登录页面
打开 https://<qradar-ip>,使用 admin 账号登录。
💡 提示:首次访问会出现证书警告,因为 QRadar 使用自签名证书。在生产环境中应替换为受信任的证书。
主界面布局
核心 Tab 说明
| Tab | 功能 | 使用频率 |
|---|---|---|
| Dashboard | 安全态势总览,可自定义小组件 | ⭐⭐⭐⭐⭐ |
| Offenses | 攻击告警列表,SOC 分析师的主战场 | ⭐⭐⭐⭐⭐ |
| Log Activity | 日志事件查询与分析 | ⭐⭐⭐⭐⭐ |
| Network Activity | 网络 Flow 查询与分析 | ⭐⭐⭐⭐ |
| Assets | 资产管理与漏洞视图 | ⭐⭐⭐ |
| Reports | 报告生成与管理 | ⭐⭐⭐ |
Dashboard 详解
默认组件
自定义 Dashboard
添加组件:
- 点击 Add Item
- 选择组件类型:
- System Activity — 系统活动图表
- Offense Summary — 攻击汇总
- My Offenses — 我负责的 Offense
- Saved Search — 保存的搜索
- Custom URL — 外部网页
常用组件配置:
Dashboard 导出
# Dashboard 可导出为 PDF
# GUI 操作:Dashboard > Actions > Print Dashboard用户设置
点击右上角用户名 → User Preferences:
| 设置项 | 推荐配置 | 说明 |
|---|---|---|
| Timezone | Asia/Shanghai | 与日志源时区保持一致 |
| Session Timeout | 30 分钟 | 安全考虑 |
| Email Notifications | 按需启用 | 新 Offense 通知 |
| Dashboard Refresh | 1 分钟 | 自动刷新间隔 |
| Items per Page | 25 | 列表分页大小 |
刷新与暂停
系统通知
查看路径:点击顶部铃铛图标 🔔
常见通知类型:
- 磁盘空间不足
- 日志源断开连接
- 系统补丁可用
- 许可证即将过期(CE 无此问题)
# CLI 查看通知历史
cat /var/log/qradar.log | grep "NOTIFICATION"调查 IP 地址
快捷操作:在任意 IP 地址上右键 → Investigate
小练习
练习 1:切换 Dashboard 预设视图
Dashboard > 左上角下拉框 > 选择不同预设
- Default Dashboard
- SOC Analyst Dashboard
- Executive Dashboard
- Network Monitoring Dashboard
练习 2:添加自定义组件
Dashboard > Add Item > Saved Search
选择 "My Offenses" 或创建新的 Saved Search
练习 3:导出 Dashboard 为 PDF
Dashboard > Actions > Print Dashboard > Save as PDF
界面导航快捷键
| 快捷键 | 功能 |
|---|---|
Alt + D | 切换到 Dashboard |
Alt + O | 切换到 Offenses |
Alt + L | 切换到 Log Activity |
Alt + N | 切换到 Network Activity |
Alt + A | 切换到 Assets |
Alt + R | 切换到 Reports |
Esc | 关闭弹窗/返回 |
配套资源
- 📄
00-official-docs/7.5/IBM_QRadar_7.5_User_Guide.pdf第 3 章 - 📄
00-official-docs/7.5/IBM_QRadar_7.5_Getting_Started_Guide.pdf
上一章:02 - 安装 Community Edition 下一章:04 - 核心概念速通