系統選項包括:套件上傳、更新、設定、備份、還原、支援、授權、叢集及前端收集器等功能。
套件上傳
1. 選擇「系統」->「套件上傳」進入套件上傳頁面。
2. 使用者可於此上傳視覺單元/儀表板/報表/解析等,可進行多檔案一次性上傳。
- 若授權為 LITE 版本,不可上傳官方版解析。
- 若為 STANDARD 版本可上傳官方版解析以及自訂解析。
3. 使用者可利用拖曳或是點擊上傳框選取上傳資料,點擊「更新」,上傳進度可至通知列表查看。
更新
1. 於左側列表選擇「系統」->「更新」至系統更新頁面。
2. 分為手動更新及自動更新。於系統更新期間,所有在線上的使用者將會被登出,並顯示更新進度頁面,更新完後將自動將畫面轉為登入畫面。
- 手動更新:點擊「上傳更新檔」,將更新檔拖曳或點擊上傳框上傳更新檔,點擊「更新」。
- 線上更新:點擊「檢查更新」,將立即檢查是否有釋出最新版本的更新包,若有將顯示「有新版本,請執行下載」;若無則顯示「目前為最新版本」,MA若是到期將無法執行線上更新功能。
-
- 已為最新版本
-
- 有新版本
-
- MA已到期
- 排程檢查更新設定:點擊「更新設定」,可開啟排程更新設定。系統將依使用者設定的週期檢查是否已釋出最新版本。
設定
1.基本設定
(1) 系統時間:顯示目前系統時間。
(2) 語言:下拉式選單選擇系統語言,目前支援English/繁體中文/簡體中文。
(3) 報表表頭圖檔:可讓使用者更換報表首頁圖形,建議大小為30px*80px(高x寬),只允許上傳 .png/.jpg/.jpeg。
- 將符合上傳規則的圖片拖曳或點擊上傳輸入框以上傳,儲存後設定才生效。
- 若欲將自行設定之報表表頭圖檔刪除,點擊刪除icon,可恢復成預設報表表頭圖檔。
2. 郵件伺服器
(1) 支援同時設定兩台郵件伺服器。
(2) 依序填入「寄件者」、「伺服器或網域」、「連接埠」、「帳號密碼」等資訊,可以設定報表排程通知/告警通知/系統通知等訊息,透過郵件進行傳送。
3. 外部連接
(1) InspireOZ整合(Ticket System):若搭配InspireOz產品,輸入需要收到通知的電子郵件地址。
(2) IFTTT設定:可設定IFTTT啟用LINE Notify通知功能,輸入通知群組與金鑰。
4. 進階設定
(1) SAFE3.0 紀錄導出(Syslog):使用者可依據需求將 SAFE3.0 的系統操作日(weblog)導出至他台主機存放,SAFE3.0系統亦會存放一份。
(2) Log含Hash值(SHA256):使用者可依據需求啟用Hash值設定,設定啟用後將重啟日誌收集器服務,並於每筆日誌帶有Hash值。
(3) 雲端備份(Azure):雲端備份及本地端備份僅能擇一執行,於介面上點擊啟用後設定儲存體帳戶名稱/Key及備份路徑,點擊測試並於通過後儲存即可完成設定。於第一次啟用或是重新啟用時搜尋引擎將一併重啟,將會有數分鐘到數小時無法使用日誌查詢/儀錶板等功能。
- 不支援備份壓縮功能。
- 不支援舊版備份檔案(如7z、des3、v2.9.2版)還原。
5. 安全性
(1) 密碼變更政策:系統管理員可進行密碼變更政策設定,如超過有效期限,系統會請使用者重新設定密碼後才可重新登入。
(2) 登入驗證碼:啟用後,使用者登入需輸入驗證碼。
(3) AD整合:支援LDAP及LDAPS連線方式,啟用後所有欄位必填,系統管理員可依需求設定AD資訊,使用者於首頁輸入帳號後系統將自行判斷是否為AD帳號。
6. 威脅偵測模組
啟用後系統將於每日中午12點自動執行TDM規則更新。
備份
1. 選單
於左側目錄選擇「系統」→「備份」進入備份設定頁。
2. 資料索引
針對索引日誌(safe3r2-* index)進行備份。
(1) 單次備份
- 點擊單次備份 圖示,開啟單次備份設定頁。
- 點擊建立備份輸入框開啟下拉選單,使用者可依需求選擇欲備份索引(可一次進行多個索引備份)。
- 索引選擇完畢後,點擊執行。
- 並可於執行清單內查看備份狀態。
(2) 備份排程
點擊編輯排程 圖示,開啟排程備份設定畫面。
- 使用者依需求選擇備份週期(日/週/月)及備份時間,將switch設定為啟用,設定完畢後點擊「儲存」完成排程設定。
