H3C 综合日志审计平台

用户FAQ

本文档介绍H3C

SecCenter CSAP-SA综合日志审计平台（以下简称综合日志审计平台）的用户常见问题及解答。

1 安装部署

综合日志审计平台如何安装使用？

综合日志审计平台系列产品包括综合日志审计平台一体机（产品型号为CSAP-SA）、虚拟综合日志审计平台（产品型号为CSAP-SA-V）和综合日志审计平台插卡（产品型号为CSAP-SA-C）。

综合日志审计平台一体机和综合日志审计平台插卡是平台与主机一体化发货，出厂预装软件版本，用户只需简单配置网络后即可使用；虚拟综合日志审计平台发货仅软件版本，需要进行安装部署后才能使用，虚拟综合日志审计平台支持部署在VMware、H3C

CAS平台等虚拟机或裸金属服务器上，详细安装过程请参见《H3C SecCenter CSAP-SA 综合日志审计平台

软件安装指导》。

2 日志采集

最多支持接入多少日志源？

不同型号的产品支持接入的日志源数量不同，具体数量如下表所示。

表1 综合日志审计平台接入日志源数量表

产品型号

默认接入日志源数

是否支持拓展

最大接入日志源数

CSAP-SA

1024

否

1024

CSAP-SA-V

1024

否

1024

CSAP-SA-C

1024

否

1024

CSAP-SA-S

64

是，需要购买节点授权函

1024

CSAP-SA-D

64

是，需要购买节点授权函

1024

CSAP-SA-CN60

32

是，需要购买节点授权函

512

主机日志怎么接入综合日志审计平台？

·

Linux主机日志可以通过配置syslog服务将日志发送到日志审计平台。

·

提供agent数据采集方案，在Linux或Windows主机下载并安装Agent代理，Agent将收集并分析主机日志后发往综合日志审计平台。

应用日志怎么接入综合日志审计平台？

·

如果应用所在服务器为Linux系统，可以配置syslog服务将应用日志发送到日志审计平台。

·

在应用所在主机下载并安装Agent代理，Agent将收集应用日志发往综合日志审计平台。

3 日志适配

综合日志审计平台支持对哪些设备上送的日志进行分析？

在平台“配置

> 数据来源 > 日志源管理 > 新增”页面下拉框中相关设备均支持解析，可能存在设备版本日志格式变更导致适配不兼容场景，可等待后续解析规则更新。

接入的设备日志与综合日志审计平台的日志类型如何对应？

平台收到日志后，按照内置规则对接入日志进行分类，当前有操作日志、审计日志、流量日志、威胁日志、系统日志、安全控制日志、数据库日志、主机日志、中间件日志九大类，各大类别下还有子类划分。

日志源添加时在下拉列表中找不到对应的设备怎么处理？

日志源添加时在生产厂商或设备类型或设备型号下拉列表中找不到对应的选项，表示系统不支持对该设备日志进行适配，可以将其生产厂商、设备类型、设备型号均配置为其他，配置为其他后平台仅支持收集、存储、查询该设备上报的日志，但不进行分析。如有分析需求可购买日志适配定制化服务。

4 日志存储

日志可以存储多少天日志？

日志存储天数由用户网络中每天产生的日志量和日志类型决定，日志量越大存储时间越短。综合日志审计平台一体机默认发货配备3个4TB硬盘并配置Raid5阵列，实际可用空间约7.2TB，在每秒4000条日志量的接入场景中，预计可存储180天。虚拟综合日志审计平台存储空间大小由用户配置决定，存储时间长短可参考一体机数据。

日志审计平台日志量达到最大存储空间后是怎么处理日志？

缺省情况下，日志最多存储180天（时间阈值）或平台磁盘存储的日志量达到磁盘总容量的90%（空间阈值），达到任意条件后平台将自动删除日志，删除时从存储时间最早的日志开始删除，低于空间阈值不再继续删除。用户可在“配置 > 全局配置 > 数据清理设置”页面修改阈值，最大存储阈值可设置为365天。

日志审计平台是否支持扩容？

支持，具体扩容方法详见《H3C SecCenter CSAP-SA 综合日志审计平台

典型部署案例》。

5 告警管理

如何将综合日志审计平台告警功能与用户短信、邮件网关对接？

当前短信仅支持对接亿美、嘉讯短信平台。邮件仅支持对接SMTP协议的邮件服务器，并且服务器上不能开启SSL功能。

6 License

Server

License Server端与日志审计平台之间通信中断时，审计平台主动释放授权，Server端无法回收如何处理？

可联系License

Server管理员，在Server端手动释放对应平台使用的授权。

7 系统设置

综合日志审计平台是否支持通过Web页面修改系统IP地址？

支持，可在“配置 > 全局配置 > 平台网络设置”页面修改系统IP地址。

综合日志审计平台是否支持后台修改系统时间？

不支持，如需修改时间请登录平台后，在“配置 > 系统管理 > 时间管理”页面进行修改。若已在后台修改时间导致平台功能异常，可在时间管理页面再次修改进行恢复。

综合日志审计平台是否支持后台修改IP地址？

不支持，如需修改地址请登录平台后在“配置 > 全局配置 > 平台网络设置”页面修改。若已从后台修改地址导致平台功能不可用，请参考《H3C SecCenter CSAP-SA 综合日志审计平台

故障处理手册》相关指导恢复。

综合日志审计平台是否支持后台修改IP地址？

不支持，如需修改地址请登录平台后在“配置 > 全局配置 > 平台网络设置”页面修改。若已从后台修改地址导致平台功能不可用，请参考《H3C SecCenter CSAP-SA 综合日志审计平台

故障处理手册》相关指导恢复。

综合日志审计平台一体机共配备3个4TB硬盘，为什么实际可用空间只有约7.2TB?

原因一：硬盘厂商计算空间进制为1000，操作系统显示实际计算进制为1024，且引导区占用空间，导致实际看到可用空间比硬盘标注小。

原因二：综合日志审计一体机采用3个4TB硬盘配置Raid5阵列实现灾备，会损失一部分可用空间，但提高了数据可靠性，导致最终实际可用空间在7.2TB左右。