Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Informationen zur Seite "Alle Sicherheitsereignisse"

Um auf diese Seite zuzugreifen, klicken Sie auf Überwachungs- > Sicherheitsereignisse > Alle Ereignisse.

Auf dieser Seite erhalten Sie einen allgemeinen Überblick über Ihre Netzwerkumgebung. Sie können ungewöhnliche Ereignisse, Angriffe, Viren oder Würmer anzeigen, wenn Protokolldaten korreliert und analysiert werden.

Diese Seite bietet Administratoren einen erweiterten Filtermechanismus und Einblicke in die tatsächlichen Ereignisse, die vom Log Collector erfasst werden. Mit dem Zeitbereichsschieberegler können Sie sich sofort auf Bereiche mit ungewöhnlichen Aktivitäten konzentrieren, indem Sie den Zeitschieber auf den für Sie interessanten Bereich ziehen. Der Schieberegler und die Schaltfläche Benutzerdefiniert unter "Zeitraum" bleiben oben auf jeder Registerkarte. Benutzer wählen den Zeitraum aus und können dann entscheiden, wie die Daten angezeigt werden sollen, indem sie die Registerkarten Zusammenfassungsansicht oder Detailansicht verwenden.

Aufgaben, die Sie ausführen können

Auf dieser Seite können Sie die folgenden Aufgaben ausführen:

  • Zeigen Sie eine kurze Zusammenfassung aller Ereignisse in Ihrem Netzwerk an. Siehe Zusammenfassungsansicht.

  • Zeigen Sie die umfassenden Details von Ereignissen in einem tabellarischen Format an, das sortierbare Spalten enthält. Siehe Detailansicht.

Zusammenfassungsansicht

Sie können eine kurze Zusammenfassung aller Ereignisse in Ihrem Netzwerk anzeigen. In der Mitte der Seite befinden sich wichtige Informationen, darunter die Gesamtzahl der Ereignisse, die gefundenen Viren, die Gesamtzahl der ausgefallenen Schnittstellen, die Anzahl der Angriffe, CPU-Spitzen und Systemneustarts. Diese Daten werden basierend auf dem ausgewählten Zeitraum automatisch aktualisiert. Unten auf der Seite befindet sich eine Ansicht der verschiedenen Ereignisse, die zu einem bestimmten Zeitpunkt stattfinden. Zu den Ereignissen gehören Firewall, Webfilterung, VPN, Inhaltsfilterung, Antispam, Antivirus und IPS. Jedes Ereignis ist farbcodiert, wobei dunklere Farbtöne ein höheres Maß an Aktivität darstellen. Jede Registerkarte bietet umfassende Informationen wie Typ und Anzahl der Ereignisse, die zu diesem bestimmten Zeitpunkt auftreten.

In Tabelle 1 werden die Widgets auf der Seite "Zusammenfassungsansicht für alle Ereignisse" beschrieben.

Tabelle 1: Widgets auf der Übersichtsseite "Alle Ereignisse"

Feld

Beschreibung

Ereignisse gesamt

Zeigen Sie die Gesamtzahl aller Ereignisse an, einschließlich Firewall, Webfilterung, IPS, IPSec-VPNs, Inhaltsfilterung, Antispam und Antivirusereignisse.

Vireninstanzen

Zeigen Sie die Gesamtzahl der virtuellen Instanzen an, die im System ausgeführt werden.

Angriffe

Zeigen Sie die Gesamtzahl der Angriffe auf die Firewall an.

Schnittstelle ausgefallen

Zeigen Sie die Gesamtzahl der Schnittstellen an, die ausgefallen sind.

CPU-Spitzen

Zeigen Sie an, wie oft eine CPU-Auslastungsspitze insgesamt aufgetreten ist.

Neustarts

Zeigen Sie die Gesamtzahl der Systemneustarts an.

Sitzungen

Zeigen Sie die Gesamtzahl der Sitzungen an, die über die Firewall eingerichtet wurden.

Detailansicht

Klicken Sie auf Detailansicht , um umfassende Details zu Ereignissen in einem tabellarischen Format mit sortierbaren Spalten anzuzeigen. Sie können die Ereignisse mit der Option Gruppieren nach sortieren. Sie können die Ereignisse beispielsweise nach Schweregrad sortieren. Die Tabelle enthält Informationen wie die Regel, die das Ereignis verursacht hat, den Schweregrad des Ereignisses, die Ereignis-ID, Verkehrsinformationen sowie wie und wann das Ereignis erkannt wurde.

