天融信數(shù)據(jù)庫審計系統(tǒng)TA-DB-用戶手冊

服務熱線：8008105119PAGEi天融信數(shù)據(jù)庫審計系統(tǒng)TA-DBV3.1.002用戶手冊天融信TOPSEC?北京市海淀區(qū)上地東路1號華控大廈100085電話：+8610-82776666傳真：+8610-82776677服務熱線：+8610-8008105119

版權聲明本手冊中的所有內(nèi)容及格式的版權屬于北京天融信公司（以下簡稱天融信）所有，未經(jīng)天融信許可，任何人不得仿制、拷貝、轉(zhuǎn)譯或任意引用。版權所有不得翻印?2013天融信公司商標聲明本手冊中所談及的產(chǎn)品名稱僅做識別之用。手冊中涉及的其他公司的注冊商標或是版權屬各商標注冊人所有，恕不逐一列明。TOPSEC?天融信公司信息反饋天融信數(shù)據(jù)庫審計系統(tǒng)TA-DB用戶手冊服務熱線：8008105119PAGEiii天融信數(shù)據(jù)庫審計系統(tǒng)TA-DB用戶手冊服務熱線：8008105119PAGEi目錄目錄1 前言 11.1 文檔目的 11.2 讀者對象 11.3 約定 11.4 技術服務體系 12 產(chǎn)品簡介 33 界面基本操作 44 系統(tǒng)管理 64.1 系統(tǒng)狀態(tài) 64.2 系統(tǒng)配置 84.2.1 系統(tǒng)web界面配置 84.2.2 網(wǎng)絡主機名配置 94.2.3 系統(tǒng)主機名配置 114.2.4 系統(tǒng)配置管理 124.2.5 接口配置 144.2.6 路由配置 164.2.7 系統(tǒng)時間配置 184.2.8 磁盤管理 204.2.9 系統(tǒng)訪問控制 244.2.10 設置向?qū)ы?254.2.11 網(wǎng)絡接口配置 264.2.12 安裝包列表 264.3 服務管理 264.4 服務對象管理 284.5 下級設備管理 314.6 任務管理 354.7 用戶管理 394.7.1 角色管理 394.7.2 用戶管理 424.7.3 修改我的密碼 454.8 主機信息 464.8.1 主機管理 464.8.2 掃描主機 485 安全審計 505.1 審計管理 505.1.1 應用協(xié)議審計 505.1.2 在線用戶管理 635.1.3 數(shù)據(jù)庫審計管理 635.1.4 列集配置 665.1.5 過慮器配置 675.1.6 審計配置 685.1.7 索引管理 705.2 系統(tǒng)日志管理 715.2.1 系統(tǒng)日志事件處理中心 725.2.2 系統(tǒng)日志審計 725.2.3 自定義日志規(guī)則 725.3 系統(tǒng)報警管理 735.3.1 系統(tǒng)報警審計 735.3.2 系統(tǒng)報警規(guī)則 745.3.3 自定義報警規(guī)則 775.3.4 報警事件處理中心 795.3.5 潛在危害分析 845.3.6 系統(tǒng)報警閥值設置 855.3.7 IPS規(guī)則管理 865.3.8 系統(tǒng)報警統(tǒng)計分析 865.4 業(yè)務關聯(lián) 895.4.1 業(yè)務視圖配置 895.4.2 Web規(guī)則配置 905.5 事件辨別擴展管理 945.6 統(tǒng)計分析管理 955.6.1 統(tǒng)計分析配置 955.6.2 自定義報表 1005.6.3 統(tǒng)計報表管理 1025.7 審計策略 1035.7.1 協(xié)議端口匹配規(guī)則 1035.7.2 協(xié)議自動匹配規(guī)則 1045.7.3 WebMail模板設置 1055.7.4 數(shù)據(jù)采集規(guī)則 1065.7.5 審計級別管理 1085.7.6 系統(tǒng)抓包規(guī)則配置 1155.7.7 事件處理中心 1175.7.8 系統(tǒng)包過慮規(guī)則 1225.8 IP規(guī)則管理 1236 流量分析 1236.1 網(wǎng)絡流量分析 1236.2 歷史流量查詢 1256.2.1 流量統(tǒng)計 1256.2.2 流量趨勢 1276.2.3 流量查詢 1286.3 流量分析配置 1296.4 多點多級模式下的流量統(tǒng)計 1306.5 多點多級模式下的歷史流量統(tǒng)計 1326.6 多點多級模式下的流量趨勢查詢 134附錄A 過濾器語法 136服務熱線：8008105119PAGE137天融信數(shù)據(jù)庫審計系統(tǒng)TA-DB用戶手冊服務熱線：8008105119PAGE1前言本手冊主要介紹天融信數(shù)據(jù)庫審計系統(tǒng)（TA-DB）的配置使用和管理。通過閱讀本文檔，用戶可以了解天融信數(shù)據(jù)庫審計系統(tǒng)的主要功能，并根據(jù)實際應用環(huán)境安裝和配置天融信數(shù)據(jù)庫審計系統(tǒng)。文檔目的本文檔主要介紹如何配置該系統(tǒng)。通過閱讀本文檔，用戶能夠正確地配置系統(tǒng)，并綜合運用該系統(tǒng)提供的多種安全管理方法，有效地管理網(wǎng)絡中的安全設備，實現(xiàn)高效可靠的統(tǒng)一管理。讀者對象本用戶手冊適用于具有基本網(wǎng)絡知識的系統(tǒng)管理員和網(wǎng)絡管理員閱讀。約定本文檔遵循以下約定。圖形界面操作的描述采用以下約定：“”表示按鈕。點擊（選擇）一個菜單項采用如下約定：點擊（選擇）高級管理>特殊對象>用戶。文檔中出現(xiàn)的提示、警告、說明、示例等，是關于用戶在安裝和配置天融信數(shù)據(jù)庫審計系統(tǒng)過程中需要特別注意的部分，請用戶在明確可能的操作結(jié)果后，再進行相關配置。技術服務體系天融信公司對于自身所有安全產(chǎn)品提供遠程產(chǎn)品咨詢服務，廣大用戶和合作伙伴可以通過多種方式獲取在線文檔、疑難解答等全方位的技術支持。公司主頁/在線技術資料/support/down.asp安全解決方案/solutions/qw.asp技術支持中心/support/support.asp天融信全國安全服務熱線800-810-5119產(chǎn)品簡介天融信網(wǎng)絡審計系統(tǒng)（TA-DB）是由北京天融信公司自主研發(fā)，面向企業(yè)級用戶，集行為監(jiān)控與內(nèi)容審計為一體的產(chǎn)品。它以旁路的方式部署在網(wǎng)絡中，不影響網(wǎng)絡的性能，且該產(chǎn)品的萬兆平臺支持串聯(lián)方式接入網(wǎng)絡，實現(xiàn)串聯(lián)網(wǎng)絡環(huán)境下的數(shù)據(jù)監(jiān)聽和審計。具有實時的網(wǎng)絡數(shù)據(jù)采集能力、強大的審計分析功能以及智能的信息處理能力。通過使用該系統(tǒng)，可以實現(xiàn)如下目標：監(jiān)控用戶的數(shù)據(jù)庫操作行為、審計用戶的網(wǎng)絡傳輸內(nèi)容。實現(xiàn)網(wǎng)絡行為報警以及后期取證。實現(xiàn)對網(wǎng)絡各應用流量的統(tǒng)計分析。該產(chǎn)品適用于對信息保密、非法信息傳播/控制比較關心的單位，或需要實施網(wǎng)絡行為監(jiān)控的單位和部門，如政府、軍隊機關的網(wǎng)絡管理部門，公安、保密、司法等國家授權的網(wǎng)絡安全監(jiān)察部門，金融、電信、電力、保險、海關、商檢、學校、軍工等各行業(yè)網(wǎng)絡管理中心，以及大中型企業(yè)網(wǎng)絡管理中心等。注意：TA-DB所能監(jiān)控與審計的協(xié)議因客戶購買的授權許可不同，會存在一定的差別。界面基本操作簡單介紹一下界面的基本操作。1）管理員在管理主機的瀏覽器上輸入TA-DB的管理URL。如，https：//54，彈出如下登陸頁面。2）輸入用戶名密碼后（默認出廠用戶名/密碼為：superman/talent），點擊“登錄”，就可以進入管理頁面。管理界面默認顯示系統(tǒng)狀態(tài)，包括：硬盤利用率、CPU利用率、內(nèi)存利用率系統(tǒng)界面主要分為三個部分，如下圖頭部區(qū)域?qū)Ш綑谥黠@示區(qū)域界面頭部用于選擇操作的子模塊，顯示重要信息。如下圖通過頭部的菜單顯示模式選擇功能可以實現(xiàn)菜單顯示的切換，目前支持以下三種模式：精簡模式，適合用戶日常操作使用高級模式，適合對系統(tǒng)進行高級配置使用專家模式，適合對系統(tǒng)有高度了解的專業(yè)人員使用導航欄與主顯示區(qū)域因具體模塊不同而顯示不同，在此不做具體說明。在系統(tǒng)管理模塊>系統(tǒng)狀態(tài)>系統(tǒng)license配置界面中可以查看系統(tǒng)的授權信息、最終客戶名、系統(tǒng)型號、版本號、購買的各功能模塊開啟情況。

