以下是 NSX-T IDS/IPS 的範例記錄檔，此檔案位於 /var/log/nsx-idps/nsx-idps-events.log：

{"timestamp":"2021-08-10T01:01:15.431231+0000","flow_id":1906423505866276,"pcap_cnt":40,"event_type":"alert","src_ip":"192.
168.100.166","src_port":49320,"dest_ip":"185.244.30.17","dest_port":1965,"proto":"TCP","direction":"to_server","metadata":
{"flowbits":["LL.verifier_tcp_successful","LL.verifier_tcp_failed","LL.verifier_tcp_blocked"],"flowints":
{"intraflow_beacon_num_strides":0,"intraflow_beacon_last_ts":1628557275,"intraflow_beacon_packets_seen":1,"intraflow_beacon_grp_1"
:1,"intraflow_beacon_grp_1_cnt":0,"intraflow_beacon_grp_2":1,"intraflow_beacon_grp_2_cnt":0,"intraflow_beacon_grp_3":1,
"intraflow_beacon_grp_3_cnt":0,"intraflow_beacon_prior_seq":1762155507,"intraflow_beacon_prior_ack":1700774517,
"intraflow_beacon_num_runts":0,"intraflow_beacon_sni_seen":0}},"nsx_metadata":{"flow_src_ip":"192.168.100.166",
"flow_dest_ip":"185.244.30.17","flow_dir":2,"rule_id":1001,"profile_id":"f7169d04-81bf-4c73-9466-b9daec6220de",
"user_id":0,"vm_uuid":"b1396a3e-3bf9-4fd7-839d-0709c86707b0"},"alert":{"action":"allowed","gid":1,"signature_id":1096797,"rev":14556,
"signature":"LASTLINE Command&Control: (RAT) Remcos RAT","category":"A Network Trojan was Detected","severity":1,"source":{"ip":"185.244.30.17","port":1965},"target":{"ip":"192.168.100.166","port":49320},
"metadata":{"detector_id":["96797"],"severity":["100"],"confidence":["80"],"exploited":["None"],"blacklist_mode":["REAL"],"ids_mode":["REAL"],"threat_name":["Remcos RAT"],
"threat_class_name":["command&control"],"server_side":["False"],"flip_endpoints":["False"],"ll_expected_verifier":["default"]}},
"flow":{"pkts_toserver":3,"pkts_toclient":1,"bytes_toserver":808,"bytes_toclient":66,"start":"2021-08-10T01:01:15.183844+0000"}}

欄位	說明
時間戳記	觸發警示的封包的時間戳記。
flow_id	nsx-idps 追蹤的每個流程的唯一識別碼。
event_type	IDPS 引擎產生的事件類型。對於警示，事件類型將一律為「警示」(無論執行何種動作)。
src_ip	觸發警示的封包的來源 IP。根據警示特性而定，這可能是用戶端的位址或伺服器的位址。請參閱欄位「direction」以判斷用戶端。
src_port	觸發警示的封包的來源連接埠。
dest_ip	觸發警示的封包的目的地 IP。
dest_port	觸發警示的封包的目的地連接埠。
proto	觸發警示的封包的 IP 通訊協定。
方向	相較於流量方向的封包方向。對於從用戶端流向伺服器的封包，此值將為「to_server」，而對於從伺服器流向用戶端的封包，此值將為「to_client」。

NSX 中繼資料	說明
metadata.flowbits 和 metadata.flowints	此欄位構成了內部流量狀態的傾印。變數由在特定流量上運作的各種特徵碼或 Lua 指令碼動態設定。從語義和本質來說，欄位以內部欄位為主，可能會因 IDS 服務包更新而異。
nsx_metadata.flow_src_ip	用戶端的 IP 位址。可藉由查看封包端點和封包方向衍生。
nsx_metadata.flow_dest_ip	伺服器的 IP 位址。
nsx_metadata.flow_dir	與原始虛擬機器相關的流量方向。值 1 表示受監控虛擬機器的輸入流量，值 2 表示受監控虛擬機器的輸出流量。
nsx_metadata.rule_id	與封包相符的 DFW::IDS 規則識別碼。
nsx_metadata.profile_id	相符的規則使用的內容設定檔識別碼。
nsx_metadata.user_id	流量產生事件的使用者識別碼。
nsx_metadata.vm_uuid	流量產生事件的虛擬機器的識別碼。
alert.action	nsx-idps 對封包執行的動作 (已允許/已封鎖)。取決於設定的規則動作。
alert.gid、alert.signature_id、alert.rev	特徵碼的識別碼及其修訂版本。特徵碼可以維持相同的識別碼，並藉由增加修訂版本來更新到較新的版本。
alert.signature	偵測到的威脅的簡短描述。
alert.category	偵測到的威脅的類別。這通常是一種非常粗略/不精確的分類。alert.metadata 中可以找到模式詳細資料。
alert.severity	衍生自警示類別的特徵碼的優先順序。較高優先順序的警示通常與較嚴重的威脅相關聯。
alert.source/alert.target	攻擊方向 (不一定與流量方向相符) 的相關資訊。警示的來源將為攻擊端點，而警示的目標將為攻擊的受害者。
alert.metadata.detector_id	NDR 元件用於關聯威脅中繼資料和說明文件的偵測的內部識別碼。
alert.metadata.severity	威脅嚴重性的 0-100 範圍。此值是 alert.metadata.threat_class_name 的函數。
alert.metadata.confidence	偵測正確性信賴度的 0-100 範圍。儘管可能為誤報，發佈的特徵碼報告了低度的信賴度 (<50)。
alert.metadata.exploited	用於表示在偵測中報告的攻擊者是否可能是受感染的主機 (例如，端點資訊不應被視為可靠的 IoC) 的修飾詞。
alert.metadata.blacklist_mode	僅限內部使用。
alert.metadata.ids_mode	特徵碼的作業模式。目前可能的值為 REAL (在 NDR 產品中產生真實模式偵測) 和 INFO (在 NDR 產品中產生資訊模式偵測)。
alert.metadata.threat_name	偵測到的威脅的名稱。威脅名稱在 NDR 產品的內容中作為定義良好的本體的一部分進行管理，從攻擊的性質來說，它是最可靠的資訊來源。
alert.metadata.threat_class_name	與威脅相關的攻擊的高階類別名稱。威脅類別是具有「command&control」、「drive-by」和「exploit」等值的高階類別。
alert.metadata.server_side	用於表示威脅是影響伺服器還是影響用戶端的修飾詞。它等同於 alert.source 和 alert.target 屬性表示的資訊。
alert.metadata.flip_endpoints	用於表示特徵碼是否應與從伺服器流向用戶端的封包相符，而不是與用戶端到伺服器的封包相符的修飾詞。
alert.metadata.ll_expected_verifier	僅限內部使用。
flow.pkts_toserver/flow.pkts_toclient/flow.bytes_toserver/flow.bytes_toclient	相關觸發警示時在指定流量中出現的封包數量/位元組數量的資訊。請注意，此資訊不表示屬於流量的封包總數。此資訊表示產生警示時的部分計數。
flow.start	屬於流量的第一個封包的時間戳記。