事件和日志概述

事件和日志 - 摘要视图

单击 “摘要视图” ，查看网络中所有事件的简要摘要。页面中央是关键信息，包括事件总数、发现的病毒、已关闭的接口总数、攻击次数、CPU 峰值和系统重新启动。此数据将根据所选时间范围自动刷新。页面底部是在特定时间发生的不同事件的泳道视图。事件包括防火墙、Web 过滤、VPN、内容过滤、反垃圾邮件、防病毒、IPS、ATP 云、屏幕和 Apptrack。每个事件都采用颜色编码，较深的色调代表更高级别的活动。每个选项卡都提供深层次信息，例如该特定时间发生的事件的类型和数量。

请参见 表 1 此视图中小组件的说明。

表 1：事件和日志摘要视图小组件

控件	描述
事件总数	包括防火墙、Web 过滤、IPS、IPSec、内容过滤、反垃圾邮件和防病毒事件在内的所有事件的总数。
病毒实例	系统中运行的病毒实例总数。
攻击	对防火墙的攻击总数。
接口关闭	已关闭的接口总数。
CPU 峰值	出现 CPU 使用率峰值的总次数。
重新 启动	系统重新启动的总数。
会话	通过防火墙建立的会话总数。

事件和日志 - 详细信息视图

单击 “详细信息视图” ，以表格格式（包括可排序列）查看事件的全面详细信息。您可以使用“分组依据”选项对事件进行排序。例如，您可以根据严重程度对事件进行排序。该表包含各种信息，例如导致事件的规则、事件的严重性、事件 ID、流量信息，以及检测事件的方式和时间。

从网格设置窗格中选择 导出到 CSV 选项，以导出并下载 CSV 文件中的日志数据。

在“日志记录节点”页面上添加旧日志收集器节点后，“旧节点”选项将显示在事件查看器中。我们添加了旧版日志收集器支持，用于只读目的，以查看现有日志收集器数据。新日志应指向 Security Director Insights VM 作为日志收集器。选中 “旧节点” 复选框以查看现有日志收集器数据。清除“旧节点”复选框后，将显示 Security Director Insights 日志收集器数据。

有关字段说明，请参阅 表 2 。

表 2：事件和日志详细信息列

田	描述
日志生成时间	在 SRX 系列设备上生成日志的时间。
记录接收时间	在日志收集器上接收日志的时间。
事件名称	日志的事件名称
来源国家/地区	源国家/地区名称。
源 IP	事件发生地的源 IP 地址。
目的地国家/地区	事件发生地的目标国家/地区名称。
目标 IP	事件的目标 IP 地址。
源端口	事件的源端口。
目标端口	事件的目标端口。
描述	日志的说明。
攻击名称	日志的攻击名称：木马、蠕虫、病毒等。
威胁严重性	威胁的严重性级别。
策略名称	日志中的策略名称。
内容安全类别或病毒名称	日志的内容安全类别。
URL	触发事件的访问 URL 名称。
事件类别	日志的事件类别。
用户名	日志的用户名。
行动	针对事件采取的作：警告、允许和阻止。
日志源	日志源的 IP 地址。
应用	从中生成事件或日志的应用程序名称
主机名	日志中的主机名。
服务名称	应用程序服务的名称。例如，FTP、HTTP、SSH 等。
嵌套式应用	日志中的嵌套应用程序。
源区	日志的源区域。
目标区域	日志的目标区域。
协议 ID	日志中的协议 ID。
角色	与日志关联的角色名称。
原因	日志生成的原因。例如，连接断开可能具有相关原因，例如身份验证失败。
NAT 源端口	转换后的源端口。
NAT 目标端口	转换后的目标端口。
NAT 源规则名称	NAT 源规则名称。
NAT 目标规则名称	NAT 目标规则名称。
NAT 源 IP	转换（或原定）源 IP 地址。它可以包含 IPv4 或 IPv6 地址。
NAT 目标 IP	转换后（也称为 natted）目标 IP 地址。
流量会话 ID	日志的流量会话 ID。
路径名称	日志的路径名。
逻辑系统名称	逻辑系统的名称。
规则名称	规则的名称。
配置文件名称	触发事件的“所有事件”配置文件的名称。
客户端主机名	客户端的主机名。
恶意软件信息	恶意软件的信息。
逻辑子系统名称	JSA 日志中的逻辑系统名称。

