监控所有事件
您在此处:监控>所有事件>日志。
使用此页面查看与会话、内容过滤、反垃圾邮件、防病毒、IPS、筛选、安全智能、Web 过滤、ATP 和 VPN 关联的事件详细信息。
除 SRX5000 系列设备外,所有 SRX 系列设备均提供“所有事件”页面。
表 1 介绍了“所有事件”页面上的字段。
领域 |
描述 |
---|---|
最后 |
从列表中选择时间,查看您最感兴趣的活动。选择时间后,将自动刷新视图中显示的所有数据。 您还可以使用 自定义 设置自定义日期,然后单击 “应用 ”查看指定的事件日志。 |
刷新 |
单击刷新图标可获取最新活动信息。 |
显示隐藏列 |
此图标由三个垂直点表示。 允许您在网格中显示或隐藏列。 |
导出到 CSV |
您可以将事件数据导出为逗号分隔值 (.csv) 文件。 选择页面右侧的三个垂直点,然后单击 导出到 CSV。CSV 文件将下载到本地机器上。您最多只能下载 100 个活动数据。 |
过滤标准 |
使用表格网格上方的过滤器文本框。搜索将逻辑运算符作为过滤器字符串的一部分。
注意:
J-Web 支持以下运营商:
在过滤器文本框,将鼠标悬停在图标上时,将显示过滤器条件示例。开始输入搜索字符串时,图标将指示过滤器字符串是否有效。 提供以下过滤器:
|
X |
单击 X 以清除搜索过滤器。 |
保存过滤器 |
指定过滤标准后,单击“ 保存过滤器 ”以保存过滤器。 要保存过滤器:
|
负载过滤器 |
显示保存的过滤器列表。 将悬停在保存的过滤器名称上以查看查询表达式。您可以使用 delete 图标删除保存的过滤器。 |
时间 |
显示接收事件日志的时间。 |
日志类型 |
显示事件日志类型。 |
源区域 |
显示事件的源区域。 |
源 IP |
显示事件发生地点的源 IP 地址。 |
目标区域 |
显示事件的目标区域。 |
目标 IP |
显示发生的事件的目标 IP。 |
目标端口 |
显示事件的目标端口。 |
应用 |
显示生成事件日志的应用程序名称。 |
行动 |
显示为事件采取的操作:警告、允许和阻止。 |
政策 |
显示事件日志的目标国家/地区。 |
NAT 源 IP |
显示转换(或 NAT)的源 IP 地址。它可以包含 IPv4 或 IPv6 地址。 |
NAT 源端口 |
显示已转换的源端口。 |
NAT 目标 IP |
显示已转换(也称为 natted)的目标 IP 地址。 |
NAT 目标端口 |
显示已转换的目标端口。 |
协议 |
在事件日志中显示协议 ID。 |
会话 ID |
显示事件日志的流量会话 ID。 |
用户 |
显示生成事件日志的用户名。 |
源接口 |
显示事件日志的源接口。 |
目标接口 |
显示事件日志的目标接口。 |
关闭原因 |
显示日志生成的原因。例如,连接中断可能有一个关联的原因,例如身份验证失败。 |
来自客户端的数据包 |
显示从客户端接收的数据包数。 |
来自客户端的字节 |
显示从客户端接收的字节数。 |
来自服务器的数据包 |
显示从服务器接收的数据包数。 |
来自服务器的字节 |
显示从服务器接收的字节数。 |
已用时间 |
显示自上次时间间隔开始以来所经过的时间。 |
源端口 |
显示源的端口号。 |
序列号 |
显示发送的数据包的序列号。 |
消息类型 |
显示检测到的事件的消息类型。 |
计数 |
显示事件计数。 |
严重性 |
显示威胁的严重性。 |
CVE ID |
显示常见漏洞和披露 (CVE) 标识符信息。 |
数据包日志 ID |
显示攻击前后收到的数据包 ID,以便进一步对攻击者行为进行离线分析。 |
XFF |
显示由代理服务器添加到数据包中的 X 转发 For (XFF) 报头,其中包含发出请求的客户端的真实 IP 地址。 |
配置 文件 |
显示事件配置文件名称。 |
文件名 |
显示事件日志的文件名。 |
参数 |
显示从事件日志传递的自变量。 |
消息 |
显示用于协商的消息 ID。 |
带宽 |
显示事件日志的带宽利用率。 |
恶意软件信息 |
显示恶意软件名称或简要说明。 |
主机 名 |
显示下载可能恶意软件的设备主机名。 |
文件类别 |
显示文件类型。示例:PDF、可执行文件、文档。 |
判决编号 |
显示文件的分数或威胁级别。 |
列表命中数 |
显示 C&C 服务器尝试联系网络上的主机的次数。 |
文件哈希查找 |
显示为匹配已知恶意软件而发送的文件的哈希。 |
示例 SHA256 |
显示已下载文件的 SHA-256 哈希值。 |
文件名 |
显示文件名,包括扩展名。 |
Url |
显示触发事件的已访问 URL 名称。 |
发送至 |
显示电子邮件地址。 |
发送自 |
显示电子邮件地址。 |
类别 |
显示威胁/事件类别。 |
对象 |
显示事件日志的对象名称。 |
URL 类别风险 |
显示 Web 过滤 URL 类别风险级别。 |
病毒名称 |
显示检测到的病毒名称。 |
源名称 |
显示事件发源地的名称。 |
源名称 |
显示检测到的事件的源名称。 |
规则 |
显示威胁/事件日志的规则名称。 |
长度 |
显示总数据包长度(单位字节) |
类型 |
显示事件类型。 |
指数 |
显示 IKE SA 的索引号。 |