RG-WALLLogManager安全日志管理系统用户手册版权声明福建星网锐捷网络有限公司©2007版权所有,保留一切权利。没有经过本公司书面许可,任何单位和个人不得擅自摘抄、复制本书内容的部分或者全部,并且不得以任何形式传播。RGNOS®、锐捷®、®、®、®都是福建星网锐捷网络有限公司的注册商标,不得仿冒。前言前言导言《RG-WALLLogManager安全日志管理系统用户手册》是RG-WALLLogManager安全日志管理系统管理员手册中的一本。本手册介绍了RG-WALLLogManager安全日志管理系统的操作及使用,涉及如何配置安全日志管理系统服务器,如何使用安全日志管理系统客户端对锐捷网络公司RG-WALL系列安全产品进行集中日志管理。适用对象本手册适用于锐捷网络RG-WALL系列防火墙的管理员、企业网络运行维护人员及RG-WALL防火墙的技术支持人员,尤其是锐捷网络公司RG-WALLLogManager安全管理系统使用人员的必备手册。使用本帮助的读者,应掌握TCP/IP协议、IP地址及子网掩码、安全设备日志等基本知识。适合产品本手册适合RG-WALLLogManager安全日志管理系统。相关参考手册《RG-WALL1600防火墙Web界面操作手册》:介绍了如何通过Web界面管理锐捷网络公司RG-WALL1600系列防火墙。《RG-WALL1600防火墙命令行操作手册》:介绍了如何通过命令行管理锐捷网络公司RG-WALL1600系列防火墙。《RG-WALL1600防火墙快速使用指南》:介绍了锐捷网络公司RG-WALL1600系列防火墙的基本功能和典型应用。开始使用开始使用概述本章节包括以下内容:z产品特点z软件描述z主要功能产品特点RG-WALLLogManager安全日志管理系统的目标定位于企业全网基础设施的集中日志管理,尤其是针对锐捷网络公司系列防火墙的日志管理。系统采用集中管理的方式,通过RG-WALLLogManager服务器对大规模网络设备,安全设备,主机设备进行日志管理。软件描述RG-WALLLogManager系统包含两大组成部分:RG-WALLLogManager管理服务器、RG-WALLLogManager管理客户端。首先需要正确启动RG-WALLLogManager服务器后,客户端的各项功能才能使用。同时被管理设备也需要进行集中管理配置和日志服务器配置,管理系统才能得到相关的设备日志信息。开始使用设备的管理,又支持常规的网络设备,安全设备,主机设备的日志管理;能够接收多种信息源的安全日志信息并提供实时告警及图形化分析。RG-WALLLogManager目前仅包含2个功能:z安全审计z告警管理安装与卸载本章节包括以下内容:z软件运行环境z安装z卸载开始使用,WindowsXPProfessional,Windows2003Server(安装servicepack)Windows2000/XP/2003(安装servicepack)Java1.4.2SDKJava1.4.2SDK512M以上512M以上80G以上-安装1.安装光盘内容z《RG-WALLLogManager安全日志管理系统用户手册》电子档:文件名是“RG-WALLLogManager安全日志管理系统用户手册.pdf本文档,在光盘根目录下;zRG-WALLLogManager安全日志管理系统-服务器安装包:文件名是“rgmanagerserver.exe”,在光盘根目录下;开始使用安全日志管理系统-客户端安装包:文件名是“rgmanagerclient.exe”,在光盘根目录下。2.安装RG-WALLLogManager安全日志管理系统的服务器及客户端可以安装在同一台机器上,也可以布署在不同的机器上。1安装服务器z将“RG-WALLLogManager安全日志管理系统”光盘插入光驱;z在“资源管理器”中运行光盘中的文件“rgmanagerserver.exe”,也可直接用“开始”菜单中的“运行”或命令行来运行此程序;z根据安装向导的提示进行安装即可;z安装以后,单击“开始”按钮,指向“程序”菜单,会发现“RG-WALLLogManager安全日志管理”程序组中有“RG-WALLLogManager服务器”及“卸载RG-WALLLogManager服务器”两个程序项。2安装客户端z将“RG-WALLLogManager安全日志管理系统”光盘插入光驱;z在“资源管理器”中运行光盘中的文件“rgmanagerclient.exe”,也可直接用“开始”菜单中的“运行”或命令行来运行此程序;z根据安装向导的提示进行安装即可。z安装以后,单击“开始”按钮,指向“程序”菜单,会发现“RG-WALLLogManager安全日志管理”程序组中有“RG-WALLLogManager客户端”、“卸载RG-WALLLogManager客户端”及“用户手册”三个程序项。卸载1.卸载服务器1方法一:z单击“开始”按钮,指向“程序”菜单,然后选择“RG-WALLLogManager安全日志管理”菜单项;z在“RG-WALLLogManager安全日志管理”中选择“卸载RG-WALLLogManager服务器”;z经确认后即可卸载RG-WALLLogManager安全日志管理系统的核心服务器。2方法二:z单击“开始”按钮,指向“设置”菜单,然后点击“控制面板”菜单。开始使用双击“添加/删除程序”图标。