监控威胁
您在此处: 监控 > 日志 > 威胁。
使用监控功能查看安全威胁。威胁定义为任何 IPS、筛选、安全智能、防病毒、内容过滤或反垃圾邮件。
除 SRX5000 系列设备外,所有 SRX 系列防火墙都提供“威胁”页面。
表 1 介绍了“威胁”页面上的字段。
领域 |
描述 |
---|---|
最后 |
从列表中选择时间,查看您最感兴趣的活动。选择时间后,将自动刷新视图中显示的所有数据。 您还可以使用 自定义 来设置自定义日期,然后单击 “应用 ”以查看指定的威胁。 |
刷新 |
单击刷新图标可获取最新威胁信息。 |
显示隐藏列 |
此图标由三个垂直点表示。 允许您在网格中显示或隐藏列。 |
导出到 CSV |
您可以将威胁数据导出到逗号分隔值 (.csv) 文件中。 选择页面右侧的三个垂直点,然后单击 导出到 CSV。CSV 文件将下载到本地机器上。您最多只能下载 100 个会话数据。 |
过滤标准 |
使用表格网格上方的过滤器文本框。搜索将逻辑运算符作为过滤器字符串的一部分。在过滤器文本框,将鼠标悬停在图标上时,将显示过滤器条件示例。开始输入搜索字符串时,图标将指示过滤器字符串是否有效。 提供以下过滤器:
|
X |
单击 X 以清除搜索过滤器。 |
保存过滤器 |
指定过滤标准后,单击“ 保存过滤器 ”以保存过滤器。 要保存过滤器:
|
负载过滤器 |
显示保存的过滤器列表。 将悬停在保存的过滤器名称上以查看查询表达式。您可以使用 delete 图标删除保存的过滤器。 |
时间 |
显示收到威胁日志的时间。 |
日志类型 |
显示威胁日志类型。例如,IPS、防病毒、反垃圾邮件等。 |
名字 |
显示事件的名称。 |
严重性 |
显示威胁的严重性。 |
源区域 |
显示威胁的源区域。 |
源 IP |
显示威胁日志发生位置的源 IP 地址。 |
源端口 |
显示源的端口号。 |
用户 |
显示生成威胁日志的用户名。 |
目标区域 |
显示威胁的目标区域。 |
目标 IP |
显示发生的威胁的目标 IP。 |
目标端口 |
显示目标的端口号。 |
应用 |
显示生成威胁的嵌套应用程序或应用程序名称。 |
行动 |
显示从威胁中采取的操作。 |
会话 ID |
显示威胁的流量会话 ID。 |
关闭原因 |
显示会话关闭的原因。 |
配置 文件 |
显示威胁配置文件名称。 |
类别 |
显示威胁类别。 |
Url |
显示触发事件的已访问 URL 名称。 |
对象 |
显示威胁的对象名称。 |
目标接口 |
显示目标的接口名称。 |
源接口 |
显示源的接口名称。 |
政策 |
显示触发威胁日志的策略名称。 |
规则 |
显示威胁日志的规则名称。 |
协议 |
显示威胁日志中的协议 ID。 |
CVE ID |
显示威胁的公共漏洞和披露 (CVE) 标识符信息。 |
已用时间 |
显示自上次时间间隔开始以来所经过的时间。 |
数据包日志 ID |
显示攻击前后收到的数据包 ID,以便进一步对攻击者行为进行离线分析。 |
XFF |
显示由代理服务器添加到数据包中的 X 转发 For (XFF) 标头,包括发出请求的客户端的真实 IP 地址。 |
文件名 |
显示威胁日志的文件名。 |
参数 |
显示从威胁日志调用事件时传递给事件的参数。 |
源名称 |
显示威胁发源地的名称。 |
源名称 |
显示检测到的威胁的源名称。 |
计数 |
显示威胁计数。 |
消息类型 |
显示检测到的威胁的消息类型。 |
HTTP 主机 |
显示威胁的主机 URL。 |