- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
手册下载
H3C SecCenter CSAP-SA-AK系列综合日志审计系统
用户FAQ
Copyright © 2024 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
Windows XP和Winserver 2003系统安装完Agent后,系统日志采集列表处显示空白或显示不全
告警通知、日志导出、内部审计日志导出、ping工具、日志监测功能不生效
设备插上或拔出插卡未初始化,导致网络>网络设置,修改设备地址功能不生效
设备已导入正式授权,再导入之前临时的授权文件,License会更新
通过监控平台IMC等设备监控到的cpu和内存与日志审计平台页面显示的cpu和内存值存在偏差
日志审计系统页面上方出现提示信息未收到告警,点击验证… 的提示语,对使用有什么影响,怎么去除提示信息
创建报表上传logo时,将其它格式文件后缀改成png上传后会导致生成报表过程页面无法访问
关系设置>关系规则,关系名称过长会导致关系模型预览中字和图标重合
概率性存在PDF格式报表无法下载,且当报表名称中包含特殊字符时,报表导出后大小为0KB,无法查看
分析图表报表告警追溯等存在显示的日志数量与跳转后的数量不一致
低版本存在内存打满、磁盘打满、超规格等问题导致的页面无法访问、日志无法查询、页面加载慢,SSH无法连接、组建状态异常等问题
本文档介绍H3C SecCenter CSAP-SA综合日志审计平台的用户常见问题及解答。
日志审计平台的核心功能包括三方面,一是网络安全事件的收集与分析,发现疑似攻击或违规访问时可告警并响应;二是根据历史数据进行安全审计,生成审计报表,满足合规要求;三是对收集和分析的网络安全事件进行备份归档。
· 各类IT设备自身日志格式杂乱,形式不统一,且各自分散,无法进行集中有效的统一管理;借助日志审计平台对各种IT设备和信息系统的日志的收集,标准化和统一存储和管理。
· 只能对单一事件进行告警;借助日志审计平台提供事件交叉关联分析与优先严重性分析,对各种日志进行实时审计分析,发现违规行为,并能进行各设备之间的关联告警响应。
· 在出现安全事件时,各类IT设备自身记录的日志属于删除的重点对象;
· 满足各种规范符合性要求的需要。
就目前的产品我们能实现以下内容:
· 满足日志审计的迫切需求,实现对各种IT设备和信息系统的日志的收集,标准化和统一存储和管理;
· 提供集中化监控、告警、分析及报表管理功能;
· 提供事件交叉关联分析与优先严重性分析,将未处理过的大量数据转换成有用的信息,对各种日志进行实时审计分析,发现违规行为,并能进行告警响应;
· 对审计信息进行统计分析,提供日志审计报告报表,多角度对网络系统的安全状况进行审计;
· 帮助管理者及时掌握全网的安全态势,总体把控网络安全事件的发展动态;
· 满足各种规范符合性要求的需要。
1.增加资产配置后需5-15分钟解析才能生效
2. agent支持安装在Windows server2003 ,Windows server2008, Windows server2012等操作系统上
3.JDBC支持的采集数据库类型有:
MySQL支持版本5.1、5.5、5.7、8
Oracle支持版本11G、10G
SQL server支持版本2005、2008
BD2支持版本11.1、9.5
4.Linux操作系统通过配置syslog采集系统日志
5.资产处统计日志数量有延时
6.端口开放说明:
TCP 80:升级服务端口
TCP 443:Web管理端口
TCP 3000:ping、日志监测业务功能端口
TCP 3042:用于显示升级时实时进度
TCP 5145:agent采集日志的接收端口
TCP 60000:SSH端口
UDP 161:SNMP服务,用于网络监控类系统监控日志审计系统的端口
UDP 162:通过SNMP Trap方式发送日志的接收端口
UDP 514:通过Syslog协议发送日志的接收端口
问题描述:远程连接日志审计后台控制端时,连接失败。
排查方法:
· 使用Console连接线或显示器、键盘,连接日志审计平台。
· 检查磁盘空间是否已满。
问题描述:正确输入日志审计平台访问地址,Web页面无法访问。
排查方法:
· 检查是否系统是否正常加电开机。
· 检查网络连线是否正常。
· 正常开机需5-10分钟,请等待。
· 通过Telnet检查443端口是否正常通讯。
· 检查网络路由过程中是否有影响该IP和端口的安全策略。
· 后台查看数据库状态,db status,如果进行过异常断电等异常操作会导致数据库损坏web页面无法访问,损坏后需使用db init恢复数据库,需要特别提出的是使用db init后配置将会恢复出场,日志不会丢失,请谨慎使用。
问题描述:在Windows Agent服务设置,点击“安装”时提示“服务安装失败”。
排查方法:
· 检查是否以管理员身份运行进行安装,agent程序的目录建议解压至磁盘根目录,不要在包含中文或特殊字符的目录下运行。
· 检查本机是否有加固类或杀毒类软件,完全退出或将Agent程序加入白名单。
· 若排查无上述问题,较低版本可能存在与agent不兼容问题,需要参考故障排查手册,通过后台方式启用agent
· 升级版本后出现问题,需要重新在新版本的系统->插件中心处重新下载agent安装
· 若无法解决建议排查是否有不兼容软件导致,去勾选后重新安装启动
· 若仍无法启动建议使用WMI方式采集
问题描述:Windows Agent点击保存时,提示“不能访问采集器,请确认地址是否正确!”
