“事件”窗口包含过去 14 天的数据。
ESXi 主机上的
/var/log/nsx-idps 文件夹中有三个事件日志文件:
- fast log - 包含 nsx-idps 进程事件的内部日志记录,其中包含的信息有限,且仅用于调试目的
- nsx-idp-log - 包含一般的 nsx-idps 进程日志,其中包含有关流程工作流的基本信息和错误
- nsx-idps-events.log - 包含有关事件(所有警示/丢弃/拒绝事件)的详细信息以及 NSX 元数据
导航到
以查看入侵事件。单击下拉箭头,然后选择以下选项之一以筛选查看的事件:
- 显示所有特征码
- 已丢弃 (已阻止)
- 已拒绝 (已阻止)
- 警示 (仅检测)
彩色的点表示入侵事件的唯一类型,单击这些点可查看相关详细信息。点的大小表示出现入侵事件的次数。闪烁的点表示攻击正在进行中。指向某个点可查看攻击名称、尝试次数、首次出现时间以及其他详细信息。
- 红色点 - 表示极高严重性特征码事件。
- 橙色点 - 表示高严重性特征码事件。
- 黄色点 - 表示中等严重性特征码事件。
- 灰色点 - 表示低严重性特征码事件。
对于某个特定特征码的所有入侵尝试,会按其首次出现时间进行分组和绘制。
- 单击右上角的箭头可选择时间轴。时间轴可以介于 24 小时和 14 天之间。
- 可按以下标准筛选事件:
筛选标准 说明 攻击目标 攻击的目标。 攻击类型 攻击的类型,如特洛伊木马或拒绝服务 (Denial of Service, DoS)。 CVSS(通用漏洞评分) 通用漏洞评分(根据高于设定阈值的评分进行筛选)。 受影响的产品 易受攻击的产品或版本,例如 Windows XP 或 Web 浏览器。 特征码 ID 特征码规则的唯一 ID。 虚拟机名称 发起或接收漏洞流量的虚拟机(基于逻辑端口)。 - 单击事件旁边的箭头可查看详细信息。
详细信息 说明 上次检测时间 这是上次触发特征码的时间。 详细信息 触发的特征码的名称。 受影响的产品 说明哪些产品容易受到攻击。 受影响的虚拟机 入侵尝试所涉及的虚拟机的列表。 漏洞详细信息 如果有,则将显示一个链接,该链接指向与漏洞关联的 CVE 和 CVSS 评分。 源 攻击者的 IP 地址和使用的源端口。 目标 被攻击者的 IP 地址和使用的目标端口。 攻击方向 客户端-服务器或服务器-客户端。 关联的 IDS 规则 配置的导致出现此事件的 IDS 规则的可点击链接。 修订版本 IDS 特征码的修订版本号。 活动 显示触发此特定 IDS 特征码的总次数、最近出现时间以及首次出现时间。 - 要查看入侵历史记录,请单击某个事件旁边的箭头,然后单击“查看入侵历史记录”。此时将打开一个窗口,其中包含以下详细信息:
详细信息 说明 源 IP 攻击者的 IP 地址。 源端口 攻击中使用的源端口。 目标 IP 被攻击者的 IP 地址。 目标端口 攻击中使用的目标端口。 协议 检测到的入侵的流量协议。 检测时间 这是上次触发特征码的时间。
- 图表下方显示的图形表示在选定时间范围内发生的事件。您可以放大此图上的特定时间范围,查看在该时间范围内发生的相关事件的特征码详细信息。