Überwachung der Protokollaktivität

Standardmäßig werden auf der Registerkarte "Protokollaktivität " Ereignisse im Streaming-Modus angezeigt, sodass Sie Ereignisse in Echtzeit anzeigen können.

Weitere Informationen zum Streamingmodus finden Sie unter Anzeigen von Streamingereignissen. Sie können einen anderen Zeitraum zum Filtern von Ereignissen angeben, indem Sie das Listenfeld Ansicht verwenden.

Wenn Sie zuvor gespeicherte Suchkriterien als Standard konfiguriert haben, werden die Ergebnisse dieser Suche automatisch angezeigt, wenn Sie auf die Registerkarte "Protokollaktivität " zugreifen. Weitere Informationen zum Speichern von Suchkriterien finden Sie unterSpeichern von Suchkriterien.

Anzeigen von Streaming-Ereignissen

Im Streaming-Modus können Sie Ereignisdaten anzeigen, die in Ihr System eingehen. Dieser Modus bietet Ihnen eine Echtzeitansicht Ihrer aktuellen Ereignisaktivität, indem er die letzten 50 Ereignisse anzeigt.

Wenn Sie Filter auf der Registerkarte "Protokollaktivität " oder in Ihren Suchkriterien anwenden, bevor Sie den Streamingmodus aktivieren, werden die Filter im Streamingmodus beibehalten. Der Streamingmodus unterstützt jedoch keine Suchen, die gruppierte Ereignisse enthalten. Wenn Sie den Streaming-Modus für gruppierte Ereignisse oder gruppierte Suchkriterien aktivieren, werden auf der Registerkarte "Protokollaktivität " die normalisierten Ereignisse angezeigt. Weitere Informationen finden Sie unter Anzeigen normalisierter Ereignisse

Wenn Sie ein Ereignis auswählen möchten, um Details anzuzeigen oder eine Aktion auszuführen, müssen Sie das Streaming anhalten, bevor Sie auf ein Ereignis doppelklicken. Wenn das Streaming angehalten wird, werden die letzten 1.000 Ereignisse angezeigt.

Klicken Sie auf die Registerkarte Aktivität protokollieren .
Wählen Sie im Listenfeld Ansicht die Option Echtzeit (Streaming) aus.

Weitere Informationen zu den Symbolleistenoptionen finden Sie in Tabelle 4-1. Weitere Informationen zu den Parametern, die im Streamingmodus angezeigt werden, finden Sie in Tabelle 4-7.
Optional. Halten Sie die Streaming-Ereignisse an oder spielen Sie sie ab. Wählen Sie eine der folgenden Optionen aus:
- Um einen Ereignisdatensatz auszuwählen, klicken Sie auf das Symbol Pause , um das Streaming anzuhalten.
- Um den Streaming-Modus neu zu starten, klicken Sie auf das Wiedergabesymbol .

Anzeigen normalisierter Ereignisse

Ereignisse werden im Rohformat gesammelt und dann für die Anzeige auf der Registerkarte Protokollaktivität normalisiert.

Die Normalisierung umfasst das Analysieren von Ereignisrohdaten und das Vorbereiten der Daten, um lesbare Informationen über die Registerkarte anzuzeigen. Wenn Ereignisse normalisiert werden, normalisiert das System auch die Namen. Daher stimmt der Name, der auf der Registerkarte Protokollaktivität angezeigt wird, möglicherweise nicht mit dem Namen überein, der im Ereignis angezeigt wird.

Hinweis:

Wenn Sie einen anzuzeigenden Zeitrahmen ausgewählt haben, wird ein Zeitreihendiagramm angezeigt. Weitere Informationen zur Verwendung von Zeitreihendiagrammen finden Sie unter Übersicht über Zeitreihendiagramme.

Standardmäßig werden auf der Registerkarte "Protokollaktivität " die folgenden Parameter angezeigt, wenn Sie normalisierte Ereignisse anzeigen:

Tabelle 1: Registerkarte "Protokollaktivität" – Standardparameter (normalisiert)
Parameter	Beschreibung
Aktuelle Filter	Oben in der Tabelle werden die Details der Filter angezeigt, die auf die Suchergebnisse angewendet werden. Um diese Filterwerte zu löschen, klicken Sie auf Filter löschen. Hinweis: Dieser Parameter wird erst angezeigt, nachdem Sie einen Filter angewendet haben.
Ansehen	In diesem Listenfeld können Sie den Zeitraum auswählen, nach dem Sie filtern möchten.
Aktuelle Statistik	Wenn Sie sich nicht im Echtzeit- (Streaming) oder Last-Minute-Modus (automatische Aktualisierung) befinden, werden aktuelle Statistiken angezeigt, einschließlich: Hinweis: Klicken Sie auf den Pfeil neben Aktuelle Statistiken , um die Statistiken ein- oder auszublenden Gesamtergebnisse Gibt die Gesamtzahl der Ergebnisse an, die Ihren Suchkriterien entsprechen. Durchsuchte Datendateien Gibt die Gesamtzahl der Datendateien an, die während der angegebenen Zeitspanne durchsucht wurden. Durchsuchte komprimierte Datendateien Gibt die Gesamtzahl der komprimierten Datendateien an, die innerhalb der angegebenen Zeitspanne durchsucht wurden. Anzahl der Indexdateien Gibt die Gesamtzahl der Indexdateien an, die während der angegebenen Zeitspanne durchsucht wurden. Dauer Gibt die Dauer der Suche an. Hinweis: Aktuelle Statistiken sind hilfreich bei der Fehlersuche. Wenn Sie sich zur Behebung von Ereignissen an den Kundendienst von Juniper wenden, werden Sie möglicherweise aufgefordert, aktuelle statistische Informationen anzugeben.
Diagramme	Zeigt konfigurierbare Diagramme an, die die Datensätze darstellen, die mit dem Zeitintervall und der Gruppierungsoption übereinstimmen. Klicken Sie auf Diagramme ausblenden , wenn Sie die Diagramme aus der Anzeige entfernen möchten. Die Diagramme werden erst angezeigt, nachdem Sie einen Zeitrahmen von "Letztes Intervall (automatische Aktualisierung)" oder höher und eine anzuzeigende Gruppierungsoption ausgewählt haben. Weitere Informationen zum Konfigurieren von Diagrammen finden Sie unter Diagrammverwaltung. Hinweis: Wenn Sie Mozilla Firefox als Browser verwenden und eine Browsererweiterung für den Werbeblocker installiert ist, werden keine Diagramme angezeigt. Um Diagramme anzuzeigen, müssen Sie die Browsererweiterung des Werbeblockers entfernen. Weitere Informationen finden Sie in der Dokumentation Ihres Browsers.
Symbol "Beleidigungen"	Klicken Sie auf dieses Symbol, um Details des Vergehens anzuzeigen, das mit diesem Ereignis verbunden ist. Weitere Informationen finden Sie unter Diagrammverwaltung. Hinweis: Je nach Produkt ist dieses Symbol möglicherweise nicht verfügbar. Sie müssen über JSA verfügen.
Startzeit	Gibt den Zeitpunkt des ersten Ereignisses an, wie von der Protokollquelle an JSA gemeldet.
Name des Ereignisses	Gibt den normalisierten Namen des Ereignisses an.
Log-Quelle	Gibt die Protokollquelle an, von der das Ereignis ausgegangen ist. Wenn diesem Ereignis mehrere Protokollquellen zugeordnet sind, gibt dieses Feld den Begriff Mehrere und die Anzahl der Protokollquellen an.
Anzahl der Ereignisse	Gibt die Gesamtzahl der Ereignisse an, die in diesem normalisierten Ereignis gebündelt sind. Ereignisse werden gebündelt, wenn innerhalb kurzer Zeit viele Ereignisse desselben Typs für dieselbe Quell- und Ziel-IP-Adresse erkannt werden.
Zeit	Gibt das Datum und die Uhrzeit an, zu der JSA das Ereignis empfangen hat.
Low-Level-Kategorie	Gibt die untergeordnete Kategorie an, die diesem Ereignis zugeordnet ist. Weitere Informationen zu Ereigniskategorien finden Sie im Administrationshandbuch für Juniper Secure Analytics.
Quell-IP	Gibt die Quell-IP-Adresse des Ereignisses an. Hinweis: Wenn Sie die Anzeige Normalisiert (mit IPv6-Spalten) auswählen, beziehen Sie sich auf den Parameter Quell-IPv6 für IPv6-Ereignisse.
Quell-Port	Gibt den Quellport des Ereignisses an.
Ziel-IP	Gibt die Ziel-IP-Adresse des Ereignisses an. Hinweis: Wenn Sie die Anzeige Normalisiert (mit IPv6-Spalten) auswählen, beziehen Sie sich auf den Parameter Ziel-IPv6 für IPv6-Ereignisse.
Zielhafen	Gibt den Zielport des Ereignisses an.
Nutzername	Gibt den Benutzernamen an, der diesem Ereignis zugeordnet ist. Benutzernamen sind häufig in authentifizierungsbezogenen Ereignissen verfügbar. Für alle anderen Arten von Ereignissen, bei denen der Benutzername nicht verfügbar ist, gibt dieses Feld N/A an.
Größe	Gibt das Ausmaß dieses Ereignisses an. Zu den Variablen gehören Glaubwürdigkeit, Relevanz und Schweregrad. Zeigen Sie mit der Maus über den Magnitudenbalken, um Werte und die berechnete Magnitude anzuzeigen.

Wenn Sie die Anzeige Normalisiert (mit IPv6-Spalten) auswählen, werden auf der Registerkarte Protokollaktivität die folgenden zusätzlichen Parameter angezeigt:

Tabelle 2: Tabelle 14. Registerkarte "Protokollaktivität" - Normalisierte (mit IPv6-Spalten) Parameter
Parameter	Beschreibung
Quell-IPv6	Gibt die Quell-IP-Adresse des Ereignisses an. Hinweis: IPv4-Ereignisse zeigen 0.0.0.0.0.0.0.0.0 in den Spalten Quell-IPv6 und Ziel-IPv6 an.
IPv6-Ziel	Gibt die Ziel-IP-Adresse des Ereignisses an. Hinweis: IPv4-Ereignisse zeigen 0.0.0.0.0.0.0.0.0 in den Spalten Quell-IPv6 und Ziel-IPv6 an.

