以下是 NSX-T IDS/IPS 的示例日志文件，此文件位于 /var/log/nsx-idps/nsx-idps-events.log：

{"timestamp":"2021-08-10T01:01:15.431231+0000","flow_id":1906423505866276,"pcap_cnt":40,"event_type":"alert","src_ip":"192.
168.100.166","src_port":49320,"dest_ip":"185.244.30.17","dest_port":1965,"proto":"TCP","direction":"to_server","metadata":
{"flowbits":["LL.verifier_tcp_successful","LL.verifier_tcp_failed","LL.verifier_tcp_blocked"],"flowints":
{"intraflow_beacon_num_strides":0,"intraflow_beacon_last_ts":1628557275,"intraflow_beacon_packets_seen":1,"intraflow_beacon_grp_1"
:1,"intraflow_beacon_grp_1_cnt":0,"intraflow_beacon_grp_2":1,"intraflow_beacon_grp_2_cnt":0,"intraflow_beacon_grp_3":1,
"intraflow_beacon_grp_3_cnt":0,"intraflow_beacon_prior_seq":1762155507,"intraflow_beacon_prior_ack":1700774517,
"intraflow_beacon_num_runts":0,"intraflow_beacon_sni_seen":0}},"nsx_metadata":{"flow_src_ip":"192.168.100.166",
"flow_dest_ip":"185.244.30.17","flow_dir":2,"rule_id":1001,"profile_id":"f7169d04-81bf-4c73-9466-b9daec6220de",
"user_id":0,"vm_uuid":"b1396a3e-3bf9-4fd7-839d-0709c86707b0"},"alert":{"action":"allowed","gid":1,"signature_id":1096797,"rev":14556,
"signature":"LASTLINE Command&Control: (RAT) Remcos RAT","category":"A Network Trojan was Detected","severity":1,"source":{"ip":"185.244.30.17","port":1965},"target":{"ip":"192.168.100.166","port":49320},
"metadata":{"detector_id":["96797"],"severity":["100"],"confidence":["80"],"exploited":["None"],"blacklist_mode":["REAL"],"ids_mode":["REAL"],"threat_name":["Remcos RAT"],
"threat_class_name":["command&control"],"server_side":["False"],"flip_endpoints":["False"],"ll_expected_verifier":["default"]}},
"flow":{"pkts_toserver":3,"pkts_toclient":1,"bytes_toserver":808,"bytes_toclient":66,"start":"2021-08-10T01:01:15.183844+0000"}}

字段	描述
时间戳	触发警示的数据包的时间戳。
flow_id	nsx-idps 跟踪的每个流的唯一标识符。
event_type	IDPS 引擎生成的事件类型。对于警示，事件类型将始终为“警示”（无论执行何种操作）。
src_ip	触发警示的数据包的源 IP。根据警示特性，这可能是客户端的地址或服务器的地址。请参阅字段“direction”以确定客户端。
src_port	触发警示的数据包的源端口。
dest_ip	触发警示的数据包的目标 IP。
dest_port	触发警示的数据包的目标端口。
proto	触发警示的数据包的 IP 协议。
direction	相较于流量方向的数据包方向。对于从客户端流向服务器的数据包，该值将为“to_server”，而对于从服务器流向客户端的数据包，该值为“to_client”。

NSX 元数据	描述
metadata.flowbits 和 metadata.flowints	此字段构成内部流量状态的转储。变量由在特定流量上运行的各种特征码或 Lua 脚本动态设置。从语义和本质上讲，字段以内部字段为主，可能会因 IDS 包更新而异。
nsx_metadata.flow_src_ip	客户端的 IP 地址。可通过查看数据包端点和数据包方向获取。
nsx_metadata.flow_dest_ip	服务器的 IP 地址。
nsx_metadata.flow_dir	相对于源虚拟机的流量方向。值 1 表示受监控虚拟机的入站流量，值 2 表示受监控虚拟机的出站流量。
nsx_metadata.rule_id	数据包匹配的 DFW::IDS 规则 ID。
nsx_metadata.profile_id	匹配的规则使用的上下文配置文件 ID。
nsx_metadata.user_id	流量生成事件的用户 ID。
nsx_metadata.vm_uuid	流量生成事件的虚拟机的标识符。
alert.action	nsx-idps 对数据包执行的操作（已允许/已阻止）。取决于配置的规则操作。
alert.gid、alert.signature_id、alert.rev	特征码的标识符及其修订版本。特征码可以保持相同的标识符，并通过增加修订版本来更新到较新的版本。
alert.signature	检测到的威胁的简要描述。
alert.category	检测到的威胁的类别。这通常是一种非常粗略/不准确的分类。可以在 alert.metadata 中找到模式详细信息。
alert.severity	来源于警示类别的特征码的优先级。较高优先级的警示通常与较严重的威胁相关联。
alert.source/alert.target	有关攻击方向（不一定与流量方向匹配）的信息。警示的来源将为攻击端点，而警示的目标将为攻击的受害者。
alert.metadata.detector_id	NDR 组件用于关联威胁元数据和文档的检测的内部标识符。
alert.metadata.severity	威胁严重性的 0-100 范围。此值是 alert.metadata.threat_class_name 的函数。
alert.metadata.confidence	检测正确性置信度的 0-100 范围。尽管可能会出现误报，但发布的特征码仍会报告置信度低（低于 50）。
alert.metadata.exploited	用于表示在检测中报告的攻击者是否可能是被破解的主机（即，端点信息不应被视为可靠的 IoC）的修饰符。
alert.metadata.blacklist_mode	仅限内部使用。
alert.metadata.ids_mode	特征码的操作模式。当前可能的值为 REAL（在 NDR 产品中生成实际模式检测）和 INFO（在 NDR 产品中生成信息模式检测）。
alert.metadata.threat_name	检测到的威胁的名称。威胁名称在 NDR 产品的上下文中作为定义良好的本体的一部分进行管理，从攻击的性质上讲，它是最可靠的信息源。
alert.metadata.threat_class_name	与威胁相关的攻击的高级类别名称。威胁类别是具有“command&control”、“drive-by”和“exploit”等值的高级类别。
alert.metadata.server_side	用于表示威胁是影响服务器还是影响客户端的修饰符。它等同于 alert.source 和 alert.target 属性表示的信息。
alert.metadata.flip_endpoints	用于表示特征码是否应与从服务器流向客户端的数据包匹配，而不是与客户端到服务器的数据包匹配的修饰符。
alert.metadata.ll_expected_verifier	仅限内部使用。
flow.pkts_toserver/flow.pkts_toclient/flow.bytes_toserver/flow.bytes_toclient	有关触发警示时在给定流量中出现的数据包数量/字节数量的信息。请注意，此信息不代表属于流量的数据包总数。此信息表示生成警示时的部分计数。
flow.start	属于流量的第一个数据包的时间戳。