系統(tǒng)管理系統(tǒng)狀態(tài)系統(tǒng)狀態(tài)包括系統(tǒng)狀態(tài)和系統(tǒng)License配置。系統(tǒng)狀態(tài)中顯示系統(tǒng)設備狀態(tài)，系統(tǒng)License配置中顯示系統(tǒng)基本信息和證書信息。選擇系統(tǒng)管理>系統(tǒng)狀態(tài)>系統(tǒng)狀態(tài)，進入設備監(jiān)控頁面。分為兩部分，分別是當前設備和下級設備。在左邊菜單欄顯示如下：1）修改、添加監(jiān)控模塊。右側(cè)主界面顯示如下：顯示當前所有監(jiān)控的主機信息。包括被監(jiān)控對象設備號、設備IP地址、所監(jiān)控模塊、連接狀態(tài)以及連接測試功能，當添加了監(jiān)控對象后，可以點擊連接測試，可以測試網(wǎng)絡是否通暢。選擇“監(jiān)控模塊配置”。按照上圖提示步驟1、2，選中設備并點擊監(jiān)控模塊配置，彈出配置信息對話框如下：點擊添加（同樣在此選中模塊并點擊刪除和修改，可以對設備監(jiān)控模塊進行修改）按照圖示，選擇好所要監(jiān)控模塊，以及顯示的圖例類型和顏色，并點擊保存，則配置完成。2）查看本機詳細信息：點擊左側(cè)菜單中的當前設備>localhost，在右將顯示其所監(jiān)控對象信息，如下圖：查看下級設備的步驟和查看本機一致，只要在左側(cè)菜單選中相應的設備，即在主窗口顯示出來。系統(tǒng)配置系統(tǒng)配置包括系統(tǒng)web界面配置、網(wǎng)絡主機名配置、系統(tǒng)主機名配置、系統(tǒng)配置管理、接口配置、路由配置、系統(tǒng)時間配置、磁盤管理、系統(tǒng)訪問控制、設置向?qū)ы?、網(wǎng)絡接口配置、安裝包管理。系統(tǒng)web界面配置管理員通過系統(tǒng)WEB頁面配置，可以配置WEB頁面的登錄超時時間和登錄重試次數(shù)和鎖定時間，在WEB管理頁面上，進入系統(tǒng)管理>系統(tǒng)配置>系統(tǒng)WEB頁面配置，可以看到配置框。配置完成后點擊“保存”按鈕就能完成配置。注意：配置保存成功后必須重啟HTTPD服務才能是配置生效，用戶可以選擇立即重啟，也能稍后在服務管理模塊中手動重啟HTTPD服務，服務重啟后用戶必須重新登錄。網(wǎng)絡主機名配置管理員通過網(wǎng)絡主機名配置可以配置主機與名稱的對應關系，在WEB管理頁面上，點擊系統(tǒng)管理>系統(tǒng)配置>網(wǎng)絡主機名配置，進入網(wǎng)絡主機名管理頁面，可以對主機名進行添加，修改和刪除操作。1）添加網(wǎng)絡主機名：點擊“添加網(wǎng)絡主機名”按鈕，在彈出的配置框中進行網(wǎng)絡主機名配置。（主機名不支持特殊字符）配置完成后點擊“保存”按鈕完成配置。2）修改網(wǎng)絡主機名：在列表中選擇需要修改的網(wǎng)絡主機。點擊“修改網(wǎng)絡主機”按鈕，在彈出的配置框里進行信息修改，點擊“保存”按鈕完成修改。3）刪除網(wǎng)絡主機：在列表中選擇需要刪除的網(wǎng)絡主機。點擊“刪除網(wǎng)絡主機”按鈕，在彈出的提示框里點擊“是”按鈕完成刪除。系統(tǒng)主機名配置管理員通過系統(tǒng)主機名配置可以配置系統(tǒng)主機名稱和DNS服務器，在WEB管理頁面上，進入系統(tǒng)管理>系統(tǒng)配置>系統(tǒng)主機名配置，進入配置界面，配置完成后點擊“保存”按鈕完成配置。系統(tǒng)配置管理管理員通過系統(tǒng)配置管理可以對系統(tǒng)配置進行管理配置，在WEB管理頁面上，進入系統(tǒng)管理>系統(tǒng)配置>系統(tǒng)配置管理，進入配置界面，可以對系統(tǒng)配置進行保存、導入、導出和恢復出廠設置。1）配置保存：點擊“配置保存”按鈕，頁面彈出保存進度條，進度條結(jié)束后配置保存操作結(jié)束，下次系統(tǒng)重啟后將加載保存的配置。2）配置導出：點擊“配置導出”按鈕，頁面彈出配置文件下載框，用戶可以將配置文件下載到本機上。注意：在IE瀏覽器上必須把下載選項全都選上，以免文件下載框無法彈出。3）配置導入：點擊“配置導入”按鈕，頁面彈出文件上傳提示框，用戶可以選擇本機上的配置文件，點擊“上傳”按鈕，完成配置導入。注意：配置導入成功后系統(tǒng)配置將馬上生效。4）恢復出廠配置：點擊“恢復出廠配置”按鈕，系統(tǒng)將導出出廠的配置文件，系統(tǒng)配置將即時恢復到出廠時。接口配置管理員通過接口配置可以對系統(tǒng)接口進行管理配置，在WEB管理頁面上，進入系統(tǒng)管理>系統(tǒng)配置>接口配置，進入系統(tǒng)接口列表界面，可以對系統(tǒng)網(wǎng)絡接口配置進行添加IP，修改IP，刪除IP，啟用接口，停用接口操作。1)添加接口IP：點擊“添加接口IP”按鈕，在彈出的接口配置頁面中可以配置接口的IP地址和掩碼，配置結(jié)束后點擊“保存”按鈕完成操作。2)修改接口IP：在接口列表中選擇需要修改的接口，點擊“修改接口IP”按鈕，在彈出的接口配置頁面中可以修改IP地址和掩碼(可以添加ipv6地址)，配置結(jié)束后點擊“保存”按鈕完成操作。3)刪除接口IP：在接口列表中選擇需要刪除的接口，點擊“刪除接口IP”按鈕，完成操作。4)啟用接口：在接口列表中選擇需要啟用的接口，點擊“啟用接口”按鈕，完成操作。5)停用接口：在接口列表中選擇需要停用的接口，點擊“停用接口”按鈕，完成操作。路由配置管理員通過路由配置可以對系統(tǒng)路由進行管理配置，在WEB管理頁面上，進入系統(tǒng)管理>系統(tǒng)配置>路由配置，進入系統(tǒng)路由列表界面，可以對系統(tǒng)路由進行添加，刪除操作。1）添加路由：點擊“添加路由”按鈕，在路由配置頁面中可以配置路由的目的地址和網(wǎng)關、網(wǎng)口，配置完成后點擊“保存”按鈕完成操作。2）刪除路由：在列表中選擇要刪除的路由，點擊“刪除路由”按鈕，完成操作。系統(tǒng)時間配置系統(tǒng)時間配置模塊可以設置系統(tǒng)的時間、日期、時區(qū)信息，以及配置用于系統(tǒng)同步時間的NTP（NetworkTimeProtocol網(wǎng)絡時間協(xié)議，計算機時間同步化的一種協(xié)議）服務器。選擇系統(tǒng)管理>系統(tǒng)配置>系統(tǒng)時間配置,進入系統(tǒng)時間配置頁面。系統(tǒng)時間配置模塊右側(cè)是時間設定面板，可以設定系統(tǒng)時間、時區(qū)等信息。界面右下方有兩個按鈕。“保存”按鈕可以保存當前在右側(cè)設定面板內(nèi)設定的各項設置?！爸刂谩卑粹o可以重置未保存的修改。當您需要修改系統(tǒng)日期時，請單擊日期框的右側(cè)“日歷”按鈕。此時，將彈出一個微型日歷。您可以點擊選擇年、月、日或點擊“今天”按鈕選擇當前操作系統(tǒng)的時間。