SAFE3.0 資料來源分為以下三類進行管理:

(1) SYSLOG:一般資料來源,供一般設備使用,如:防火牆、IPS等實體設備,或者Windows 、Linux等作業系統。

(2) JDBC:透過 JDBC 連線,收取存放於資料庫內的資料。

(3) 解析規則:SAFE3.0 對收容的設備日誌解析編輯設定頁。

(4) Log轉拋:可依據使用者設定將SAFE3.0接收的Client端Log轉拋至另一台主機。


SYSLOG

1. SYSLOG 列表頁

皆可點擊欄位右側排序 icon 變更排序規則;亦可利用搜尋輸入框進行模糊關鍵字搜尋。點選左側目錄「資料來源」→「SYSLOG」,可顯示設備IP、設備名稱 (使用者可自行編輯)、類別 (使用者可自行新增編輯)。

2. 編輯設備資訊

點擊編輯 icon進入編輯頁。

  • 名稱:必填欄位,最多輸入 40 字元。
  • 角色:必選欄位,下拉式選單選擇系統角色群組,可指定哪些角色群組使用者可以使用查看此設備日誌。
  • 類別:下拉式選單選擇設定日誌類別,預設類別為:未分類/不使用,使用者也可自行新增類別。
  • 紀錄接收檢查:開啟switch後,點擊輸入框空白處開啟下拉選單選擇紀錄接收檢查頻率(10分鐘/1小時/12小時/24小時/72小時),並選擇收信角色。
3. 類別
  • 點擊類別 icon,進入類別管理頁,可查看已有的分類類別,預設類別(未分類/不使用)不可刪除,自行新增的類別則可點擊刪除 icon進行刪除。

  • 點擊新增  safe3089icon,開啟新增類別視窗,輸入欲設定的類別名稱,最多僅能輸入 40 字元,輸入完畢後點擊儲存完成設定。

safe3148

  • 點擊編輯icon,開啟設定IP視窗,勾選欲設定IP check box,勾選完畢後點擊儲存完成設定。

  • 類別設定後可於進階搜尋利用safe_tag欄位進行搜尋。

  • 重整:點擊重整icon,可手動刷新 SYSLOG 設備日誌資訊。
  • 檔案上傳:點擊icon,開啟檔案上傳頁,支援JSON及CSV檔。


JDBC連線設定

1. 新增 JDBC 連線

safe3097

  • IP:必填欄位,資料庫主機IP。
  • 名稱:必填欄位,使用者可自訂該JDBC連線名稱,最多僅能輸入 45 個字元。
  • 角色:必填欄位,下拉式選單選擇,指定哪些使用者可以使用該設備日誌。
  • 資料庫類型:必填欄位,下拉式選單選擇,目前支援 Microsoft SQL Server/MySQL/MySQL8.0/PostgreSQL。
  • 連接埠:必填欄位,Microsoft SQL Server 預設為 1433 port / MySQL 預設為 3306 port / PostgreSQL 預設為 5432 port。
  • 資料庫名稱:必填欄位,要讀取的資料庫名稱。
  • 使用者名稱:必填欄位,讀取資料庫的使用者名稱,因維護資訊安全,建議不要使用 DB Super Admin 的帳號密碼,應使用至少含有可讀取權限之帳號。
  • 密碼:必填欄位,使用者帳號密碼。
  • 資料表名稱:必填欄位,要讀取的資料表名稱。
  • 查詢語法:必填欄位,讀取資料的語法,不支援Group By,Order By 與 WHERE 等資料篩選、排序指令。
  • 追蹤欄位:必填欄位,資料更新參考欄位,通常為時間或流水號欄位。
  • 排程類型:必填欄位,資料讀取間隔(秒、分、時)。
  • 時區:必填欄位,資料所屬時區。
  • 所有欄位填寫完畢後點擊「測試」,測試通過後才能點擊儲存完成新增作業。