Klicken Sie auf die Registerkarte Aktivität protokollieren .
Optional: Wählen Sie im Listenfeld Anzeige die Option Normalisiert (mit IPv6-Spalten) aus. In der Anzeige "Normalisiert" (mit IPv6-Spalten) werden die Quell- und Ziel-IPv6-Adressen für IPv6-Ereignisse angezeigt.
Wählen Sie im Listenfeld Ansicht den Zeitraum aus, den Sie anzeigen möchten.
Klicken Sie auf das Symbol Pause , um das Streaming anzuhalten.
Doppelklicken Sie auf das Ereignis, das Sie detaillierter anzeigen möchten. Weitere Informationen finden Sie unter Ereignisdetails.

Anzeigen von Rohereignissen

Sie können unformatierte Ereignisdaten anzeigen, d. h. die nicht analysierten Ereignisdaten aus der Protokollquelle.

Wenn Sie unformatierte Ereignisdaten anzeigen, werden auf der Registerkarte Protokollaktivität die folgenden Parameter für jedes Ereignis angezeigt.

Tabelle 3: Raw-Event-Parameter
Parameter	Beschreibung
Aktuelle Filter	Oben in der Tabelle werden die Details der Filter angezeigt, die auf die Suchergebnisse angewendet werden. Um diese Filterwerte zu löschen, klicken Sie auf Filter löschen. Hinweis: Dieser Parameter wird erst angezeigt, nachdem Sie einen Filter angewendet haben.
Ansehen	In diesem Listenfeld können Sie den Zeitraum auswählen, nach dem Sie filtern möchten.
Aktuelle Statistik	Wenn Sie sich nicht im Echtzeit- (Streaming) oder Last-Minute-Modus (automatische Aktualisierung) befinden, werden aktuelle Statistiken angezeigt, einschließlich: Hinweis: Klicken Sie auf den Pfeil neben Aktuelle Statistiken , um die Statistiken ein- oder auszublenden Gesamtergebnisse Gibt die Gesamtzahl der Ergebnisse an, die Ihren Suchkriterien entsprechen. Durchsuchte Datendateien Gibt die Gesamtzahl der Datendateien an, die während der angegebenen Zeitspanne durchsucht wurden. Durchsuchte komprimierte Datendateien Gibt die Gesamtzahl der komprimierten Datendateien an, die innerhalb der angegebenen Zeitspanne durchsucht wurden. Anzahl der Indexdateien Gibt die Gesamtzahl der Indexdateien an, die während der angegebenen Zeitspanne durchsucht wurden. Dauer Gibt die Dauer der Suche an. Hinweis: Aktuelle Statistiken sind hilfreich bei der Fehlersuche. Wenn Sie sich zur Behebung von Ereignissen an den Kundendienst von Juniper wenden, werden Sie möglicherweise aufgefordert, aktuelle statistische Informationen anzugeben.
Diagramme	Zeigt konfigurierbare Diagramme an, die die Datensätze darstellen, die mit dem Zeitintervall und der Gruppierungsoption übereinstimmen. Klicken Sie auf Diagramme ausblenden , wenn Sie die Diagramme aus der Anzeige entfernen möchten. Die Diagramme werden erst angezeigt, nachdem Sie einen Zeitrahmen von "Letztes Intervall (automatische Aktualisierung)" oder höher und eine anzuzeigende Gruppierungsoption ausgewählt haben. Hinweis: Wenn Sie Mozilla Firefox als Browser verwenden und eine Browsererweiterung für den Werbeblocker installiert ist, werden keine Diagramme angezeigt. Um Diagramme anzuzeigen, müssen Sie die Browsererweiterung des Werbeblockers entfernen. Weitere Informationen finden Sie in der Dokumentation Ihres Browsers.
Symbol "Beleidigungen"	Klicken Sie auf dieses Symbol, um Details des Vergehens anzuzeigen, das mit diesem Ereignis verbunden ist.
Startzeit	Gibt den Zeitpunkt des ersten Ereignisses an, wie von der Protokollquelle an JSA gemeldet.
Log-Quelle	Gibt die Protokollquelle an, von der das Ereignis ausgegangen ist. Wenn diesem Ereignis mehrere Protokollquellen zugeordnet sind, gibt dieses Feld den Begriff Mehrere und die Anzahl der Protokollquellen an.
Nutzlast	Gibt die ursprünglichen Informationen zur Ereignisnutzlast im UTF-8-Format an.

Klicken Sie auf die Registerkarte Aktivität protokollieren .
Wählen Sie im Listenfeld "Anzeige " die Option "Rohereignisse" aus.
Wählen Sie im Listenfeld Ansicht den Zeitraum aus, den Sie anzeigen möchten.
Doppelklicken Sie auf das Ereignis, das Sie detaillierter anzeigen möchten. Weitere Informationen finden Sie unter Ereignisdetails.

