事件、警报和报告

事件

Vulnerability Protection 趋势科技服务器深度安全防护系统将在触发防护模块规则或条件时记录安全事件，并在发生管理或系统相关事件（例如用户登录或客户端软件升级）时记录系统事件。事件在一天之内会多次发生，无需分别关注。

如果通信设置允许中继/客户端/设备启动通信，计算机中发生的大部分事件将在下一次波动信号操作期间发送到 Vulnerability Protection 趋势科技服务器深度安全防护系统管理中心，但是以下事件会立即发送：

云安全服务器脱机
云安全服务器返回联机状态
完整性监控扫描完成
完整性监控基线已创建
完整性监控规则中存在无法识别的元素
完整性监控规则元素在本地平台上不受支持
检测到异常的重新启动
磁盘空间不足警告
日志审查脱机
日志审查返回联机状态
检测到侦察扫描（如果已在策略/计算机编辑器 > 防火墙 > 侦察中启用了此设置）

缺省情况下，Vulnerability Protection 趋势科技服务器深度安全防护系统管理中心会在每次有波动信号时从客户端/设备收集事件日志。这些事件数据用于填充 Vulnerability Protection 趋势科技服务器深度安全防护系统管理中心的各种报告、图形及图表。

Vulnerability Protection 趋势科技服务器深度安全防护系统管理中心收集事件后，会将这些事件保留一段时间，该时间可在管理 > 系统设置页面中的存储选项卡上设置。

在主页面上可以执行下列操作：

查看 () 单个事件的属性。
过滤列表。使用期间和计算机工具栏来过滤事件列表。
将事件列表数据导出 () 为 CSV 文件。
查看现有的自动标记 () 规则。
搜索 () 特定事件。

另外，右键单击事件可提供下列选项：

为此事件添加标记（请参阅事件标记。）
从此事件中移除标记。
查看生成日志条目的计算机的计算机详细信息窗口。

查看事件属性

双击某个事件（或从上下文菜单中选择查看）会显示该条目的属性窗口，这样将在一个页面上显示该事件的所有信息。标记选项卡显示已附加到此事件的标记。有关事件标记的更多信息，请参阅策略 > 通用对象 > 其他 > 标记以及事件标记。

过滤列表和/或搜索事件

从“搜索”下拉菜单中选择“打开高级搜索”，可选择是否显示高级搜索选项。

使用期间工具栏可以过滤列表，从而只显示在特定时间范围内发生的事件。

使用计算机工具栏，可以按照计算机组或计算机策略来组织事件日志条目的显示。

高级搜索功能（搜索不区分大小写）：

包含：选定列中的条目包含该搜索字符串
不包含：选定列中的条目不包含该搜索字符串
等于：选定列中的条目完全符合该搜索字符串
不等于：选定列中的条目并不完全符合该搜索字符串
在范围内：选定列中的条目与其中的一个逗号分隔的搜索字符串条目完全匹配
不在范围内：选定列中的条目并未与任意逗号分隔的搜索字符串条目完全匹配

按搜索栏右侧的“加号”按钮 (+) 将显示另一个搜索栏，这样可将多个参数应用于搜索。准备就绪后，按“提交”按钮（位于工具栏右侧，带右向箭头）。

导出

单击导出...，可将所有或选定的事件导出为 CSV 文件。

自动标记...

单击自动标记... 将显示现有自动标记规则的列表。（请参阅事件标记。）

警报

将在需要用户注意的异常情况出现时（例如用户发出的命令失败，或者硬盘存储空间已用尽）时创建警报。存在一个预定义警报列表。此外，可将防护模块规则配置为在其触发时生成警报。

如果将 Vulnerability Protection 趋势科技服务器深度安全防护系统连接到 SMTP 服务器，您可以在指定的警报引发时将电子邮件通知发送给用户。

警报页面会显示所有活动警报。警报以摘要视图（将类似警报分组显示）显示，或以列表视图（逐一列出每个警报）显示。要在两个视图之间切换，请使用页面标题中“警报”旁边的下拉菜单。

在摘要视图中，展开警报面板（单击“显示详细信息”）可显示生成该特定警报的所有计算机（和/或用户）。（单击计算机将会显示计算机的详细信息窗口。）

在“摘要视图”中，如果计算机列表中的计算机超过五个，则第五个计算机后面会出现省略号 ("...")。单击省略号可显示完整列表。采取适当的操作处理警报后，选中警报目标旁边的复选框，然后单击解除链接，即可解除警报。（在“列表视图”中，右键单击警报即可查看上下文菜单中的选项列表。）

无法解除的警报（例如“中继更新服务不可用”）将在条件不再存在时自动解除。

警报有两种：系统警报和安全警报。系统警报由系统事件（客户端脱机、计算机上的时钟更改等）触发。安全警报由入侵防御规则、防火墙规则、完整性规则和日志审查规则入侵防御和防火墙规则触发。可以通过单击配置警报... 来配置警报。 ().