當您需要修改系統(tǒng)時間時，您可以點擊時間下拉框右方的下拉按鈕選擇整數(shù)時間，或直接輸入需要設置的時間，時間格式為：“時：分：秒”。當您需要修改系統(tǒng)時區(qū)時，請單擊“修改系統(tǒng)時區(qū)”按鈕，系統(tǒng)將會列出所有時區(qū)選項。單擊您所要修改的時區(qū)，然后點擊“保存”按鈕保存設置。需要注意的是，系統(tǒng)時間、日期和失去修改后，均需要點擊面板右下角的“保存”按鈕，保存配置才能生效。若您的工作網(wǎng)絡內(nèi)架設有NTP服務器，并且您想通過其校準設備時間。您可以點擊NTP服務器設置框的“添加”按鈕。在彈出的“添加NTP服務器”對話框中輸入服務器的IP地址或域名，隨后點擊“添加”后保存設置。若添加正常，右側(cè)NTP服務器列表將出現(xiàn)剛才添加的NTP服務器地址。添加成功后，建議您使用系統(tǒng)測試功能測試添加的NTP服務器是否可以正常使用。用鼠標選中剛剛添加的NTP服務器地址，并點擊“測試”按鈕。若出現(xiàn)“測試成功”字樣的提示框，則表明設備可以與NTP服務器正常聯(lián)通并校準時間。反之表明設備無法取得NTP服務器的信息，請檢查添加的NTP服務器IP地址或域名是否正確。當您成功設置了一臺以上的NTP服務器后，您可以點擊“同步”按鈕進行時間同步。要注意的是，若您已經(jīng)添加了多臺NTP服務器，系統(tǒng)將按ID的先后順序同步系統(tǒng)時間，并以最先成功同步的NTP服務器返回的時間為準。同步的時候注意NTP服務器的NTP服務必須打開，本機的NTP服務停止，在系統(tǒng)服務中可以配置。磁盤管理點擊系統(tǒng)管理>系統(tǒng)配置>磁盤管理，能夠顯示當前系統(tǒng)的磁盤使用情況，并能對磁盤數(shù)據(jù)進行備份、清理操作。磁盤狀態(tài)磁盤狀態(tài)顯示數(shù)據(jù)對象占用磁盤空間大小，以餅狀或柱狀圖形顯示磁盤狀態(tài),點擊“”實現(xiàn)圖形的切換。數(shù)據(jù)備份手動備份數(shù)據(jù)就是根據(jù)用戶手動添加的規(guī)則，進行數(shù)據(jù)備份工作。選擇要備份的數(shù)據(jù)對象：下拉列表中會顯示系統(tǒng)中可備份的數(shù)據(jù)源類型。時間對象選項中填寫一個數(shù)字，這個數(shù)字代表備份多少天之前的數(shù)據(jù)，例如填1，代表刪除一天以前的數(shù)據(jù)，我們這里規(guī)定一天以前的數(shù)據(jù)就是昨天的數(shù)據(jù)。圖中30代表備份30天以前的數(shù)據(jù)。備份服務器是預先配置好的ftp服務器，數(shù)據(jù)將備份到這臺指定的服務器上。（關于ftp服務器配置請參見HYPERLINK4.4服務對象管理）是否保留備份數(shù)據(jù)：有兩個選項，一個是保留，一個刪除。保留就是在備份完成以后，還保留原來系統(tǒng)中的數(shù)據(jù)不刪除。刪除則是在備份完成以后，將已經(jīng)備份完成的部分的數(shù)據(jù)刪除。點擊數(shù)據(jù)備份按鈕，系統(tǒng)就會按照前面填好的配置進行備份工作。數(shù)據(jù)備份規(guī)則是用戶添加備份的規(guī)則，配置好以后不需要人工操作，而由后臺程序檢查符合條件定期執(zhí)行。點擊添加，如下圖所示：磁盤利用率上升至百分之多少的時候執(zhí)行備份工作，這是激活備份功能的條件。注意，這里的磁盤利用率只能填0-100的10的倍數(shù)，如30,50,70，以70為例，它代表磁盤利用率為70%~79%這之間的任何一個利用率狀態(tài)，而添加55這類的數(shù)字，則不會被系統(tǒng)識別，因為磁盤利用率剛好達到55%這個離散的點的概率太低，不便于滿足實際的操作效果。其他四項和手動備份中的選項意義相同。點擊保存，規(guī)則就添加完成了。當系統(tǒng)磁盤的利用率到達70%的時候，系統(tǒng)會自動備份30天以前的還原數(shù)據(jù)到ftp_test服務器上，并且保留原來的數(shù)據(jù)。數(shù)據(jù)清理數(shù)據(jù)清理模塊幫助用戶清理過期無效數(shù)據(jù)?？梢允謩忧謇砘蜃远x數(shù)據(jù)清理規(guī)則。1）手動清理數(shù)據(jù)。磁盤清理需要配置要清理的數(shù)據(jù)對象，如下圖，在數(shù)據(jù)對象的下列表中選擇想要清理的數(shù)據(jù)源，在時間對象中填入一個整數(shù)，這個整數(shù)代表刪除多少天以前的數(shù)據(jù)。例如，下圖中的配置代表清理30天以前的還原數(shù)據(jù)。點擊右側(cè)的數(shù)據(jù)清理按鈕，系統(tǒng)立即執(zhí)行清理工作。2）數(shù)據(jù)清理規(guī)則是用戶添加備份的規(guī)則，配置好以后不需要人工操作，而由后臺程序檢查符合條件定期執(zhí)行。點擊“添加”，在規(guī)則選項頁面配置好參數(shù)“保存”。規(guī)則添加完成。磁盤利用率上升至百分之多少的時候執(zhí)行備份工作，這是激活備份功能的條件。注意，這里的磁盤利用率只能填0-100的10的倍數(shù)，如30,50,70，以80為例，它代表磁盤利用率為80%~89%這之間的任何一個利用率狀態(tài)，而添加55這類的數(shù)字，則不會被系統(tǒng)識別,因為磁盤利用率剛好達到55%這個離散的點的概率太低，不便于滿足實際的操作效果。數(shù)據(jù)對象是要清理的數(shù)據(jù)源類型，時間對象這里填入一個整數(shù)，代表清理多少天以前的數(shù)據(jù)。當系統(tǒng)磁盤的利用率到達80%的時候，系統(tǒng)會自動清理30天以前的統(tǒng)計分析數(shù)據(jù)。系統(tǒng)訪問控制系統(tǒng)訪問控制可以禁止某些IP或IP域訪問TAW設備。你若需要禁止某些IP或IP域訪問TAW設備，請點擊“添加”按鈕，并在彈出的輸入框中輸入要禁止的IP地址（域）。允許的格式有標準的IP地址格式（如）或CIDR格式（如/24）。IP地址格式支持IPV6。若添加成功，列表中將會顯示您剛才添加的IP地址（域）。當所有需要禁止的IP地址或地址域均已添加后，請單擊“啟用訪問控制”按鈕，使您的當前設置生效。若您需要查看當前訪問控制的運行狀態(tài)，請點擊“訪問控制狀態(tài)”按鈕，系統(tǒng)會返回訪問控制進程當前的狀態(tài)。FirewallisStop表明訪問控制處于禁用狀態(tài)，F(xiàn)irewallisRunning表明訪問控制處于啟用狀態(tài)，并在中括號內(nèi)顯示訪問控制的進程ID。設置向?qū)ы撛O置向?qū)ы撃K，指導用戶方便快捷的完成審計策略的配置。包括：數(shù)據(jù)采集規(guī)則，協(xié)議端口匹配規(guī)則，協(xié)議自動匹配規(guī)則，以及審計級別配置。點擊系統(tǒng)管理>系統(tǒng)配置>設置向?qū)ы摚M入設置向?qū)ы?。選擇“點擊進入”進入數(shù)據(jù)采集規(guī)則頁面，設置數(shù)據(jù)采集規(guī)則。設置完畢后依次點擊“下一步”，可以進入“協(xié)議端口匹配規(guī)則”、“協(xié)議自動匹配規(guī)則”、“審計級別設置”頁面。分別在各設置頁面進行設置，快速完成系統(tǒng)審計策略的配置。各頁面的規(guī)則配置請參見HYPERLINK5.7審計策略。網(wǎng)絡接口配置網(wǎng)絡接口配置模塊，在系統(tǒng)串聯(lián)時應用。在此不做詳述。安裝包列表安裝包管理中列出了產(chǎn)品出廠時灌裝的數(shù)據(jù)包，每個數(shù)據(jù)包都有自己的功能。列表中詳細的介紹了數(shù)據(jù)包的信息，例如版本、編譯次數(shù)、支持平臺、狀態(tài)等等?？