Anzeigen von gruppierten Ereignissen

Auf der Registerkarte "Aktivität protokollieren " können Sie Ereignisse anzeigen, die nach verschiedenen Optionen gruppiert sind. Im Listenfeld Anzeige können Sie den Parameter auswählen, nach dem Sie Ereignisse gruppieren möchten.

Das Listenfeld Anzeige wird im Streamingmodus nicht angezeigt, da der Streamingmodus keine gruppierten Ereignisse unterstützt. Wenn Sie mit nicht gruppierten Suchkriterien in den Streamingmodus gewechselt sind, wird diese Option angezeigt.

Das Listenfeld Anzeige bietet die folgenden Optionen:

Tabelle 4: Optionen für gruppierte Ereignisse
Option "Gruppe"	Beschreibung
Low-Level-Kategorie	Zeigt eine zusammengefasste Liste von Ereignissen an, die nach der untergeordneten Kategorie des Ereignisses gruppiert sind. Weitere Informationen zu Kategorien finden Sie im Administrationshandbuch für Juniper Secure Analytics.
Name des Ereignisses	Zeigt eine zusammengefasste Liste von Ereignissen an, die nach dem normalisierten Namen des Ereignisses gruppiert sind.
Ziel-IP	Zeigt eine zusammengefasste Liste von Ereignissen an, die nach der Ziel-IP-Adresse des Ereignisses gruppiert sind.
Zielhafen	Zeigt eine zusammengefasste Liste von Ereignissen an, die nach der Zielportadresse des Ereignisses gruppiert sind.
Quell-IP	Zeigt eine zusammengefasste Liste von Ereignissen an, die nach der Quell-IP-Adresse des Ereignisses gruppiert sind.
Benutzerdefinierte Regel	Zeigt eine zusammengefasste Liste von Ereignissen an, die nach der zugeordneten benutzerdefinierten Regel gruppiert sind.
Nutzername	Zeigt eine zusammengefasste Liste von Ereignissen an, die nach dem Benutzernamen gruppiert sind, der den Ereignissen zugeordnet ist.
Log-Quelle	Zeigt eine zusammengefasste Liste von Ereignissen an, die nach den Protokollquellen gruppiert sind, die das Ereignis an JSA gesendet haben.
Kategorie "High-Level"	Zeigt eine zusammengefasste Liste von Ereignissen an, die nach der übergeordneten Kategorie des Ereignisses gruppiert sind.
Netzwerk	Zeigt eine zusammengefasste Liste von Ereignissen an, die nach dem Netzwerk gruppiert sind, das dem Ereignis zugeordnet ist.
Quell-Port	Zeigt eine zusammengefasste Liste von Ereignissen an, die nach der Quellportadresse des Ereignisses gruppiert sind.

Nachdem Sie eine Option aus dem Listenfeld Anzeigen ausgewählt haben, hängt das Spaltenlayout der Daten von der ausgewählten Gruppenoption ab. Jede Zeile in der Ereignistabelle stellt eine Ereignisgruppe dar. Die Registerkarte "Protokollaktivität " enthält die folgenden Informationen für jede Ereignisgruppe.

