Dashboard模板可以定义为多个,并可在这些模板之间快速切换。
图3-2 Dashboard界面
缺省模板(Default Dashboard)包括6个监视画面,显示内容以下:
l 事件接收趋势图(Events Graph)
根据接收到的事件级别(从Debug到Emergency共8个级别)用不同颜色的曲线趋势图表示最近10分种内系统接收到的事件数量和趋势,用户可通过事件接收趋势图可以直观地了解到网络中各种级别事件的实时变化。
l 实时事件列表(Event Viewer)
该列表可以滚动显示SecCenter A1000收到的所有事件,不同级别事件显示的的颜色也不同。事件列表缺省可显示1000条事件,通过修改配置可以改变显示事件的数量。
l 端口统计饼图(Port Activity)
实时显示从设备日志中统计出来的目标端口被命中(被攻击)的次数,可通过饼图直观地了解哪些端口被命中的次数最多。
l 事件级别统计饼图(Event Severities)
实时显示从设备日志中统计出来的各种级别事件的饼图,可通过饼图直观地了解哪些事件最多以及各级别事件分布情况。
l 协议统计直方图(Activity Per Protocol)
以直方图(BAR)形式实时显示从设备日志中统计出来的报文协议,可以直观地了解日志中最活跃的报文类型和统计数量。
l 协议统计饼图(Protocol Activity)
以饼图(PIE)形式实时显示从设备日志中统计出来的报文协议,可以直观地了解日志中的报文类型分布比例。
Dashboard的每个画面占整个Dashboard显示区域的大小可以通过设计模式(Design Mode)自由调整。模式切换按钮在Dashboard的右侧靠上的位置,如图3-3所示。
图3-3 Dashboard的编辑模式按钮
通过模式切换按钮可以使Dashboard在运行模式(Run Mode)和设计模式(Design Mode)之间切换,在运行模式下点击模式切换按钮可以进入设计模式,在设计模式下点击模式切换按钮可以进入运行模式。Dashboard在运行模式下不能调整画面大小,在设计模式下可以调整画面大小,如图3-4所示。
图3-4 Dashboard在设计模式下可调整各画面间的边界宽度
用户可以定制Dashboard的内容,还可以根据不同用途保存多个模板,见图3-5中的Dashboard模板列表,这些模板之间可以快速切换。
SecCenter A1000出厂时只定义了Default Dashboard一个Dashboard模板。如果想增加新的Dashboard模板,点击Dashboard右侧上方的Dashboard管理按钮,位置见图3-5。
图3-5 Dashboard管理按钮和Dashboard模板列表
点击Dashboard管理按钮后会弹出模板管理画面,如图3-6所示。如果要改变已有Dashboard模板显示内容,可在模板列表中选择一个作为当前模板,然后可选择想要监视的画面。
选择多个画面时需要先按住键盘上的“Ctrl”键再用鼠标选择。选择完画面后需要指定选择画面个数,选择画面个数只能是偶数,而且要与实际选择的画面个数一致。最后根据选择的画面个数确定画面在Dashboard中的行数和列数,全部设置完毕后点击<Next>按钮。
图3-6 Dashboard管理
点击<Next>按钮,会出现Dashboard预览画面,画面中显示被选择的画面内容和排列方式。这时仍然可以更改显示的行数和列数。完成所有修改和调整后点击<Save>按钮可保存当前Dashboard模板的配置,如图3-7所示。
图3-7 Dashboard配置预览和保存
如果想建立一个新的Dashboard模板,点击左下方的<New>按钮后会出现一个新的Dashboard模板配置画面,如图3-8所示。在“Dashboard Name”栏中输入一个新的Dashboard模板名字,模板显示内容的设置和前面修改配置的一样。
图3-8 新增加Dashboard模板
Security Center(安全中心)提供一个快速而且风格统一的网络安全实时监视界面,还有常用的预定义安全监视模板,具有最常用的安全监视功能。安全中心的自定义功能可根据用户的实际需要灵活组合监视画面,满足用户的精细化需求。安全中心包含近千个即时安全报告和几十个实时监视器(Monitor)画面,是集中了解网络安全状况的有力工具。
点击SecCenter A1000应用界面中的<SecurityCenter>按钮,可以启动安全中心(Security Center)显示画面,如图3-9所示。
图3-9 安全中心(Security Center)实时监视器画面(Monitoring)
安全中心包含两种类型的监视画面,一种是实时监视器画面(Monitoring),一种是即时报告画面(Reporting),可通过点击画面上面的Table页选择。
实时监视画面(Monitoring)包含视图(Views)和监视器(Monitors)两部分。
监视器(Monitors)是一个单独的监视画面,而视图(Views)是由若干个监视器(Monitor)组成的。
l 预定义的监视器(Monitors)
SecCenter A1000中有很多预定义的监视器(Monitors),而且已经按功能作了分组,使用树形结构管理,预定义监视器(Monitors)可以直接通过鼠标点击使用。