梢赃x擇某個已安裝的數(shù)據(jù)包“更新”、“卸載”，未安裝的可以選擇“安裝”，也可以選擇安裝包“上傳”。具體的操作步驟在此不一一闡述。服務管理服務管理模塊列出了當前系統(tǒng)安裝的所有服務模塊，您可以在此統(tǒng)一管理系統(tǒng)的各項服務的開啟、關閉和一些必要設置。如圖所示，每行都對應一項服務。第一列顯示的是服務的名稱，該列是唯一的；第二列顯示的是服務的服務狀態(tài)。狀態(tài)若為“Stop”則表明此服務處于停止狀態(tài)，若為Running[進程ID值，則表明此服務處于啟動狀態(tài)，其中括號中的數(shù)值代表服務的進程ID號]（可以有一個或多個）。第三至五列為服務的操作按鈕，“啟動服務”，“重新啟動”，“停止服務”，“服務配置”幾個按鈕，分別對應著服務的“啟動”，“重新啟動”，“停止”及“配置”四種操作。需要注意的是，服務有可能沒有擴展配置，所以有些服務無法點擊“服務配置”是正常的。第六列顯示的是服務的描述信息，簡單描述該服務的用途。您若要啟動某項服務，請點擊該服務列中的“啟動服務”列中的圖標，并在彈出的確認提示框中點擊“是”，即可啟動該服務。停止與重新啟動服務的操作與啟動服務的操作類似，點擊相應列中的圖標即可。當您需要設置某項服務的擴展設置時（如SNMP服務），請點擊“服務配置”列中的圖標，頁面將會跳轉(zhuǎn)至該服務的配置頁面。需要注意的是，在您配置結(jié)束時，您需要點擊右下角的“保存”按鈕保存您的設置。“返回列表”按鈕可以幫助您在配置結(jié)束時返回服務管理模塊頁面。服務對象管理服務對象管理包括SMTP服務器配置、防火墻聯(lián)動配置、FTP服務器配置。在此模塊主要完成服務對象的添加、刪除和修改功能。1）SMTP服務器配置主菜單中依次點擊：系統(tǒng)管理>服務對象管理>SMTP服務器配置。進入SMTP服務器配置頁面。添加配置：點擊“添加”。按照要求，填入相應配置信息，點擊“添加”保存并退出。修改配置：選中需要配置的服務,點擊修改，彈出如下配置窗口。按照提示，修改相應參數(shù)，修改完成后點擊“修改”進行保存退出。刪除配置：選中需要刪除的服務,點擊“刪除”。測試服務：添加完后，選中目標服務器，點擊“測試”彈出如下對話框，填入接收人郵箱地址，點擊“測試”，發(fā)送成功后會提示用戶登錄接收人郵箱，并查看測試郵件是否正常接受，否則提示測試失敗。2）防火墻聯(lián)動配置主菜單中依次點擊：系統(tǒng)管理>服務對象管理>防火墻聯(lián)動配置。進入防火墻聯(lián)動配置頁面。添加配置：點擊“添加”。按照要求，填入相應配置信息，點擊“添加”保存并退出。刪除配置：選中需要刪除的服務,點擊“刪除”。測試服務：添加完后，選中目標服務器，點擊“測試”，進行防火墻通信測試。（注意：防火墻聯(lián)動目前只支持天融信防火墻，防火墻密鑰需要在防火墻上去獲取。）3）FTP服務器配置主菜單中依次點擊：系統(tǒng)管理>服務對象管理>FTP服務器配置，進入FTP服務器配置頁面。添加配置：點擊“添加”，彈出添加服務配置對話框。按照要求，填入相應配置信息，點擊“添加”保存并退出。刪除配置：選中需要刪除的服務，點擊“刪除”。測試服務：添加完服務器后，選中目標服務器，點擊“測試”，進行FTP通信測試，成功返回。下級設備管理系統(tǒng)下級設備管理模塊可以指導您方便的添加、刪除和管理下級設備。若要使用該模塊，請先將系統(tǒng)設置為“高級模式”或“專家模式”，而后您便能在“系統(tǒng)管理”菜單中看到“下級設備管理”選項卡。在添加下級設備之前，請首先在要添加的下級設備中確認以下事項：1）下級設備已正常啟動并完成初始化工作。2）下級設備已經(jīng)添加一個適用于遠程管理的用戶。該用戶所屬的角色需要有設備的服務管理權限和查看設備狀態(tài)的權限。3）下級設備已經(jīng)正確設置webservices服務并以成功開啟該服務。您可在下級設備菜單中，選擇系統(tǒng)管理>服務管理，在菜單中查找webservices項目，若服務狀態(tài)顯示為Running，則表明服務已成功開啟。下級設備管理：您可以點擊“添加”按鈕，并在彈出的“下級設備選項”對話框的“下級設備webservices通訊設置”中填入要添加的下級設備的必要信息。其中IP地址為下級設備的IP地址；通訊端口為下級設備webservices的服務端口（默認為8888）；認證用戶名及密碼為webservices通訊時使用的用戶認證信息；部署方式為“多點設備”或“多級設備”兩種。填寫完這些信息后，請點擊“獲取下級信息”按鈕。這時設備會自動獲取下級的設備相關信息。獲取的信息會顯示在“下級設備配置”框中，包括“設備ID”，“設備名稱”，“設備服務地址”（注：為空則使用下級的默認的IP地址），“設備服務端口”這四項。請首先核對設備ID是否與要添加的下級設備ID匹配。您可以更改“設備名稱”項，使用您便于記憶的設備名稱。默認獲取的是設備注冊時的名稱信息。確認無誤后，點擊“添加”按鈕。若添加成功，您可在設備列表中看到剛添加的設備信息。若您要刪除某個下級設備，您可以在列表中選擇要刪除的行，并點擊“刪除”按鈕。若您要修改某個下級設備設置，您可以在列表中選擇要修改的設備，并點擊“修改”按鈕。需要注意的是，修改設備對話框不支持您修改設備的IP地址及部署方式，您若已經(jīng)改變設備的IP地址及部署方式，應將舊設置刪除而后添加新的設置。常見錯誤信息：添加、修改下級設備屬性時，系統(tǒng)會檢測當前的下級設備樹（由設備上下級部署模式構成的一棵樹形結(jié)構），檢測通過后會執(zhí)行預制命令設置下級節(jié)點。倘若不符合部署規(guī)范，或運行命令時出錯，系統(tǒng)會彈出提示。常用的提示有：Addnodeislocalhost.表明添加的下級設備ID號與本機（上級設備）相同，請檢查您的設置信息是否正確。Addnodehaslocalhostsubdeviceincurrenttopology.表明本機節(jié)點已經(jīng)存在于要添加的下級設備的下級樹中，部署模式禁止這種添加方式。Addnodeisasubdeviceincurrenttopology.表明加的下級設備已經(jīng)在設備下級樹中，您不能重復添加下級設備。Ordersubdevicefailed.Errorcli：[錯誤信息]表明在下級設備上執(zhí)行預制操作命令時失敗，并顯示失敗的命令。執(zhí)行失敗可能是IP地址設置有誤，認證用戶名及密碼設置有誤或權限不夠等原因所導致。 設備連接選項：若您對本設備操作及部署比較熟悉，您也可以修改下級設備添加執(zhí)行時的選項。點擊“設置”按鈕，您會看到以下三項選項。其中，第一項為選擇是否開啟添加前的檢查，關閉添加前的檢查雖然可以加快添加執(zhí)行的速度，但是具有一定風險，強烈建議您開啟此選項（默認開啟）。連接超時時間及連接嘗試次數(shù)為設置添加設備時，上下級設備交互的最大等待時間和失敗重試次數(shù)，若您的網(wǎng)絡狀況不好時，可以適當延長超時時間和增加嘗試次數(shù)。一般情況下建議保持默認。任務管理管理員通過任務管理頁面可以管理對下級設備下發(fā)的策略和從上級收到的策略，點擊系統(tǒng)管理>任務管理>任務管理，進入任務列表頁面。任務管理包含兩個子模塊：“我發(fā)起的任務”和“我接收的任務”，如圖：下發(fā)策略：系統(tǒng)對配置的策略提供下發(fā)策略的功能，以自定義審計條件為例，勾選上需要下發(fā)的策略，點擊“添加到待下發(fā)策略”按鈕，將策略添加到待下發(fā)策略列表中。在待下發(fā)策略頁面中，左側(cè)是下發(fā)策略的列表，用戶對下發(fā)策略進行上移，下移的順序調(diào)整，刪除策略。清空策略等操作；右側(cè)是下發(fā)策略的具體內(nèi)容，即策略的CLI命令，用戶也可以手動編輯下發(fā)策略內(nèi)容。