Advanced Search

Sie können eine erweiterte Suche nach allen Ereignissen durchführen, indem Sie das Textfeld über der tabellarischen Spalte verwenden. Sie enthält die logischen Operatoren als Teil der Filterzeichenfolge. Geben Sie den Suchbegriff in das Textfeld ein, und basierend auf Ihrer Eingabe wird eine Liste der Elemente aus dem Filter-Kontextmenü angezeigt. . Sie können einen Wert aus der Liste auswählen und dann einen gültigen logischen Operator auswählen, um den erweiterten Suchvorgang auszuführen Drücken Sie die Eingabetaste, um das Suchergebnis in der Tabellenspalte darunter anzuzeigen.

Um den Suchbegriff im Textfeld zu löschen, klicken Sie auf das Löschen-Symbol (X-Symbol).

Beispiele für Ereignisprotokollfilter finden Sie in der folgenden Liste:

  • Spezifische Ereignisse, die aus den Vereinigten Staaten stammen oder innerhalb der Vereinigten Staaten landen

    Quellland = Vereinigte Staaten ODER Zielland = Vereinigte Staaten UND Ereignisname = IDP_ATTACK_LOG_EVENT, IDP_ATTACK_LOG_EVENT_LS, IDP_APPDDOS_APP_ATTACK_EVENT_LS, IDP_APPDDOS_APP_STATE_EVENT, IDP_APPDDOS_APP_STATE_EVENT_LS, AV_VIRUS_DETECTED_MT, AV_VIRUS_DETECTED, ANTISPAM_SPAM_DETECTED_MT, ANTISPAM_SPAM_DETECTED_MT_LS, FWAUTH_FTP_USER_AUTH_FAIL, FWAUTH_FTP_USER_AUTH_FAIL_LS, FWAUTH_HTTP_USER_AUTH_FAIL, FWAUTH_HTTP_USER_AUTH_FAIL_LS, FWAUTH_TELNET_USER_AUTH_FAIL, FWAUTH_TELNET_USER_AUTH_FAIL_LS, FWAUTH_WEBAUTH_FAIL FWAUTH_WEBAUTH_FAIL_LS

  • Benutzer möchte alle RT-Flow-Sitzungen filtern, die von IP-Adressen in bestimmten Ländern stammen und auf IPs in bestimmten Ländern landen

    Ereignisname = RT_FLOW_SESSION_CREATE,RT_FLOW_SESSION_CLOSE UND Quell-IP = 177.1.1.1,220.194.0.150,14.1.1.2,196.194.56.4 UND Ziel-IP = 255.255.255.255,10.207.99.75,10.207.99.72,223.165.27.13 UND Quellland = Brasilien, Vereinigte Staaten, China, Russland, Algerien UND Zielland = Deutschland, Indien, Vereinigte Staaten

  • Datenverkehr zwischen Zonenpaaren für Richtlinien – IDP2

    Quellzone = vertrauenswürdig UND Zielzone = nicht vertrauenswürdig, intern UND Richtlinienname = IDP2

  • Inhaltssicherheitsprotokolle, die aus bestimmten Quellländern, Zielländern, Quell-IP-Adressen mit oder ohne bestimmte Ziel-IP-Adressen stammen.

    Ereigniskategorie = Antispam, Antivirus, Contentfilter, Webfilter UND Quellland = Australien UND Zielland = Türkei, USA, Australien UND Quell-IP = 1.0.0.0,1.1.1.3 ODER Ziel-IP = 74.125.224.47,5.56.17.61

  • Ereignisse mit bestimmten Quellen-IPs oder Ereignisse, die HTP, FTP, HTTP und unbekannte Anwendungen treffen, die vom Host DC-SRX1400-1 oder vSRX Virtual Firewall-75 stammen.

    Anwendung = tftp, ftp, http, unbekannt ODER Quell-IP = 192.168.34.10,192.168.1.26 UND Hostname = dc-srx1400-1,virtuelle vSRX-Firewall-75

In Tabelle 2 werden die Felder auf der Detailansichtsseite "Alle Ereignisse" beschrieben.