预定义监视器(Monitors)包括以下几个组:设备监视器(Device Monitors)、主机监视器(Host Monitors)、性能监视器(Performance Monitors)、网流监视器(NetStream Monitors)和数据审计监视器(DBAudit Monitors)。另外还有一些没有分组的监视器。预定义监视器(Monitors)基本上可以满足大多数应用的需要。监视器也可以自定义,详细定义方法可参考用户使用手册。
l 预定义的视图(Views)
SecCenter A1000预定义了一些最常用的视图(Views),可以直接使用。
表3-1 预定义视图(Views)
|
视图名 |
说明 |
|
AllEventsView |
按事件级别分组的事件和攻击视图 |
|
AllSysEvents |
系统类事件视图 |
|
AttacksView |
病毒、攻击和被触发的告警视图 |
|
DBAuditHostView |
最近的SQL Server审核事件视图 |
|
DashBoard |
最近被触发的告警、事件浏览窗口、活跃的端口及协议视图 |
|
EventViewerView |
事件浏览窗口、按事件组分类的最近60分钟事件统计视图 |
|
Events Activity |
按事件组分类的最近60分钟事件统计、活跃的端口及协议视图 |
|
MiscView |
最近被触发的规则、最近允许和拒绝的事件、攻击的源地址、客户端协议、端口、目的地址、活跃的源目的端口协议视图 |
|
NetStreamView |
网流相关视图 |
|
Performance Counters |
主机相关的性能参数视图,包括网络、CPU、内存、硬盘等 |
|
Ports |
活跃的源目的端口、最高会话数应用、网流统计的流量和端口视图 |
|
Protocol View |
活跃的协议、客户端协议视图 |
|
Source Activity View |
活跃的源目的端口、客户端事件优先级、客户端目的端口、客户端协议视图 |
l 自定义视图(Views)
SecCenter A1000可以自定义视图(Views),点击在安全中心(Security Center)监视(Monitoring)中的视图管理(Manage Views)按钮,位置如图3-10所示。可进入视图管理画面,如图3-11所示。使用视图管理可增加新的视图(Views)到现有的视图列表(MonotoringTOC)中。
图3-10 视图(Views)管理按钮
图3-11 视图(Views)管理
安全中心(Security Center)启动后缺省显示的页面是实时监视器画面(Monitoring),要切换到即时报告画面(Reporting)需要点击上面的(Reporting)Table页。
与前面的实时监视(Monitoring)画面不同,即时报告(Reports)中显示的图表和数据是SecCenter A1000系统经过一定时间的数据采集后统计出来的信息。SecCenter A1000的内置数据库会保存生成报表的统计数据,所以报表数据在系统重新启动后不会丢失。
即时报告中显示的内容如图3-12所示。
图3-12 即时报告(Reporting)画面
l 即时报告可以按月度、季度或年度显示统计数据结果,缺省情况下按月度显示数据。
l 即时报告可以直接打印输出,也可以直接生成PDF格式的文档,启动这些功能的工具条按钮在每个报告的右上方。
l 点击左边报告列表中的报告名字即可直接在右侧的显示区域显示报告内容。
l 报告视图功能。用户可以自己组合多个报告到一个报告视图中,报告视图可提供将多个报告同时显示的能力。在即时报告画面右上方点击<Manage Views>按钮,出现报告视图管理(Manage Views)画面,点击<New>按钮可建立一个新的报告视图,如图3-13所示。
图3-13 报告视图管理画面
即时报告画面(Reporting)包含丰富的报告,分为以下几类:
l Summary Reports(摘要报告)
包含主机和设备的两个摘要报告:Device Based General Summary和Host Based General Summary。
l Device-Based Reports(基于设备的报告)
包含230个与设备相关的报告,报告分类如图3-14所示。
图3-14 基于设备的报告(Device-based Reports)分类
l Host-Based Reports(基于主机的报告)
包含271个与主机相关的报告,报告的分类如图3-15所示。
图3-15 基于主机的报告(Host-based Reports)分类
l Application Reports(应用程序报告)
包含223个应用程序报告,报告的分类如图3-16所示。
图3-16 应用程序报告(Application Reports)分类
l Vulnerabilities Reports(弱点报告)
包含33个弱点报告,全部报告的名称如图3-17所示。
图3-17 弱点报告(Vulnerabilities Reports)
l NetStream Reports(网流报告)
包含14个网流报告(NetStream Reports),全部报告的名称如图3-18所示。
图3-18 网流报告(NetStream Reports)