Tabelle 5: Gruppierte Ereignisparameter
Parameter	Beschreibung
Gruppieren nach	Gibt den Parameter an, nach dem die Suche gruppiert wird.
Aktuelle Filter	Oben in der Tabelle werden die Details des Filters angezeigt, der auf die Suchergebnisse angewendet wird. Um diese Filterwerte zu löschen, klicken Sie auf Filter löschen.
Ansehen	Wählen Sie im Listenfeld den Zeitraum aus, nach dem Sie filtern möchten.
Aktuelle Statistik	Wenn Sie sich nicht im Echtzeit- (Streaming) oder Last-Minute-Modus (automatische Aktualisierung) befinden, werden aktuelle Statistiken angezeigt, einschließlich: Hinweis: Klicken Sie auf den Pfeil neben Aktuelle Statistiken , um die Statistiken ein- oder auszublenden. Gesamtergebnisse Gibt die Gesamtzahl der Ergebnisse an, die Ihren Suchkriterien entsprechen. Durchsuchte Datendateien Gibt die Gesamtzahl der Datendateien an, die während der angegebenen Zeitspanne durchsucht wurden. Durchsuchte komprimierte Datendateien Gibt die Gesamtzahl der komprimierten Datendateien an, die innerhalb der angegebenen Zeitspanne durchsucht wurden. Anzahl der Indexdateien Gibt die Gesamtzahl der Indexdateien an, die während der angegebenen Zeitspanne durchsucht wurden. Dauer Gibt die Dauer der Suche an. Hinweis: Aktuelle Statistiken sind hilfreich bei der Fehlersuche. Wenn Sie sich zur Behebung von Ereignissen an den Kundendienst von Juniper wenden, werden Sie möglicherweise aufgefordert, aktuelle statistische Informationen anzugeben.
Diagramme	Zeigt konfigurierbare Diagramme an, die die Datensätze darstellen, die mit dem Zeitintervall und der Gruppierungsoption übereinstimmen. Klicken Sie auf Diagramme ausblenden , wenn Sie das Diagramm aus der Anzeige entfernen möchten. Jedes Diagramm stellt eine Legende bereit, bei der es sich um eine visuelle Referenz handelt, mit der Sie die Diagrammobjekte den Parametern zuordnen können, die sie darstellen. Mit der Legendenfunktion können Sie die folgenden Aktionen ausführen: Bewegen Sie den Mauszeiger über ein Legendenelement, um weitere Informationen zu den Parametern anzuzeigen, die es darstellt. Klicken Sie mit der rechten Maustaste auf das Legendenelement, um das Element weiter zu untersuchen. Klicken Sie auf ein Legendenelement, um es im Diagramm auszublenden. Klicken Sie erneut auf das Legendenelement, um das ausgeblendete Element anzuzeigen. Sie können auch auf das entsprechende Diagrammelement klicken, um das Element ein- und auszublenden. Klicken Sie auf Legende , wenn Sie die Legende aus der Diagrammanzeige entfernen möchten. Hinweis: Die Diagramme werden erst angezeigt, nachdem Sie einen Zeitrahmen von "Letztes Intervall (automatische Aktualisierung)" oder höher und eine anzuzeigende Gruppierungsoption ausgewählt haben. Hinweis: Wenn Sie Mozilla Firefox als Browser verwenden und eine Browsererweiterung für den Werbeblocker installiert ist, werden keine Diagramme angezeigt. Um Diagramme anzuzeigen, müssen Sie die Browsererweiterung des Werbeblockers entfernen. Weitere Informationen finden Sie in der Dokumentation Ihres Browsers.
Quell-IP (eindeutige Anzahl)	Gibt die Quell-IP-Adresse an, die diesem Ereignis zugeordnet ist. Wenn diesem Ereignis mehrere IP-Adressen zugeordnet sind, werden in diesem Feld der Begriff Mehrere und die Anzahl der IP-Adressen angegeben.
Ziel-IP (Unique Count)	Gibt die Ziel-IP-Adresse an, die diesem Ereignis zugeordnet ist. Wenn diesem Ereignis mehrere IP-Adressen zugeordnet sind, werden in diesem Feld der Begriff Mehrere und die Anzahl der IP-Adressen angegeben.
Zielport (eindeutige Anzahl)	Gibt die Zielports an, die diesem Ereignis zugeordnet sind. Wenn diesem Ereignis mehrere Ports zugeordnet sind, gibt dieses Feld den Begriff Mehrere und die Anzahl der Ports an.
Name des Ereignisses	Gibt den normalisierten Namen des Ereignisses an.
Protokollquelle (eindeutige Anzahl)	Gibt die Protokollquellen an, die das Ereignis an JSA gesendet haben. Wenn diesem Ereignis mehrere Protokollquellen zugeordnet sind, gibt dieses Feld den Begriff Mehrere und die Anzahl der Protokollquellen an.
High-Level-Kategorie (eindeutige Anzahl)	Gibt die übergeordnete Kategorie dieses Ereignisses an. Wenn diesem Ereignis mehrere Kategorien zugeordnet sind, gibt dieses Feld den Begriff Mehrere und die Anzahl der Kategorien an. Weitere Informationen zu Kategorien finden Sie im Administrationshandbuch für Juniper Secure Analytics.
Low-Level-Kategorie (eindeutige Anzahl)	Gibt die untere Kategorie dieses Ereignisses an. Wenn diesem Ereignis mehrere Kategorien zugeordnet sind, gibt dieses Feld den Begriff Mehrere und die Anzahl der Kategorien an.
Protokoll (eindeutige Anzahl)	Gibt die Protokoll-ID an, die diesem Ereignis zugeordnet ist. Wenn diesem Ereignis mehrere Protokolle zugeordnet sind, gibt dieses Feld den Begriff "Mehrfach" und die Anzahl der Protokoll-IDs an.
Benutzername (eindeutige Anzahl)	Gibt den Benutzernamen an, der diesem Ereignis zugeordnet ist, sofern verfügbar. Wenn diesem Ereignis mehrere Benutzernamen zugeordnet sind, gibt dieses Feld den Begriff Mehrere und die Anzahl der Benutzernamen an.
Magnitude (Maximum)	Gibt die maximal berechnete Magnitude für gruppierte Ereignisse an. Zu den Variablen, die zur Berechnung des Ausmaßes verwendet werden, gehören Glaubwürdigkeit, Relevanz und Schweregrad.
Anzahl der Ereignisse (Summe)	Gibt die Gesamtzahl der Ereignisse an, die in diesem normalisierten Ereignis gebündelt sind. Ereignisse werden gebündelt, wenn innerhalb kurzer Zeit viele Ereignisse desselben Typs für dieselbe Quell- und Ziel-IP-Adresse auftreten.
Count	Gibt die Gesamtzahl der normalisierten Ereignisse in dieser Ereignisgruppe an.