使用计算机过滤栏，可以只查看在特定计算机组中、具有特定策略等计算机的警报。

报告

Vulnerability Protection 趋势科技服务器深度安全防护系统管理中心可生成 PDF 或 RTF 格式的报告。报告页面生成的大部分报告都含有可配置参数，如日期范围或按计算机组生成报告。不适用于报告的参数选项将被禁用。

单个报告

报告

各个报告可以输出为 PDF 或 RTF 格式，但“安全模块使用情况报告”和“安全模块使用情况累积报告”除外，这些报告输出为 CSV 文件。

可能会提供以下报告，具体取决于您使用的防护模块：

警报报告：最常见警报的列表
防恶意软件报告：前 25 台受感染的计算机的列表
攻击报告：包含分析活动的摘要表（按模式划分）
计算机报告：“计算机”选项卡上列出的每个计算机的摘要
DPI 规则建议报告：入侵防御规则建议。一次只能针对一个安全策略或一台计算机运行此报告。
防火墙报告：防火墙规则和状态配置活动的记录
取证计算机审计报告：计算机上的客户端配置
完整性监控基线报告：特定时间的主机基线，显示类型、密钥和指纹采集日期。
完整性监控详细更改报告：有关检测到的更改的详细信息
完整性监控报告：检测到的更改的摘要
入侵防御报告：入侵防御规则活动的记录
日志审查详细报告：已收集的日志数据的详细信息
日志审查报告：已收集的日志数据的摘要
建议报告：“漏洞扫描 (推荐设置)”活动的记录
安全模块使用情况累积报告：防护模块的当前计算机使用情况，包括累积总计和用块数表示的总计（1 块相当于 100 个模块）
安全模块使用情况报告：防护模块的当前计算机使用情况
摘要报告：Vulnerability Protection 趋势科技服务器深度安全防护系统活动的合并摘要
可疑应用程序活动报告：有关可疑恶意活动的信息
系统事件报告：系统（非安全）活动的记录
系统报告：计算机、联系人和用户的概述
用户和联系人报告：用户和联系人的内容及活动详细信息
Web 信誉报告：包含大多数 Web 信誉事件的计算机列表

您还可以向 PDF 或 RTF 报告添加可选的分类：空白、绝密、秘密、机密、仅限官方使用、执法敏感 (LES)、分发受限、非机密、仅限内部使用。

标记过滤器

选择包含事件数据的报告时，可以选择使用“事件标记”过滤报告数据。为所有事件选择所有，仅为未标记的事件选择未标记，或选择标记并指定一个或多个标记以仅包含那些具有所选标记的事件。

时间过滤器

可以针对记录存在的任意期间设置时间过滤器。这对安全审计非常有用。

时间过滤器选项：

最近 24 小时内：包含最近 24 小时内的事件，起止于整点。例如，如果在 12 月 5 日上午 10:14 生成报告，则可以获取 12 月 4 日上午 10:00 到 12 月 5 日上午 10:00 之间发生的事件的报告。
最近 7 天内：包含上周的事件。周起止于午夜 (00:00)。例如，如果在 12 月 5 日上午 10:14 生成报告，则可以获取 11 月 28 日午夜 00:00 到 12 月 5 日午夜 00:00 之间发生的事件的报告。
上个月：包含上一整月的事件，起止于午夜 (00:00)。例如，如果您在 11 月 15 日选择此选项，则将收到从 10 月 1 日午夜到 11 月 1 日午夜的事件报告。
定制范围：允许为报告指定自己的日期和时间范围。如果开始日期早于两天以前，则报告中的开始时间可能会更改为午夜。

报告使用计数器中存储的数据。计数器是从事件定期聚合的数据。最近三天的计数器数据会每小时聚合一次。当前这一小时的数据不包括在报告中。三天前的数据将存储在按天聚合的计数器中。基于此原因，最近三天的报告所涵盖的时间段能以每小时级别的粒度来指定，但是，如果超出三天，此时间段只能以每天级别的粒度来指定。

计算机过滤器

设置将其数据包含在报告中的计算机。

所有计算机：Vulnerability Protection 趋势科技服务器深度安全防护系统管理中心中的每台计算机。
我的计算机：如果登录用户根据其用户角色的权限设置对计算机拥有受限的访问权限，则这些计算机是登录用户拥有查看权限的计算机。
组中：Vulnerability Protection 趋势科技服务器深度安全防护系统组中的计算机。
使用策略：使用特定防护策略的计算机。
计算机：单台计算机。

加密

可以使用当前登录的用户的密码或者仅用于此报告的新密码来保护报告。

禁用报告密码：报告不受密码保护。
使用当前用户的报告密码：使用当前用户的 PDF 报告密码。要查看或修改用户的 PDF 报告密码，请转至管理 > 用户管理 > 用户 > 属性 > 设置 > 报告。
使用定制报告密码：为此报告创建一次性密码。密码没有任何复杂性要求。

要在多个计算机组的特定计算机上生成报告，请创建一个仅对所需计算机具有查看权限的用户，然后再创建一个预设任务，以为该用户定期生成“所有计算机”报告，或者以该用户身份登录，并运行“所有计算机”报告。只有该用户具有查看权限的计算机才会包含在报告中。

定期报告

定期报告只是定期为任意数量的用户和联系人生成和分发报告的预设任务。大多数选项与单个报告的选项相同，但“时间过滤器”除外，该选项如下所示：

最近 [N] 小时内：如果 [N] 小于 60，开始时间和结束时间是指定小时的整点时间。如果 [N] 大于 60，在时间范围开始时不提供每小时数据，因此报告中的开始时间将更改为开始日期的午夜 (00:00)。
最近 [N] 天内：包括 [N] 天前午夜到当前日期午夜的数据。
最近 [N] 周内：包含最近 [N] 周内的事件，起止于午夜 (00:00)。
最近 [N] 个月内：包含最近 [N] 个完整自然月内的事件，起止于午夜 (00:00)。例如，如果您在 11 月 15 日选择“最近 1 个月内”，则将收到从 10 月 1 日午夜到 11 月 1 日午夜的事件报告。

有关预设任务的更多信息，请参阅位于管理 > 预设任务的联机帮助。