在此页面上
IPS 事件和日志概述
使用“IPS 事件”页面可以查看有关基于 IPS 策略的安全事件的信息。分析 IPS 日志可生成有用的安全管理信息,例如异常事件、攻击、病毒或蠕虫。
使用时间范围滑块,您可以快速专注于您最感兴趣的活动区域。选择时间范围后,视图中显示的所有数据将自动刷新。您还可以使用自定义按钮设置自定义时间范围。
默认情况下,您可以查看所有设备的数据。要查看特定设备的数据,请单击设备旁边的链接,然后选择一个设备。
有两种方法可以查看数据。您可以选择摘要视图或详细信息视图。
IPS 事件 — 摘要视图
单击 摘要视图 可查看网络中所有 IPS 事件的简要摘要。面积图中显示的数据将根据所选时间范围自动刷新。
您可以使用小组件查看关键信息,例如 IPS 严重性、主要来源、主要目标、主要报告设备、主要 IPS 攻击、主要来源国家/地区和主要目标国家/地区。有关此视图中小组件的说明,请参阅 表 1 。
部件 |
描述 |
---|---|
IPS 严重性 |
基于严重性级别的事件的 IPS 严重性:高、中、低。 |
主要来源 |
网络流量的顶级源 IP 地址;按事件发生次数排序。 |
热门目的地 |
网络流量的顶级目的地 IP 地址;按事件发生次数排序。 |
热门报告/受攻击设备 |
受到 IPS 事件攻击的顶级设备;按用户在网络上处于活动状态的次数排序。 |
热门 IPS 攻击 |
网络流量中的热门 IPS 攻击;按设备受到攻击的时间排序。 |
主要来源国家 |
事件来源的主要来源国;按 IP 地址数量排序。 |
热门目的地国家 |
攻击的主要目的地国家;按目标 IP 地址数量排序。 |
IPS 事件 — 详细信息视图
单击 “详细信息视图” ,以表格格式(包括可排序列)查看事件的全面详细信息。您可以使用分组依据选项对事件进行排序。例如,可以根据严重性对事件进行排序。该表包含导致事件的规则、事件的严重性、事件 ID、流量信息以及检测事件的方式和时间等信息。
在“日志记录节点”页上添加旧版日志收集器节点后,事件查看器中将显示“旧节点”选项。我们添加了旧版日志收集器支持,仅用于只读目的,以便查看现有日志收集器数据。新日志应指向 Security Director 见解 VM 作为日志收集器。选中 “旧节点 ”复选框以查看现有的日志收集器数据。清除“旧节点”复选框时,将显示 Security Director Insights 日志收集器数据。
数据包捕获适用于 IPS 数据包。请参阅 数据包捕获概述。
有关此视图中列的说明,请参阅 表 2 。
列 |
描述 |
---|---|
时间 |
接收日志的时间。 |
事件名称 |
日志的事件名称。 |
来源国家 |
事件起源的国家/地区名称。 |
源 IP |
发生事件的源 IP 地址。 |
目的地国家 |
事件发生的目的地国家/地区名称。 |
目标 IP |
事件的目标 IP 地址。 |
源端口 |
事件的源端口。 |
目标端口 |
事件的目标端口。 |
描述 |
日志的说明。 |
攻击名称 |
日志的攻击名称:木马、蠕虫、病毒等。 |
威胁严重性 |
事件的威胁严重性。 |
策略名称 |
日志中的策略名称。 |
行动 |
对事件采取的操作:警告、允许和阻止。 |
日志源 |
日志源的 IP 地址。 |
应用 |
从中生成事件或日志的应用程序名称。 |
主机 名 |
日志中的主机名。 |
服务名称 |
应用程序服务的名称。例如,FTP、HTTP、SSH 等。 |
嵌套应用程序 |
日志中的嵌套应用程序名称。 |
源区域 |
日志的源区域。 |
目标区域 |
日志的目标区域。 |
协议 ID |
日志中的协议 ID。 |
NAT 源端口 |
转换后的源端口。 |
NAT 目标端口 |
转换的目标端口 |
NAT 源 IP |
日志的 NAT 源 IP 地址。 |
NAT 目标 IP |
日志的 NAT 目标 IP 地址。 |
规则名称 |
规则的名称。 |