Klicken Sie auf die Registerkarte Aktivität protokollieren .
Wählen Sie im Listenfeld Ansicht den Zeitraum aus, den Sie anzeigen möchten.
Wählen Sie im Listenfeld Anzeige den Parameter aus, nach dem Sie Ereignisse gruppieren möchten. Siehe Tabelle 2.

Die Ereignisgruppen werden aufgelistet. Weitere Informationen zu den Ereignisgruppendetails finden Sie in Tabelle 1.
Um die Seite Liste der Ereignisse für eine Gruppe anzuzeigen, doppelklicken Sie auf die Ereignisgruppe, die Sie untersuchen möchten.

Auf der Seite "Liste der Ereignisse " werden keine Diagrammkonfigurationen beibehalten, die Sie möglicherweise auf der Registerkarte "Protokollaktivität " definiert haben. Weitere Informationen zu den Parametern der Seite "Liste der Ereignisse" finden Sie in Tabelle 1.
Um die Details eines Ereignisses anzuzeigen, doppelklicken Sie auf das Ereignis, das Sie untersuchen möchten. Weitere Informationen zu Ereignisdetails finden Sie in Tabelle 2.

Anzeigen von Ereignisdetails

Sie können eine Liste von Ereignissen in verschiedenen Modi anzeigen, einschließlich des Streaming-Modus oder in Ereignisgruppen. Unabhängig davon, welchen Modus Sie zum Anzeigen von Ereignissen auswählen, können Sie die Details eines einzelnen Ereignisses suchen und anzeigen.

Auf der Seite mit den Ereignisdetails finden Sie die folgenden Informationen:

