日志审查事件

本文介绍如何访问和处理日志审查事件。有关与事件有关的一般最佳做法,请参阅趋势科技服务器深度安全防护系统中的事件

要查看由趋势科技服务器深度安全防护系统捕获的日志审查事件,请转至事件和报告 > 事件 > 日志审查事件

日志审查事件会显示哪些信息?

日志审查事件页面上会显示以下列。您可单击来选择要在表中显示的列。

  • 时间:计算机上发生事件的时间。
  • 计算机:记录此事件的计算机。(如果已移除此计算机,此条目会显示为“未知计算机”。)
  • 原因:与此事件关联的日志审查规则。
  • 标记:附加到事件的任何标记。
  • 描述:规则的描述。
  • 排序:排序系统提供了一种量化事件重要性的方法。为计算机分配“资产值”并为日志审查规则分配“严重性值”,然后将两个值相乘便可计算得出事件的重要性(“排序”)。这允许您按排序来排列事件的顺序。
  • 严重性:日志审查规则的严重性值。
  • 组:规则所属的组。
  • 程序名称:程序名称。取自事件的 syslog 标头。
  • 事件:事件的名称。
  • 位置:日志的来源。
  • 源 IP:数据包的源 IP。
  • 源端口:数据包的源端口。
  • 目标 IP:数据包的目标 IP 地址。
  • 目标端口:数据包的目标端口。
  • 协议:可能的值有“ICMP”、“ICMPV6”、“IGMP”、“GGP”、“TCP”、“PUP”、“UDP”、“IDP”、“ND”、“RAW”、“TCP+UDP”、及“其他:nnn”,其中,nnn 代表三位数的十进制值。
  • 操作:在事件内采取的操作
  • 源用户:事件内的发起用户。
  • 目标用户:事件内的目标用户。
  • 事件主机名:事件源的主机名。
  • ID:解码为来自事件的 ID 的任意 ID。
  • 状态:事件内的已解码状态。
  • 命令:在事件内调用的命令。
  • URL:事件内的 URL。
  • 数据:从事件中提取的任意其他数据。
  • 系统名称:事件内的系统名称。
  • 匹配的规则:匹配的规则数目。
  • 事件起源:发生事件的趋势科技服务器深度安全防护系统组件。

请参阅与事件有关的详细信息

双击事件(或右键单击事件并单击查看)会显示一个窗口,其中包含有关该事件的其他信息。标记选项卡显示已附加到此事件的标记。有关事件标记的更多信息,请参阅应用标记来标识和分组事件

您还可以右键单击事件并选择计算机详细信息以打开生成事件的计算机的计算机编辑器。

要查看与事件关联的规则的属性,请右键单击事件,然后选择日志审查规则属性

找到特定事件

可以使用每个事件页面顶部的列表来过滤事件以及对事件进行分组。选择您想过滤的值,然后单击右侧的大蓝色箭头以应用过滤。您还可以使用右上角的搜索栏搜索特定事件。

要执行高级搜索,请单击搜索栏中的箭头并选择打开高级搜索

使用期间设置可以过滤列表,从而只显示在特定时间范围内发生的事件。

使用计算机设置,可以按照计算机组或策略来组织事件日志条目的显示情况。

高级搜索功能(搜索不区分大小写):

  • 包含:选定列中的条目包含该搜索字符串
  • 不包含:选定列中的条目不包含该搜索字符串
  • 等于:选定列中的条目完全符合该搜索字符串
  • 不等于:选定列中的条目并不完全符合该搜索字符串
  • 在范围内:选定列中的条目与其中的一个逗号分隔的搜索字符串条目完全匹配
  • 不在范围内:选定列中的条目并未与任意逗号分隔的搜索字符串条目完全匹配

按搜索栏右侧的“加号”按钮 (+) 将显示另一个搜索栏,这样可将多个参数应用于搜索。当您的搜索参数准备就绪后,单击右侧的大蓝色箭头。

导出事件列表

单击导出,可将所有或选定的事件导出为 CSV 文件。

标记事件

单击自动标记显示了已经应用到事件的现有自动标记规则的列表。您还可以右键单击事件以手动添加或移除标记。(请参阅应用标记来标识和分组事件。)

系统会基于日志审查事件在日志文件结构中的分组对其进行自动标记。这样可使趋势科技服务器深度安全防护系统管理中心中的日志审查事件处理简化和自动化。您可以使用自动标记来对日志审查组自动应用标记。日志审查规则将组与规则中的标记相关联。例如:

<rule id="18126" level="3">
<if_sid>18101</if_sid>
<id>^20158</id>
<description>Remote access login success</description>
<group>authentication_success,</group>
</rule>

<rule id="18127" level="8">
<if_sid>18104</if_sid>
<id>^646|^647</id>
<description>Computer account changed/deleted</description>
<group>account_changed,</group>
</rule>

每个组名都具有一个与其关联的“友好”名称字符串。在上述示例中,"authentication_success" 的友好名称为“认证成功”,"account_changed" 的友好名称为“帐户已更改”。设置此复选框后,该友好名称将自动添加为该事件的标记。如果触发了多个规则,则会有多个标记添加到事件。

联系技术支持
支持
联系 eSupport
趋势科技成功案例
了解漏洞
威胁百科全书