La ventana de eventos contiene los últimos 14 días de datos.
Desplácese hasta
para ver eventos de intrusión de tiempo.
Hay tres archivos de registro de eventos en la carpeta
/var/log/NSX-IDPs en hosts ESXi:
- registro rápido: contiene el registro interno de los eventos del proceso nsx-idps, con información limitada y se utiliza solo para fines de depuración.
- nsx-idps-log: contiene registros de procesos de nsx-idps generales con información básica y errores sobre el flujo de trabajo de proceso
- nsx-idps-events.log: contiene información detallada sobre los eventos (todas las alertas/descartes/rechazos) con metadatos de NSX
Los puntos de color indican el tipo único de eventos de intrusión. Haga clic en ellos para consultar información detallada. El tamaño del punto indica el número de veces que se ha detectado un evento de intrusión. Un punto parpadeante indica que hay un ataque en curso. Coloque el cursor sobre un punto para ver el nombre del ataque, el número de intentos, la primera aparición y otros detalles.
- Puntos rojos: representan eventos de firma de gravedad crítica.
- Puntos naranja: representan eventos de firma de gravedad alta.
- Puntos amarillos: representan eventos de firma de gravedad media.
- Puntos grises: representan eventos de firma de gravedad baja.
Todos los intentos de intrusión de una firma en particular se agrupan y se trazan en la primera aparición
- Para seleccionar la línea de tiempo, haga clic en la flecha situada en la esquina superior derecha. La escala de tiempo puede ser de entre 24 horas y 14 días.
- Filtrar eventos por:
Criterios de filtro Descripción Objetivo del ataque Destino del ataque. Tipo de ataque Tipo de ataque, como troyanos o denegación de servicio (DoS). CVSS (sistema de puntuación de vulnerabilidades comunes) Puntuación de vulnerabilidades comunes (filtro basado en una puntuación por encima de un umbral establecido). Producto afectado Producto vulnerable o (versión), por ejemplo, Windows XP o Web_Browsers Nombre de máquina virtual La máquina virtual (según el puerto lógico) en la que se recibió o desde donde se originó el tráfico de la vulnerabilidad. - Haga clic en la flecha situada junto a un evento para ver los detalles.
Detalle Descripción Última detección Esta es la última vez que se activó la firma. Detalles El nombre de la firma que se ha activado. Producto afectado Muestra qué producto puede verse afectado por la vulnerabilidad. Máquina virtual afectada Listas de máquinas virtuales involucradas en el intento de intrusión. Detalles de la vulnerabilidad Si está disponible, se muestra un vínculo a CVE y la puntuación de CVSS asociada a la vulnerabilidad. Origen Dirección IP del atacante y el puerto de origen utilizado. Destino Dirección IP de la víctima y puerto de destino utilizado. Dirección del ataque Cliente-servidor o servidor-cliente. Regla de IDS asociada Vínculo en el que se hizo clic en la regla de IDS configurada que dio lugar a este evento. Revisión El número de revisión de la firma de IDS. Actividad Muestra el número total de veces que se activó esta firma de IDS en particular, la ocurrencia más reciente y la primera aparición. - Para ver el historial de intrusiones, haga clic en la flecha situada junto a un evento y, a continuación, haga clic en Ver historial de intrusiones. Se abrirá una ventana con los siguientes detalles:
Detalle Descripción IP de origen Dirección IP del atacante. Puerto de origen Puerto de origen utilizado en el ataque. IP de destino Dirección IP de la víctima. Puerto de destino Puerto de destino utilizado en el ataque. Protocolo Protocolo de tráfico de la intrusión detectada. Tiempo detectado Esta es la última vez que se activó la firma.
- El gráfico de debajo representa los eventos que se han producido en un intervalo de tiempo seleccionado. Puede ampliar la ventana de tiempo específica de este gráfico para ver los detalles de las firmas de los eventos relacionados que ocurrieron durante el período de tiempo.