注意：除非是專業(yè)的技術人員，否則最好不要在頁面右側(cè)手動編輯策略的CLI命令，容易出現(xiàn)錯誤。策略編輯完成后，點擊“策略下發(fā)”按鈕進行策略下發(fā)，在彈出的下發(fā)信息配置框中，用戶可以選擇策略下發(fā)的下級設備，策略接收的用戶，備注等信息。下級設備列表是用戶添加的下級設備，詳情參看系統(tǒng)下級設備添加模塊；策略接收用戶分為自動執(zhí)行和選擇接收用戶：自動執(zhí)行指策略下發(fā)到下級設備馬上就執(zhí)行；如果選擇用戶，則策略下發(fā)到下級設備后不會馬上執(zhí)行，必須有指定的用戶才能執(zhí)行。配置完成后點擊“策略下發(fā)”按鈕進行策略下發(fā)，管理頁面會跳轉(zhuǎn)到任務管理>我下發(fā)的任務的任務列表。點擊“詳情”按鈕能看見具體的下發(fā)策略內(nèi)容。同時，在下級設備上的任務管理>我接收的任務中，會有接收到的任務信息。同樣，點擊“詳情”按鈕看到接收到的策略的具體信息，該信息和上級設備中“我發(fā)起的任務”中的任務詳情是一致的，此時，下級用戶superman能夠看到對發(fā)給自己的任務進行確認，執(zhí)行和拒絕等操作。當任務狀態(tài)是“新建任務，待確認”時，必須先點擊“確認”按鈕確認任務，此時任務狀態(tài)變?yōu)椤耙汛_認”，點擊“執(zhí)行”按鈕執(zhí)行命令，如果成功，任務狀態(tài)變?yōu)椤皥?zhí)行完畢”，如果失敗，任務狀態(tài)變?yōu)椤安僮魇　?；用戶也可以點擊“拒絕”按鈕拒絕執(zhí)行任務，并發(fā)送拒絕原因給上級設備。用戶管理用戶管理模塊，主要實現(xiàn)用戶的增、刪、改、查和角色權限分配的編輯功能。角色管理TA-DB支持用戶通過WEB頁面進行系統(tǒng)角色管理，在WEB管理頁面上，進入系統(tǒng)管理>用戶管理>角色管理，可以看到角色列表，能對角色進行添加，刪除和角色授權。1）新建角色：點擊“新建角色”，彈出角色配置框，可以添加角色名稱，并且支持從原有的角色中繼承角色權限。2）刪除角色：在角色列表中選擇要刪除的角色，點擊“刪除角色”按鈕就能完成刪除操作。注意：系統(tǒng)默認的角色是無法刪除的。3）角色授權：在角色列表中選擇要配置權限的角色，點擊“角色授權”按鈕，進行角色的權限配置。系統(tǒng)的每個模塊分為“讀”，“寫”，“編輯”，“刪除”，“操作”五種權限，可以對每個模塊的每個權限進行配置，配置完權限后點擊“保存”按鈕就能完成對角色權限的配置。用戶管理TA-DB支持用戶通過WEB頁面進行系統(tǒng)用戶管理，在WEB管理頁面上，進入系統(tǒng)管理>用戶管理>用戶管理，可以看到系統(tǒng)用戶列表，可以對系統(tǒng)用戶進行添加和刪除操作。1）添加用戶，點擊“添加用戶”按鈕，可以進入用戶信息的配置框，添加用戶名，密碼和用戶角色等用戶信息，配置完成后點擊“添加”按鈕完成用戶的添加。注意：用戶添加完畢后必須重啟HTTPD服務，添加用戶才生效。2）刪除用戶，在列表中選擇要刪除的用戶，點擊“刪除用戶”按鈕，完成對用戶的刪除操作。注意：系統(tǒng)默認的用戶是無法刪除的。3）導出用戶證書。點擊“導出用戶證書”，彈出獲取用戶證書的信息頁面，在該頁面鍵入相應信息，點擊“獲取證書”即可。4）導出CA證書。點擊“導出CA證書”，選擇“打開”或“保存”證書即可。修改我的密碼TA-DB支持用戶通過WEB頁面修改當前登錄用戶的密碼，在WEB管理頁面上，進入系統(tǒng)管理>用戶管理>修改我的密碼，可以對當前登錄用戶的密碼進行修改操作。注意：用戶管理模塊的各種操作完成后，都必須重新啟動系統(tǒng)的HTTPD服務，才能使配置生效，用戶可以選擇配置完成后馬上重啟服務，也可以稍后在“服務管理”模塊中手動重啟服務，重啟HTTPD服務后用戶必須重新登錄WEB管理頁面才能進行操作。主機信息主機信息模塊主要功能是用于用戶實名制審計，TAW將主機信息與審計出來的網(wǎng)絡事件做關聯(lián)，從而可以將某一網(wǎng)絡事件定位到內(nèi)網(wǎng)中具體的某一人，達到網(wǎng)絡實名制審計的效果。包括主機管理、掃描主機。主機管理主機管理主要用于添加、刪除、修改、導入、導出用戶主機信息。添加主機添加主機模塊完成主機的添加設置。主機較多情況下，為了方便管理，可以選擇添加組然后在組下添加主機。選擇系統(tǒng)管理>主機信息>主機管理，進入主機管理頁面。點擊“添加主機”，在彈出的添加主機頁面，鍵入主機名和主機IP確定即可。組下添加主機，點擊“添加組”，彈出的添加組頁面鍵入組名，左側(cè)導航欄選擇組，然后在組下添加主機即可。信息導入主機管理中的導入功能包括導入本地掃描數(shù)據(jù)和外部數(shù)據(jù)，外部數(shù)據(jù)可以是ldif或csv格式數(shù)據(jù)。(csv數(shù)據(jù)是可以被excel直接打開的逗號分割數(shù)據(jù)，字段格式要和主機掃描導出的數(shù)據(jù)一致，ldif是ldap數(shù)據(jù)格式)選擇系統(tǒng)管理>主機信息>主機管理，選擇左面要導入的用戶節(jié)點后，點擊“導入”按鈕，在彈出的導入數(shù)據(jù)頁面選擇導入數(shù)據(jù)類型“確定”，即可導入數(shù)據(jù)。（提示：葉子節(jié)點不能導入數(shù)據(jù)）信息導出選擇系統(tǒng)管理>主機信息>主機管理，選擇左面要導出的用戶節(jié)點后，點擊“導出”按鈕即可導出數(shù)據(jù)，導出數(shù)據(jù)為ldif格式。導出ldif文件格式掃描主機主機掃描主要功能是掃描主機IP對應的主機名。當用戶沒有手動導入主機信息時，可以通過主機掃描功能來掃描主機netbios名(對應主機要開netbios服務,windows默認開啟此服務)，然后導入主機管理里面，從而用主機名來實現(xiàn)用戶實名制映射。內(nèi)網(wǎng)掃描：選擇系統(tǒng)管理>主機信息>掃描主機點擊“內(nèi)網(wǎng)掃描”，填入用戶內(nèi)網(wǎng)網(wǎng)段，即可對內(nèi)網(wǎng)主機名進行掃描。內(nèi)網(wǎng)網(wǎng)段支持以下格式：1）網(wǎng)絡號/掩碼，如：/242）起始地址-結(jié)束地址，如：4-443）多個ip地址用逗號隔開，如：44,55，….4）或者以上三種格式的組合，之間用逗號隔開，如：/24,55-,…導出數(shù)據(jù)：掃描結(jié)果也可以通過頁面導出來，供管理員編輯后再導入到主機管理里面。導出結(jié)果為csv格式。掃描結(jié)果也可以通過主機管理>導入數(shù)據(jù)，直接導入相應的組內(nèi)。通過掃描的主機信息，映射實名制審計結(jié)果。 安全審計TA-DB能夠?qū)Χ喾N網(wǎng)絡行為進行審計，支持對HTTP、FTP、SMTP、Pop3、WebMail、P2P、telnet、MSN、QQ等協(xié)議的審計記錄，支持對SQLServer、Mysql、Oracle、DB2、Sybase、Informix等數(shù)據(jù)庫操作行為的審計；同時也支持用戶根據(jù)個人需求進行自定義審計。在“安全審計”里可以對已經(jīng)收集到的數(shù)據(jù)根據(jù)協(xié)議分類進行查詢分析。審計管理審計管理，包括應用協(xié)議審計、在線用戶管理、數(shù)據(jù)庫審計管理、列集配置、過慮器配置、審計配置、索引管理七個模塊。應用協(xié)議審計登錄系統(tǒng)，進入“應用協(xié)議審計”，可以看到所有協(xié)議的審計查詢界面，同時提供了實時刷新查看的功能，點擊“自動刷新數(shù)據(jù)”，可以自動顯示最近十分鐘內(nèi)收到的最新數(shù)據(jù)；如果想看到更為詳細的情況，請點擊每條數(shù)據(jù)后面的“詳情”按鈕。