Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

监控威胁

你在这里: 监控 > 日志 > 威胁

使用监视功能查看安全威胁。威胁定义为任何 IPS、屏幕、安全情报、防病毒、内容过滤或反垃圾邮件。

注意:

“威胁”页面适用于所有 SRX 系列防火墙(SRX5000 系列设备除外)。

表 1 介绍了“威胁”页面上的字段。

表 1:威胁页面上的字段

领域

描述

最后

从列表中选择时间以查看您最感兴趣的活动。选择时间后,视图中显示的所有数据将自动刷新。

您也可以使用 自定义 设置自定义日期,然后单击 应用 以查看指定的威胁。

刷新

单击刷新图标以获取最新的威胁信息。

显示隐藏列

此图标由三个垂直点表示。

使您能够显示或隐藏网格中的列。

导出为 CSV

您可以将威胁数据导出到逗号分隔值 (.csv) 文件。

选择页面右侧的三个垂直点,然后单击 导出为 CSV。CSV 文件将下载到本地计算机。您最多只能下载 100 个会话数据。

筛选条件

使用表格网格上方的筛选器文本框。搜索包括逻辑运算符作为筛选器字符串的一部分。

注意:

从 Junos OS 23.1R1 版本开始,J-Web 支持以下运算符:

  • =(等于)

  • != (不等于)

  • >=(大于或等于)

  • <=(小于或等于)

  • 嵌套和/或

J-web 在搜索 IP 地址时也支持 Netmask。

在筛选器文本框中,将鼠标悬停在图标上时,将显示示例筛选条件。开始输入搜索字符串时,该图标指示筛选器字符串是否有效。

可以使用以下筛选器:

  • 源 IP

  • 目标 IP

  • 会话 ID

  • 日志类型

  • 用户

  • 应用

  • 源区域

  • 目标区域

  • 来源国家

  • 目的地国家

  • 源端口

  • 目标端口

  • 协议

X

点击 X 清除搜索过滤器。

保存过滤器

单击 保存筛选器 以在指定筛选条件后保存筛选器。

要保存过滤器:

  1. 在高级搜索框中输入您要查找的筛选条件。

  2. 单击 保存过滤器

  3. 输入过滤器的名称,然后单击勾号图标进行保存。

负载过滤器

显示保存的筛选器列表。

将鼠标悬停在保存的筛选器名称上以查看查询表达式。您可以使用删除图标删除已保存的过滤器。

查看详细信息

将鼠标悬停在 PCAP 文件上时,PCAP 文件之前会出现“详细视图”图标。单击该图标可在详细日志查看页面上查看日志详细信息。

单击详细日志视图页面上的下载图标以下载数据包捕获文件。如果文件不可用,下载将失败,您将收到一条错误消息。

注意:

下载图标仅适用于 IPS 攻击日志。

若要在“威胁”页面上查看数据包捕获数据,请确保已启用攻击日志记录通知。如果没有:

  1. 转到 安全服务 > IPS > 策略

  2. 单击策略页面右上角的添加图标 (+)。

    此时将显示添加 IDP 策略页面。

  3. 输入 IPS 策略的名称,然后单击 +

    此时将显示“添加 IPS 规则”页面。

  4. 单击 高级 并选中复选框以在通知下配置启用攻击日志记录。

多聚氰胺类药物

单击下载图标以下载 IPS 攻击的数据包捕获 (PCAP) 文件。

注意:

下载图标仅针对 IPS 攻击日志显示。

PCAP 文件将从 /var/log/pcap/ 文件夹下载到您的系统。如果文件不可用,下载将失败,您将收到一条错误消息。

时间

显示收到威胁日志的时间。

日志类型

显示威胁日志类型。例如,IPS、防病毒、反垃圾邮件等。

名字

显示事件的名称。

严重性

显示威胁的严重性。

源区域

显示威胁的来源区域。

源 IP

显示发生威胁日志的源 IP 地址。

源端口

显示源的端口号。

用户

显示从中生成威胁日志的用户名。

目标区域

显示威胁的目标区域。

目标 IP

显示所发生威胁的目标 IP。

目标端口

显示目标的端口号。

应用

显示从中生成威胁的嵌套应用程序或应用程序名称。

行动

显示从威胁中采取的操作。

会话 ID

显示威胁的流量会话 ID。

关闭原因

显示会话关闭的原因。

配置 文件

显示威胁配置文件名称。

类别

显示威胁类别。

Url

显示触发事件的已访问 URL 名称。

对象

显示威胁的对象名称。

目标接口

显示目标的接口名称。

源接口

显示源的接口名称。

政策

显示触发威胁日志的策略名称。

规则

显示威胁日志的规则名称。

协议

在威胁日志中显示协议 ID。

CVE-ID

显示威胁的常见漏洞和披露 (CVE) 标识符信息。

已用时间

显示自上次时间间隔开始以来经过的时间。

数据包日志 ID

显示攻击前后收到的数据包 ID,以便进一步离线分析攻击者行为。

XFF

显示代理服务器添加到数据包的 X-Forwarded-For (XFF) 标头,其中包括发出请求的客户端的真实 IP 地址。

文件名

显示威胁日志的文件名。

参数

显示从威胁日志调用事件时传递给事件的参数。

源名称

显示威胁来源的名称。

源名称

显示检测到的威胁的源名称。

计数

显示威胁计数。

消息类型

显示检测到的威胁的消息类型。

HTTP 主机

显示威胁的主机 URL。