z在“更改或删除程序”选项卡中,选中“RG-WALLLogManager服务器”,点击“更改/删除”按钮。z经确认后即可卸载RG-WALLLogManager安全日志管理系统的核心服务器。2.卸载客户端1方法一:z单击“开始”按钮,指向“程序”菜单,然后选择“RG-WALLLogManager安全日志管理”菜单项;z在“RG-WALLLogManager安全日志管理”中选择“卸载RG-WALLLogManager客户端”;z经确认后即可卸载RG-WALLLogManager安全日志管理系统的管理客户端。2方法二:z单击“开始”按钮,指向“设置”菜单,然后点击“控制面板”菜单。z双击“添加/删除程序”图标。z在“更改或删除程序”选项卡中,选中“RG-WALLLogManager客户端”,点击“更改/删除”按钮。z经确认后即可卸载RG-WALLLogManager安全日志管理系统的管理客户端。具体操作本章节包括以下内容:z服务器启停z设备配置z日志数据管理z客户端操作z使用帮助z管理主界面服务器启停1.启动服务器操作方法:开始使用单击“开始”按钮,指向“程序”菜单,然后选择“RG-WALLLogManager安全日志管理”菜单项;z在“RG-WALLLogManager安全日志管理”中选择“RG-WALLLogManager服务器”;z出现下面的服务器管理界面后,系统会自动进行启动服务操作;z当服务器启动,在Windows右下角的系统托盘中将会有管理服务器的图标。2.关闭服务器在服务器已经启动后,在服务器管理界面中单击“停止服务”按钮停止服务。如果希望完全退出系统,可在服务器管理界面中单击“退出系统”按钮停止服务并退出RG-WALLLogManager服务器。设备配置对安全设备进行管理需要在安全管理设备进行相关的配置,可通过安全设备的web管理界面和命令行进行配置,主要包括:z配置集中管理主机:需要将RG-WALLLogManager管理服务器所在的IP配置为被管理安全设备的集中管理主机,具体配置请参照安全设备的“集中管理”配置;z配置日志服务器:如果需要接收被管理安全设备的日志,需要将RG-WALLLogManager管理服务器所在的IP配置为被管理安全设备的日志服务器IP,端口为514,具体配置请参照安全设备的“日志服务器”配置。日志数据管理由于日志数量较大,因此对日志数据的存储管理很重要,系统提供了数据管理工具,点击服务器控制台的数据管理按钮,输入系统管理员密码,可以进入到数据管理界面。z默认日志数据存储在安装目录的msyslog/data/下的三个目录下,采用并发读写,可提高效率。如果用户有多个硬盘,可以将数据目录分别建在不同的硬盘中,可以扩大存贮空间和提高读写速度。z用户可以设置日志数据最大保存天数,系统将会自动删除已经超过期限的日志数据。z用户可以设置日志数据告警阈值,当日志数据达到所设置的阈值后,将会触发严重告警,结合告警管理模块的规则配置,可以提供控制台弹出窗口和邮件等告开始使用警方式。z用户可以设置自动备份日志数据和手工备份,系统备份采用高压缩方式,压缩比可达40-100倍,用户可以将历史数据进行备份,然后将这些数据从系统中删除,需要查看时再将这些数据恢复,可以提高磁盘的利用效率。z建议:z用户可以将磁盘容量的80%设为告警阈值,接收到告警后将可以调整数据管理对策,例如压缩备份,删除多余的数据。z如果用户日志量较大,建议用户采用多个磁盘,每个磁盘建立一个日志目录,将会提高日志的处理效率和容量。客户端操作1.登陆客户端操作方法:开始使用服务器;z单击“开始”按钮,指向“程序”菜单,然后选择“RG-WALLLogManager安全日志管理”菜单项;z在“RG-WALLLogManager安全日志管理”中选择“RG-WALLLogManager客户端”,出现下面的客户端登陆界面;z在“用户名”、“密码”处填写登录的用户与密码。如果您是第一次登录RG-WALLLogManager客户端,请使用系统内置用户:“admin”、密码:“admin123”登陆;z在“服务器地址”处填写RG-WALLLogManager服务器所在机器的IP地址。如果RG-WALLLogManager服务器与RG-WALLLogManager客户端安装在同一台机器上,可以填写为“local”。2.修改密码注意,系统内置账户“admin”是超级用户,不能删除,也不在用户管理列表中列出。但admin的密码可以修改,请在登录后务必修改密码。z修改方法如下:z在客户端主菜单中选择“系统管理”菜单项;z在“系统管理”菜单项中选择“更改密码”,在弹出的更改密码窗口中输入新密码及确认新密码即可。注意本系统的密码规则是字母与数字的组合。3.退出控制台操作方法:z在客户端主菜单中选择“设备管理”菜单项;z在“设备管理”菜单项中选择“退出”,确认后即可退出RG-WALLLogManager客户端。使用帮助1.用户操作手册查看方法:z单击“开始”按钮,指向“程序”菜单,然后选择“RG-WALLLogManager安全日志管理”菜单项;z在“RG-WALLLogManager安全日志管理”中选择“用户手册”。z《RG-WALLLogManager安全日志管理系统用户手册》是PDF文档,需要使用AdobeAcrobatReader进行阅读。开始使用查看方法一:z登录RG-WALLLogManager控制台;z在客户端主菜单中选择“帮助”菜单项;z在“帮助”菜单项中选择“RG-WALLLogManager帮助”。