Tabelle 6: Ereignisdetails
Parameter	Beschreibung
Name des Ereignisses	Gibt den normalisierten Namen des Ereignisses an.
Low-Level-Kategorie	Gibt die untere Kategorie dieses Ereignisses an. Weitere Informationen zu Kategorien finden Sie im Administrationshandbuch für Juniper Secure Analytics.
Beschreibung der Veranstaltung	Gibt eine Beschreibung des Ereignisses an, sofern verfügbar.
Größe	Gibt die relative Wichtigkeit eines bestimmten Vergehens an. Magnitude ist ein gewichteter Wert, der aus Relevanz, Schweregrad und Glaubwürdigkeit berechnet wird.
Relevanz	Gibt die relativen Auswirkungen eines Ereignisses, einer Kategorie oder eines Verstoßes auf das Netzwerk an.
Schweregrad	Gibt die relative Bedrohung an, die eine Quelle für ein Ziel darstellt.
Glaubwürdigkeit	Gibt die Integrität eines Ereignisses oder eines Verstoßes an. Die Glaubwürdigkeit steigt, wenn mehrere Quellen über dasselbe Ereignis oder dieselbe Straftat berichten.
Nutzername	Gibt den Benutzernamen an, der diesem Ereignis zugeordnet ist, sofern verfügbar. Um auf weitere Informationen zuzugreifen, die mit einem ausgewählten Benutzernamen verknüpft sind, klicken Sie mit der rechten Maustaste auf den Benutzernamen für die Menüoptionen "Assets anzeigen " und "Ereignisse anzeigen ".
Startzeit	Gibt den Zeitpunkt an, zu dem das Ereignis von der Protokollquelle empfangen wurde.
Speicherdauer	Gibt die Uhrzeit an, zu der das Ereignis in der JSA-Datenbank gespeichert wurde.
Quellzeit protokollieren	Gibt die Systemzeit an, wie sie von der Protokollquelle in der Ereignisnutzlast gemeldet wird.
Quell- und Zielinformationen
Quell-IP	Gibt die Quell-IP-Adresse des Ereignisses an.
Ziel-IP	Gibt die Ziel-IP-Adresse des Ereignisses an.
Name des Quell-Assets	Gibt den benutzerdefinierten Asset-Namen der Ereignisquelle an. Weitere Informationen zu Assets finden Sie unter Asset-Management.
Name des Ziel-Assets	Gibt den benutzerdefinierten Asset-Namen des Ereignisziels an. Weitere Informationen zu Assets finden Sie unter Asset-Management
Quell-Port	Gibt den Quellport dieses Ereignisses an.
Zielhafen	Gibt den Zielport dieses Ereignisses an.
Pre-NAT-Quell-IP	Bei einer Firewall oder einem anderen Gerät, das NAT (Network Address Translation) unterstützt, gibt dieser Parameter die Quell-IP-Adresse an, bevor die NAT-Werte angewendet wurden. NAT übersetzt eine IP-Adresse in einem Netzwerk in eine andere IP-Adresse in einem anderen Netzwerk.
Pre-NAT-Ziel-IP	Bei einer Firewall oder einem anderen Gerät, das NAT unterstützt, gibt dieser Parameter die Ziel-IP-Adresse an, bevor die NAT-Werte angewendet wurden.
Pre-NAT-Quellport	Bei einer Firewall oder einem anderen Gerät, das NAT unterstützt, gibt dieser Parameter den Quellport an, bevor die NAT-Werte angewendet wurden.
Pre-NAT-Zielport	Bei einer Firewall oder einem anderen Gerät, das NAT unterstützt, gibt dieser Parameter den Zielport an, bevor die NAT-Werte angewendet wurden.
Post-NAT-Quell-IP	Für eine Firewall oder ein anderes Gerät, das NAT unterstützt, gibt dieser Parameter die Quell-IP-Adresse an, nachdem die NAT-Werte angewendet wurden.
Post-NAT-Ziel-IP	Bei einer Firewall oder einem anderen Gerät, das NAT unterstützt, gibt dieser Parameter die Ziel-IP-Adresse an, nachdem die NAT-Werte angewendet wurden.
Post-NAT-Quellport	Bei einer Firewall oder einem anderen Gerät, das NAT unterstützt, gibt dieser Parameter den Quellport an, nachdem die NAT-Werte angewendet wurden.
Post-NAT-Zielport	Bei einer Firewall oder einem anderen Gerät, das NAT unterstützt, gibt dieser Parameter den Zielport an, nachdem die NAT-Werte angewendet wurden.
Post-NAT-Quellport	Bei einer Firewall oder einem anderen Gerät, das NAT unterstützt, gibt dieser Parameter den Quellport an, nachdem die NAT-Werte angewendet wurden.
Post-NAT-Zielport	Bei einer Firewall oder einem anderen Gerät, das NAT unterstützt, gibt dieser Parameter den Zielport an, nachdem die NAT-Werte angewendet wurden.
IPv6-Quelle	Gibt die IPv6-Quelladresse des Ereignisses an.
IPv6-Ziel	Gibt die IPv6-Zieladresse des Ereignisses an.
Quell-MAC	Gibt die Quell-MAC-Adresse des Ereignisses an.
Ziel-MAC	Gibt die MAC-Zieladresse des Ereignisses an.
Informationen zur Nutzlast
Nutzlast	Gibt den Nutzlastinhalt des Ereignisses an. Dieses Feld bietet 3 Registerkarten zum Anzeigen der Nutzlast: Universelles Transformationsformat (UTF): Klicken Sie auf UTF. Hexadezimal - Klicken Sie auf HEX. Base64 - Klicken Sie auf Base64.
Weitere Informationen
Protokoll	Gibt das Protokoll an, das diesem Ereignis zugeordnet ist.
QID	Gibt die QID für dieses Ereignis an. Jedes Ereignis hat eine eindeutige QID. Weitere Informationen zum Zuordnen einer QID finden Sie unter Ändern der Ereigniszuordnung
Log-Quelle	Gibt die Protokollquelle an, die das Ereignis an JSA gesendet hat. Wenn diesem Ereignis mehrere Protokollquellen zugeordnet sind, gibt dieses Feld den Begriff Mehrere und die Anzahl der Protokollquellen an.
Anzahl der Ereignisse	Gibt die Gesamtzahl der Ereignisse an, die in diesem normalisierten Ereignis gebündelt sind. Ereignisse werden gebündelt, wenn innerhalb kurzer Zeit viele Ereignisse desselben Typs für dieselbe Quell- und Ziel-IP-Adresse auftreten.
Benutzerdefinierte Regeln	Gibt benutzerdefinierte Regeln an, die diesem Ereignis entsprechen. .
Benutzerdefinierte Regeln stimmen teilweise überein	Gibt benutzerdefinierte Regeln an, die teilweise mit diesem Ereignis übereinstimmen.
Anmerkungen	Gibt die Anmerkung für dieses Ereignis an. Anmerkungen sind Textbeschreibungen, die Regeln automatisch als Teil der Regelantwort zu Ereignissen hinzufügen können.
Ereignis-Sammler	Gibt die ID der Ereignissammlerkomponente an, die das Ereignis analysiert hat
QID-Ereignis-ID	Der primäre Wert, der von einem DSM festgelegt wird, um ein Ereignis zu identifizieren. JSA verwendet dieses Feld zusammen mit der Ereigniskategorie, um es einem QID-Datensatz für das Ereignis zuzuordnen.
QID-Ereigniskategorie	Der sekundäre Wert, der von einem DSM festgelegt wird, um ein Ereignis zu identifizieren. JSA verwendet dieses Feld zusammen mit der Ereignis-ID, um es einem QID-Datensatz für das Ereignis zuzuordnen.
Protokollquellen-ID	Gibt den Protokollquellenbezeichner der Protokollquelle an, die das Ereignis empfangen hat. Wenn das Ereignis an eine Protokollquelle vom Typ "SIM-generisches Protokoll " weitergeleitet wird, legen Sie diesen Wert als Wert für die Protokollquellenkennung fest, wenn Sie eine Protokollquelle zum Erfassen dieses Ereignisses erstellen.
Abgeschnitten	Gibt an, ob die Ereignisnutzlast abgeschnitten wurde, weil sie die maximal zulässige Größe von 32 KB für JSA überschritten hat. Der Parameter wird nur dann auf True gesetzt, wenn die Nutzlast vor dem Speichern abgeschnitten wurde, weil sie die maximal zulässige Größe für JSA überschritten hat. Der Parameter wird auf False gesetzt, wenn die Nutzlast überhaupt nicht abgeschnitten wurde. Sie wird auch auf "False" festgelegt, wenn die Nutzlast vom Protokollquellenprotokoll, das sie erfasst hat, basierend auf dem Parameter für die maximale Nutzlastgröße, der in der Protokollquellenkonfiguration festgelegt wurde, abgeschnitten wurde.
Aus Leistungsgründen gespeichert	Wird auf True festgelegt, wenn ein Ereignis aufgrund von Leistungsproblemen direkt an den Speicher weitergeleitet wurde. Wenn der Parameter auf "False" festgelegt ist und das Ereignis die Low-Level-Kategorie "Stored" aufweist, hat JSA versucht, es zu analysieren, aber das Ereignis wurde von allen verfügbaren Protokollquellen, die über einen übereinstimmenden Protokollquellenbezeichner verfügen, nicht erkannt. In beiden Fällen wurde das Ereignis ohne Analyse oder Normalisierung gespeichert.
Identitätsinformationen JSA sammelt Identitätsinformationen, sofern verfügbar, aus Protokollquellenmeldungen. Identitätsinformationen bieten zusätzliche Details zu Assets in Ihrem Netzwerk. Protokollquellen generieren nur dann Identitätsinformationen, wenn die an JSA gesendete Protokollnachricht eine IP-Adresse und mindestens eines der folgenden Elemente enthält: Benutzername oder MAC-Adresse. Nicht alle Protokollquellen generieren Identitätsinformationen.
Identität Benutzername	Gibt den Benutzernamen des Assets an, das diesem Ereignis zugeordnet ist.
Identitäts-IP	Gibt die IP-Adresse des Assets an, das diesem Ereignis zugeordnet ist.
Identity Net-BIOS-Name	Gibt den Namen des Network Base Input/Output System (Net BIOS) der Ressource an, die diesem Ereignis zugeordnet ist.
Erweitertes Feld "Identität"	Gibt weitere Informationen zu dem Asset an, das diesem Ereignis zugeordnet ist. Der Inhalt dieses Feldes ist benutzerdefinierter Text und hängt von den Geräten in Ihrem Netzwerk ab, die für die Bereitstellung von Identitätsinformationen zur Verfügung stehen. Beispiele hierfür sind: physischer Standort von Geräten, relevante Richtlinien, Netzwerk-Switches und Portnamen.
Hat Identität (Flag)	Gibt True an, wenn JSA Identifikationsinformationen für das Asset gesammelt hat, das diesem Ereignis zugeordnet ist. Weitere Informationen darüber, welche Geräte Identitätsinformationen senden, finden Sie im Abschnitt Juniper Secure Analytics Configuring DSMs.
Hostname der Identität	Gibt den Hostnamen des Assets an, das diesem Ereignis zugeordnet ist.
MAC-Identität	Gibt die MAC-Adresse des Assets an, das diesem Ereignis zugeordnet ist.
Name der Identitätsgruppe	Gibt den Gruppennamen des Assets an, das diesem Ereignis zugeordnet ist.

