“事件”窗口包含过去 14 天的数据。

导航到安全 > 分布式 IDS > 事件可查看入侵事件。

彩色的点表示入侵事件的唯一类型,单击这些点可查看相关详细信息。点的大小表示出现入侵事件的次数。闪烁的点表示攻击正在进行中。指向某个点可查看攻击名称、尝试次数、首次出现时间以及其他详细信息。
  • 红色点 - 表示极高严重性特征码事件。
  • 橙色点 - 表示高严重性特征码事件。
  • 黄色点 - 表示中等严重性特征码事件。
  • 灰色点 - 表示低严重性特征码事件。

对于某个特定特征码的所有入侵尝试,会按其首次出现时间进行分组和绘制。

  • 单击右上角的箭头可选择时间轴。时间轴可以介于 24 小时和 14 天之间。
  • 可按以下标准筛选事件:
    筛选标准 说明
    攻击目标 攻击的目标。
    攻击类型 攻击的类型,如特洛伊木马或拒绝服务 (Denial of Service, DoS)。
    CVSS(通用漏洞评分) 通用漏洞评分(根据高于设定阈值的评分进行筛选)。
    受影响的产品 易受攻击的产品或版本,例如 Windows XP 或 Web 浏览器
    虚拟机名称 发起或接收漏洞流量的虚拟机(基于逻辑端口)。
  • 单击事件旁边的箭头可查看详细信息。
    详细信息 说明
    上次检测时间 这是上次触发特征码的时间。
    详细信息 触发的特征码的名称。
    受影响的产品 说明哪些产品容易受到攻击。
    受影响的虚拟机 入侵尝试所涉及的虚拟机的列表。
    漏洞详细信息 如果有,则将显示一个链接,该链接指向与漏洞关联的 CVE 和 CVSS 评分。
    攻击者的 IP 地址和使用的源端口。
    目标 被攻击者的 IP 地址和使用的目标端口。
    攻击方向 客户端-服务器或服务器-客户端。
    关联的 IDS 规则 配置的导致出现此事件的 IDS 规则的可点击链接。
    修订版本 IDS 特征码的修订版本号。
    活动 显示触发此特定 IDS 特征码的总次数、最近出现时间以及首次出现时间。
  • 要查看入侵历史记录,请单击某个事件旁边的箭头,然后单击查看入侵历史记录。此时将打开一个窗口,其中包含以下详细信息:
    详细信息 说明
    源 IP 攻击者的 IP 地址。
    源端口 攻击中使用的源端口。
    目标 IP 被攻击者的 IP 地址。
    目标端口 攻击中使用的目标端口。
    协议 检测到的入侵的流量协议。
    检测时间 这是上次触发特征码的时间。
  • 图表下方显示的图形表示在选定时间范围内发生的事件。您可以放大此图上的特定时间范围,查看在该时间范围内发生的相关事件的特征码详细信息。