系統選項包括:套件上傳、更新、設定、備份、還原、支援、授權、叢集及前端收集器等功能。


套件上傳

1. 選擇「系統」->「套件上傳」進入套件上傳頁面。

2. 使用者可於此上傳視覺單元/儀表板/報表/解析等,可進行多檔案一次性上傳。

  • 若授權為 LITE 版本,不可上傳官方版解析。
  • 若為 STANDARD 版本可上傳官方版解析以及自訂解析。

3. 使用者可利用拖曳或是點擊上傳框選取上傳資料,點擊「更新」,上傳進度可至通知列表查看。


更新

更新1.png

1. 於左側列表選擇「系統」->「更新」至系統更新頁面。

2. 分為手動更新及自動更新。於系統更新期間,所有在線上的使用者將會被登出,並顯示更新進度頁面,更新完後將自動將畫面轉為登入畫面。

  • 手動更新:點擊「上傳更新檔」,將更新檔拖曳或點擊上傳框上傳更新檔,點擊「更新」。

上傳更新檔.png

  • 線上更新:點擊「檢查更新」,將立即檢查是否有釋出最新版本的更新包,若有將顯示「有新版本,請執行下載」;若無則顯示「目前為最新版本」,MA若是到期將無法執行線上更新功能。

檢查更新成功.png

    • 已為最新版本

已為最新版本.png

    • 有新版本

檢查更新版本.png

    • MA已到期

MA到期.png

  • 排程檢查更新設定:點擊「更新設定」,可開啟排程更新設定。系統將依使用者設定的週期檢查是否已釋出最新版本。

排程更新設定.png


設定

safe3163 
1.基本設定

safe3164

(1) 系統時間:顯示目前系統時間。

(2) 語言:下拉式選單選擇系統語言,目前支援English/繁體中文/簡體中文。

(3) 報表表頭圖檔:可讓使用者更換報表首頁圖形,建議大小為30px*80px(高x寬),只允許上傳 .png/.jpg/.jpeg。

  • 將符合上傳規則的圖片拖曳或點擊上傳輸入框以上傳,儲存後設定才生效。
  • 若欲將自行設定之報表表頭圖檔刪除,點擊刪除icon,可恢復成預設報表表頭圖檔。
2. 郵件伺服器

safe3165

(1) 支援同時設定兩台郵件伺服器。

(2) 依序填入「寄件者」、「伺服器或網域」、「連接埠」、「帳號密碼」等資訊,可以設定報表排程通知/告警通知/系統通知等訊息,透過郵件進行傳送。

 3. 外部連接

safe3166 

(1) InspireOZ整合(Ticket System):若搭配InspireOz產品,輸入需要收到通知的電子郵件地址。

(2) IFTTT設定:可設定IFTTT啟用LINE Notify通知功能,輸入通知群組與金鑰。

4. 進階設定 safe3167

(1) SAFE3.0 紀錄導出(Syslog):使用者可依據需求將 SAFE3.0 的系統操作日(weblog)導出至他台主機存放,SAFE3.0系統亦會存放一份。

(2) Log含Hash值(SHA256):使用者可依據需求啟用Hash值設定,設定啟用後將重啟日誌收集器服務,並於每筆日誌帶有Hash值。

(3) 雲端備份(Azure):雲端備份及本地端備份僅能擇一執行,於介面上點擊啟用後設定儲存體帳戶名稱/Key及備份路徑,點擊測試並於通過後儲存即可完成設定。於第一次啟用或是重新啟用時搜尋引擎將一併重啟,將會有數分鐘到數小時無法使用日誌查詢/儀錶板等功能。

  • 不支援備份壓縮功能。
  • 不支援舊版備份檔案(如7z、des3、v2.9.2版)還原。
 5. 安全性 safe3168

(1) 密碼變更政策:系統管理員可進行密碼變更政策設定,如超過有效期限,系統會請使用者重新設定密碼後才可重新登入。

(2) 登入驗證碼:啟用後,使用者登入需輸入驗證碼。

 safe3169

(3) AD整合:支援LDAP及LDAPS連線方式,啟用後所有欄位必填,系統管理員可依需求設定AD資訊,使用者於首頁輸入帳號後系統將自行判斷是否為AD帳號。

6. 威脅偵測模組

啟用後系統將於每日中午12點自動執行TDM規則更新。

TDM升級.png


備份

1. 選單

於左側目錄選擇「系統」→「備份」進入備份設定頁。

2. 資料索引

針對索引日誌(safe3r2-* index)進行備份。

(1) 單次備份

  • 點擊單次備份 safe3 1 266 圖示,開啟單次備份設定頁。

  • 點擊建立備份輸入框開啟下拉選單,使用者可依需求選擇欲備份索引(可一次進行多個索引備份)。

  • 索引選擇完畢後,點擊執行。

  • 並可於執行清單內查看備份狀態。

(2) 備份排程

點擊編輯排程 safe3 1 271 圖示,開啟排程備份設定畫面。

  • 使用者依需求選擇備份週期(日/週/月)及備份時間,將switch設定為啟用,設定完畢後點擊「儲存」完成排程設定。
  • 若月備份設定日期為 31 日,當月無 31 日則不會執行。

