Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

会议概述

您可以使用“会话”页面查看受管理设备生成的流量日志的详细信息。

您可以查看过去 24 小时内生成的流量日志。这些流量日志用于调试某些事件,例如创建会话、删除会话和更新会话。您还可以查看防火墙和其他安全部署的流量日志。

以下示例指示“会话”页面显示的日志类型:

  • RT_FLOW_SESSION_CREATE/关闭

  • APPTRACK_SESSION_CREATE/CLOSE 和其他 APPTRACK 交易量更新事件

注意:

  • Juniper Security Director云 会自动调节日志流量以防止系统过载。如果系统容量超过每秒日志数的阈值,系统将丢弃部分日志。因此,某些日志可能不会显示在 “作 > 日志 > 会话 ”页面上。为确保系统运行状况,请检查 管理员 > 系统管理 > 系统 页面,以验证服务是否正在运行、CPU 内存是否充足以及存储空间是否可用。

  • 您必须启用策略日志记录才能查看流量日志数据,并且必须在区域级别启用 AppTrack 才能查看 AppTrack 日志。对于安全边缘部署,AppTrack 默认处于启用状态,无法启用或禁用。

要访问此页面,请单击 > 日志 > 会话

您可以执行的任务

您可以从此页面执行以下任务:

  • 在“时间范围”小组件中查看指定时间范围内流量日志的图形表示形式。

    X 轴表示定义的时间,而 Y 轴表示流量日志的数量。

    使用滑块减小或增加流量日志的时间范围。您还可以从预定义的时间范围中进行选择,例如 5 米、10 米、20 米、30 米、1 小时、2 小时、4 小时、8 小时、16 小时、24 小时或自定义。

    如果选择自定义,则必须以 MM/DD/YYYY 和 HH:MM:SS 24 小时或 AM/PM 格式指定日期和时间范围,以显示特定时间段的流量日志。

  • 查看与流量日志相关的信息。见 表 1.

  • 查看类似的流量日志。选择流量日志,然后单击显示 完全匹配 以查看类似日志。

  • 根据分 组依据 字段中的可用选项对流量日志进行分组。

    例如,您可以基于前 10 个目标国家/地区或前 10 个目标 IP 地址对流量日志进行分组。

  • 查看日志的完整详细信息。选择事件行,然后单击 更多 > 详细信息

  • 基于单元格数据进行过滤。选择一个事件行,然后单击 更多 >对 单元格数据进行筛选

    搜索过滤器字符串将显示在高级搜索字段中。相应列中的数据将根据过滤器字符串进行过滤。单击 X 以清除高级搜索字段。

  • 排除单元格数据。选择一个事件行,然后单击 更多 > 排除单元格数据

    搜索过滤器字符串将显示在高级搜索字段中。根据筛选条件排除相应列中的数据。单击 X 以清除高级搜索字段。

  • 单击导出 日志 以下载流量日志。将打开“将日志导出为 ZIP”窗口。数据以 CSV 格式下载到 ZIP 文件夹中。

  • 添加筛选条件 —

    1. 单击过滤器图标,然后选择 显示高级过滤器

      将显示“添加条件”窗口。

    2. 从列表中选择 “字段”“条件” 的值。

    3. 输入所选字段和条件的值。

    4. 单击 添加

    5. 点击 保存

      将显示“保存过滤器”页面。

    6. 输入过滤器名称和描述,然后单击 确定

      过滤器已保存。

  • 隐藏过滤器 - 单击过滤器图标,然后选择 隐藏高级过滤器

  • 查看或加载所有默认或已保存的过滤器 —

    1. 单击过滤器图标,然后选择 所有已保存的过滤器

      此时将显示“查看/加载过滤器”页面。

    2. 选择保存的过滤器,然后单击 “确定 ”,根据过滤器条件加载数据。

    3. 选择已保存的过滤器,然后单击页面右上角的删除图标将其删除。

  • 显示或隐藏页面上显示的列 - 单击页面右上角的显示隐藏列图标,然后选择要在网格中显示的列。

字段说明

表 1:“会话”页面上的列

领域

描述

时间

流量日志的生成时间。

生成人

生成日志的设备。

事件名称

流量日志的事件名称。

用户名

用户的姓名。

来源国家/地区

事件起源的国家/地区的名称。

源 IP

事件发生地的源 IPv6 或 IPv4 地址。

目的地国家/地区

事件发生地的目标国家/地区名称。

目标 IP

事件的目标 IPv4 或 IPv6 地址。

URL

触发流量日志的已访问 URL 名称。

类别

流量日志的事件类别,例如防火墙或 apptrack。

应用

与触发事件的流量关联的应用程序的名称。

嵌套式应用

第 7 层应用的名称。

收稿时间

Juniper Security Director Cloud 接收流量日志的时间。

策略名称

日志中的策略名称。

源端口

事件的源端口。

目标端口

事件的目标端口。

描述

日志的说明。

威胁严重性

事件的威胁严重性。

名字

事件的名称。

客户端主机名

与触发事件的流量关联的客户端的主机名。

例如,如果特定计算机受到感染,则会显示该计算机的名称。

活动类别

流量日志的事件类别,例如防火墙或 apptrack。

论点

流量的类型,例如 FTP 和 HTTP。

服务名称

用于触发事件的流量的第 4 层服务的名称,例如 FTP、HTTP、SSH 等。

源区段

站点的源区域。

目标区段

站点的目标区域。

协议 ID

触发事件的流量的协议 ID。

角色

与事件关联的角色名称。

原因

生成日志的原因,例如无限制访问。

NAT 源端口

NAT 遍历后的流量源端口。

NAT 目标端口

NAT 遍历后的流量目的端口。

NAT 源规则名称

源 NAT 规则名称。

NAT 目标规则名称

目标 NAT 规则名称。

NAT 源 IP

IP 地址转换后的源 IP 地址。

NAT 目标 IP

IP 地址转换后的目标 IP 地址。

流量会话 ID

会话 站点映射到事件的会话 ID。

路径名称

日志的路径名。

逻辑系统名称

逻辑系统名称。

规则名称

规则名称。

配置文件名称

触发日志的事件配置文件的名称。

恶意软件信息

有关导致事件的恶意软件的信息。

源 VRF 组名称

生成事件的源 VRF 组名称。

目标 VRF 组名称

 生成事件的目标 VRF 组名称。