- 若月備份設定日期為 31 日,當月無 31 日則不會執行。
(3) 檢視所有備份紀錄
點擊檢視 圖示,可查看所有單次備份和排程備份紀錄。
3. 備份設定
針對系統使用者設定進行備份。
(1) 單次備份:點擊單次備份 圖示,開啟單次備份設定頁。
點擊執行icon,並可於執行清單查看備份進度。
(2) 備份排程:點擊編輯排程 圖示,開啟排程備份設定畫面。
- 使用者可設定每月備份日期及備份時間。
- 若月備份設定日期為 31 日,當月無 31 日則不會執行。
- 將switch設定為啟用,點擊「儲存」完成排程設定。
(3) 檢視所有備份紀錄:點擊檢視圖示,可查看所有單次備份和排程備份紀錄。
4. 系統稽核:
針對系統日誌(weblog-* index)進行備份。
(1) 單次備份:點擊單次備份 圖示,開啟單次備份設定頁。
- 點擊建立備份輸入框開啟下拉選單,使用者可依需求選擇欲備份索引(可一次進行多個索引備份),系統稽核日誌與資料索引日誌不同,以月為單位為一索引。
- 索引選擇完畢後,點擊執行。
- 並可於執行清單內查看備份狀態。
(2) 備份排程:點擊編輯排程 圖示,開啟排程備份設定畫面。
- 使用者可設定每月備份日期及備份時間。
- 若月備份設定日期為 31 日,當月無 31 日則不會執行。
- 將switch設定為啟用,點擊「儲存」完成排程設定。
(3) 檢視所有備份紀錄:點擊檢視圖示,可查看所有單次備份和排程備份紀錄。
還原
1. 選單
於左側目錄選擇「系統」→「還原」,至還原列表頁。
- 列表顯示檔案名稱/最後驗證結果/最後驗證時間。
- 可透過搜尋輸入框進行關鍵字模糊搜尋。
2. 勾選還原
勾選欲還原的索引檔案名稱 check box,點擊「勾選還原」,可選擇是否要忽略驗證結果進行還原。
- 點擊「是」,將不進行檔案Hash值驗證直接進行還原。
- 點擊「否」,將進行檔案Hash值驗證,驗證通過後進行還原;不通過則不還原。
3. 還原紀錄
點擊還原紀錄 圖示,開啟還原紀錄列表頁,可查看還原檔案名稱/還原狀態/更新時間,亦可利用搜尋輸入框進行關鍵字模糊搜尋。
4. 還原管理
點擊還原管理 圖示,開啟還原索引列表,如欲刪除已還原的索引,使用者可勾選索引checkbox並點擊進行刪除。
4. MD5 Hash值驗證:點擊 圖示,可對還原檔案進行Hash值驗證,並將驗證結果顯示於列表頁。
支援
- 1. 於左側目錄選單選擇「系統」->「支援」進入支援下載頁面。
- 2. 當系統發生異常狀況時,可於此頁點擊下載 圖示,將系統日誌進行下載,檔案下載後提供給廠商進行分析以確認錯誤原因。
授權
1. 授權類別:SAFE3.0R2的授權包含下列幾類,因不同的購買方式授權內容有所不同。
- EPS:每小時計算一次,統計過去168小時(7天)的平均EPS,若超過授權所允許的量即進行鎖定。
- 裝置:每小時計算一次,每次統計過去6小時內所收到的裝置數量,若超過授權所允許的量則進行鎖定。
- 到期日:軟體使用期限,超過日期系統會進行鎖定。
- 版本:分為Lite(精簡版)/Standard(正式版)。
2. 如有超過原授權之上限,則會停止報表/報表/日誌與儀表板功能,日誌收取功能不受影響。
3. 上傳授權檔:點擊「下載」圖示,下載系統資訊後提供廠商,並向廠商取得授權金鑰後即可進行上傳驗證更新。
叢集
1. 建立叢集前注意事項
- 新版本cluster設定後所有index都會被清空刪除,所以請先備份需要的內容,如搜尋條件、儀表板等。
- 叢集單台主機記憶體至少須 64GB 以上,多台機器叢集須至少 3 台機器以上。
2. 新增叢集
(1) 於左側目錄的系統點擊叢集進入叢集管理頁,點擊 圖示,開啟叢集設定頁。
(2) 依序輸入叢集設定資訊。
- SAFE3.0叢集網路:網段IP,如主機IP為10.16.6.135,叢集網路則可以輸入10.16.6.0。
- 投票節點:僅有投票功能的主機IP,若為2+1架構的叢集,勾選checkbox後輸入投票主機IP即可,設定套用後不可變更。
- 群組1:叢集主機的IP,若為單機則可僅輸入SAFE3.0主機的IP即可。