應用協(xié)議審計列表對不同類型數(shù)據(jù)庫的相關協(xié)議進行審計，例如：Oracle、Mysql、DB2等。可以通過設置時間段、起始時間、源地址、目的地址、協(xié)議內(nèi)容等條件進行審計，并在審計結(jié)果提供審計結(jié)果詳情，提供給管理員更完整的用戶行為信息。注意：TA-DB所能監(jiān)控與審計的協(xié)議因客戶購買的授權許可不同，會存在一定的差別。點擊安全審計>審計管理>應用協(xié)議審計，系統(tǒng)左側(cè)會列出多種應用協(xié)議的選項。列表分成三部分：應用協(xié)議審計、應用協(xié)議分組審計和查詢?nèi)蝿展芾砥?。應用協(xié)議審計包括主流的應用層協(xié)議。應用協(xié)議分組主要是與目前大部分網(wǎng)絡軟件的應用相結(jié)合進行審計。HTTP審計HTTP審計包括網(wǎng)絡發(fā)布審計和網(wǎng)頁瀏覽審計。點擊列表中的HTTP審計>網(wǎng)頁瀏覽審計選項。網(wǎng)頁瀏覽審計的審計條件分為基本條件設置、IP條件設置、時間條件設置、用戶條件設置、網(wǎng)頁瀏覽條件設置，上圖列出的是基本條件設置，上面主要是設置審計的時間段，下圖為IP條件設置，可以設置被審計內(nèi)容的源IP和目的IP，可以是地址段。網(wǎng)頁瀏覽條件設置是設置和網(wǎng)頁瀏覽應用相關的選項。將審計選項設置好以后，點擊頁面右側(cè)的查看結(jié)果集，就可以審計到符合所設置的條件的網(wǎng)頁內(nèi)容。顯示審計結(jié)果的列表是可以用戶修改的，用戶可以根據(jù)自己對內(nèi)容的關心程度，進行添加和隱藏。點擊每一列上面的列名稱右邊的小三角，可以顯示出一個下拉菜單，將鼠標滑動到“列”那一選項，系統(tǒng)又會顯示一個菜單，這個菜單會列出許多復選框，這些復選框就是審計結(jié)果表格的列字段，點擊復選框添加選中列，取消復選框刪除選中列。例如選中源端口，顯示結(jié)果如下：審計結(jié)果的列表會增加顯示源端口一列。每條審計結(jié)果都有一列詳情，詳情能夠還原出該審計結(jié)果的全部內(nèi)容，點擊詳情會彈出新的窗口，顯示還原內(nèi)容。詳情會顯示與網(wǎng)頁瀏覽相關的重要信息，包括訪問地址、使用的瀏覽器以及服務器結(jié)果等。用戶可以點擊原始頁面鏈接，跟蹤到實際訪問的頁面。注意：不是所有的http審計事件的詳情中都可以看見原始頁面還原連接。一般只有訪問類型為get類型的詳情中才會看見原始頁面還原連接。數(shù)據(jù)庫操作審計數(shù)據(jù)庫審計是針對使用不同類型的數(shù)據(jù)庫進行網(wǎng)絡操作的審計。審計結(jié)果詳情中可以看見每條數(shù)據(jù)庫操作語句。數(shù)據(jù)庫操作審計包括：ORACLE審計、Mysql審計、Sqlserver審計、DB2審計、Informix審計、Sysbase審計、PostgreSQL審計。下面以ORACLE審計為例，進行頁面說明。其他類型的數(shù)據(jù)庫審計頁面功能點類似，在此不一一闡述。ORACLE審計包括：基本條件設置、IP條件設置、時間條件設置、用戶條件設置、Oracle條件配置?；緱l件設置，設置審計內(nèi)容的時間跨度，也可是設置自動刷新的時間間隔。IP條件設置，設置審計內(nèi)容的源IP地址和目的IP地址，支持地址段添加。Oracle條件配置，設置數(shù)據(jù)庫名、用戶名、數(shù)據(jù)庫表名等配置條件。將審計選項設置好以后，點擊頁面右側(cè)的查看結(jié)果集，就可以審計到符合所設置的條件的網(wǎng)頁內(nèi)容。應用協(xié)議分組審計應用協(xié)議分組審計就是把一些常用的應用協(xié)議分組進行審計，用戶可以根據(jù)需求自行選擇審計內(nèi)容。應用協(xié)議分組審計包括：網(wǎng)絡視頻、P2P下載、傳統(tǒng)協(xié)議審計、遠程控制、網(wǎng)絡磁盤、財經(jīng)股票審計、網(wǎng)絡游戲?qū)徲?、網(wǎng)絡電話審計、網(wǎng)上銀行、電子商務、數(shù)據(jù)庫審計。以下選幾個為例，簡單說明一下。傳統(tǒng)協(xié)議傳統(tǒng)協(xié)議審計是針對使用TCP/IP協(xié)議進行網(wǎng)絡操作的審計。點擊應用協(xié)議分組審計列表中的傳統(tǒng)協(xié)議選項，進入應用協(xié)議分組審計頁面。傳統(tǒng)協(xié)議審計包括：基本條件設置、IP條件設置、時間條件設置、用戶條件設置、協(xié)議分組“傳統(tǒng)協(xié)議”條件配置?；緱l件設置，設置審計內(nèi)容的時間跨度，也可是設置自動刷新的時間間隔。IP條件設置，設置審計內(nèi)容的源IP地址和目的IP地址，支持地址段添加。協(xié)議分組“傳統(tǒng)協(xié)議”條件設置是設置傳統(tǒng)協(xié)議名稱的選項。將審計選項設置好以后，點擊頁面右側(cè)的查看結(jié)果集，就可以審計到符合所設置的條件的網(wǎng)頁內(nèi)容。財經(jīng)股票股票交易審計是針對使用財經(jīng)股票軟件進行網(wǎng)絡操作的審計。點擊應用協(xié)議分組審計列表中的財經(jīng)股票選項，進入財經(jīng)股票協(xié)議設置頁面。傳統(tǒng)協(xié)議審計包括：基本條件設置、IP條件設置、時間條件設置、用戶條件設置、協(xié)議分組“股票交易”條件配置。基本條件設置，設置審計內(nèi)容的時間跨度，也可是設置自動刷新的時間間隔。IP條件設置，設置審計內(nèi)容的源IP地址和目的IP地址，支持地址段添加。協(xié)議分組“財經(jīng)股票”條件設置是設置財經(jīng)股票軟件名稱的選項。將審計選項設置好以后，點擊頁面右側(cè)的查看結(jié)果集，就可以審計到符合所設置的條件的網(wǎng)頁內(nèi)容。網(wǎng)絡游戲網(wǎng)絡游戲?qū)徲嬍轻槍κ褂镁W(wǎng)絡游戲軟件進行網(wǎng)絡操作的審計。點擊應用協(xié)議分組審計列表中的網(wǎng)絡游戲選項，進入網(wǎng)絡游戲?qū)徲嬙O置頁面。網(wǎng)絡游戲?qū)徲嫲ǎ夯緱l件設置、IP條件設置、時間條件設置、用戶條件設置、協(xié)議分組“網(wǎng)絡游戲”條件配置?；緱l件設置，設置審計內(nèi)容的時間跨度，也可是設置自動刷新的時間間隔。IP條件設置，設置審計內(nèi)容的源IP地址和目的IP地址，支持地址段添加。協(xié)議分組“網(wǎng)絡游戲”條件設置是設置網(wǎng)絡游戲名稱的選項。將審計選項設置好以后，點擊頁面右側(cè)的查看結(jié)果集，就可以審計到符合所設置的條件的網(wǎng)頁內(nèi)容。網(wǎng)絡電話網(wǎng)絡電話審計是針對使用網(wǎng)絡電話軟件進行網(wǎng)絡操作的審計。點擊應用協(xié)議分組審計列表中的網(wǎng)絡電話選項，進入網(wǎng)絡電話審計頁面。網(wǎng)絡電話審計包括：基本條件設置、IP條件設置、時間條件設置、用戶條件設置、協(xié)議分組“網(wǎng)絡電話”條件配置?；緱l件設置，設置審計內(nèi)容的時間跨度，也可是設置自動刷新的時間間隔。IP條件設置，設置審計內(nèi)容的源IP地址和目的IP地址，支持地址段添加。協(xié)議分組“網(wǎng)絡電話”條件設置是設置網(wǎng)絡電話軟件名稱的選項。將審計選項設置好以后，點擊頁面右側(cè)的查看結(jié)果集，就可以審計到符合所設置的條件的網(wǎng)頁內(nèi)容。網(wǎng)絡電視網(wǎng)絡電視審計是針對使用網(wǎng)絡電視軟件進行網(wǎng)絡操作的審計。點擊應用協(xié)議分組審計列表中的網(wǎng)絡電視選項，進入網(wǎng)絡電視審計設置頁面。傳統(tǒng)協(xié)議審計包括：基本條件設置、IP條件設置、時間條件設置、用戶條件設置、協(xié)議分組“網(wǎng)絡電視”條件配置。