Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

IPS 事件和日志概述

使用“IPS 事件”页面可以查看有关基于 IPS 策略的安全事件的信息。分析 IPS 日志可生成有用的安全管理信息,例如异常事件、攻击、病毒或蠕虫。

使用时间范围滑块,您可以快速专注于您最感兴趣的活动区域。选择时间范围后,视图中显示的所有数据将自动刷新。您还可以使用自定义按钮设置自定义时间范围。

默认情况下,您可以查看所有设备的数据。要查看特定设备的数据,请单击设备旁边的链接,然后选择一个设备。

有两种方法可以查看数据。您可以选择摘要视图或详细信息视图。

IPS 事件 — 摘要视图

单击 摘要视图 可查看网络中所有 IPS 事件的简要摘要。面积图中显示的数据将根据所选时间范围自动刷新。

您可以使用小组件查看关键信息,例如 IPS 严重性、主要来源、主要目标、主要报告设备、主要 IPS 攻击、主要来源国家/地区和主要目标国家/地区。有关此视图中小组件的说明,请参阅 表 1

表 1:IPS 事件摘要视图小组件

部件

描述

IPS 严重性

基于严重性级别的事件的 IPS 严重性:高、中、低。

主要来源

网络流量的顶级源 IP 地址;按事件发生次数排序。

热门目的地

网络流量的顶级目的地 IP 地址;按事件发生次数排序。

热门报告/受攻击设备

受到 IPS 事件攻击的顶级设备;按用户在网络上处于活动状态的次数排序。

热门 IPS 攻击

网络流量中的热门 IPS 攻击;按设备受到攻击的时间排序。

主要来源国家

事件来源的主要来源国;按 IP 地址数量排序。

热门目的地国家

攻击的主要目的地国家;按目标 IP 地址数量排序。

IPS 事件 — 详细信息视图

单击 “详细信息视图” ,以表格格式(包括可排序列)查看事件的全面详细信息。您可以使用分组依据选项对事件进行排序。例如,可以根据严重性对事件进行排序。该表包含导致事件的规则、事件的严重性、事件 ID、流量信息以及检测事件的方式和时间等信息。

在“日志记录节点”页上添加旧版日志收集器节点后,事件查看器中将显示“旧节点”选项。我们添加了旧版日志收集器支持,仅用于只读目的,以便查看现有日志收集器数据。新日志应指向 Security Director 见解 VM 作为日志收集器。选中 “旧节点 ”复选框以查看现有的日志收集器数据。清除“旧节点”复选框时,将显示 Security Director Insights 日志收集器数据。

注意:

数据包捕获适用于 IPS 数据包。请参阅 数据包捕获概述

有关此视图中列的说明,请参阅 表 2

表 2:IPS 事件详细信息列

描述

时间

接收日志的时间。

事件名称

日志的事件名称。

来源国家

事件起源的国家/地区名称。

源 IP

发生事件的源 IP 地址。

目的地国家

事件发生的目的地国家/地区名称。

目标 IP

事件的目标 IP 地址。

源端口

事件的源端口。

目标端口

事件的目标端口。

描述

日志的说明。

攻击名称

日志的攻击名称:木马、蠕虫、病毒等。

威胁严重性

事件的威胁严重性。

策略名称

日志中的策略名称。

行动

对事件采取的操作:警告、允许和阻止。

日志源

日志源的 IP 地址。

应用

从中生成事件或日志的应用程序名称。

主机 名

日志中的主机名。

服务名称

应用程序服务的名称。例如,FTP、HTTP、SSH 等。

嵌套应用程序

日志中的嵌套应用程序名称。

源区域

日志的源区域。

目标区域

日志的目标区域。

协议 ID

日志中的协议 ID。

NAT 源端口

转换后的源端口。

NAT 目标端口

转换的目标端口

NAT 源 IP

日志的 NAT 源 IP 地址。

NAT 目标 IP

日志的 NAT 目标 IP 地址。

规则名称

规则的名称。