防火墙事件
本文介绍如何访问和处理防火墙事件。有关与事件有关的一般最佳做法,请参阅趋势科技服务器深度安全防护系统中的事件。
要查看由趋势科技服务器深度安全防护系统捕获的防火墙事件,请转至事件和报告 > 事件 > 防火墙事件。
防火墙事件图标:
- 单个事件
- 带有数据的单个事件
- 折叠事件
- 带有数据的折叠事件
当多个相同类型事件连续发生时,事件发生折叠。这样会节省磁盘空间,并防止企图使日志记录机制过载的 DoS 攻击。
防火墙事件会显示哪些信息?
防火墙事件页面上会显示以下列。您可单击列来选择要在表中显示的列。
- 时间:计算机上发生事件的时间。
- 计算机:记录此事件的计算机。(如果已移除此计算机,此条目会显示为“未知计算机”。)
- 原因:此页面上的日志条目由防火墙规则还是防火墙状态配置设置生成。如果条目由防火墙规则生成,则会在列条目的前面附加“防火墙规则:”,后接防火墙规则的名称。否则,列条目会显示生成此日志条目的防火墙状态配置设置。
- 标记:应用到此事件的事件标记。
- 操作:防火墙规则或防火墙状态配置所采取的操作。可能的操作有:允许、拒绝、强制允许和仅记录。
- 排序:排序系统提供一种方法来量化入侵防御事件和防火墙事件的重要性。为计算机分配“资产值”并为入侵防御规则和防火墙规则分配“严重性值”,然后将两个值相乘便可计算得出事件的重要性(“排序”)。这样,您在查看入侵防御事件或防火墙事件时,就可以按排序来排列事件的顺序。
- 方向:受影响数据包的方向(传入或传出)。
- 接口:数据包所经过的接口的 MAC 地址。
- 帧类型:所需数据包的帧类型。可能的值有“IPV4”、“IPV6”、“ARP”、“REVARP”和“其他:XXXX”,其中 XXXX 代表帧类型的四位数十六进制码。
- 协议:可能的值有“ICMP”、“ICMPV6”、“IGMP”、“GGP”、“TCP”、“PUP”、“UDP”、“IDP”、“ND”、“RAW”、“TCP+UDP”、及“其他:nnn”,其中,nnn 代表三位数的十进制值。
- 标记::数据包中已设置的标志。
- 源 IP:数据包的源 IP。
- 源 MAC:数据包的源 MAC 地址。
- 源端口:数据包的源端口。
- 目标 IP:数据包的目标 IP 地址。
- 目标 MAC:数据包的目标 MAC 地址。
- 目标端口:数据包的目标端口。
- 数据包大小:数据包的大小(以字节为单位)。
- 重复计数:连续重复事件的次数。
- 时间 (微秒):事件在计算机上的发生时间(微秒级)。
- 事件起源:发生事件的趋势科技服务器深度安全防护系统组件。
如果所需数据包随后没有被拒绝规则或未允许该数据包的允许规则停止,则仅记录规则将只生成日志条目。如果数据包被上述两种规则中的一种阻止,则这些规则(但不是仅记录规则)将生成日志条目。如果没有后续规则停止数据包,则“仅记录”规则会生成条目。
请参阅与事件有关的详细信息
双击事件(或右键单击事件并单击查看)会显示一个窗口,其中包含有关该事件的其他信息。标记选项卡显示已附加到此事件的标记。有关事件标记的更多信息,请参阅应用标记来标识和分组事件。
您还可以右键单击事件并选择计算机详细信息以打开生成事件的计算机的计算机编辑器。
找到特定事件
可以使用每个事件页面顶部的列表来过滤事件以及对事件进行分组。选择您想过滤的值,然后单击右侧的大蓝色箭头以应用过滤。您还可以使用右上角的搜索栏搜索特定事件。
要执行高级搜索,请单击搜索栏中的箭头并选择打开高级搜索。
使用期间设置可以过滤列表,从而只显示在特定时间范围内发生的事件。
使用计算机设置,可以按照计算机组或策略来组织事件日志条目的显示情况。
高级搜索功能(搜索不区分大小写):
- 包含:选定列中的条目包含该搜索字符串
- 不包含:选定列中的条目不包含该搜索字符串
- 等于:选定列中的条目完全符合该搜索字符串
- 不等于:选定列中的条目并不完全符合该搜索字符串
- 在范围内:选定列中的条目与其中的一个逗号分隔的搜索字符串条目完全匹配
- 不在范围内:选定列中的条目并未与任意逗号分隔的搜索字符串条目完全匹配
按搜索栏右侧的“加号”按钮 (+) 将显示另一个搜索栏,这样可将多个参数应用于搜索。当您的搜索参数准备就绪后,单击右侧的大蓝色箭头。
导出事件列表
单击导出,可将所有或选定的事件导出为 CSV 文件。
标记事件
单击自动标记显示了已经应用到事件的现有自动标记规则的列表。您还可以右键单击事件以手动添加或移除标记。(请参阅应用标记来标识和分组事件。)