邮件日志监测系统使用方法

1.部署方式有两种，一，纯软件，客户提供云服务器或者主机，二：我们可以提供软件+硬件，系统需要接入的数据（邮箱的登录日志，邮件收发日志）登录协议包括四种：imap,pop3,smtp,web.
2. 邮件安全的邮件投递告警，里面的邮件，比如：外语邮箱发送  重要邮件为主题，发送给很多人，几十人，绝大部分都是有问题的。虽然是低危的等级，但是如果一个ip分布式暴力破解，在一天内登录一个邮箱几百次，登录失败。
3.分析IP 要分析最近的。如果是国内的IP 我们认为有问题， 可以报给各省的安全厅，这些IP 可能被各省的情报机关打了点，利用国内的IP 对国内的重要单位发起攻击，先ping 一下，看这个ip 存活不存活，然后再扫一下，nmap -sS -vv 119.249.54.39     微步在线的分析只能拿来参考，不一定准，分析有没有问题，主要看ip 的描述，看开了哪些端口，高级搜索也可以搜，有表格展示，也可以图形展示。设置可以选择(国家,email, status,protocol,sip,login_count,time)
4. 也可以再关联查询，自关联来查-高级搜索- 里面来选择，主字段（可以是Login_email）   关联字段(login_status) 
关联查询   自关联    login_status:"success"   login_status:"fail" 类别要选择1    主字段：sip   关联字段login_status   标记上面有红*是已经入了我们的威胁情报库。
login_email:"邮箱名称"     先ping  然后微步看一下，
cntd_data_mail_login      科研单位
实时分布式暴力破解（多邮箱）  护网时候做的功能，一天跑一次，自己设置时间。