事件視窗包含過去 14 天的資料。

ESXi 主機上的 /var/log/nsx-idps 資料夾中有三個事件記錄檔:
  • fast log - 包含 nsx-idps 程序事件的內部記錄,其中包含有限的資訊,且僅用於偵錯用途
  • nsx-idps-log - 包含一般的 nsx-idps 程序記錄,其中包含基本資訊和有關程序工作流程的錯誤
  • nsx-idps-events.log - 包含有關事件 (所有警示/捨棄/拒絕) 的詳細資訊,並具有 NSX 中繼資料
導覽至 安全性 > 分散式 IDS/IPS > 事件以檢視時間入侵事件。按一下下拉式箭頭,然後選取下列其中一項來篩選已檢視的事件:
  • 顯示所有簽章
  • 已捨棄 (已防止)
  • 已拒絕 (已防止)
  • 警示 (僅偵測)
彩色點表示入侵事件的獨特類型,按一下即可取得詳細資料。點的大小表示出現的入侵事件次數。閃爍點表示攻擊正在進行中。指向某個點可查看攻擊名稱、嘗試次數、第一次發生時間和其他詳細資料。
  • 紅色點 - 代表重大嚴重性簽章事件。
  • 橙色點 - 代表高嚴重性簽章事件。
  • 黃色點 - 代表中嚴重性簽章事件。
  • 灰色點 - 代表低嚴重性簽章事件。

特定簽章的所有入侵嘗試都會在其第一次發生時進行分組和繪製。

  • 按一下右上角的箭頭,選取時間表。時間表可以介於 24 小時到 14 天之間。
  • 依下列各項篩選事件:
    篩選準則 說明
    攻擊目標 攻擊的目標。
    攻擊類型 攻擊的類型,例如特洛伊木馬程式或拒絕服務 (DoS)。
    CVSS (常見漏洞分數) 常見的漏洞分數 (根據高於所設定臨界值的分數篩選)。
    受影響的產品 有漏洞的產品或 (版本),即 Windows XP 或 Web_Browsers。
    簽章識別碼 簽章規則的唯一識別碼。
    虛擬機器名稱 虛擬機器 (以邏輯連接埠為基礎),其中的入侵流量來自該虛擬機器或由其接收到。
  • 按一下事件旁邊的箭頭以檢視詳細資料。
    詳細資料 說明
    上次偵測時間 這是上次觸發簽章的時間。
    詳細資料 觸發的簽章名稱。
    受影響的產品 說明什麼產品容易受到入侵。
    受影響的虛擬機器 入侵嘗試中涉及的虛擬機器清單。
    漏洞詳細資料 如果可用,則會顯示與該漏洞相關聯的 CVE 和 CVSS 分數的連結。
    來源 攻擊者的 IP 位址和使用的來源連接埠。
    目的地 受害者的 IP 位址和使用的目的地連接埠。
    攻擊方向 用戶端-伺服器或伺服器-用戶端。
    相關聯的 IDS 規則 已設定 IDS 規則的可點選連結,導致發生此事件。
    修訂版本 IDS 簽章的修訂版本編號。
    活動 顯示觸發此特定 IDS 簽章的總次數、最近發生的時間和第一次發生的時間。
  • 若要檢視入侵歷程記錄,請按一下事件旁邊的箭頭,然後按一下 [檢視入侵歷程記錄]。隨即會開啟一個視窗,其中提供下列詳細資料:
    詳細資料 說明
    來源 IP 攻擊者的 IP 位址。
    來源連接埠 攻擊中使用的來源連接埠。
    目的地 IP 受害者的 IP 位址。
    目的地連接埠 攻擊中使用的目的地連接埠。
    通訊協定 偵測到入侵的流量通訊協定。
    偵測到的時間 這是上次觸發簽章的時間。
  • 圖表下方顯示的圖形代表在所選時間範圍內發生的事件。您可以放大此圖形上的特定時間範圍,以檢視在該時間範圍內發生的相關事件的簽章詳細資料。