- 群組2(或以上):輸入第二台叢集主機IP,若為多台叢集可點擊icon新增群組輸入框。
(3) 點擊 圖示,確認連線狀態,若都正常即可點擊 圖示。
(4) 套用後,因Elasticsearch會重啟,故會出現等待畫面,大概稍等 3~5分鐘再進入叢集頁面確認結果。
3. 叢集同步機制
- 建立時會同步資料庫 DB。
- 建立時會同步 Logstash 解析。
- 報表排程只有 Master Node 會作業,產出的結果會同步給所有節點。
- 套件上傳會同步給所有節點。
- 告警排程只有 Master Node 會作業。
- 備份還原只有 Master Node 會作業。
- 授權各自獨立不會同步。
- 更新功能會同步給所有節點。
- 支援下載頁可一次下載所有叢集主機的支援檔。
- 解析設定會同步給所有節點。
前端收集器
1.前端收集器頁面
於左側目錄點擊「系統」→「前端收集器」進入前端收集編輯頁,使用者可利用欄位排序圖示變更排序規則,亦可利用搜尋輸入框輸入關鍵字進行模糊搜尋。
(1) IP:前端收集器主機IP。
(2) 名稱:前端收集器名稱,預設為主機IP,使用者可於編輯頁設定。
(3) 剩餘空間:剩餘日誌儲存空間百分比。
(4) Queue(筆數):儲存於前端收集器但未轉拋至SAFE3.0主機的日誌筆數,若筆數持續升高,須檢查前端收集器服務是否正常。
(5) 版本:顯示最後更新版本。
(6) 狀態:使用燈號表示前端收集器服務狀態
-
綠燈:服務/連線正常。
-
橘燈:服務異常。
-
紅燈:連線異常。
-
黑燈:停用。
2. 欄位功能說明如下(由左至右)
(1) 功能
-
重整:點擊「重整」 圖示,重啟前端收集器服務。
-
編輯:點擊「編輯」 圖示,開啟前端收集器編輯頁。
3. 前端收集器編輯頁
(1) 基本資料:顯示名稱及啟用與否設定頁。
(2) 主機:顯示對前端收集器拋送日誌的Client主機IP,使用者可利用排序icon變更排序規則,也可使用搜尋輸入框進行關鍵字模糊搜尋。
編輯:點擊 圖示,進入編輯頁,可對Client主機名稱/查詢角色/類別/紀錄接收檢查進行設定。
(3) SNMP Trap設定:將Switch開啟後輸入Trap Community即可對FC拋送Trap Log。
(4) 解析:於前端收集器端設定日誌解析,將FC解析功能Switch開啟用點擊「勾選套用」即完成設定。
(5) 關鍵字濾除
- 點擊icon新增欄位設定。
- 可於欄位下拉選單選擇Beats欄位名稱/host/rawlog進行設定。
- 關鍵字欄位輸入欲濾除的關鍵字。
- EX. 欄位選擇【rawlog】;關鍵字輸入【just for test】將濾除與【rawlog:"just for test"】關鍵字相符合的日誌。
- EX. 欄位選擇【host】;關鍵字輸入【10.16.6.199】將濾除與【host:"10.16.6.199"】關鍵字相符合的日誌。
- 將設定儲存後選擇套用關鍵字濾除,系統將重啟服務將設定寫入系統設定檔;反之若取消套用關鍵字濾除,將僅儲存檔案設定內容。
(6) 紀錄接收檢查:設定前端收集器紀錄接收檢查,若前端收集器服務異常,無法轉拋日誌至SAFE3.0,將依照使用者設定的時間區間檢查,並寄送Email通知使用者。
4. 更新FC
點擊 圖示,開啟前端收集器更新頁,將更新包拖曳至上傳框或是點擊以選擇檔案。點擊更新後可至「更新歷史紀錄」查看更新狀態。
5. 重新整理
點擊 圖示,可刷新前端收集器服務狀態。
6. 回到 SAFE3 確認前端收集器是否回報
(1) 於左側目錄的系統點擊前端收集器,按下 圖示,確認前端收集器頁面是否有出現前端收集器的 IP 位址以及狀態燈是否顯示為綠色。
(2) 於左側目錄的日誌點擊搜尋進入搜尋頁面,搜尋從前端收集器搜集的資料
輸入 safe_type:FC,顯示從前端收集器所搜集的LOG資料。
點進資料可以查看詳細欄位資訊:
safe_fc 欄位顯示前端收集器的IP位址 / safe_type 欄位顯示 FC
若是有多個前端收集器,可多加搜尋條件 safe_fc: FC_IP,搜尋結果就會出現指定前端收集器的Log資料。