l Assets(资产报告)
包含5个资产报告(Assets),全部报告的名称如图3-19所示。
图3-19 资产报告(Assets)
l Compliance Reports(法规遵从报告)
包含126个法规遵从报告(Compliance Reports),报告的分类如图3-20所示。
图3-20 法规遵从报告(Compliance Reports)
规则(Rule)是一个过滤器,可选择任何日志字段作为匹配条件,如源IP地址、目的IP地址、报文协议类型、攻击类型、事件ID甚至事件信息中的字符串匹配。
SecCenter A1000中预定义了一些常用的规则模板(Rule Templates),可以直接使用。如果这些模板不能满足需要,用户也可以自己定义规则(Rule)模板。
在主界面的策略(Policies)Table页面中点击<Rule Templates>按钮,会出现规则模板(Rule Templates)管理画面,如图3-21所示,通过该画面可以新建和修改规则模板(Rule Templates)。
图3-21 规则模板(Rule Templates)管理
策略是规则的集合和符合规则后相关动作的组合,也就是说策略先用若干个规则过滤日志信息,这些规则用与或非逻辑运算生成一个表达式,完全符合这些表达式后策略会触发相关动作。策略的动作包括触发告警和生成自定义级别事件。
在主界面的策略(Policies)Table页面中点击<New Policy>按钮,可弹出策略建立(Create Policy)画面,如图3-22所示,通过该功能画面可以新建策略。
在主界面的策略(Policies)Table页面中选择一个已经定义的策略再点击<Edit Policy>按钮,会弹出策略编辑画面(Edit Policy),通过该功能画面可以修改一个已有策略。
图3-22 策略建立(Create Policy)
l 告警查询和显示
告警被触发后可以在告警信息窗口中显示(On Screen),查看当前由策略定义的告警信息,可点击主界面工具条中的<Alerts>按钮,进入告警查询和显示画面,如图3-23所示。
图3-23 告警查询(Alerts)
l 告警确认
点击告警列表中的未确认告警数字(在Unacknowledged Events列下),可弹出告警确认画面,如图3-24所示,可确认或清除告警,确认表示用户已经注意到了告警信息。
图3-24 告警确认(Alerts)
l 告警转发(Alert Delivery)
告警被策略触发后可向指定的IP地址发送SNMP Trap信息,信息包括完整的告警信息,可通过网管系统解析后使用。
告警被触发后还可以通过SMTP服务器(需要设置SMTP服务器和帐户信息)向指定的E-mail地址发送E-mail信息,信息包括告警的相关信息。
告警转发可在建立策略时定义,如图3-25所示。
图3-25 告警转发(Alert Delivery)
策略(Policy)中定义的动作(Action)可以是触发告警也可以是产生自定义事件。自定义事件是一种高级的事件关联技术,因为自定义事件是通过多个规则(Rule)匹配后过滤出的更高层次的事件。通过策略的定义可以屏蔽很多无用告警,直接反映出真实的问题。
Profiles(定制报告)功能可以根据用户需要定制出各种报告,用户可以在Profile中定义生成报告的各种条件,如报告源数据的时间范围、数据源设备选择、数据源过滤器设置、定期自动生成报告选择、报告的类型、输出报告的格式、报告风格等。
与安全中心(Security Center)中的即时报告相比,用Profile定制的报告功能更为强大。可支持定期自动生成报告,支持数据源过滤器,可以生成多种格式的报告(包括MS Word、MS Excel、PDF、HTML、Txt),可自定义报告组合,可将任意多个报告组合在同一个报告文档中,支持报告数据源的精确时间范围定义(安全中心中的即时报告只能选择月度、季度或年度时间范围)。
在主界面中选择(Profiles)Table页面可显示已经定制的Profiles,如图3-26所示。
图3-26 定制报告(Profiles)功能画面
l Profile的建立
在定制报告功能画面中点击<New Profile>按钮,会弹出新建Profile的向导(Wizard)对话框,按提示操作就可以完成Profile的建立。
l Profiles的修改
在定制报告功能画面中先选择一个要修改的Profile,然后点击<Edit Profile>按钮,会弹出Profile编辑对话框,在Edit Profile对话框完成对Profile的修改。
l Profile的删除
在定制报告功能画面中先选择一个要删除的Profile,然后点击<Delete Profile>按钮,删除不需要的Profile。
使用Profile生成的HTML或PDF格式的报告,如图3-27和图3-28所示。
图3-27 使用Profile生成的报告(HTML格式)
图3-28 使用Profile生成的报告(PDF格式)
深度分析(Forensics)功能基于SecCenter A1000对数据的完整的保存能力。SecCenter A1000会保存所有接收到的日志数据,通过深度分析(Forensics)中设置的过滤功能将用户感兴趣的那部分原始数据过滤出来,然后利用这些数据统计输出多个安全统计报告。
