Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
NESTA PÁGINA
 

Visão geral de eventos e logs

Use a página de eventos e logs para obter uma visão geral de alto nível do seu ambiente de rede. Você pode visualizar eventos anormais, ataques, vírus ou worms quando os dados de log estão correlacionados e analisados.

Esta página fornece aos administradores um mecanismo avançado de filtragem e fornece visibilidade dos eventos reais coletados pelo Log Collector. Usando o controle deslizante de prazo, você pode se concentrar instantaneamente em áreas de atividade incomum, arrastando o controle deslizante de tempo para a área de interesse para você. O controle deslizante e o botão Personalizado sob o intervalo de tempo permanecem no topo de cada guia. Os usuários selecionam o intervalo de tempo e, em seguida, podem decidir como visualizar os dados, usando a visualização resumida ou detalhar as guias de visualização.

Por padrão, você pode visualizar dados de todos os dispositivos. Para visualizar dados de um dispositivo específico, clique no link ao lado de Dispositivos e selecione um dispositivo.

Nota:

A partir do Junos Space Security Director Release 21.2R1, os dispositivos Tenant Systems (TSYS) também são compatíveis.

Para acessar a página do Event Viewer, selecione Monitor > eventos e logs > todos os eventos.

Eventos e logs — Visão resumida

Clique em Resumo Veja um breve resumo de todos os eventos em sua rede. No centro da página estão informações críticas, incluindo número total de eventos, vírus encontrados, número total de interfaces que estão em baixa, número de ataques, picos de CPU e reinicializações de sistema. Esses dados são atualizados automaticamente com base no intervalo de tempo selecionado. Na parte inferior da página está uma visão de pista de natação de diferentes eventos que estão acontecendo em um momento específico. Os eventos incluem firewall, filtragem de Web, VPN, filtragem de conteúdo, antispam, antivírus, IPS, ATP Cloud, Screen e Apptrack. Cada evento é colorido,com tons mais escuros representando um nível mais alto de atividade. Cada guia fornece informações profundas, como tipo, e número de eventos que ocorrem naquele momento específico.

Veja na Tabela 1 as descrições dos widgets nesta visão.

Tabela 1: Eventos e logs Resumo Veja Widgets

Widget

Descrição

Eventos totais

Número total de todos os eventos que incluem firewall, webfiltering, IPS, IPSec, filtragem de conteúdo, antispam e eventos antivírus.

Instâncias de vírus

Número total de instâncias de vírus em execução no sistema.

Ataques

Número total de ataques no firewall.

Interface para baixo

Número total de interfaces que estão em baixa.

Picos de CPU

Número total de vezes que ocorreu um pico de utilização de CPU.

Reinicia

Número total de reinicializações de sistema.

Sessões

Número total de sessões estabelecidas por meio de firewall.

Eventos e logs — visualização detalhada

Clique em Detalhe Veja detalhes abrangentes dos eventos em um formato tabular que inclui colunas classificáveis. Você pode classificar os eventos usando o Grupo por opção. Por exemplo, você pode classificar os eventos com base na gravidade. A tabela inclui informações como a regra que causou o evento, gravidade para o evento, ID do evento, informações de tráfego e como e quando o evento foi detectado.

Selecione a opção Exportação para CSV no painel de configurações da grade para exportar e baixar os dados de log no arquivo CSV.

A opção de nó legado é exibida no visualizador de eventos após o nó de coletor de log legado ser adicionado na página de Nós de Registro. Adicionamos o suporte de coletor de log legado para fins somente de leitura para visualizar dados existentes de coletores de log. Novos logs devem apontar o Security Director Insights VM como o coletor de logs. Selecione a caixa de verificação de nós legado para visualizar os dados existentes de coletor de log. Quando você limpa a caixa de verificação de nós legado, os dados de coletor de log do Security Director Insights são exibidos.

Veja a Tabela 2 para obter descrições de campo.

Tabela 2: Eventos e logs detalham colunas

Campo

Descrição

Tempo gerado de log

O tempo em que o log foi gerado no dispositivo da Série SRX.

Log de tempo recebido

O momento em que o log foi recebido no coletor de log.

Nome do evento

O nome do evento do log

País de origem

O nome de país de origem.

