环境介绍

CPU：8核，内存：16GB，硬盘：100GB

操作系统版本：CentOS-7-x86_64-DVD-2003

平台版本：鸿鹄2.7.0

安装组件

安装环境支持确认

鸿鹄计算引擎使用了 AVX2 高级指令集做向量计算加速，因此，鸿鹄需要运行在支持 AVX2 指令集的 CPU 上。使用下面的命令检查待安装的环境 CPU 是否支持 AVX2 指令集。

关闭防火墙

控制台中输入【systemctl disable firewalld.service】和【systemctl stop firewalld.service】两条命令关闭防火墙，使用【firewall-cmd --state】来查看防火墙运行状态。

安装docker

安装鸿鹄平台

将下载的honghu-2.7.0*.tgz文件及许可证文件上传到centos服务器下，并解压到/opt目录下。

可通过搭建ftp站点或http站点上传

登录鸿鹄平台

https://IP:18080（默认端口18080，默认账号：admin,密码：changeme）

日志收集

数据导入方式

鸿鹄数据平台提供了多种开箱即用的数据导入的方式，从常用的通过 WEB 页面上传文件到各种数据采集 AGENT 的支持。用户可以灵活的根据不同场景条件，选择合适的数据导入方式和模块。

数据导入总体分为推（Push）和拉（Pull）两类：

·       推的方式是指外部系统通过调用鸿鹄数据平台的API接口，将数据主动发送到平台当中。

·       拉的方式是利用特定的数据采集程序，在程序中设置采集任务，将待集采的数据导入到炎凰数据平台当中存储。

1、针对推的数据接入方式，鸿鹄数据平台可以支持

●上传文件

●通过API导入数据

●通过API导入数据

●通过搜索语句导入数据

●通过外部数据源导入数据

2、针对拉的数据导入方式，用户可以灵活的选择自己熟悉的数据采集Agent，通过配置Agent的采集任务，将目标机器上的数据采集和预处理之后，发送给鸿鹄数据平台。

●通过Vector导入数据

创建数据集

创建数据集：名称：syslog

配置vector，选择数据集范围“syslog”

修改vector配置文件

FortiGate防火墙日志收集

防火墙日志设置：选择第三方日志存储，通过syslog将日志发送到远端鸿鹄平台

查看日志收集状态：

经过一段时间的日志收集，可以看到日志被收集上来

FortiGate防火墙日志审计报表

防火墙概览图表展示

统计并定义防火墙数量

查询命令

统计并定义防火墙用户登录次数

主要查询防火墙登录的情况，哪些用户登录，登录了多少次

查询命令

统计并定义防火墙配置变更次数

主要查询防火墙配置变更的情况，哪些用户做了变更，变更的次数

统计并定义防火墙告警类型

主要查询防火墙告警的情况，哪种类型的告警，次数统计

防火墙登录趋势及详情

统计防火墙登录趋势

主要查询防火墙登录的情况以及趋势

防火墙登录详情

主要查询防火墙登录的情况，哪些用户登录，以及通过哪种方式登录，包含登录的时间、源地址等

防火墙配置变更趋势及详情

主要查询防火墙配置变更趋势及详情，包含哪些用户做了配置变更，变更的内容等信息

防火墙配置变更趋势

防火墙配置变更详情

防火墙安全访问事件

主要查询防火墙安全访问事件，包含源地址、目标地址、访问协议、端口号等信息

查询语句：

防火墙故障趋势及详情

主要查询防火墙故障趋势及详情，包含类型统计、告警级别、类型、模块等信息

防火墙故障趋势

防火墙故障详情

防火墙IPS事件

主要查询防火墙IPS事件详情，包含级别、源地址和目的地址、策略动作、服务类型、访问域名等信息

查询命令

防火墙web防护事件

主要查询防火墙web防护事件详情，包含级别、源地址和目的地址、动作、策略ID、策略名称、服务类型、访问域名等信息

查询命令