事件視窗包含過去 14 天的資料。
ESXi 主機上的
/var/log/nsx-idps 資料夾中有三個事件記錄檔:
- fast log - 包含 nsx-idps 程序事件的內部記錄,其中包含有限的資訊,且僅用於偵錯用途
- nsx-idps-log - 包含一般的 nsx-idps 程序記錄,其中包含基本資訊和有關程序工作流程的錯誤
- nsx-idps-events.log - 包含有關事件 (所有警示/捨棄/拒絕) 的詳細資訊,並具有 NSX 中繼資料
導覽至
以檢視時間入侵事件。按一下下拉式箭頭,然後選取下列其中一項來篩選已檢視的事件:
- 顯示所有簽章
- 已捨棄 (已防止)
- 已拒絕 (已防止)
- 警示 (僅偵測)
彩色點表示入侵事件的獨特類型,按一下即可取得詳細資料。點的大小表示出現的入侵事件次數。閃爍點表示攻擊正在進行中。指向某個點可查看攻擊名稱、嘗試次數、第一次發生時間和其他詳細資料。
- 紅色點 - 代表重大嚴重性簽章事件。
- 橙色點 - 代表高嚴重性簽章事件。
- 黃色點 - 代表中嚴重性簽章事件。
- 灰色點 - 代表低嚴重性簽章事件。
特定簽章的所有入侵嘗試都會在其第一次發生時進行分組和繪製。
- 按一下右上角的箭頭,選取時間表。時間表可以介於 24 小時到 14 天之間。
- 依下列各項篩選事件:
篩選準則 說明 攻擊目標 攻擊的目標。 攻擊類型 攻擊的類型,例如特洛伊木馬程式或拒絕服務 (DoS)。 CVSS (常見漏洞分數) 常見的漏洞分數 (根據高於所設定臨界值的分數篩選)。 受影響的產品 有漏洞的產品或 (版本),即 Windows XP 或 Web_Browsers。 簽章識別碼 簽章規則的唯一識別碼。 虛擬機器名稱 虛擬機器 (以邏輯連接埠為基礎),其中的入侵流量來自該虛擬機器或由其接收到。 - 按一下事件旁邊的箭頭以檢視詳細資料。
詳細資料 說明 上次偵測時間 這是上次觸發簽章的時間。 詳細資料 觸發的簽章名稱。 受影響的產品 說明什麼產品容易受到入侵。 受影響的虛擬機器 入侵嘗試中涉及的虛擬機器清單。 漏洞詳細資料 如果可用,則會顯示與該漏洞相關聯的 CVE 和 CVSS 分數的連結。 來源 攻擊者的 IP 位址和使用的來源連接埠。 目的地 受害者的 IP 位址和使用的目的地連接埠。 攻擊方向 用戶端-伺服器或伺服器-用戶端。 相關聯的 IDS 規則 已設定 IDS 規則的可點選連結,導致發生此事件。 修訂版本 IDS 簽章的修訂版本編號。 活動 顯示觸發此特定 IDS 簽章的總次數、最近發生的時間和第一次發生的時間。 - 若要檢視入侵歷程記錄,請按一下事件旁邊的箭頭,然後按一下 [檢視入侵歷程記錄]。隨即會開啟一個視窗,其中提供下列詳細資料:
詳細資料 說明 來源 IP 攻擊者的 IP 位址。 來源連接埠 攻擊中使用的來源連接埠。 目的地 IP 受害者的 IP 位址。 目的地連接埠 攻擊中使用的目的地連接埠。 通訊協定 偵測到入侵的流量通訊協定。 偵測到的時間 這是上次觸發簽章的時間。
- 圖表下方顯示的圖形代表在所選時間範圍內發生的事件。您可以放大此圖形上的特定時間範圍,以檢視在該時間範圍內發生的相關事件的簽章詳細資料。