(3) 檢視所有備份紀錄

點擊檢視 safe3 1 273 圖示,可查看所有單次備份和排程備份紀錄。

3. 備份設定

針對系統使用者設定進行備份。

(1) 單次備份:點擊單次備份 safe3 1 274 圖示,開啟單次備份設定頁。

點擊執行icon,並可於執行清單查看備份進度。

(2) 備份排程:點擊編輯排程 safe3 1 276 圖示,開啟排程備份設定畫面。

  • 使用者可設定每月備份日期及備份時間。
  • 若月備份設定日期為 31 日,當月無 31 日則不會執行。
  • 將switch設定為啟用,點擊「儲存」完成排程設定。

(3) 檢視所有備份紀錄:點擊檢視safe3 1 278圖示,可查看所有單次備份和排程備份紀錄。

4. 系統稽核:

針對系統日誌(weblog-* index)進行備份。

(1) 單次備份:點擊單次備份 safe3 1 274 圖示,開啟單次備份設定頁。

  • 點擊建立備份輸入框開啟下拉選單,使用者可依需求選擇欲備份索引(可一次進行多個索引備份),系統稽核日誌與資料索引日誌不同,以月為單位為一索引。
  • 索引選擇完畢後,點擊執行。

  • 並可於執行清單內查看備份狀態。

(2) 備份排程:點擊編輯排程 safe3 1 276 圖示,開啟排程備份設定畫面。

  • 使用者可設定每月備份日期及備份時間。
  • 若月備份設定日期為 31 日,當月無 31 日則不會執行。
  • 將switch設定為啟用,點擊「儲存」完成排程設定。

(3) 檢視所有備份紀錄:點擊檢視safe3 1 278圖示,可查看所有單次備份和排程備份紀錄。


還原

safe3171

1. 選單

於左側目錄選擇「系統」→「還原」,至還原列表頁。

  • 列表顯示檔案名稱/最後驗證結果/最後驗證時間。
  • 可透過搜尋輸入框進行關鍵字模糊搜尋。
2. 勾選還原

勾選欲還原的索引檔案名稱 check box,點擊「勾選還原」,可選擇是否要忽略驗證結果進行還原。

  • 點擊「是」,將不進行檔案Hash值驗證直接進行還原。
  • 點擊「否」,將進行檔案Hash值驗證,驗證通過後進行還原;不通過則不還原。
3. 還原紀錄

點擊還原紀錄  圖示,開啟還原紀錄列表頁,可查看還原檔案名稱/還原狀態/更新時間,亦可利用搜尋輸入框進行關鍵字模糊搜尋。

4. 還原管理

點擊還原管理 safe3173 圖示,開啟還原索引列表,如欲刪除已還原的索引,使用者可勾選索引checkbox並點擊safe3174進行刪除。

safe3172

4. MD5 Hash值驗證:點擊  圖示,可對還原檔案進行Hash值驗證,並將驗證結果顯示於列表頁。


支援

  • 1. 於左側目錄選單選擇「系統」->「支援」進入支援下載頁面。
  • 2. 當系統發生異常狀況時,可於此頁點擊下載 safe3 1 292 圖示,將系統日誌進行下載,檔案下載後提供給廠商進行分析以確認錯誤原因。

授權

1. 授權類別:SAFE3.0R2的授權包含下列幾類,因不同的購買方式授權內容有所不同。

  • EPS:每小時計算一次,統計過去168小時(7天)的平均EPS,若超過授權所允許的量即進行鎖定。
  • 裝置:每小時計算一次,每次統計過去6小時內所收到的裝置數量,若超過授權所允許的量則進行鎖定。
  • 到期日:軟體使用期限,超過日期系統會進行鎖定。
  • 版本:分為Lite(精簡版)/Standard(正式版)。

2. 如有超過原授權之上限,則會停止報表/報表/日誌與儀表板功能,日誌收取功能不受影響。

3. 上傳授權檔:點擊「下載」圖示,下載系統資訊後提供廠商,並向廠商取得授權金鑰後即可進行上傳驗證更新。


叢集

1. 建立叢集前注意事項
  • 新版本cluster設定後所有index都會被清空刪除,所以請先備份需要的內容,如搜尋條件、儀表板等。
  • 叢集單台主機記憶體至少須 64GB 以上,多台機器叢集須至少 3 台機器以上。
2. 新增叢集

