Surveiller tous les événements

Dernier

Sélectionnez l’heure dans la liste pour afficher l’activité qui vous intéresse le plus. Une fois l’heure sélectionnée, toutes les données présentées dans votre vue sont automatiquement actualisées.

Vous pouvez également utiliser l’option Personnaliser pour définir une date personnalisée, puis cliquer sur Appliquer pour afficher les journaux d’événements spécifiés.

Rafraîchir

Cliquez sur l’icône d’actualisation pour obtenir les dernières informations sur l’événement.

Afficher les colonnes de masquage

Cette icône est représentée par trois points verticaux.

Permet d’afficher ou de masquer une colonne dans la grille.

Exporter au format CSV

Vous pouvez exporter les données d’événement dans un fichier de valeurs séparées par des virgules (.csv).

Sélectionnez les trois points verticaux sur le côté droit de la page et cliquez sur Exporter au format CSV. Le fichier CSV est téléchargé sur votre ordinateur local. Vous ne pouvez télécharger qu’un maximum de 100 données d’événement.

Critères de filtrage

Utilisez la zone de texte de filtre présente au-dessus de la grille du tableau. La recherche inclut les opérateurs logiques dans le cadre de la chaîne de filtre.

Dans la zone de texte filtre, lorsque vous passez la souris sur l’icône, un exemple de condition de filtre s’affiche. Lorsque vous commencez à saisir la chaîne de recherche, l’icône indique si la chaîne de filtre est valide ou non.

Les filtres suivants sont disponibles :

• Source IP

• Destination IP

• Session ID

• Type de journal

• Utilisateur

• Application

• Source Zone

• Destination Zone

• Pays d’origine

• Pays de destination

• Source Port

• Destination Port

• Protocole

X

Cliquez sur X pour effacer votre filtre de recherche.

Enregistrer le filtre

Cliquez sur Enregistrer le filtre pour enregistrer les filtres après avoir spécifié les critères de filtrage.

Pour enregistrer un filtre :

1. Entrez les critères de filtre que vous recherchez dans la zone de recherche avancée.

2. Cliquez sur Enregistrer le filtre.

3. Saisissez un nom pour le filtre et cliquez sur l’icône en forme de coche pour l’enregistrer.

Filtre de charge

Affiche la liste des filtres enregistrés.

Passez la souris sur le nom du filtre enregistré pour afficher l’expression de requête. Vous pouvez supprimer le filtre enregistré à l’aide de l’icône de suppression.

Voir les détails

Lorsque vous passez la souris sur le fichier PCAP, une icône Vue détaillée apparaît avant le fichier PCAP. Cliquez sur l’icône pour afficher les détails du journal sur la page Affichage détaillé du journal.

Cliquez sur l’icône de téléchargement sur la page Affichage détaillé du journal pour télécharger le fichier de capture de paquets. Si les fichiers ne sont pas disponibles, le téléchargement échoue et vous recevrez un message d’erreur.

Cliquez sur l’icône de téléchargement pour télécharger le fichier de capture de paquets.

Le fichier PCAP sera téléchargé sur votre système à partir du dossier /var/log/pcap/ . Si les fichiers ne sont pas disponibles, le téléchargement échoue et vous recevrez un message d’erreur.

Heure

Affiche l’heure à laquelle le journal des événements a été reçu.

Type de journal

Affiche le type de journal des événements.

Source Zone

Affiche la zone source de l’événement.

Source IP

Affiche l’adresse IP source à partir de laquelle l’événement s’est produit.

Destination Zone

Affiche la zone de destination de l’événement.

Destination IP

Affiche l’adresse IP de destination de l’événement qui s’est produit.

Destination Port

Affiche le port de destination de l’événement.

Application

Affiche le nom de l’application pour laquelle les journaux d’événements sont générés.

Action

Affiche l’action effectuée pour l’événement : avertissement, autorisation et blocage.

Politique

Affiche le pays de destination du journal des événements.