排查方法:
· 检查【网络】-【组件状态】中“日志解析服务”是否正常。
· 如刚开机或添加过资产,会造成采集服务重启,请等待15分钟左右,继续操作。
· 若排查无上述问题,较低版本可能存在与agent不兼容问题,需要参考故障排查手册,同过后台方式启用agent
· 升级版本后出现问题,需要重新在新版本的系统->插件中心处重新下载agent安装
· 如长时间无法进行Windows Agent配置,请记录现象,反馈问题。
问题描述:Windows Agent日志功能开启后,[审计]-[日志查询]中无日志。
排查方法:
· 检查是否配置并开启相应日志过滤规则。
· Telnet测试日志源到日志审计平台TCP5145是否可达。
· 检查日志源服务器任务管理器进程中是否包含系统日志采集的winlogbeat.exe或流量采集的packetbeat.exe或文件采集的filebeat.exe进程。无对应的进程,请重新按照操作文档安装Windows Agent。
· 检查windows服务器的安全审计日志是否开启
· 升级E6101P05版本后windows agent采集的日志资产类型必须为windows客户端
· 进入资产->资产列表页面查看windows agent资产的资产类型,应为windows客户端,非windows系列,E6101P05之后版本做了校验,资产类型选择错误将会存在上述问题,如类型错误需要修改正确,修改后需要等待5-20分钟左右重新加载解析规则,解析规则加载后可正常接收日志
· 资产类型已经正确还存在上述问题,需要查看资产类表页面下方的解析规则条数,AK640规格为5000AK645为8000条,超出后可能会导致windowsagent端口down掉,请在规格内使用。
· 升级E6101P06版本,超出规格后添加编辑资产会跳出提示信息,解析规则加载规格,继续添加会导致windows无法接收日志。
· 具体降低规格方法需要修改资产类型、类别、业务类型为other,或者删除资产可以降低解析规则条数,解析规则数量降至规格下,可恢复正常
问题描述:配置并开启日志源Syslog日志外发功能后,`[审计]-[日志查询]`中无日志。
· 检查是否配置并开启相应日志过滤规则。
· 使用`[系统]-[日志监测]`监测日志审计平台是否收到数据包。收到数据包,无日志,则记录现象,反馈问题;未收到则按以下步骤排查。
· 无新日志问题:检查是否有新的活动日志,检查方法为模拟不影响业务的操作触发新日志
· 配置问题:咨询并检查是否正确配置日志外发。
· 网络问题:检查网络接入、防火墙安全策略等网络连接和配置问题。
· 数据索引:检查查询日期的数据索引是否开启
问题描述:在日志查询页面中,对日志进行查询,所有字段显示other和未知事件。
排查方法:
· 检查是否在资产列表中选择对应资产类型。
· 检查解析列表中是否包含该资产类型解析规则。
· 新添加的资产,需要加载解析规则,大约5到15分钟(具体时间根据解析规则条数决定),解析规则才会生效。
问题描述:在审计->日志查询页面中,之前可以解析的日志突然无法解析,事件类型变为其它事件。
排查方法:
· 在资产->资产列表页面可以查询到该资产信息。
· 添加、修改资产,配置过滤规则,配置对外转发功能,以及升级解析规则包,会重新加载解析规则,导致一段时间段日志不解析,请等待5-15分钟后(具体时间根据解析规则条数决定),日志会解析。
· 若仍未解析,收集收集原始日志以及日志手册,反馈给技术人员做适配。
问题描述: 1、增加网络模块(插卡)后,系统没有正常识别。2、修改接口信息后,管理口地址无法访问。
操作方法:
· 添加网络模块。
· 在网络设置页面,点击右上角“初始化网卡”按钮。
· 在系统完成两次重启之后,通过GE0/0网口访问管理页面。