高级搜索

您可以使用网格上方的搜索文本框对所有事件执行高级搜索。它将逻辑运算符作为筛选器字符串的一部分包含在内。在文本框中输入搜索字符串，然后根据输入，将显示筛选器上下文菜单中的项目列表。您可以从列表中选择一个值，然后选择要根据该运算符执行高级搜索作的有效运算符。按空格键提供 AND 运算符和 OR 运算符。输入搜索字符串后，按 Enter 键在网格中显示搜索结果。

在搜索文本框中，当您将鼠标悬停在图标上时，它会显示一个示例筛选条件。当您开始输入搜索字符串时，该图标指示筛选器字符串是否有效。输入搜索条件时，在任何时间点按退格键时，只会删除一个字符。

从 Junos Space Security Director 19.2R1 版开始，除了使用关键字进行手动搜索外，您还可以将网格中非空单元格中的值拖放到事件查看器搜索栏中。该值作为搜索条件添加，并显示搜索结果。您只能拖放可搜索的单元格。当您将鼠标悬停在事件查看器中的行上时，可搜索的单元格将显示为蓝色背景。如果单元格不可搜索，则背景颜色没有变化。如果拖动不带任何值的可搜索单元格，或者如果值 = '–'，则无法删除此类单元格的内容。如果搜索栏已有搜索条件，则所有后续拖放搜索条件都将在“AND”前置。删除搜索栏中的值后，将在网格中刷新搜索条件。这适用于简单和复杂的搜索筛选器。

可以使用 AND 和 OR 逻辑运算符以及括号执行复杂的筛选，以便对搜索令牌进行分组。

例如：（Name = 1 and id = 11） 或 （Name = two and id = 12）

AND 逻辑运算符的优先级高于 OR。在以下筛选器查询中，在 OR 运算符之前计算 Condition2 和 Condition3。

例如：Condition1 OR Condition2 AND Condition3

若要覆盖此内容，请显式使用括号。在下面的筛选器查询中，首先计算括号内的表达式。

例如：（ Condition1 OR Condition2 ） AND Condition3

表 3：筛选规则

过滤规则	例
输入 OR 筛选器的逗号。	Name=test，site 与 Name=test 或 Name=site 相同
输入括号以合并 AND 和 OR 功能。	源国家/地区 = 法国和（事件名称 = RT_Flowsession_Close或事件类别 = 防火墙）
为带空格的术语输入双引号。	“圣何塞”

以下是事件日志筛选器的一些示例：

• 起源于美国或在美国境内降落的特定事件

  源国家/地区 = 美国或目标国家/地区 = 美国，并且事件名称 = IDP_ATTACK_LOG_EVENT、IDP_ATTACK_LOG_EVENT_LS、IDP_APPDDOS_APP_ATTACK_EVENT_LS、IDP_APPDDOS_APP_STATE_EVENT、IDP_APPDDOS_APP_STATE_EVENT_LS、AV_VIRUS_DETECTED_MT、AV_VIRUS_DETECTED、ANTISPAM_SPAM_DETECTED_MT、ANTISPAM_SPAM_DETECTED_MT_LS、FWAUTH_FTP_USER_AUTH_FAIL、 FWAUTH_FTP_USER_AUTH_FAIL_LS、FWAUTH_HTTP_USER_AUTH_FAIL、FWAUTH_HTTP_USER_AUTH_FAIL_LS、FWAUTH_TELNET_USER_AUTH_FAIL、FWAUTH_TELNET_USER_AUTH_FAIL_LS、FWAUTH_WEBAUTH_FAIL、FWAUTH_WEBAUTH_FAIL_LS

• 策略区域对之间的流量 – IDP2

  源区 = 信任，目标区 = 不信任，内部 AND 策略名称 = IDP2

• 具有特定来源的事件 IP 或事件，以及来自主机 DC-SRX1400-1 或 vSRX 虚拟防火墙-75 的 htp、tftp、http 和未知应用的事件。

  应用程序 = tftp，ftp，http，未知 或源 IP = 192.168.34.10,192.168.1.26 和主机名 = dc-srx1400-1，vSRX 虚拟防火墙-75

事件查看器的基于角色的访问控制

基于角色的访问控制 （RBAC） 对事件查看器具有以下影响：

• 您必须具有安全分析师或安全架构师，或者具有与该角色同等的权限才能访问事件查看器。

• 您无法查看在其他域中创建的事件日志。但是，如果创建的子域具有对父域的可见性，则超级用户或具有适当角色的任何用户可以访问全局域，则可以查看子域中的日志。

• 您只能查看您可以访问的设备和属于您域的设备的日志。

• 如果您没有编辑权限，则只能查看策略，而不能编辑策略。

• “管理>用户和角色”下的用户角色必须启用“事件查看器”>“查看设备日志”选项才能查看或读取日志。