在主界面中选择(Forensics)Table页面可将操作界面切换到深度分析(Forensics)功能画面,如图3-29所示。
图3-29 深度分析(Forensics)功能画面
在Forensics画面中点击<New Search>按钮,启动搜索定义向导画面,如图3-30所示。按照向导画面提示输入搜索条件,可以建立一个新的Forensic分析搜索模板。
图3-30 建立分析搜索模板
建立搜索模板需要输入以下内容:
l 搜索模板名称
l 选择分析类型(分析设备还是主机)
l 事件的时间范围,可精确到分钟
l 是否设定定时生成搜索报告
l 选择数据源设备
l 设定日志内容过滤器(包括事件ID、协议类型、事件级别、源地址、目的地址等)
l 选择搜索结果的显示字段(在SecCenter A1000的通用日志字段中选择)
l 选择输出结果格式(txt或HTML)
l 选择输出结果是否通过E-mail或FTP传送到远程
在深度分析(Forensics)功能画面点击列表中搜索模板右边的<Generate Report>按钮,会弹出深度分析结果画面。
分析结果画面包含三个部分:
l 左侧的树形目录显示了深度分析(Forensic Analysis)功能中定义的统计报告目录。分析类型是设备时,报告有25种;分析类型是主机时,有13种。这些分析报告的数据全部是来自当前搜索模板的输出。
l 右侧上方显示的是所有符合搜索模板定义条件的事件列表,这个列表是分页显示的,画面中会显示记录条数以及当前显示记录的范围。
l 右侧下方的内容是当前选中的报告内容显示。
针对设备的深度分析(Forensic Analysis)输出结果如图3-31所示。
图3-31 针对设备的Forensic分析输出
针对设备的深度分析(Forensic Analysis)包含的统计报告如图3-32所示。
图3-32 设备Forensic分析输出中包含的统计报告
针对主机的深度分析(Forensic Analysis)输出结果如图3-33所示。
图3-33 针对主机的Forensic分析输出
针对主机的深度分析(Forensic Analysis)包含的统计报告如图3-34所示。
图3-34 主机Forensic分析输出中包含的统计报告
SecCenter A1000可以从设备(Devices)和主机(Hosts)中获取数据并进行分析,在实际使用时会同时从多个主机和设备接收数据。为了方便对这些设备和主机进行数据分析,SecCenter A1000提供将主机和设备分组管理的能力,用户可根据实际使用的需求将设备和主机分组管理。
在主界面中选择“Groups”Table页面,将操作界面切换到组管理(Groups)功能画面,如图3-35所示,可以对SecCenter A1000的组进行增加、删除、修改操作。
图3-35 组管理(Groups)功能画面
通常SecCenter A1000对于支持的设备是自动发现的,只要该设备可以正确向SecCenter A1000发送Syslog日志,SecCenter A1000就可以自动识别出设备类型并添加到设备管理(Devices)列表中。SecCenter A1000还支持手动增加设备,这主要是针对当时不在线的设备考虑的,手动增加设备时需要选择设备类型。
在主界面中选择“Devices”Table页面,将操作界面切换到设备管理(Devices)功能画面,如图3-36所示,可以完成对设备的增加、删除、修改、和数据采集策略配置。
图3-36 设备管理(Devices)功能画面
l 设备采集策略(Policies)的定义
采集策略(Policies)实际上是一种过滤器,通过策略定义可以控制每个设备采集到的数据是否显示和保存(按事件级别),可有效滤除不重要的事件信息。设备采集策略(Policies)定义画面如图3-37所示。
图3-37 设备采集策略(Policies)定义画面
对于计算机主机(Hosts)的支持,SecCenter A1000不能自动发现。这是因为对于计算机主机,SecCenter A1000要主动发出数据查询请求,所以如果要管理计算机主机,需要手动添加主机的IP地址和相关的计算机主机的访问帐户和口令。SecCenter A1000可以支持Windows和Unix两种类型的主机。
在主界面中选择“Hosts”Table页面可将操作界面切换到主机管理(Hosts)功能画面,如图3-38所示。
图3-38 主机管理(Hosts)功能画面
l 主机采集策略(Policies)的定义
主机采集策略(Policies)概念与设备采集策略一样,也是过滤器,只是过滤的内容不同,主机的采集策略定义画面如图3-39所示。
注意:
缺省情况下,SecCenter A1000自动识别设备后处于未授权状态,需要手工进行授权,才可正常使用上述功能。
手工授权过程如下:
(1) 选择一个未授权设备,如图3-40中的“UnknownDeviceID”,双击该设备图标。
图3-40 “UnknownDeviceID”为未授权设备
(2) 弹出License授权对话框,如图3-41所示。
图3-41 License授权对话框
(3) 在License中选择“Now”,点击<OK>按钮。设备授权成功,设备显示为“10.154.78.116”,如图3-42所示。
图3-42 授权后设备显示为“10.154.78.116”