基本條件設置，設置審計內(nèi)容的時間跨度，也可是設置自動刷新的時間間隔。IP條件設置，設置審計內(nèi)容的源IP地址和目的IP地址，支持地址段添加。協(xié)議分組“網(wǎng)絡電視”條件設置是設置網(wǎng)絡電視軟件名稱的選項。將審計選項設置好以后，點擊頁面右側(cè)的查看結(jié)果集，就可以審計到符合所設置的條件的網(wǎng)頁內(nèi)容。P2P下載P2P下載審計是針對使用P2P下載軟件進行網(wǎng)絡操作的審計。點擊應用協(xié)議分組審計列表中的P2P下載選項，進入P2P下載審計設置頁面。傳統(tǒng)協(xié)議審計包括：基本條件設置、IP條件設置、時間條件設置、用戶條件設置、協(xié)議分組“P2P下載”條件配置?；緱l件設置，設置審計內(nèi)容的時間跨度，也可是設置自動刷新的時間間隔。IP條件設置，設置審計內(nèi)容的源IP地址和目的IP地址，支持地址段添加。協(xié)議分組“P2P下載”條件設置是設置P2P下載軟件名稱的選項。將審計選項設置好以后，點擊頁面右側(cè)的查看結(jié)果集，就可以審計到符合所設置的條件的網(wǎng)頁內(nèi)容。數(shù)據(jù)庫數(shù)據(jù)庫審計是針對使用不同類型的數(shù)據(jù)庫進行網(wǎng)絡操作的審計。點擊應用協(xié)議分組審計列表中的數(shù)據(jù)庫選項，進入數(shù)據(jù)庫審計設置頁面。傳統(tǒng)協(xié)議審計包括：基本條件設置、IP條件設置、時間條件設置、用戶條件設置、協(xié)議分組“數(shù)據(jù)庫”條件配置?；緱l件設置，設置審計內(nèi)容的時間跨度，也可是設置自動刷新的時間間隔。IP條件設置，設置審計內(nèi)容的源IP地址和目的IP地址，支持地址段添加。協(xié)議分組“數(shù)據(jù)庫”條件設置是設置數(shù)據(jù)庫名稱的選項。將審計選項設置好以后，點擊頁面右側(cè)的查看結(jié)果集，就可以審計到符合所設置的條件的網(wǎng)頁內(nèi)容。其他流量其他流量審計是針對使用除上述軟件以外的，其他類型軟件進行網(wǎng)絡操作的審計，包括一些遠程桌面應用軟件等。點擊應用協(xié)議分組審計列表中的其他流量選項，進入其他流量審計設置頁面。其他流量審計包括：基本條件設置、IP條件設置、時間條件設置、用戶條件設置、協(xié)議分組“其他流量”條件配置?；緱l件設置，設置審計內(nèi)容的時間跨度，也可以設置自動刷新的時間間隔。IP條件設置，設置審計內(nèi)容的源IP地址和目的IP地址，支持地址段添加。協(xié)議分組“其他流量”條件設置是設置其他流量軟件名稱的選項。將審計選項設置好以后，點擊頁面右側(cè)的查看結(jié)果集，就可以審計到符合所設置的條件的網(wǎng)頁內(nèi)容。查詢?nèi)蝿展芾砥鞑樵內(nèi)蝿展芾砥髂K主要是任務查詢功能。設置搜索查詢條件查詢即可。點擊安全審計>審計管理>應用協(xié)議審計,進入業(yè)務查詢頁面，查詢?nèi)蝿展芾砥?。設置好相應查詢條件，點擊“查詢?nèi)蝿铡奔纯?。顯示區(qū)顯示查詢到的相關任務。頁面上的參數(shù)說明如下：開始日期、開始時間：任務開始的日期、時間。點擊下拉菜單選擇。任務狀態(tài)：有三種狀態(tài)可以選擇，正在運行、已停止、已完成。查詢條件：選擇相應類型的協(xié)議查詢，包括webMAIL、電子郵件、FTP、網(wǎng)頁等。在線用戶管理在線用戶管理顯示統(tǒng)計使用pppoe賬號或AD域用戶登錄的在線用戶信息。在線用戶的用戶帳戶、MAC地址、會話ID、上線時間都會很清楚的統(tǒng)計顯示在頁面上。分為pppoe在線用戶、ADonlineuser（AD域下的用戶）。數(shù)據(jù)庫審計管理數(shù)據(jù)庫審計管理包括自定義數(shù)據(jù)表名審計設置、自定義數(shù)據(jù)表字段審計設置。自定義數(shù)據(jù)表名審計設置用戶可以根據(jù)自身業(yè)務情況，通過自定義數(shù)據(jù)表名配置，來配置針對某些特定數(shù)據(jù)表的操作。1）選中安全審計>審計管理>數(shù)據(jù)庫審計管理>自定義數(shù)據(jù)表名審計設置，如下圖。2）點擊“添加”按鈕，如下圖。3）輸入匹配表達式、數(shù)據(jù)表名，選擇操作類型，如下圖?！皵?shù)據(jù)表名”處需填寫數(shù)據(jù)表名稱，也可以是“@”和數(shù)字的組合字符串，例如“@1”，“@2”等，其中“@”表示“匹配表達式”中的“(.*)”，數(shù)字則表示它在“匹配表達式”中的位置?！安僮黝愋汀卑ǎ篠ELECT、LOGIN、UPDATE、DELETE、INSERT等，用戶也自定義操作類型。“匹配表達式”支持正則表達式。設置完成后，點擊“添加”按鈕添加該匹配規(guī)則。為了避免出現(xiàn)錯誤配置，用戶還可在“測試SQL命令”>“SQL操作語句”處填寫SQL語句，然后點擊“測試”按鈕對添加的規(guī)則進行測試。自定義數(shù)據(jù)表字段審計設置用戶可以根據(jù)自身業(yè)務情況，自定義數(shù)據(jù)表字段規(guī)則，可通過數(shù)據(jù)表名與匹配表達式的正則匹配來定義數(shù)據(jù)庫操作中的數(shù)據(jù)表字段。1）選中安全審計>審計管理>數(shù)據(jù)庫審計管理>自定義數(shù)據(jù)表字段審計設置，如下圖。 2）點擊“添加”按鈕，如下圖。3）輸入匹配表達式、數(shù)據(jù)表名，數(shù)據(jù)表字段名，如下圖?！皵?shù)據(jù)表名稱”可填入具體表名或“-”，“-”表示匹配所有數(shù)據(jù)表；“數(shù)據(jù)表字段名稱”可填入數(shù)據(jù)表字段名或者“@”和數(shù)字的組合字符串，例如“@1”，“@2”等，其中“@”表示“匹配表達式”中的“(.*)”，數(shù)字則表示它在“匹配表達式”中的位置?！捌ヅ浔磉_式”：支持正則表達式。設置完成后，點擊“添加”按鈕添加該匹配規(guī)則。為了避免出現(xiàn)錯誤配置，用戶還可在“測試SQL命令”>“SQL操作語句”處填寫SQL語句，然后點擊“測試”按鈕對添加的規(guī)則進行測試。列集配置用戶在查看具體事件時可能只希望查詢其中的部分描述項，配置列集可以幫助用戶確定需要查看的事件的具體描述項，實現(xiàn)以精簡、概括的形式反映安全事件的最重要內(nèi)容。列集配置主要實現(xiàn)過慮器的添加、修改、刪除、刷新功能。添加列集。點擊安全審計>審計管理>列集配置，點擊“添加”，列集配置頁面設置列集名稱，列集列表中選擇列集名，點擊添加按鈕，新的列集被添加。列集管理頁面，左側(cè)導航欄選擇要修改的列集，修改以后，點擊右下角“修改”按鈕，完成修改。列集列表中選擇要刪除的列集，點擊刪除，列集被刪除。過慮器配置為了方便用戶篩選出希望查看的事件和保存不同的篩選條件，TA-DB添加了過濾器配置模塊，它是一系列查詢條件的集合。用戶定義過濾器后可在系統(tǒng)報警、審計配置時直接應用。過濾器配置主要實現(xiàn)過慮器的添加、刪除、刷新功能。（“策略下發(fā)”應用于有下級條件的時候）過濾器添加。點擊“添加”按鈕，進入過濾器配置頁面。選擇列集組中的列集,設置條件配置，配置完畢后，點擊“添加”，完成過濾器添加。舉例說明過慮器的添加。例如：添加一個過慮器aaa，過慮2012年的事件。點擊“添加”，在過慮器列表組中選擇基本列>事件ID。條件配置區(qū)：比較方式選擇正則匹配，賦條件值ID=“*”點擊條件“添加”，選擇條件關系邏輯“與”，選擇比較方式“等于”“條件值”鍵入2012，點擊條件“添加”，鍵入過慮器名稱aaa，備注信息aaa，點擊頁面右下角“添加”。過慮器添加完畢。