· 修改接口地址,DNS等信息后,会重启网卡配置文件,会导致管理口地址短暂(1分钟左右)无法访问,配置文件重启完成后,管理口地址即可访问。
每次对网卡模块进行变更,都需要“初始化网卡”才能识别新网卡。
问题描述:Windows XP和Winserver 2003系统安装完Agent后,系统日志采集列表处显示空白或显示不全。
操作方法:
· 记录Agent的系统日志采集列表中已有的选项。
· 在日志审计系统的系统>插件中心,下载对应windows xp或者winserver 2003系统的agent支持包。
· 在对应windows xp或者winserver 2003系统按步骤安装下载的agent支持包。
不同操作系统,对应系统日志采集列表不同
问题描述:资产配置WMI后,采集不到日志
操作方法:
· 查看资产配置WMI用户名密码是否配置正确。
· WMI的监控类型是否已选择对应的日志。
· 资产是否已触发产生系统日志。
WMI采集用户名密码配置,暂不支持配置域帐号和密码
问题描述:设备导入授权文件后,资产数和剩余资产数显示不变。
操作方法:
· 导入的授权文件是否包含资产扩容。
· 对资产进行编辑后,再查看系统>许可信息处授权信息是否有变化。
导入授权文件,默认5分钟之后更新,或者手动编辑资产触发授权更新
问题描述:数据备份,设置自动转存路径,在设置的路径文件夹下没有转存文件。
操作方法:
· 备份后才会触发自动转存。
· 设置的转存路径不支持磁盘根目录,转存路径需要是非根目录下的文件夹。且转存文件夹名称不支持中文。举例:在E盘下设置ftp文件夹,在ftp文件夹下设置las文件夹,FTP服务器上设置的路径为E:\ftp\,页面上转存路径设置为/las即可。
问题描述:点击数据备份或还原,提示失败
操作方法:
· 本地备份失败,查看是否达到设置的磁盘告警阈值,未配置磁盘告警时,系统默认当磁盘容量达到95%不允许备份和还原,设置告警阈值,达到告警阈值无法备份
· 查看备份的数据索引是否开启,数索引需要开启,否则备份失败
· 远端备份,需要查看备份服务器是否有空余备份空间,以及参考2.14排查备份路径是否设置正确
· 若仍无法备份,记录问题反馈研发
问题描述:告警通知、日志导出、内部审计日志导出、ping工具、日志监测功能不生效
操作方法:
· 在使用告警通知、日志导出、内部审计日志导出、ping工具、日志监测功能不生效时,需要进行浏览器验证。
· 具体方法,在ping工具页面或者日志监测页面点击添加验证,进行浏览器验证,验证成功后继续使用上述功能即可。
问题描述:设备插上或拔出插卡未初始化,导致网络>网络设置,修改设备地址功能不生效
操作方法:
· 在设备网络>网络设置的右上角点击
初始化网卡按钮。
· 等初始化网卡设备起来之后再进行修改设备地址,功能生效。
问题描述:点击日志还原,日志还原功能不生效。
操作方法:
· 还原之前,使用清理数据(其它),删除备份时间区间内的日志索引,在数据索引信息列表中没有要恢复的日志。
· 执行还原,注意备份和还原如果数据量大,请等待状态为完成后,再观察结果。
问题描述:设备已导入正式授权,再导入之前临时的授权文件,License会更新。
操作方法:
· 设备有正式授权的时候点击系统>许可信息>授权信息>,点击“导出授权”按钮将正式授权文件进行备份。
· 当设备已导入临时授权文件,授权许可信息会更新为临时授权。
· 可将之前备份的正式授权文件重新导入,设备会又更新成正式授权。
问题描述:设备同时配置主备DNS,当主DNS生效时,备DNS不生效。
操作方法:
· 设备在网络>网络设置,仅配置主DNS或主DNS不设置或不可用时,设置备DNS。
· 在系统>ping工具,ping DNS服务器中对应的域名,可以ping通。
