Hay tres archivos de registro de eventos en la carpeta /var/log/NSX-IDPs en hosts ESXi:

• registro rápido: contiene el registro interno de los eventos del proceso nsx-idps, con información limitada y se utiliza solo para fines de depuración.
• nsx-idps-log: contiene registros de procesos de nsx-idps generales con información básica y errores sobre el flujo de trabajo de proceso
• nsx-idps-events.log: contiene información detallada sobre los eventos (todas las alertas/descartes/rechazos) con metadatos de NSX

Los puntos de color indican el tipo único de eventos de intrusión. Haga clic en ellos para consultar información detallada. El tamaño del punto indica el número de veces que se ha detectado un evento de intrusión. Un punto parpadeante indica que hay un ataque en curso. Coloque el cursor sobre un punto para ver el nombre del ataque, el número de intentos, la primera aparición y otros detalles.

• Puntos rojos: representan eventos de firma de gravedad crítica.
• Puntos naranja: representan eventos de firma de gravedad alta.
• Puntos amarillos: representan eventos de firma de gravedad media.
• Puntos grises: representan eventos de firma de gravedad baja.

• Para seleccionar la línea de tiempo, haga clic en la flecha situada en la esquina superior derecha. La escala de tiempo puede ser de entre 24 horas y 14 días.
• Filtrar eventos por:

  Criterios de filtro	Descripción
  Objetivo del ataque	Destino del ataque.
  Tipo de ataque	Tipo de ataque, como troyanos o denegación de servicio (DoS).
  CVSS (sistema de puntuación de vulnerabilidades comunes)	Puntuación de vulnerabilidades comunes (filtro basado en una puntuación por encima de un umbral establecido).
  Producto afectado	Producto vulnerable o (versión), por ejemplo, Windows XP o Web_Browsers
  Nombre de máquina virtual	La máquina virtual (según el puerto lógico) en la que se recibió o desde donde se originó el tráfico de la vulnerabilidad.

• Haga clic en la flecha situada junto a un evento para ver los detalles.

  Detalle	Descripción
  Última detección	Esta es la última vez que se activó la firma.
  Detalles	El nombre de la firma que se ha activado.
  Producto afectado	Muestra qué producto puede verse afectado por la vulnerabilidad.
  Máquina virtual afectada	Listas de máquinas virtuales involucradas en el intento de intrusión.
  Detalles de la vulnerabilidad	Si está disponible, se muestra un vínculo a CVE y la puntuación de CVSS asociada a la vulnerabilidad.
  Origen	Dirección IP del atacante y el puerto de origen utilizado.
  Destino	Dirección IP de la víctima y puerto de destino utilizado.
  Dirección del ataque	Cliente-servidor o servidor-cliente.
  Regla de IDS asociada	Vínculo en el que se hizo clic en la regla de IDS configurada que dio lugar a este evento.
  Revisión	El número de revisión de la firma de IDS.
  Actividad	Muestra el número total de veces que se activó esta firma de IDS en particular, la ocurrencia más reciente y la primera aparición.

• Para ver el historial de intrusiones, haga clic en la flecha situada junto a un evento y, a continuación, haga clic en Ver historial de intrusiones. Se abrirá una ventana con los siguientes detalles:

  Detalle	Descripción
  IP de origen	Dirección IP del atacante.
  Puerto de origen	Puerto de origen utilizado en el ataque.
  IP de destino	Dirección IP de la víctima.
  Puerto de destino	Puerto de destino utilizado en el ataque.
  Protocolo	Protocolo de tráfico de la intrusión detectada.
  Tiempo detectado	Esta es la última vez que se activó la firma.

• El gráfico de debajo representa los eventos que se han producido en un intervalo de tiempo seleccionado. Puede ampliar la ventana de tiempo específica de este gráfico para ver los detalles de las firmas de los eventos relacionados que ocurrieron durante el período de tiempo.