如果要修改已添加的過慮器，選中過慮器，選擇修改的過慮條件等，點擊“修改”即可。審計配置審計配置模塊主要完成審計條件的配置工作。審計配置顯示區(qū)主要分三個功能區(qū)。條件配置區(qū)、審計條件名稱、審計條件列表。條件配置區(qū)配置條件過慮器、列集；審計條件名稱配置審計條件。審計模塊中用戶可以自定義審計查詢，在協(xié)議端口中添加默認沒有的匹配規(guī)則，添加對應的過濾器后，在審計配置中，就可以對默認沒有的協(xié)議進行審計查詢。配置步驟大概為：添加自定義審計規(guī)則，選擇過濾器（用于過濾想要查看的數(shù)據(jù)），配置顯示列集（用戶顯示所要查看的字段信息），即可完成自定義審計配置。審計配置為用戶對審計數(shù)據(jù)進行靈活查詢提供了便捷，用戶在指定要審計的過濾條件以及要顯示的列集字段后，即可查詢某一時間段內(nèi)的審計數(shù)據(jù)。如果用戶想在某個審計條件中暫時改變過濾條件，而不改變顯示字段時，可以點擊“新建過濾器”按鈕，臨時修改過濾條件進行查詢，但修改的過濾條件只是暫時的，對下次進行查詢條件不會有任何影響。新建審計條件。點擊頁面左側(cè)導航欄“審計條件列表”，在顯示區(qū)配置審計條件，點擊新建過慮器，新建列集。鍵入審計條件名稱“添加”。選擇審計條件，在右側(cè)顯示區(qū)配置查詢條件（基本條件設置、IP條件設置、時間條件設置、用戶條件設置），點擊“查看結(jié)果集”，之后即可對滿足過濾器配置的數(shù)據(jù)進行查詢。支持審計結(jié)果導出功能、保存列集功能。索引管理索引是為了加快審計查詢的速度，當進行查詢的時間跨度比較長或者網(wǎng)絡事件量比較大時，打開索引可以加快查詢速度，添加索引管理功能。索引管理頁面功能點，刷新、添加索引、刪除索引、查看歷史索引、刪除所有歷史索引、啟動停止索引。添加索引：在索引管理頁面點擊“添加”，設置索引選項，鍵入基本信息，設置規(guī)則類型。如果選擇字段索引，需要添加字段集；選擇過慮器索引，需要在下拉菜單中選擇過慮器。設置完畢后點擊“保存”即可。新添加的索引會顯示在主顯示區(qū)的索引列表中。刪除：選擇要刪除的索引，點擊“刪除”，索引項被刪除。（索引類型是builtin類型的，是系統(tǒng)內(nèi)置類型,不能刪除）查看歷史索引：選擇某條索引，點擊“查看歷史索引”，彈出索引詳細信息頁面，頁面顯示索引詳情，可以選擇性的刪除某段時間的索引信息。刪除所有歷史索引:是指刪除這條索引所有時間段的索引信息。系統(tǒng)日志管理系統(tǒng)可以隨時記錄用戶登錄操作、系統(tǒng)自動操作、CLI命令操作以及系統(tǒng)狀態(tài)情況的自審計日志，管理員可以通過查看自審計日志，隨時了解系統(tǒng)的操作情況和運行狀態(tài)。頁面提供查詢功能供管理員查看。系統(tǒng)完整記錄了系統(tǒng)自審計日志，管理員可以在安全審計>系統(tǒng)日志管理下查看系統(tǒng)運行的所有日志，查看不同用戶的操作情況。系統(tǒng)日志事件處理中心主菜單中依次點擊：安全審計>系統(tǒng)日志管理>系統(tǒng)日志事件處理中心，插件配置信息，如下圖：具體配置方式和報警事件處理中心一樣，可參見HYPERLINK5.3.4報警事件處理中心。系統(tǒng)日志審計主菜單中依次點擊：安全審計>系統(tǒng)日志管理>系統(tǒng)日志審計，如下圖：如圖步驟顯示，首先設置好查詢條件，然后點擊“查詢結(jié)果集”，查詢結(jié)果顯示在“日志審計結(jié)果”中，可進行翻頁查看所有結(jié)果。自定義日志規(guī)則主菜單中依次點擊：安全審計>系統(tǒng)日志管理>自定義報警規(guī)則，如下圖：具體配置方式和HYPERLINK5.3.3自定義報警規(guī)則一樣，可參考設置。注意：修改完規(guī)則后需要點擊應用規(guī)則，修改才生效。系統(tǒng)報警管理系統(tǒng)報警管理模塊可以為用戶提供警告的查看查詢功能。設備所進行的一切網(wǎng)絡行為的審計都是為了在網(wǎng)絡出現(xiàn)危險事件之后可以及時記錄事件信息。用戶在系統(tǒng)中配置告警規(guī)則之后，根據(jù)告警規(guī)則觸發(fā)的告警日志，并對告警日志進行存儲，存儲之后可以在頁面進行查詢和展示。此模塊可以實現(xiàn)查詢查看告警日志的功能。系統(tǒng)報警審計主菜單中依次點擊：安全審計>系統(tǒng)報警管理>系統(tǒng)報警審計，進入系統(tǒng)報警審計頁面。如下圖：1）在選項欄設置好查詢條件（例如：設置查詢的開始結(jié)束時間；選擇設備、報警來源報警級別等）；2）然后點擊“查詢結(jié)果集”，在報警審計結(jié)果欄中查詢顯示結(jié)果?？蛇M行翻頁查看所有結(jié)果；可以設置查詢結(jié)果顯示的列。例如，查詢的結(jié)果不想顯示時間列，可以選擇列的下拉框，反選要去除的列即可。如下圖：系統(tǒng)報警規(guī)則主菜單中依次點擊：安全審計>系統(tǒng)報警管理>系統(tǒng)報警規(guī)則，如下圖：系統(tǒng)規(guī)則為系統(tǒng)初始庫，用戶不能刪除，可對本條規(guī)則啟用、禁用和批量修改，可直接點擊狀態(tài)欄中的標志進行啟、禁用設置。也可選中規(guī)則，點擊修改，進行詳細配置，如下圖：1）阻斷規(guī)則配置：勾選“阻斷處理”，在下拉框中選擇已有規(guī)則。需要設置新的規(guī)則，點擊阻斷規(guī)則配置,彈出如下配置窗口：可選擇已有配置，雙擊規(guī)則名即可選中當前規(guī)則作為聯(lián)動規(guī)則。刪除規(guī)則：選中目標規(guī)則名稱，點擊刪除；添加規(guī)則：在阻斷規(guī)則列表頁面點擊“添加”，彈出阻斷規(guī)則配置頁面，如下圖：填寫規(guī)則名稱等參數(shù)，其中IP地址填入方式，例如，端口方式為：8080或區(qū)間0-65535，IP和端口不填則使用默認參數(shù)（默認參數(shù)：從通信事件中提取IP和端口）,其他配置可根據(jù)界面提示填入相應值，完成配置后點擊“保存”。2）防火墻聯(lián)動配置：勾選防火墻聯(lián)動處理，在下拉框中選擇已有規(guī)則。需要設置新的規(guī)則，點擊“聯(lián)動規(guī)則配置”,彈出如下配置窗口：可刪除原有規(guī)則：選中規(guī)則名稱，點擊“刪除”。添加規(guī)則：點擊“添加”，彈出聯(lián)動規(guī)則配置頁面，如下圖：下拉框選擇防火墻地址，其中IP地址可以通過聯(lián)合掩碼來設置一個網(wǎng)段的IP（比如IP：掩碼，則代表處理/24網(wǎng)段所有IP）,默認留空則會使用默認規(guī)則（默認規(guī)則為：從通信事件中提取IP和端口信息），其他配置可根據(jù)界面提示填入相應值，完成配置后點擊“保存”。注意：修改完規(guī)則后需要點擊應用規(guī)則，修改才生效。自定義報警規(guī)則主菜單中依次點擊：安全審計>系統(tǒng)報警管理>自定義報警規(guī)則，如下圖：同系統(tǒng)規(guī)則一樣，可以對規(guī)則進行啟用、禁用，但自定義規(guī)則除了可以修改外，還可以添加、刪除；1）刪除規(guī)則：選中目標規(guī)則，點擊刪除。2）修改規(guī)則：選中目標規(guī)則，點擊“修改”，彈出如下對話框：可以對已有配置進行修改，處理方式可以參照系統(tǒng)規(guī)則設置阻斷規(guī)則配置、聯(lián)動規(guī)則配置。3）添加規(guī)則：點擊添加，彈出如下對話框：填入名稱，選擇過濾規(guī)則（過濾規(guī)則添加可參看安全審計>審計管理>過濾器配置），報警級別及分組，并設置報警內(nèi)容。處理方式可以參照系統(tǒng)規(guī)則設置阻斷規(guī)則配置、聯(lián)動規(guī)則配置。報警事件處理中心報警事件處理中心，實現(xiàn)各插件的配置管