问题描述:分析中部分图表的IP地址显示不全,隔一个柱子显示一个IP,应用名称显示存在同样的问题。
操作方法:
· 由于页面排版,横坐标显示不下所有IP地址及名称,当出现不显示的柱状图,请将鼠标放到柱状图上,能显示出此柱状图的IP。
问题描述:通过监控平台IMC等设备监控到的cpu和内存与日志审计平台页面显示的cpu和内存值存在偏差
操作方法:
· 由于IMC等平台取的是10分钟内cpu和内存的值,而日志审计平台记录的是实时cpu和内存值,所以结果会存在偏差,建议如果查看实时cpu和内存的值可登录页面查看,观察cpu和内存的值的趋势,可以通过网关软件监控查看。
问题描述:设备出现一个或多个接口无法识别出来的硬件故障时,使用初始化网卡后会导致接口排序混乱,无法访问管理地址等问题
操作方法:
· 当发现接口硬件故障时,请不要初始化网卡,可以继续使用没有故障的硬件接口,所以出现硬件故障不能加扩展卡,因为新加入扩展卡需要进行初始化网卡配置;
· 若使用了初始化网卡命令会导致接口顺序混乱,web页面与设备面板标注不对应,需要多次尝试找到新的排布顺序;
· 建议出现硬件故障及时更换。
问题描述:登录日志审计系统,系统上方出现未收到告警点击验证…的提示语,该提示语对使用有什么影响,怎么去除提示信息
操作方法:
· 该提示语主要针对告警消息、日志导出、内部审计日志导出、ping、日志监测等功能,如果出现未收到告警消息,以及日志无法导出,ping和日志监测无结果等问题,需要先进行验证,然后再进行上述功能使用
· 点击验证后,刷新页面,提示语就会消失
· 清空浏览器记录,提示信息会再次出现,需要重新验证一次
问题描述:创建资产时,选择资产类别和类型,如果该资产类型不在系统内置资产范围内,能否自定义
操作方法:
· 资产类别和类型支持自定义 ,在资产-〉资产类型页面,可以在已有的设备类型上编辑,也可以添加,需要注意的是,添加资产类型后需要按回车键确认输入完成,然后再提交才可以新增成功
· 系统内置的资产类型是经过适配的,如果自定义的资产类型不在系统支持的解析列表中,则只能收集日志无法解析日志,设备支持解析列表可以参考规格表
问题描述:自定义解析规则,新增解析规则,选择资产类别和类型,将解析规则导入,可用性测试通过,提交保存,但是采集到该资产的日志仍无法解析
操作方法:
· 新增解析规则,选择的资产类型需要与导入的解析文件名完全一致,如果默认的资产类型不存在,需要到资产-〉资产类型页面自定义添加
问题描述:设置密码更换周期,达到更换周期系统未提示
操作方法:
· 确认用户是否在锁定状态,锁定状态的用户达到更换周期才会提示,正常未锁定的用户不会提示
问题描述:设置定时生成周报、月报,达到设置时间,没有生成报表
操作方法:
· 确认系统时间的正确性
· 确认定时报表生成时间,周报生成时间需要设置每周周一的时刻,月报定时时间需要设置每月1号,其余时间的报表无法生成
问题描述:在系统-〉日志导入目录下,导入日志文件,并查看文件解析结果,文件导入失败
操作方法:
· 确认导入文件格式及大小,格式需要为.log格式,文件大小为10MB以下,满足这两个条件才可以导入
· 确认选择的资产类别和类型与导入的文件资产类型一致
问题描述:系统数据索引、日志查询页面加载不出来,首页事件数量为0
操作方法:
· 出现该问题是由于日志量过大,超过CPU可加载性能,此时需要停止发送日志,并尝试打开数据索引页面,关闭之前的数据索引,并配置定时关闭1个月前的索引
· 如果数据索引页面始终打不开,需要联系研发,后台处理关闭数据索引,待页面功能恢复正常后再配置定时关闭数据索引功能
问题描述:创建报表上传logo时,将其它格式文件后缀改成png上传后会导致生成报表过程页面无法访问
操作方法:
· 避免此种异常操作,上传正确PNG格式的logo
