[イベント] ウィンドウには過去 14 日間のデータが表示されます。
ESXi ホストの
/var/log/nsx-idps フォルダには、次の 3 つのイベント ログ ファイルがあります。
- fast log。nsx-idps プロセス イベントの内部ログが記録されます。記録される情報は限定されています。このログは、デバッグ目的でのみ使用します。
- nsx-idps-log。プロセス ワークフローに関する基本的な情報とエラーを含む一般的な nsx-idps プロセス ログが記録されます。
- nsx-idps-events.log。NSX メタデータを含むイベント(すべてのアラート/ドロップ/拒否)に関する詳細情報が記録されます。
の順に移動して、時間と侵入イベントを表示します。表示されているイベントをフィルタリングするには、ドロップダウン矢印をクリックして、次のいずれかを選択します。
- すべてのシグネチャを表示
- ドロップ (防止)
- 却下 (防止)
- アラート (検出のみ)
色の付いたドットは、一意のタイプの侵入イベントを表します。クリックすると、詳細が表示されます。ドットのサイズは、侵入イベントの発生回数を表します。点滅しているドットは、攻撃が実行中であることを表します。ドットをポイントすると、攻撃の名前、試行回数、最初の発生などの詳細が表示されます。
- 赤いドット:重要度が「重大」のシグネチャのイベントを表します。
- オレンジ色のドット:重要度が「高」のシグネチャのイベントを表します。
- 黄色のドット:重要度が「中」のシグネチャのイベントを表します。
- 灰色のドット:重要度が「低」のシグネチャのイベントを表します。
特定のシグネチャのすべての侵入試行がグループ化され、最初の出現時に描画されます。
- 右上隅にある矢印をクリックして、タイムラインを選択します。タイムラインは、24 時間から 14 日の間で選択できます。
- 次の基準でイベントをフィルタリングします。
フィルタ基準 説明 攻撃対象 攻撃の対象。 攻撃タイプ 攻撃のタイプ。トロイの木馬やサービス拒否 (DoS) など。 CVSS(共通脆弱性評価) 共通脆弱性評価。特定のしきい値を超える評価に基づいてフィルタリングします。 影響を受ける製品 脆弱な製品またはバージョン。たとえば、Windows XP、Web_Browsers など。 シグネチャ ID シグネチャ ルールの一意の ID。 仮想マシン名 攻撃のトラフィックを送信または受信した仮想マシン。論理ポートでフィルタリングします。 - イベントの横にある矢印をクリックすると、詳細が表示されます。
詳細 説明 前回の検出 このシグネチャに前回一致した時間。 詳細 一致したシグネチャの名前。 影響を受ける製品 攻撃の影響を受ける製品。 影響を受ける仮想マシン 侵入試行に関係している仮想マシンのリスト。 脆弱性の詳細 この脆弱性に関連付けられている CVE/CVSS スコアへのリンクが表示されます(スコアが存在する場合)。 送信元 攻撃者の IP アドレスと使用された送信元ポート。 宛先 被害者の IP アドレスと使用された宛先ポート。 攻撃の方向 クライアントからサーバまたはサーバからクライアント。 関連する IDS ルール このイベントに関連する構成済みの IDS ルールへのリンク。 リビジョン IDS シグネチャのリビジョン番号。 アクティビティ この IDS シグネチャがトリガーされた合計回数、最後の発生、最初の発生が表示されます。 - 侵入履歴を表示するには、イベントの横にある矢印をクリックし、[侵入履歴を表示] をクリックします。ウィンドウが開き、次の情報が表示されます。
詳細 説明 送信元 IP 攻撃者の IP アドレス。 送信元ポート 攻撃で使用された送信元ポート。 宛先 IP 被害者の IP アドレス。 宛先ポート 攻撃で使用された宛先ポート。 プロトコル 侵入が検出されたトラフィック プロトコル。 検出時間 このシグネチャに前回一致した時間。
- チャートの下に表示されるグラフは、選択期間に発生したイベントを表します。このグラフで特定の期間をズームインすると、その期間内に発生した関連イベントのシグネチャの詳細を確認できます。