IP de origem

O endereço IP de origem de onde o evento ocorreu.

País de destino

Nome do país de destino de onde o evento ocorreu.

IP de destino

O endereço IP de destino do evento.

Porta de origem

A porta de origem do evento.

Porta de destino

A porta de destino do evento.

Descrição

A descrição do log.

Nome do ataque

Nome de ataque do log: Trojan, worm, vírus etc.

Gravidade de ameaças

O nível de gravidade da ameaça.

Nome da política

O nome da política no log.

Categoria de segurança de conteúdo ou nome do vírus

A categoria segurança de conteúdo do log.

URL

Nome de URL acessado que desencadeou o evento.

Categoria de eventos

A categoria de eventos do log.

Nome do usuário

O nome de usuário do log.

Ação

Medidas tomadas para o evento: avisando, permita e bloqueie.

Fonte de log

O endereço IP da fonte de log.

Aplicativo

O nome do aplicativo do qual os eventos ou logs são gerados

Hostname

O nome do host no log.

Nome do serviço

O nome do serviço de aplicativo. Por exemplo, FTP, HTTP, SSH e assim por diante.

Aplicativo aninhado

O aplicativo aninhado no log.

Zona de origem

A zona de origem do log.

Zona de destino

A zona de destino do log.

ID do protocolo

A ID de protocolo no log.

Papéis

O nome da função associado ao log.

Razão

O motivo da geração de log. Por exemplo, uma conexão derrubada pode ter uma razão associada, como a falha na autenticação.

Porta de origem DO NAT

A porta de origem traduzida.

Porta de destino NAT

A porta de destino traduzida.

Nome da regra de origem do NAT

O nome de regra da origem do NAT.

Nome da regra de destino do NAT

O nome da regra de destino do NAT.

IP de origem NAT

O endereço IP de origem traduzido (ou natted). Ele pode conter endereços IPv4 ou IPv6.

IP de destino NAT

O endereço IP de destino traduzido (também chamado de natted).

ID da sessão de tráfego

A ID da sessão de tráfego do log.

Nome do caminho

O nome do caminho do log.

Nome do sistema lógico

O nome do sistema lógico.

Nome da regra

O nome da regra.

Nome do perfil

O nome do perfil de todos os eventos que desencadeou o evento.

Nome de host do cliente

Nome de host do cliente.

Informações sobre malwares

Informações do malware.

Nome do subsistema lógico

O nome do sistema lógico nos logs JSA.

Pesquisa avançada

Você pode realizar uma pesquisa avançada de todos os eventos usando a caixa de texto de pesquisa presente acima da grade. Ele inclui os operadores lógicos como parte da corda do filtro. Digite a string de pesquisa na caixa de texto e, com base na sua entrada, uma lista de itens do menu de contexto do filtro é exibida. Você pode selecionar um valor da lista e selecionar um operador válido com base no qual deseja realizar a operação de pesquisa avançada. Pressione a Spacebar para fornecer e operador e operador de OR. Depois de entrar na cadeia de pesquisa, pressione Enter para exibir o resultado da pesquisa na grade.

Na caixa de texto de pesquisa, quando você passa o mouse sobre o ícone, ele exibe uma condição de filtro de exemplo. Quando você começa a entrar na string de pesquisa, o ícone indica se a string do filtro é válida ou não. Ao inserir um critério de pesquisa, quando você pressiona o backspace a qualquer momento, apenas um caractere é excluído.

A partir do Junos Space Security Director Release 19.2R1, além da pesquisa manual usando palavras-chave, você pode arrastar e soltar os valores de células não vazias na grade para a barra de pesquisa do espectador do evento. O valor é agregado conforme o critério de pesquisa e os resultados da pesquisa são exibidos. Você pode arrastar e soltar apenas células pesquisáveis. Quando você paira sobre as linhas no visualizador de eventos, as células pesquisáveis são exibidas com fundo azul. Se uma célula não for pesquisável, não haverá mudança na cor de fundo. Se você arrastar uma célula pesquisável sem qualquer valor ou se o valor = '-', você não pode soltar o conteúdo dessas células. Se a barra de pesquisa já tiver um critério de pesquisa, todos os critérios subsequentes de pesquisa de arrastar e soltar serão preparados por 'AND'. Após a queda do valor na barra de pesquisa, a condição de pesquisa é atualizada na grade. Isso se aplica a filtros de pesquisa simples e complexos.