Tabelle 2: Felder auf der Detailansicht "Alle Ereignisse"

Feld

Beschreibung

Zeit

Zeigen Sie den Zeitpunkt an, zu dem das Protokoll empfangen wurde.

Name des Ereignisses

Zeigen Sie den Ereignisnamen des Protokolls an.

Website

Zeigen Sie den Namen des Mandantenstandorts an.

Herkunftsland

Zeigen Sie den Namen des Quelllandes an.

Quell-IP

Zeigen Sie die Quell-IP-Adresse an, von der aus das Ereignis aufgetreten ist.

Zielland

Zeigen Sie den Namen des Ziellandes an, von dem aus das Ereignis aufgetreten ist.

Ziel-IP

Zeigen Sie die Ziel-IP-Adresse des Ereignisses an.

Quell-Port

Zeigen Sie den Quellport des Ereignisses an.

Zielhafen

Zeigen Sie den Zielport des Ereignisses an.

Beschreibung

Zeigen Sie die Beschreibung des Protokolls an.

Name des Angriffs

Zeigen Sie den Angriffsnamen des Protokolls an: Trojaner, Wurm, Virus usw.

Schweregrad der Bedrohung

Zeigen Sie den Schweregrad der Bedrohung an.

Name der Richtlinie

Zeigen Sie den Richtliniennamen im Protokoll an.

Sicherheitskategorie des Inhalts oder Virenname

Zeigen Sie die Kategorie Inhaltssicherheit des Protokolls an.

URL

Zeigen Sie den Namen der URL an, auf die zugegriffen wurde, die das Ereignis ausgelöst hat.

Veranstaltungskategorie

Zeigen Sie die Ereigniskategorie des Protokolls an.

Benutzername

Zeigen Sie den Benutzernamen des Protokolls an.

Aktion

Zeigen Sie die Aktion an, die für das Ereignis ausgeführt wurde: Warnung, Zulassen und Blockieren.

Log-Quelle

Zeigen Sie die IP-Adresse der Protokollquelle an.

Anwendung

Anzeigen des Anwendungsnamens, aus dem die Ereignisse oder Protokolle generiert werden

Hostname

Zeigen Sie den Hostnamen im Protokoll an.

Name des Dienstes

Der Name des Anwendungsdienstes. Beispiel: FTP, HTTP, SSH usw.

Verschachtelte Anwendung

Zeigen Sie die verschachtelte Anwendung im Protokoll an.

Quellgebiet

Zeigen Sie die Quellzone des Protokolls an.

Zielzone

Zeigen Sie die Zielzone des Protokolls an.

Protokoll-ID

Zeigen Sie die Protokoll-ID im Protokoll an.

Rollen

Zeigen Sie den Rollennamen an, der dem Protokoll zugeordnet ist.

Grund

Zeigen Sie den Grund für die Protokollgenerierung an. Beispielsweise kann ein Verbindungsabbruch einen zugehörigen Grund haben, z. B. "Authentifizierung fehlgeschlagen".

NAT-Quellport

Zeigen Sie den übersetzten Quellport an.

NAT-Zielport

Zeigen Sie den übersetzten Zielport an.

Name der NAT-Quellregel

Zeigen Sie den Namen der NAT-Quellregel an.

Name der NAT-Zielregel

Zeigen Sie den Namen der NAT-Zielregel an.

NAT-Quell-IP

Zeigen Sie die übersetzte (oder nattete) Quell-IP-Adresse an. Sie kann IPv4- oder IPv6-Adressen enthalten.

NAT-Ziel-IP

Zeigen Sie die übersetzte (auch natted genannte) Ziel-IP-Adresse an.

Sitzungs-ID des Datenverkehrs

Zeigen Sie die Datenverkehrssitzungs-ID des Protokolls an.

Name des Pfads

Zeigen Sie den Pfadnamen des Protokolls an.

Name des logischen Systems

Zeigen Sie den Namen des logischen Systems an.

Name der Regel

Zeigen Sie den Namen der Regel an.

Profilname

Zeigen Sie den Namen des Profils Alle Ereignisse an, das das Ereignis ausgelöst hat.

Zugehörige Dokumentation