黑盾安全审计产品售皓后培训.ppt

【注】：目前不支持对SSH会话的回放功能。 所谓的数据管理就是把压缩出来的数据通过这个后台把数据还原，以方便用户查询。 * 【注】：历史数据路径：指要查询的压缩文件存放的路径。 【注】：数据添加方式：替换方式为将以前回档的数据全部清除掉，再回档。（只保留现在要回档的数据） 【注】：追加方式：就是保留你原先的回档数据，再往里面写数据。 【注】：数据缓存路径：指解压缩完数据的路径。（考虑到磁盘的空间）比例大约是30：1 * 【注】：回档的数据还在综合查询里面查询 * 备注：1、若是or的话，只要满足其中的一个就报警 2、若是and的话，两个条件都满足的情况下才报警 3、若是not的话，两年条件都不满足才能报警 配置对象组 添加一个操作方式对象组“select”： 添加一个操作表对象“student”： 配置告警策略 添加一个邮件动作“邮件”： 添加一个预警动作组“告警”： 配置预警规则 添加一条规则名为“查学生表”，并设置“启动预警”，级别为“严重”，预警动作组为“告警”。 添加操作表为刚才设置好的对象“student”，操作方式对象为“select”： 添加操作表非“student”对象，操作方式非“select”对象： 添加操作表 “student”对象和操作方式非“select”对象： 浏览预警数据 通过GUI客户端登陆系统，进入 ，可见到所有当前触发本规则的数据。 13.使用FAQ 12.1.数据中心出现web页面打不开 12.2.报表查不到数据 12.3.审计查询结果出现乱码 12.4.查询不到任何审计数据 12.5.无法连接引擎管理界面 13.1.数据中心出现web页面打不开 问题概述： 数据中心有时会出现web页面打不开的情况。 可能原因： 未加入可信任站点； WEB服务异常 解决方案： 如果是原因（1）导致的，那么就将WEB管理站点加为可信任的； 如果是原因（2）导致的，那么就刷新浏览器，还是不行的话则重启Apache服务。 13.2.报表查不到数据 问题概述： 在报表管理中，各种报表都无数据显示出来。 可能原因： 各种报表统计时间为当天晚上，所以可能是未到后台自动统计设置的时间段，因此查不到数据； 解决方案： 第二天再进行查询； 在WEB管理页面的“系统管理”-“报表配置”页面中的“流量统计时间（小时）”进行设置，比如设置为1点到23点。 13.3.审计查询结果出现乱码 问题概述： 审计浏览查询出来的记录的操作内容出现乱码或空的情况。 可能原因： 显示时使用的编码不匹配； 后台的解码程序还不支持该种编码方式； 解决方案： 如果是原因（1）导致的，那么就在审计浏览的右上角（如下图所示）选择合适的编码然后再进行查询； 如果是原因（2）导致的，那么就要用sniffer捕些数据包分析，然后增加对应的解码功能才可以解决。 13.4.查询不到任何审计数据 问题概述： 无法查询到任何审计数据产生。 可能原因： 核心交换机的镜像口没有符合审计条件的数据； 引擎和数据中心之间的通信出现异常； 解决方案： 如果是原因（1）导致的，那么就要检查交换机上的镜像是否配置对，检查引擎的数据采集规则是不是准确的； 如果是原因（2）导致的，那么就要检查下引擎和数据中心之间的通信是否正常，可以用PING、NETSTAT等进行检查。 13.5.无法连接引擎管理界面 问题概述： 引擎列表中双击某台引擎打不开引擎的管理页面。 可能原因： 可能是使用形如http://localhost来管理数据中心； 解决方案： 请使用http://ip进行数据中心管理，然后再链接到对应的引擎。 * 账户管理员（acc）：（对应GB/T 18336中提到的拥有者） Web界面下，系统默认用户名及密码为：acc/acc。权限如下： 权限如下： 可以增、删、改其他角色用户，配置用户的角色。 修改自己的密码。 不负责具体系统操作。 查看系统状态。 无权操作其他角色功能。 系统配置员（sys）：（对应GB/T 18336中提到的管理员） Web界面下，系统默认用户名及密码为：sys/sys。权限如下： 修改自己的密码等。 对系统进行配置管理。 查看系统状态。 无权操作其他角色功能。 系统审计员（audit）：（对应GB/T 18336中提到的审计员） GUI界面下，系统默认用户名及密码为：audit/audit。 权限如下： 阅读管理系统自身审计信息。 修改自己的密码。 查看系统状态。 无权操作其他角色功能。 系统安全员（sec）：（对应GB/T 18336中提到的审计员） GUI界面下，系统默认用户名及密码为：sec/sec。 权限如下