· 如果出现该异常,需要等报表生成完毕后登录页面
问题描述:修改系统登录超时时间会自动退出到登录页面,需重新登录
操作方法:
· 如果出现该现象,需要重新输入用户名密码登录页面
问题描述:后台reboot命令重启设备,无法重启
操作方法:
· 连接串口查看目前打印信息,A STOP JOB IS RUNNING 可能有程序正在运行导致无法关闭
· 等待1个小时到2个小时仍无法关闭,记录反馈问题
问题描述:关系设置>关系规则,关系名称过长会导致关系模型预览中字和图标重合
操作方法:
· 设置较短的关系规则名称,避免重合
问题描述:系统->采集器管理,关闭本机采集器,过一段时间会自动开启
操作方法:
· 本机采集器不允许关闭,关闭后无法正常接收日志
问题描述:数据备份,搜索框内输入日志(其它)备份搜索结果为空,报表名称等其它搜索框存在同样的问题,不支持带()的查询
操作方法:
· 数据备份,搜索框输入“日志”搜索,日志备份的数据
· 报表等其它搜索框类似输入()前内容进行搜索
问题描述:概率性存在PDF格式报表无法下载,且当报表名称中包含特殊字符时,报表导出后大小为0KB,无法查看
操作方法:
· 创建报表名称不包含特殊字符
· 若之前创建的报表名称已经包含特殊字符,需要重新创建
问题描述:用户名称中包含@等特殊字符无法登录
操作方法:
· E6101P02版本后不支持用户名中包含@,所以用户名称中包含@等特殊字符无法登录
· 重新创建不包含@等特殊字符的用户登录使用
问题描述:分析图表报表告警追溯等存在显示的日志数量与跳转后的数量不一致
操作方法:
· 查看分析图表或报表或追溯告警,跳转前后日志数量显示不一致
· 此处日志数量根据入库的数量决定,入库频率在平均1秒左右 ,存在日志输入时,查询后的比查询前日志数量多一部分
问题描述:首页资产总数与跳转后资产数量不一致
操作方法:
· 查看首页资产总数与跳转后资产总数
· 不一致查看是否配置了授权规则,首页资产数量为系统总资产数、跳转后为当前用户可查看日志资产数量
问题描述:JDBC和WMI设置采集时间间隔不生效
操作方法:
· 升级版本至E6101P05之后版本,且需要重新设置采集间隔,需大于5分钟
问题描述:升级E101P02版本时,出现长时间卡在某一进度长时间未完成升级的问题
操作方法:
· E6101P02版本优化,当升级时正在执行后台优化定时任务时,概率性会出现此现象,等待时间和系统之前存在的告警数量有关系
· 如无其它异常可等待升级结束,或联系研发解决
问题描述:资产->资产监控,设备类型支持只支持华为交换机、linux、windows
操作方法:
· 目前只支持华为交换机、linux、windows,其余型号未适配
问题描述:访问日志查询等页面时,延时较大如何处理
操作方法:
· 查看告警规则、关联规则开启的数量和监控频率,可关闭不需要的告警和关联规则,调整监控频率为10分钟以上或更长
· 查看日志数量,当日志数量较大时,会影响系统使用
· 查看CPU和内存,如果长时间超90%,记录现象,反馈问题
问题描述:系统默认管理员忘记密码如何处理
操作方法:
· 进入后台使用con_admin/con_admin@scr登录,并在命令行下输入web default user password init 进行密码初始化,初始化后的密码与用户名保持一致。需要特别提出的是,默认用未修改时,使用此命令才会生效,若默认用户的用户名更改过,则无法进行用户密码初始化;
· 其余管理员忘记密码可以通过userManager账号修改。
· 此命令支持在E6101P02版本以及以上版本使用。
问题描述:审计->日志查询处只能查看固定一段时间内的日志,其余时间日志无数据
操作方法:
