Introducción al medio ambiente
CPU: 8 núcleos, memoria: 16 GB, disco duro: 100 GB
Versión del sistema operativo: CentOS-7-x86_64-DVD-2003
Versión de plataforma: Honghu 2.7.0
Instalar componentes
Confirmación de soporte del entorno de instalación
Honghu Computing Engine utiliza el conjunto de instrucciones avanzado AVX2 para acelerar los cálculos vectoriales, por lo que Honghu necesita ejecutarse en una CPU que admita el conjunto de instrucciones AVX2. Utilice el siguiente comando para comprobar si la CPU del entorno que se instalará admite el conjunto de instrucciones AVX2.
apagar el firewall
Ingrese dos comandos [systemctl enable firewalld.service] y [systemctl stop firewalld.service] en la consola para cerrar el firewall y use [firewall-cmd --state] para ver el estado de ejecución del firewall.
instalar la ventana acoplable
Instalar la plataforma Honghu
Cargue el archivo honghu-2.7.0*.tgz descargado y el archivo de licencia al servidor centos y descomprímalos en el directorio /opt.
Se puede cargar creando un sitio ftp o un sitio http.
Iniciar sesión en la plataforma Honghu
https://IP:18080 (puerto predeterminado 18080, cuenta predeterminada: admin, contraseña: changeme)
colección de registros
Método de importación de datos
Honghu Data Platform proporciona una variedad de métodos de importación de datos listos para usar, desde la carga de archivos de uso común a través de páginas WEB hasta soporte para varios agentes de recopilación de datos. Los usuarios pueden elegir de manera flexible el método y módulo de importación de datos apropiados según las diferentes condiciones de la escena.
La importación de datos generalmente se divide en dos tipos: push (push) y pull (pull):
· El método push significa que el sistema externo envía datos activamente a la plataforma llamando a la interfaz API de Honghu Data Platform.
· El método de extracción consiste en utilizar un programa de recopilación de datos específico, establecer tareas de recopilación en el programa e importar los datos que se recopilarán a la plataforma de datos de Yanhuang para su almacenamiento.
1. Para el método de acceso a datos push, Honghu Data Platform puede admitir
●Subir archivos
●Importar datos a través de API
●Importar datos a través de API
●Importar datos por declaración de búsqueda
●Importar datos de fuentes de datos externas
2. Para el método de importación de datos de extracción, los usuarios pueden elegir de manera flexible el Agente de recopilación de datos con el que están familiarizados y, al configurar la tarea de recopilación del Agente, la recopilación y el preprocesamiento de datos en la máquina de destino se enviarán a la plataforma de datos Honghu.
●Importar datos a través de Vector
crear conjunto de datos
Crear conjunto de datos: Nombre: syslog
Configure el vector, seleccione el alcance del conjunto de datos "syslog"
Modificar el archivo de configuración del vector
Colección de registros del firewall FortiGate
Configuración de registro de firewall: seleccione un almacenamiento de registros de terceros y envíe el registro a la plataforma remota Honghu a través de syslog
Ver el estado de la recopilación de registros:
Después de un período de recopilación de registros, puede ver que los registros se recopilan
Informe de auditoría del registro del firewall FortiGate
Visualización del diagrama de descripción general del firewall
Cuente y defina el número de firewalls
comando de consulta
Cuente y defina los tiempos de inicio de sesión de los usuarios del firewall
Consulta principalmente el estado de inicio de sesión del firewall, qué usuarios han iniciado sesión y cuántas veces han iniciado sesión.
comando de consulta
Cuente y defina el número de cambios de configuración del firewall
Consulta principalmente el estado de los cambios de configuración del firewall, qué usuarios han realizado cambios y la cantidad de cambios.
Recopile estadísticas y defina tipos de alarmas de firewall
Consulta principalmente el estado de las alarmas del firewall, qué tipo de alarmas y la cantidad de estadísticas.
Tendencias y detalles de registro de firewall
Tendencias estadísticas de inicio de sesión del firewall
Consulta principalmente la situación y la tendencia del inicio de sesión del firewall.
Detalles de inicio de sesión del cortafuegos
Consulta principalmente el estado de inicio de sesión del firewall, qué usuarios inician sesión y cómo iniciar sesión, incluida la hora de inicio de sesión, la dirección de origen, etc.
Tendencias y detalles de los cambios de configuración del firewall
Consulta principalmente la tendencia y los detalles de los cambios de configuración del firewall, incluidos qué usuarios han realizado cambios de configuración, el contenido de los cambios, etc.
Tendencias en los cambios de configuración del firewall
Detalles del cambio de configuración del firewall
Eventos de acceso a la seguridad del firewall
Consulta principalmente eventos de acceso de seguridad del firewall, incluida la dirección de origen, la dirección de destino, el protocolo de acceso, el número de puerto y otra información.
Busque frases:
Tendencias y detalles de fallos del firewall
Consulta principalmente tendencias y detalles de fallas de firewall, incluidas estadísticas de tipos, niveles de alarma, tipos, módulos, etc.
Tendencias de fallas de firewall
Detalles de falla del firewall
Eventos IPS del cortafuegos
Consulta principalmente los detalles de los eventos de IPS del firewall, incluido el nivel, la dirección de origen y la dirección de destino, la acción de la política, el tipo de servicio, el nombre de dominio de acceso y otra información.
comando de consulta
Eventos de protección web de firewall
Consulta principalmente los detalles de los eventos de protección web del firewall, incluido el nivel, la dirección de origen y la dirección de destino, la acción, el ID de la política, el nombre de la política, el tipo de servicio, el nombre del dominio de acceso y otra información.
comando de consulta