界面结构

默认主页包含五个展示窗口，分别显示最近 30 分钟告警状态、最近 24 小时资产告警排行 TOP10 、最近 5 分钟事件一览、最近 1 小时事件趋势、 24 小时内最近 10 条告警。

每个展示窗口的右上角都有窗口操作符，点击“最大化”可以将相应的窗口放大至全屏，点击“最小化”可以缩小窗口 。

首页中大部分数据都可以点击获取，以查看详细信息。

日志采集

从事件来源的角度，日志审计获取设备日志有以下两种方式：

1.被动接收（被动接收由设备发送来的日志）

只有对有日志转发功能的设备才能使用这种方式。可以在设备上配置，将日志转发给日志审计中心或单独部署的日志采集器上（日志审计系统默认配有日志采集器）。

对于一般的安全设备，只需将其日志服务器的IP指向日志审计的审计中心或日志采集器所在的IP地址即可，端口为 514（可以配置修改），具体的各厂商设备的配置方式见：审计对象配置手册

2.主动采集（主动采集设备的日志）

通过日志代理，或者 文件共享/FTP/JDBC等方式去主动采集设备的日志。

采集设备可以使用这种方式由日志审计采集器主动去采集设备或应用的日志。这种方式主要针对没有日志发送功能的设备，比如 Windows 主机日志。具体配置方式见：审计对象配置手册

节点管理

日志采集器以及windows日志代理均可通过此功能模块进行管理。

可以查看采集器状态，新增采集器注册，进行采集参数配置、采集任务配置、查看日志源统计等。

日志采集器

日志采集器是用于实现日志采集，日志审计中心本身会默认安装有一个日志采集器，用来接收日志。如果需要接受的日志数量太大担心审计中心系统资源消耗太大或者日志审计中心与资源（审计对象）网络不能直接到达，可以找一台服务器单独部署一台日志采集器（类似与前置机），用来接收日志，并转发给审计中心。

Windows日志代理

是指安装在主机上，用来采集主机自身日志，或者是安装在主机上的其他应用系统的日志的代理程序。目前系统只提供 Windows 日志代理。

日志审计

安全管理人员可以通过本功能模块对来自企业或组织内的所有 IT 设备的事件，进行可视化的实时分析、监视，也可以对历史事件进行查询、分析和统计，从而快速识别出需要注意的安全事件。

所有的事件分析场景，都以策略的方式进行分类展示，安全管理人员可以方便的自定义各种分析策略，并在各种分析策略之间快速切换，提高分析工作的效率。

审计模块包含三部分的内容：事件分析、事件查询、历史关联。

• 事件分析

事件可以通过配置不同的过滤条件，来监视、查询分析企业或组织内的设备、应用的日志，也可通过统计图的的方式展示分析企业或者组织内的设备、应用的日志。

在【策略】模块中，系统内置了大量的针对不同设备不同事件的策略，可以根据不同需求选择相应的事件，配合【过滤条件】模块中的时间条件、类型条件对日志进行分析。

在事件图表中可以根据在【统计设置】中设定的相应参数将事件以图表的形式展出来。

在事件列表中，点击【视图分析】，可对事件进行局部展示分析，勾选事件将按照勾选事件进行分析。 点击【定位】，可对事件中的 IP 地址进行地图定位分析，勾选事件将按照勾选事件进行分析。点击【事件响应】，可将可疑事件存入到告警或者观察列表中进行提示分析，必须勾选事件方可生成相应告警或观察列表。

• 事件查询

可以直接查询系统中存贮的海量日志，或者通过左侧定义不同的策略来查询相应的日志。

• 历史关联

可以新增历史关联，将指定时间的历史事件与定义的引用规则进行匹配，并产生相应的历史关联告警。

• 规则及告警

安全管理人员可以通过规则功能模块查看内置的系统关联规则，平台会根据关联规则，将符合条件的事件进行关联，按照关联规则中的定义，生成告警，同时触发相应告警动作。

用户可以通过自定义不同分类的规则组，在相应的规则组下新增、编辑、删除同类规则。

告警包括关联告警，以及自身告警，在告警功能模块中，会有一个告警统计图表，是对所有告警的总览。

告警概览为左侧树，可以选择特定的关联规则对其告警信息进行显示，其中告警分析树支持添加、删除、编辑子节点，其他树则依据内置的不同策略组对告警情况进行显示。

用户还可以通过告警通知模块对告警通知方式进行配置，产生告警时所触发相应的动作。创建完成后，必须引用才会产生告警通知，若不引用告警通知，则不会触发告警通知动作。

• 报表

报表部分，主要包括报表与报告两部分。对设备的日志进行分析、展示，并生成统计报表、趋势报表、明细报表、以及报告等。

系统预定义了一些常用的报表，同时用户可以根据自身业务和管理的需要来自定义报表。报表目前支持的格式为 PDF/HTML/PNG/DOCX/RTF/XLSX/XLS 。

报告是将多个报表合并生成一个报表，同时可以输入报告描述、显示在报告的最前面。

报告除不支持移动、复制外，支持针对报表的所有操作，操作方式也类似于报表。

• 资产

对企业或组织中的所有设备资产进行统一管理。可以通过资产的详细视图查看资产最近的相关事件以及告警信息。

• 资产管理

从安全域维度对资产进行分组得到的拓扑结构。用户可以依据每个安全域具有基本相同的安全特性，如安全级别、安全威胁、风险等，将资产归入不同的安全域中，实施不同的安全保护，同时还能够将资产以拓扑图的形式展现出来。

• 资产库

将所有的资产进行分类显示。预备资产库来源于事件信息，从事件信息中提取资产相关信息产生的资产库列表。当启用资产自动发现后，系统从接收到的外部事件中自动发现资产并添加到“预备资产库”中。

• 系统

系统部分主要是做一些系统的基础配置，这些配置通常会在系统其他模块使用。包括资源、过滤器、合并规则、邮件、短信、产品授权与升级、系统备份与恢复以及系统自身监控系统资源配置等。

• 参考知识

参考知识模块是一个小型的知识库，用户可以从这里搜寻安全知识和寻求安全解决方案，其中包括事件、字典表等相关知识。该模块中还提供的很方便的检索功能，用户可以很方便的根据自己的需要来检索。

点击导航栏上的【参考知识】按钮，即进入参考知识管理界面。若导航栏中没有【参考知识】按钮，用户需要点击导航栏旁边的下拉按钮便可找到参考知识按钮。