NAT Source IP

Affiche l’adresse IP source traduite (ou modifiée). Il peut contenir des adresses IPv4 ou IPv6.

NAT Source Port

Affiche le port source traduit.

NAT Destination IP

Affiche l’adresse IP de destination traduite (également appelée natted).

NAT Destination Port

Affiche le port de destination traduit.

Protocole

Affiche l’ID de protocole dans le journal des événements.

Session ID

Affiche l’ID de session de trafic du journal des événements.

Utilisateur

Affiche le nom d’utilisateur à partir duquel le journal des événements est généré.

Source Interface

Affiche l’interface source du journal des événements.

Destination Interface

Affiche l’interface de destination du journal des événements.

Raison de la fermeture

Affiche la raison de la génération du journal. Par exemple, une interruption de connexion peut avoir une raison associée, telle qu’un échec de l’authentification.

Paquets du client

Affiche le nombre de paquets reçus du client.

octets du client

Affiche le nombre d’octets reçus du client.

Paquets du serveur

Affiche le nombre de paquets reçus du serveur.

Octets du serveur

Affiche le nombre d’octets reçus du serveur.

Temps écoulé

Affiche le temps écoulé depuis le début du dernier intervalle de temps.

Source Port

Affiche le numéro de port de la source.

Numéro de séquence

Affiche le numéro de séquence des paquets envoyés.

Message Type

Affiche le type de message de l’événement détecté.

Compter

Affiche le nombre d’événements.

Sévérité

Affiche la gravité de la menace.

ID CVE

Affiche les informations sur les identifiants CVE (Common Vulnerabilities and Exposures).

ID du journal des paquets

Affiche l’ID des paquets reçus avant et après l’attaque pour une analyse hors ligne plus approfondie du comportement de l’attaquant.

XFF

Affiche l’en-tête X-Forwarded-For (XFF) ajouté aux paquets par un serveur proxy qui inclut l’adresse IP réelle du client à l’origine de la requête.

Profil

Affiche le nom du profil de l’événement.

Nom du fichier

Affiche le nom de fichier du journal des événements.

Argument

Affiche les arguments transmis à partir du journal des événements.

Message

Affiche l’ID du message pour la négociation.

Bande passante

Affiche l’utilisation de la bande passante pour le journal des événements.

Informations sur les logiciels malveillants

Affiche le nom ou une brève description du logiciel malveillant.

Nom d’hôte

Affiche le nom d’hôte de l’appareil qui a téléchargé le logiciel malveillant possible.

Catégorie de fichier

Affiche le type de fichier. Exemples : PDF, exécutable, document.

Numéro du verdict

Affiche le score ou le niveau de menace d’un fichier.

Liste des résultats

Affiche le nombre de fois que le serveur C&C a tenté de contacter les hôtes de votre réseau.

Recherche de hachage de fichier

Affiche le hachage du fichier envoyé pour mise en correspondance avec un programme malveillant connu.

Échantillon SHA256

Affiche la valeur de hachage SHA-256 du fichier téléchargé.

Nom du fichier

Affiche le nom du fichier, y compris l’extension.

URL

Affiche le nom de l’URL à laquelle vous avez accédé et qui a déclenché l’événement.

Envoyer à

Affiche l’adresse e-mail.

Envoyer depuis

Affiche l’adresse e-mail.

Catégorie

Affiche la catégorie de menace/événement.

Objet

Affiche le nom de l’objet du journal des événements.

Risque lié à la catégorie d’URL

Affiche le niveau de risque de la catégorie d’URL de filtrage Web.

Nom du virus

Affiche le nom du virus détecté.

Nom de la source

Affiche le nom de la source d’où provient l’événement.

Nom du flux

Affiche le nom du flux de l’événement détecté.

Règle

Affiche le nom de la règle du journal des menaces/événements.

Longueur

Affiche la longueur totale du paquet en octets

Type

Affiche le type d’événement.

Index

Affiche le numéro d’index de l’IKE SA.