监控威胁
你在这里: 监控 > 日志 > 威胁。
使用监视功能查看安全威胁。威胁定义为任何 IPS、屏幕、安全情报、防病毒、内容过滤或反垃圾邮件。
“威胁”页面适用于所有 SRX 系列防火墙(SRX5000 系列设备除外)。
表 1 介绍了“威胁”页面上的字段。
领域 |
描述 |
---|---|
最后 |
从列表中选择时间以查看您最感兴趣的活动。选择时间后,视图中显示的所有数据将自动刷新。 您也可以使用 自定义 设置自定义日期,然后单击 应用 以查看指定的威胁。 |
刷新 |
单击刷新图标以获取最新的威胁信息。 |
显示隐藏列 |
此图标由三个垂直点表示。 使您能够显示或隐藏网格中的列。 |
导出为 CSV |
您可以将威胁数据导出到逗号分隔值 (.csv) 文件。 选择页面右侧的三个垂直点,然后单击 导出为 CSV。CSV 文件将下载到本地计算机。您最多只能下载 100 个会话数据。 |
筛选条件 |
使用表格网格上方的筛选器文本框。搜索包括逻辑运算符作为筛选器字符串的一部分。
注意:
从 Junos OS 23.1R1 版本开始,J-Web 支持以下运算符:
J-web 在搜索 IP 地址时也支持 Netmask。 在筛选器文本框中,将鼠标悬停在图标上时,将显示示例筛选条件。开始输入搜索字符串时,该图标指示筛选器字符串是否有效。 可以使用以下筛选器:
|
X |
点击 X 清除搜索过滤器。 |
保存过滤器 |
单击 保存筛选器 以在指定筛选条件后保存筛选器。 要保存过滤器:
|
负载过滤器 |
显示保存的筛选器列表。 将鼠标悬停在保存的筛选器名称上以查看查询表达式。您可以使用删除图标删除已保存的过滤器。 |
查看详细信息 |
将鼠标悬停在 PCAP 文件上时,PCAP 文件之前会出现“详细视图”图标。单击该图标可在详细日志查看页面上查看日志详细信息。 单击详细日志视图页面上的下载图标以下载数据包捕获文件。如果文件不可用,下载将失败,您将收到一条错误消息。
注意:
下载图标仅适用于 IPS 攻击日志。 若要在“威胁”页面上查看数据包捕获数据,请确保已启用攻击日志记录通知。如果没有:
|
多聚氰胺类药物 |
单击下载图标以下载 IPS 攻击的数据包捕获 (PCAP) 文件。
注意:
下载图标仅针对 IPS 攻击日志显示。 PCAP 文件将从 /var/log/pcap/ 文件夹下载到您的系统。如果文件不可用,下载将失败,您将收到一条错误消息。 |
时间 |
显示收到威胁日志的时间。 |
日志类型 |
显示威胁日志类型。例如,IPS、防病毒、反垃圾邮件等。 |
名字 |
显示事件的名称。 |
严重性 |
显示威胁的严重性。 |
源区域 |
显示威胁的来源区域。 |
源 IP |
显示发生威胁日志的源 IP 地址。 |
源端口 |
显示源的端口号。 |
用户 |
显示从中生成威胁日志的用户名。 |
目标区域 |
显示威胁的目标区域。 |
目标 IP |
显示所发生威胁的目标 IP。 |
目标端口 |
显示目标的端口号。 |
应用 |
显示从中生成威胁的嵌套应用程序或应用程序名称。 |
行动 |
显示从威胁中采取的操作。 |
会话 ID |
显示威胁的流量会话 ID。 |
关闭原因 |
显示会话关闭的原因。 |
配置 文件 |
显示威胁配置文件名称。 |
类别 |
显示威胁类别。 |
Url |
显示触发事件的已访问 URL 名称。 |
对象 |
显示威胁的对象名称。 |
目标接口 |
显示目标的接口名称。 |
源接口 |
显示源的接口名称。 |
政策 |
显示触发威胁日志的策略名称。 |
规则 |
显示威胁日志的规则名称。 |
协议 |
在威胁日志中显示协议 ID。 |
CVE-ID |
显示威胁的常见漏洞和披露 (CVE) 标识符信息。 |
已用时间 |
显示自上次时间间隔开始以来经过的时间。 |
数据包日志 ID |
显示攻击前后收到的数据包 ID,以便进一步离线分析攻击者行为。 |
XFF |
显示代理服务器添加到数据包的 X-Forwarded-For (XFF) 标头,其中包括发出请求的客户端的真实 IP 地址。 |
文件名 |
显示威胁日志的文件名。 |
参数 |
显示从威胁日志调用事件时传递给事件的参数。 |
源名称 |
显示威胁来源的名称。 |
源名称 |
显示检测到的威胁的源名称。 |
计数 |
显示威胁计数。 |
消息类型 |
显示检测到的威胁的消息类型。 |
HTTP 主机 |
显示威胁的主机 URL。 |