· 在系统->数据索引处编辑数据索引配置,设置自动开启数据索引天数,需要注意的是修改完以后之前对应的索引并不会自动开启,参考下一步开启。
不是,上网行为管理资产类别下没有H3C,且自定义的类型将无法解析,需要选择资产类别为控制网关下的H3C应用控制网关。
· 进入系统->数据索引信息页面,查看无法查询的日志对应的索引是否已经关闭,如关闭需开启后才能查看,AK640可开启日志条数为6亿,AK645为12亿,超出部分无法开启。
问题描述:低版本存在内存打满、磁盘打满、超规格等问题导致的页面无法访问、日志无法查询、页面加载慢,SSH无法连接等问题
操作方法:
· 如页面和后台还可以继续使用可以先升级版本至E6101P05以及之后版本。
· 如页面已经无法操作需要先联系研发将超出规格部分关闭环境恢复正常后升级解决。
· 问题描述:系统几个初始化命令
操作方法:
· 以下命令建议升级至E6101P05后使用
· db init用于进行数据库初始化,当系统存在数据库损坏时使用,初始化后配置会被清空成出场
· sys init用于初始化系统,进行日志和配置清空,日志数据和配置将都被恢复成出场
· network init用于网卡初始化,当网卡文件损坏时,使用该命令恢复
· 问题描述:系统未达到设置的告警阈值出现磁盘告警
操作方法:
· 系统磁盘告警有两种情况:
· 未配置磁盘告警阈值时,系统内置当磁盘容量超出90%时,会出现系统服务异常,当磁盘超过95%时会出现磁盘空间异常告警
· 配置磁盘告警阈值时,系统达到设置的告警阈值,进行磁盘告警,系统内置当磁盘容量超出90%时,会出现系统服务异常
· 问题描述:系统审计->内部审计_>组建告警产生日志对系统有影响吗?
操作方法:
· 系统审计->内部审计_>组建告警日志为研发定位问题使用,若在网络->组建状态处组建均正常,系统审计->内部审计_>组建告警日志无参考价值
· 问题描述:配置了自动清理或手动清理后,磁盘使用率未清理至阈值
操作方法:
· 出现该种情况可能由于是备份数据占用磁盘空间导致的告警,清理为清理在线存储数据,对备份数据不进行清理
· 在系统->数据备份处查看备份数据,建议将备份数据自动转存转移至FTP,并删除本地备份数据
· 问题描述:为什么已经添加的资产在资产列表页面查找不到,在资产监控页面可以查到
操作方法:
· 查看规则->授权规则页面,是否配置了授权规则,对资产指定了管理员才能查看
· 修改或者删除授权规则可恢复
· 问题描述:系统默认可以保存多久前日志,可以查看多久前日志?
操作方法:
· 升级E6101P02版本后自动保存前6个月日志超出部分会被自动清除,如需保存请提前做好备份,或在数据备份->自动清理去掉自动清理功能
· E6101P02之前版本无限制会存在日志打满磁盘的现象,建议升级
· 升级E6101P02版本后会自动关闭7天前的数据索引,在审计->日志查询处只能查看近7天的日志,如需查看可在系统->数据索引信息处开启,也可编辑索引配置更改索引开启保存时限
· 问题描述:升级过程可以刷新或者使用设备吗?
操作方法:
· 升级过程不可以刷新和使用,否则会造成升级卡住指示灯异常的现象。
· 问题描述:资产列表的资产图标上有一个小锁标志代表什么?
操作方法:
· 代表已经超过License所允许的最大资产数量,加锁的资产无法接收日志。
· 问题描述:如下图配置了用户登录策略,限制了登录ip,为什么没有生效?
操作方法:
· 做登录策略后,还需要绑定用户,如下图,在用户处编辑绑定对应的登录策略后生效。
· AK640型号资产数量基础功能授权默认带60个资产,最大可扩容至180个资产;AK645型号资产数量基础功能授权默认带240个资产,最大可扩容无上线。
· 不会,备份失败的日志需要转手动备份。请及时关注备份失败的告警日志。
支持
