防火墙事件
缺省情况下,启动每个波动信号时,Vulnerability Protection 趋势科技服务器深度安全防护系统管理中心会从 Vulnerability Protection 趋势科技服务器深度安全防护系统客户端/设备中收集防火墙和入侵防御事件日志。这些日志的数据将用于填充 Vulnerability Protection 趋势科技服务器深度安全防护系统管理中心中的各种报告、图形及图表。
Vulnerability Protection 趋势科技服务器深度安全防护系统管理中心收集事件日志后,会将这些事件日志保留一段时间,该时间可在管理 > 系统设置 > 存储中设置。缺省设置为一星期。
防火墙事件图标:
单个事件
带有数据的单个事件
折叠事件
带有数据的折叠事件
当多个相同类型事件连续发生时,事件发生折叠。这样会节省磁盘空间,并防止企图使日志记录机制过载的 DoS 攻击。
在主页面上可以执行下列操作:
- 查看 (
) 单个事件的属性 - 过滤列表:使用期间和计算机工具栏来过滤事件列表
- 将事件列表数据导出 (
) 为 CSV 文件 - 查看现有的自动标记 (
) 规则。
- 从“事件列表”视图中添加或删除列 (
)。
- 搜索 (
) 特定事件
另外,右键单击事件可提供下列选项:
- 添加标记:为此事件添加事件标记(请参阅事件标记。)
- 移除标记:移除现有事件标记
- 计算机详细信息:查看生成日志条目的计算机的“详细信息”窗口
防火墙事件显示的列:
- 时间:计算机上发生事件的时间。
- 计算机:记录此事件的计算机。(如果已移除此计算机,此条目会显示为“未知计算机”。)
- 原因:此页面上的日志条目是由防火墙规则设置还是由防火墙状态配置设置生成。如果该条目按照防火墙规则生成,列条目的开头会加上“防火墙规则:”,后面跟防火墙规则的名称。否则,列条目会显示生成此日志条目的“防火墙状态配置”设置。(有关可能的数据包拒绝原因的列表,请参阅参考一节中的“数据包拒绝原因”。)
- 标记:应用到此事件的事件标记。
- 操作:防火墙规则或防火墙状态配置所采取的操作。可能的操作有:允许、拒绝、强制允许和仅记录。
- 排序:排序系统提供一种方法来量化入侵防御和防火墙事件的重要性。先为计算机分配“资产值”,并为入侵防御规则和防火墙规则分配“严重性值”,然后,将两个值相乘便可得出事件的重要性(“排序”)。这样,您在查看入侵防御或防火墙事件时,就可以按“排序”来排列事件的顺序。
- 方向:受影响数据包的方向(传入或传出)。
- 接口:数据包所经过的接口的 MAC 地址。
- 帧类型:所需数据包的帧类型。可能的值有“IPV4”、“IPV6”、“ARP”、“REVARP”和“其他:XXXX”,其中 XXXX 代表帧类型的四位数十六进制码。
- 协议:可能的值有“ICMP”、“ICMPV6”、“IGMP”、“GGP”、“TCP”、“PUP”、“UDP”、“IDP”、“ND”、“RAW”、“TCP+UDP”、及“其他:nnn”,其中,nnn 代表三位数的十进制值。
- 标志:数据包中已设置的标志。
- 源 IP:数据包的源 IP。
- 源 MAC:数据包的源 MAC 地址。
- 源端口:数据包的源端口。
- 目标 IP:数据包的目标 IP 地址。
- 目标 MAC:数据包的目标 MAC 地址。
- 目标端口:数据包的目标端口。
- 数据包大小:数据包的大小(以字节为单位)。
- 重复计数:连续重复事件的次数。
- 时间 (微秒):事件在计算机上的发生时间(微秒级)。
- 事件来源:事件源自的 Vulnerability Protection 趋势科技服务器深度安全防护系统组件。
如果所需数据包随后没有被拒绝规则或未允许该数据包的允许规则停止,则仅记录规则将只生成日志条目。如果数据包被上述两种规则中的一种阻止,则这些规则(但不是仅记录规则)将生成日志条目。如果没有后续规则停止数据包,则“仅记录”规则会生成条目。
查看事件属性
双击某个事件会显示该条目的属性窗口,这样将在一个页面上显示该事件的所有信息。标记选项卡显示已附加到此事件的标记。有关事件标记的更多信息,请参阅策略 > 通用对象 > 其他 > 标记,以及参考部分中的事件标记。
过滤列表和/或搜索事件
从“搜索”下拉菜单中选择“打开高级搜索”,可选择是否显示高级搜索选项。
使用期间工具栏可以过滤列表,从而只显示在特定时间范围内发生的事件。
使用计算机工具栏,可以按照计算机组或计算机策略来组织事件日志条目的显示。
高级搜索功能(搜索不区分大小写):
- 包含:选定列中的条目包含该搜索字符串
- 不包含:选定列中的条目不包含该搜索字符串
- 等于:选定列中的条目完全符合该搜索字符串
- 不等于:选定列中的条目并不完全符合该搜索字符串
- 在范围内:选定列中的条目与其中的一个逗号分隔的搜索字符串条目完全匹配
- 不在范围内:选定列中的条目并未与任意逗号分隔的搜索字符串条目完全匹配
按搜索栏右侧的“加号”按钮 (+) 将显示另一个搜索栏,这样可将多个参数应用于搜索。准备就绪后,按“提交”按钮(位于工具栏右侧,带右向箭头)。
导出
单击导出... 按钮,可将所有或选定的事件导出为 CSV 文件。
自动标记
单击自动标记...将显示现有防火墙自动标记规则的列表。