이벤트 창에는 최근 14일 동안의 데이터가 포함되어 있습니다.
ESXi 호스트의
/var/log/nsx-idps 폴더에는 3가지 이벤트 로그 파일이 있습니다.
- 빠른 로그 - 제한된 정보가 있는 nsx-idps 프로세스 이벤트의 내부 로깅을 포함하며 디버깅 용도로만 사용됩니다.
- nsx-idps-log - 기본 정보 및 프로세스 워크플로에 대한 오류를 비롯한 일반 nsx-idps 프로세스 로그를 포함합니다.
- nsx-idps-events.log - NSX 메타데이터를 비롯한 이벤트(모든 경고/삭제/거부)에 대한 자세한 정보를 포함합니다.
로 이동하여 시간별 침입 이벤트를 확인합니다. 드롭다운 화살표를 클릭하고 다음 중 하나를 선택하여 표시된 이벤트를 필터링합니다.
- 모든 서명 표시
- 삭제됨(방지됨)
- 거부됨(방지됨)
- 경고(감지만)
컬러 점은 고유한 유형의 침입 이벤트를 나타내며 클릭하여 세부 정보를 볼 수 있습니다. 점 크기는 침입 이벤트가 표시된 횟수를 나타냅니다. 깜박이는 점은 공격이 진행 중임을 나타냅니다. 점을 가리켜 공격 이름, 시도 횟수, 첫 번째 발생 및 기타 세부 정보를 확인합니다.
- 빨간색 점 - 위험 심각도 서명 이벤트를 나타냅니다.
- 주황색 점 - 높은 심각도 서명 이벤트를 나타냅니다.
- 노란색 점 - 중간 심각도 서명 이벤트를 나타냅니다.
- 회색 점 - 낮은 심각도 서명 이벤트를 나타냅니다.
특정 서명에 대한 모든 침입 시도는 처음 발생할 때 그룹화되고 표로 표시됩니다.
- 오른쪽 상단의 화살표를 클릭하여 타임라인을 선택합니다. 24시간과 14일 사이의 타임라인을 지정할 수 있습니다.
- 이벤트 필터링 기준:
필터링 기준 설명 공격 대상 공격의 대상입니다. 공격 유형 트로이 목마 또는 DoS(서비스 거부)와 같은 공격의 유형입니다. CVSS(일반 취약점 점수) 일반 취약점 점수(설정된 임계값보다 높은 점수를 기준으로 필터링)입니다. 영향을 받는 제품 취약한 제품(또는 버전), 즉 Windows XP 또는 Web_Browsers 등입니다. 서명 ID 서명 규칙의 고유 ID입니다. VM 이름 트래픽의 시작 위치 또는 수신 위치를 악용하는 VM(논리적 포트 기반)입니다. - 이벤트 옆의 화살표를 클릭하여 세부 정보를 확인합니다.
세부 정보 설명 마지막 감지 날짜 서명이 마지막으로 발생한 시간입니다. 세부 정보 발생한 서명의 이름입니다. 영향을 받는 제품 악용에 취약한 제품을 표시합니다. 영향을 받는 VM 침입 시도와 관련된 VM의 목록입니다. 취약점 세부 정보 사용 가능한 경우 취약점과 관련된 CVE 및 CVSS 점수에 대한 링크를 표시합니다. 소스 공격자의 IP 주소 및 사용된 소스 포트입니다. 대상 희생자의 IP 주소 및 사용된 대상 포트입니다. 공격 방향 클라이언트-서버 또는 서버-클라이언트입니다. 연결된 IDS 규칙 이 이벤트를 발생시키는 구성된 IDS 규칙에 대한 클릭 가능한 링크입니다. 개정 IDS 서명의 수정 번호입니다. 작업 이 특정 IDS 서명이 트리거된 총 횟수, 가장 최근 발생 및 첫 번째 발생을 표시합니다. - 침입 기록을 보려면 이벤트 옆의 화살표를 클릭한 다음, [침입 기록 보기]를 클릭합니다. 다음 세부 정보가 포함된 창이 열립니다.
세부 정보 설명 소스 IP 공격자의 IP 주소입니다. 소스 포트 공격에 사용된 소스 포트입니다. 대상 IP 희생자의 IP 주소입니다. 대상 포트 공격에 사용된 대상 포트입니다. 프로토콜 감지된 침입의 트래픽 프로토콜입니다. 감지된 시간 서명이 마지막으로 발생한 시간입니다.
- 차트 아래에 있는 그래프는 선택한 시간 범위 동안 발생한 이벤트를 나타냅니다. 이 그래프의 특정 기간을 확대하여 해당 기간 동안 발생한 관련 이벤트의 서명 세부 정보를 볼 수 있습니다.