設定SNMP

1. 於左側目錄點擊「SNMP」進入編輯管理頁。

2. 點擊 safe3089icon,開啟新增SNMP頁面。

(1) SNMP版本選擇,支援版本為:

  • SNMP v1
  • SNMP v2c
  • SNMP v3
  • SNMP trap

 (2) 設定IP、角色權限、端口(Port)、SNMP版本與社區(Community)等必填資訊。

(3) 點擊「掃描」。

(4) 依據掃描結果勾選checkbox選擇要儲存的資料。

(5) 若欲收集 SNMP trap日誌,需點擊 icon開啟編輯 MIB頁面,並點擊擊 icon 重啟服務。

3. SNMP Trap資料剖析

使用者可自行於編輯MIB檔頁面上傳MIB檔以進行SNMP Trap日誌資料剖析。

使用者可自行新增MIB OID進行編譯。


解析規則

於左側目錄點擊「資料來源」->「解析規則」列表頁。

  • 列表列出功能/名稱/類別欄位,除功能欄位外,其餘皆可利用排序icon變更排序規則。
  • 類別為SAFE(官方)/自訂兩種。

解析分為官方解析及自訂解析,除自訂解析可於解析規則列表頁新增外,官方解析須從「系統」->「套件上傳」進行檔案上傳作業。

1. 官方解析

點擊編輯safe3-1-225icon,進入編輯解析頁面,可查看該解析說明,並可至 Step2 設定套用IP。

(1) 解析套用:

勾選日誌設備 check box ,設定解析套用至該日誌設備,點擊完成後返回列表頁。

於解析列表頁勾選欲套用解析 check box 後,點擊safe3 1 227進行套用設定。

(2) 刪除官方解析

點擊刪除icon,刪除未被使用的官方解析。

2. 自訂解析

(1) 新增自訂解析:點擊icon,開啟新增自訂解析編輯頁面。

  • 名稱:必填欄位,僅能輸入半型英文字母或數字,最多僅能輸入50字元。
  • 描述:必填欄位,最多僅能輸入128字元。
  • 正規表示式:解析的規則語法,一項解析只能有一條規則。
  • 測試樣本:測試使用的日誌範例。
  • 匹配資訊:點擊「測試」將測試欄位與正規表示式欄位進行模擬解析,若有匹配結果會列出解析的欄位與結果,若無則顯示為「No Match」。

(2) 匯入自訂解析:可利用左側目錄「系統」->「套件上傳」進行檔案上傳作業。

(3) 編輯自訂解析/設定IP:點擊編輯icon,進入編輯解析頁面,可編輯該解析描述及正規表示式,並可至 Step2 設定套用IP,其餘套用設定同官方解析。

(4) 刪除自訂解析:點擊刪除icon,刪除自訂解析。

(5) 匯出自訂解析:點擊匯出icon,匯出自訂解析des3檔。


Log 轉拋

1. 於左側目錄點擊「資料來源」->「Log轉拋」進入轉拋設定頁面。

  • 列表列出IP/設備名稱/類別及轉拋目的IP,皆可利用排序icon變更排序規則。
  • 僅支援SYSLOG(含SNMP)

2. 目標端設定:點擊safe3149開啟設定頁。

safe3150

  • 目的IP:於輸入框輸入轉拋目標主機IP。
  • Port:於輸入框輸入轉拋目的Port。
  • 點擊safe3151新增目標端設定輸入框;點擊safe3152將輸入框刪除。
  • 輸入完畢後點擊「儲存」。

3. 來源端設定設定:點擊safe3153開啟設定頁。

  • 轉拋目的IP:下拉選單選擇欲轉拋的目的主機IP。 safe3154
  • 來源主機轉拋設定:於左側來源主機清單點擊來源主機IP,將其加入右側已選主機清單。

 safe3155

 

 safe3156

  •  點擊safe3 1 246僅將設定儲存;若要啟用Log轉拋服務,需點擊safe3 1 238,套用後會重啟Rsyslog服務,將會有短時間無法查詢日誌。