在此页面上
防火墙事件和日志概述
使用“防火墙事件”页可以查看有关基于防火墙策略的安全事件的信息。分析 防火墙 日志可生成有用的安全管理信息,例如尝试破坏网络和实时观察流量的固有特征。使用时间范围滑块,您可以快速专注于您最感兴趣的活动区域。选择时间范围后,视图中显示的所有数据将自动刷新。您还可以使用“自定义”按钮设置自定义时间范围。
默认情况下,您可以查看所有设备的数据。要查看特定设备的数据,请单击设备旁边的链接,然后选择一个设备。
有两种方法可以查看数据。可以选择“摘要”选项卡或“详细信息”选项卡。
防火墙事件 — 摘要视图
单击 摘要视图 可查看网络中所有防火墙事件的简要摘要。折线图中显示的数据(也称为泳道)将根据所选时间范围自动刷新。折线图显示浅蓝色通道,表示所有防火墙事件,深蓝色通道表示阻止的防火墙事件。
泳道下方是显示关键信息的小部件,例如热门来源、热门目的地、热门用户和热门报告设备。有关此视图中出现的元素的说明,请参阅防火墙事件摘要小组件。
有关此视图中小组件的说明,请参阅 表 1 。
部件 |
描述 |
---|---|
主要来源 |
网络流量的顶级源 IP 地址;按事件计数排序。 |
热门目的地 |
网络流量的顶级目的地 IP 地址;按事件计数排序。 |
排名靠前的用户 |
网络流量的顶级用户;按事件计数排序。 |
排名靠前的报告设备 |
网络中排名靠前的报告设备;按事件计数排序。 |
防火墙事件 — 详细信息视图
单击 “详细信息视图 ”,以表格格式(包括可排序列)查看事件的全面详细信息。该表包含导致事件的规则、事件的严重性、事件 ID、流量信息以及检测事件的方式和时间等信息。
在“日志记录节点”页上添加旧版日志收集器节点后,事件查看器中将显示“旧节点”选项。我们添加了旧版日志收集器支持,仅用于只读目的,以便查看现有日志收集器数据。新日志应指向 Security Director 见解 VM 作为日志收集器。选中 “旧节点 ”复选框以查看现有的日志收集器数据。清除“旧节点”复选框时,将显示 Security Director Insights 日志收集器数据。
有关此视图中列的说明,请参阅 表 2 。
列 |
描述 |
---|---|
时间 |
接收日志的时间。 |
事件名称 |
日志的事件名称。 |
来源国家 |
事件起源的国家/地区名称。 |
源 IP |
发生事件的源 IP 地址。 |
目的地国家 |
事件发生的目的地国家/地区名称。 |
目标 IP |
事件的目标 IP 地址。 |
源端口 |
事件的源端口。 |
目标端口 |
事件的目标端口。 |
描述 |
日志的说明。 |
策略名称 |
日志中的策略名称。 |
用户名 |
日志的用户名。 |
行动 |
对事件采取的操作:警告、允许和阻止。 |
日志源 |
日志源的 IP 地址(IPv4 或 IPv6)。 |
应用 |
从中生成事件或日志的应用程序名称。 |
主机 名 |
日志中的主机名。 |
服务名称 |
应用程序服务的名称。例如,FTP、HTTP、SSH 等。 |
嵌套应用程序 |
日志中的嵌套应用程序。 |
源区域 |
从区域接收的用户流量。 |
目标区域 |
日志的目标区域。 |
协议 ID |
日志中的协议 ID。 |
角色 |
与事件关联的角色名称。 |
NAT 源端口 |
转换后的源端口。 |
NAT 目标端口 |
转换后的目标端口。 |
NAT 源规则名称 |
NAT 源规则名称。 |
NAT 目标规则名称 |
NAT 目标规则名称。 |
NAT 源 IP |
已转换(或 nated)的源 IP 地址。它可以包含 IPv4 或 IPv6 地址。 |
NAT 目标 IP |
转换后(也称为 natted)目标 IP 地址。 |
流量会话 ID |
日志的流量会话 ID。 |
规则名称 |
日志的规则名称。 |