Symbolleiste "Ereignisdetails"

Die Symbolleiste "Ereignisdetails" bietet mehrere Funktionen zum Anzeigen von Ereignisdetails.

Die Symbolleiste für die Ereignisdetails bietet die folgenden Funktionen:

Tabelle 7: Symbolleiste "Ereignisdetails"
Parameter	Beschreibung
Zurück zur Veranstaltungsliste	Klicken Sie auf Zurück zur Ereignisliste , um zur Liste der Ereignisse zurückzukehren.
Straftat	Klicken Sie auf Vergehen , um die Verstöße anzuzeigen, die mit dem Ereignis verknüpft sind.
Anomalie	Klicken Sie auf Anomalie , um die gespeicherten Suchergebnisse anzuzeigen, die dazu geführt haben, dass die Anomalieerkennungsregel dieses Ereignis generiert hat. Hinweis: Dieses Symbol wird nur angezeigt, wenn dieses Ereignis von einer Anomalieerkennungsregel generiert wurde.
Karten-Ereignis	Klicken Sie auf Ereignis zuordnen , um die Ereigniszuordnung zu bearbeiten. Weitere Informationen finden Sie unter Ändern der Ereigniszuordnung.
Falsch positiv	Klicken Sie auf False Positive , um JSA zu optimieren und zu verhindern, dass falsch positive Ereignisse zu Straftaten generiert werden.
Eigenschaft extrahieren	Klicken Sie auf Eigenschaft extrahieren , um eine benutzerdefinierte Ereigniseigenschaft aus dem ausgewählten Ereignis zu erstellen.
Vorherigen	Klicken Sie auf Zurück , um das vorherige Ereignis in der Ereignisliste anzuzeigen.
Nächster	Klicken Sie auf Weiter , um das nächste Ereignis in der Ereignisliste anzuzeigen.
Drucken	Klicken Sie auf Drucken , um die Ereignisdetails zu drucken.

AUF DIESER SEITE