(1) 於左側目錄的系統點擊叢集進入叢集管理頁,點擊 safe3 1 295 圖示,開啟叢集設定頁。

(2) 依序輸入叢集設定資訊。

  • SAFE3.0叢集網路:網段IP,如主機IP為10.16.6.135,叢集網路則可以輸入10.16.6.0。
  • 投票節點:僅有投票功能的主機IP,若為2+1架構的叢集,勾選checkbox後輸入投票主機IP即可,設定套用後不可變更。

 safe3176

  • 群組1:叢集主機的IP,若為單機則可僅輸入SAFE3.0主機的IP即可。
  • 群組2(或以上):輸入第二台叢集主機IP,若為多台叢集可點擊icon新增群組輸入框。

 safe3177

(3) 點擊 safe3178 圖示,確認連線狀態,若都正常即可點擊 safe3179 圖示。 

safe3180

(4) 套用後,因Elasticsearch會重啟,故會出現等待畫面,大概稍等 3~5分鐘再進入叢集頁面確認結果。 safe3181

3. 叢集同步機制
  • 建立時會同步資料庫 DB。
  • 建立時會同步 Logstash 解析。
  • 報表排程只有 Master Node 會作業,產出的結果會同步給所有節點。
  • 套件上傳會同步給所有節點。
  • 告警排程只有 Master Node 會作業。
  • 備份還原只有 Master Node 會作業。
  • 授權各自獨立不會同步。
  • 更新功能會同步給所有節點。
  • 支援下載頁可一次下載所有叢集主機的支援檔。
  • 解析設定會同步給所有節點。

 


前端收集器

safe3182

1.前端收集器頁面

於左側目錄點擊「系統」→「前端收集器」進入前端收集編輯頁,使用者可利用欄位排序圖示變更排序規則,亦可利用搜尋輸入框輸入關鍵字進行模糊搜尋。

(1) IP:前端收集器主機IP。

(2) 名稱:前端收集器名稱,預設為主機IP,使用者可於編輯頁設定。

(3) 剩餘空間:剩餘日誌儲存空間百分比。

(4) Queue(筆數):儲存於前端收集器但未轉拋至SAFE3.0主機的日誌筆數,若筆數持續升高,須檢查前端收集器服務是否正常。

(5) 版本:顯示最後更新版本。

(6) 狀態:使用燈號表示前端收集器服務狀態

  • 綠燈:服務/連線正常。

  • 橘燈:服務異常。

  • 紅燈:連線異常。

  • 黑燈:停用。

2. 欄位功能說明如下(由左至右)

(1) 功能

  • 重整:點擊「重整」 safe3183 圖示,重啟前端收集器服務。

  • 編輯:點擊「編輯」safe3184  圖示,開啟前端收集器編輯頁。

3. 前端收集器編輯頁

(1) 基本資料:顯示名稱及啟用與否設定頁。 

FC基本資料.png

(2) 主機:顯示對前端收集器拋送日誌的Client主機IP,使用者可利用排序icon變更排序規則,也可使用搜尋輸入框進行關鍵字模糊搜尋。 

FC主機.png

編輯:點擊safe3184  圖示,進入編輯頁,可對Client主機名稱/查詢角色/類別/紀錄接收檢查進行設定。

 FC主機編輯.png

(3) SNMP Trap設定:將Switch開啟後輸入Trap Community即可對FC拋送Trap Log。

FC_TRAP.png

(4) 解析:於前端收集器端設定日誌解析,將FC解析功能Switch開啟用點擊「勾選套用」即完成設定。

 fc解析.png

(5) 關鍵字濾除

fc關鍵字.png

  • 點擊icon.pngicon新增欄位設定。
  • 可於欄位下拉選單選擇Beats欄位名稱/host/rawlog進行設定。
  • 關鍵字欄位輸入欲濾除的關鍵字。
    • EX. 欄位選擇【rawlog】;關鍵字輸入【just for test】將濾除與【rawlog:"just for test"】關鍵字相符合的日誌。
    • EX. 欄位選擇【host】;關鍵字輸入【10.16.6.199】將濾除與【host:"10.16.6.199"】關鍵字相符合的日誌。
  •  將設定儲存後選擇套用關鍵字濾除,系統將重啟服務將設定寫入系統設定檔;反之若取消套用關鍵字濾除,將僅儲存檔案設定內容。

(6) 紀錄接收檢查:設定前端收集器紀錄接收檢查,若前端收集器服務異常,無法轉拋日誌至SAFE3.0,將依照使用者設定的時間區間檢查,並寄送Email通知使用者。 

fc紀錄.png

4. 更新FC

點擊 safe3190 圖示,開啟前端收集器更新頁,將更新包拖曳至上傳框或是點擊以選擇檔案。點擊更新後可至「更新歷史紀錄」查看更新狀態。safe3191

safe3192

 

 5. 重新整理

點擊 safe3193 圖示,可刷新前端收集器服務狀態。

 

6. 回到 SAFE3 確認前端收集器是否回報

(1) 於左側目錄的系統點擊前端收集器,按下 safe3193 圖示,確認前端收集器頁面是否有出現前端收集器的 IP 位址以及狀態燈是否顯示為綠色。

(2) 於左側目錄的日誌點擊搜尋進入搜尋頁面,搜尋從前端收集器搜集的資料

輸入 safe_type:FC,顯示從前端收集器所搜集的LOG資料。

點進資料可以查看詳細欄位資訊:

safe_fc 欄位顯示前端收集器的IP位址 / safe_type 欄位顯示 FC

若是有多個前端收集器,可多加搜尋條件 safe_fc: FC_IP,搜尋結果就會出現指定前端收集器的Log資料。