Você pode realizar filtragem complexa usando operadores e ou operadores lógicos e suportes para agrupar os símbolos de pesquisa.

Por exemplo: (Nome = um e id = 11) ou (Nome = dois e id = 12)

O nível de precedência do operador lógico E é superior ao OR. Na consulta de filtro a seguir, a Condição2 e a Condição3 são avaliadas antes do operador de OR.

Por exemplo: Condição1 OU Condição2 E Condição3

Para substituir isso, use parênteses explicitamente. Na consulta abaixo do filtro, a expressão dentro dos parênteses é avaliada primeiro.

Por exemplo: ( Condição1 OU Condição2 ) E Condição3

Tabela 3: Regras do filtro

Regra do filtro

Exemplo

Insira uma vírgula para um filtro de OR.

Name=test,site é o mesmo que Name=test OR Name=site

Insira parênteses para combinar e ou funcionalidade.

País de origem = França E (Nome do evento = RT_Flowsession_Close ou categoria de eventos = firewall)

Digite cotações duplas para termos com espaços.

"San Jose"

A seguir, alguns dos exemplos de filtros de log de eventos:

  • Eventos específicos originários ou pousos nos Estados Unidos

    País de origem = Estados Unidos ou país de destino = Estados Unidos e nome do evento = IDP_ATTACK_LOG_EVENT, IDP_ATTACK_LOG_EVENT_LS, IDP_APPDDOS_APP_ATTACK_EVENT_LS, IDP_APPDDOS_APP_STATE_EVENT, IDP_APPDDOS_APP_STATE_EVENT_LS, AV_VIRUS_DETECTED_MT, AV_VIRUS_DETECTED, ANTISPAM_SPAM_DETECTED_MT, ANTISPAM_SPAM_DETECTED_MT_LS, FWAUTH_FTP_USER_AUTH_FAIL, FWAUTH_FTP_USER_AUTH_FAIL_LS, FWAUTH_HTTP_USER_AUTH_FAIL, FWAUTH_HTTP_USER_AUTH_FAIL_LS, FWAUTH_TELNET_USER_AUTH_FAIL, FWAUTH_TELNET_USER_AUTH_FAIL_LS, FWAUTH_WEBAUTH_FAIL,FWAUTH_WEBAUTH_FAIL_LS

  • Tráfego entre pares de zona para política — IDP2

    Zona de origem = zona de confiança e destino = não confiável,nome interno e de política = IDP2

  • Eventos com fontes específicas IPs ou eventos que atinjam aplicativos htp, tftp, http e desconhecidos vindos do host DC-SRX1400-1 ou firewall virtual vSRX-75.

    Aplicativo = tftp,ftp,http,IP or source desconhecido = 192.168.34.10,192.168.1.26 E hostname = dc-srx1400-1,firewall virtual vSRX-75

Controle de acesso baseado em função para espectador de eventos

O controle de acesso baseado em função (RBAC) tem o seguinte impacto no Event Viewer:

  • Você deve ter analista de segurança ou arquiteto de segurança ou ter permissões equivalentes a essa função para acessar o visualizador de eventos.

  • Você não pode visualizar logs de eventos criados em outros domínios. No entanto, um super usuário ou qualquer usuário com uma função apropriada que possa acessar um domínio global pode visualizar logs em um subdomain, se um subdomain for criado com visibilidade do domínio dos pais.

  • Você só pode visualizar logs dos dispositivos que você pode acessar e que pertencem ao seu domínio.

  • Você só pode visualizar, não editar, uma política se não tiver permissões de edição.

  • A função de usuário sob administração > usuários e funções deve ter a opção Event Viewer > Visualizar logs de dispositivo está habilitada para visualizar ou ler logs.

Documentação relacionada

Tabela de histórico de lançamentos
Lançamento
Descrição
16.1
Você pode realizar uma pesquisa avançada de todos os eventos usando a caixa de texto de pesquisa presente acima da grade.