Apptrack 事件和日志概述
您可以使用 Apptrack 事件页面查看有关基于 Apptrack 策略的安全事件的信息。Apptrack 日志可帮助您分析应用程序、使用这些应用程序的用户以及应用程序消耗的带宽。
使用“时间范围”滑块,快速关注您感兴趣的活动区域。选择时间范围后,将自动刷新页面上的数据。您还可以使用“自定义”按钮设置自定义时间范围。
默认情况下,您可以查看所有设备的数据。要查看特定设备的数据,请单击设备旁边的链接,然后选择一个设备。
有两种方法可以查看数据。您可以选择摘要视图或详细信息视图。
AppTrack 事件 — 摘要视图
单击 摘要视图 ,查看网络中所有 Apptrack 事件的简要摘要。面积图中显示的数据将根据所选时间范围自动刷新。
您可以使用小组件查看关键信息,例如排名靠前的来源、排名靠前的目标、排名靠前的用户和排名靠前的应用程序。有关此视图中小组件的说明,请参阅 表 1 。
部件 |
描述 |
---|---|
主要来源 |
网络流量的顶级源 IP 地址;按事件计数排序。 |
热门目的地 |
网络流量的顶级目的地 IP 地址;按事件计数排序。 |
排名靠前的用户 |
网络流量的顶级用户;按事件计数排序。 |
热门应用 |
网络流量的顶级应用;按事件计数排序。 |
AppTrack 事件 — 详细信息视图
单击 “详细信息视图 ”,以表格格式(包括可排序列)查看所有 Apptrack 事件的全面详细信息。您可以使用分组依据选项对事件进行排序。该表包含事件名称、来源国家/地区、源 IP、目标国家/地区等信息。
在“日志记录节点”页上添加旧版日志收集器节点后,事件查看器中将显示“旧节点”选项。我们添加了旧版日志收集器支持,仅用于只读目的,以便查看现有日志收集器数据。新日志应指向 Security Director 见解 VM 作为日志收集器。选中 “旧节点 ”复选框以查看现有的日志收集器数据。清除“旧节点”复选框时,将显示 Security Director Insights 日志收集器数据。
有关此视图中列的说明,请参阅 表 2 。
列 |
描述 |
---|---|
日志生成时间 |
生成日志的时间。 |
日志接收时间 |
接收日志的时间。 |
事件名称 |
日志的事件名称。 |
来源国家 |
事件起源的国家/地区名称。 |
源 IP |
发生事件的源 IP 地址。 |
目的地国家 |
事件发生的目的地国家/地区名称。 |
目标 IP |
事件的目标 IP 地址。 |
源端口 |
事件的源端口。 |
目标端口 |
事件的目标端口。 |
描述 |
日志的说明。 |
策略名称 |
日志中的策略名称。 |
事件类别 |
日志的事件类别 |
用户名 |
日志的用户名。 |
日志源 |
日志源的 IP 地址。 |
应用 |
从中生成事件或日志的应用程序。 |
主机 名 |
日志中的主机名。 |
服务名称 |
应用程序服务的名称。例如,FTP、HTTP、SSH 等。 |
嵌套应用程序 |
日志中的嵌套应用程序。 |
源区域 |
日志的源区域。 |
目标区域 |
日志的目标区域。 |
协议 ID |
日志中的协议 ID。 |
原因 |
日志生成的原因。 |
NAT 源端口 |
转换后的源端口。 |
NAT 目标端口 |
转换后的目标端口 |
NAT 源规则名称 |
NAT 源规则名称。 |
NAT 目标规则名称 |
NAT 目标规则名称。 |
NAT 源 IP |
已转换(或 nated)的源 IP 地址。它可以包含 IPv4 或 IPv6 地址。 |
NAT 目标 IP |
转换后(也称为 natted)目标 IP 地址。 |
流量会话 ID |
日志的流量会话 ID。 |
逻辑系统名称 |
逻辑系统的名称。 |
规则名称 |
规则的名称。 |
配置文件名称 |
触发事件的所有事件配置文件的名称。 |