日志审查事件
启动每个波动信号时,Vulnerability Protection 趋势科技服务器深度安全防护系统管理中心会从 Vulnerability Protection 趋势科技服务器深度安全防护系统客户端中收集日志审查事件。这些日志的数据将用于填充 Vulnerability Protection 趋势科技服务器深度安全防护系统管理中心中的各种报告、图形及图表。
Vulnerability Protection 趋势科技服务器深度安全防护系统管理中心会将收集到的事件日志保留一段时间,该时间可在管理 > 系统设置 > 存储中设置。缺省设置为一星期。
在主页面上可以执行下列操作:
- 查看 (
) 单个事件的属性 - 搜索 (
) 特定事件 - 过滤列表:使用期间和计算机工具栏来过滤事件列表
- 查看现有的自动标记 (
) 规则。 - 从“事件列表”视图中添加或删除列 (
)。 - 将事件列表数据导出 (
) 为 CSV 文件
另外,右键单击事件可提供下列选项:
- 添加标记:为此事件添加事件标记(请参阅事件标记。)
- 移除标记:移除现有事件标记
- 计算机详细信息:查看生成日志条目的计算机的“详细信息”窗口
- 日志审查规则属性:查看与此事件关联的日志审查规则的属性
日志审查事件显示的列:
- 时间:计算机上发生事件的时间。
- 计算机:记录此事件的计算机。(如果已移除此计算机,此条目会显示为“未知计算机”。)
- 原因:与此事件关联的日志审查规则。
- 标记:附加到事件的任何标记。
- 描述:规则的描述。
- 排序:排序系统提供了一种量化事件重要性的方法。先为计算机分配“资产值”,并为日志审查规则分配“严重性值”,然后,将两个值相乘便可得出事件的重要性(“排序”)。这允许您按排序来排列事件的顺序。
- 严重性:日志审查规则的严重性值。
- 组:规则所属的组。
- 程序名称:程序名称。取自事件的 syslog 标头。
- 事件:事件的名称。
- 位置:日志的来源。
- 源 IP:数据包的源 IP。
- 源端口:数据包的源端口。
- 目标 IP:数据包的目标 IP 地址。
- 目标端口:数据包的目标端口。
- 协议:可能的值有“ICMP”、“ICMPV6”、“IGMP”、“GGP”、“TCP”、“PUP”、“UDP”、“IDP”、“ND”、“RAW”、“TCP+UDP”、及“其他:nnn”,其中,nnn 代表三位数的十进制值。
- 操作:在事件内采取的操作
- 源用户:事件内的发起用户。
- 目标用户:事件内的目标用户。
- 事件主机名:事件源的主机名。
- ID:解码为来自事件的 ID 的任意 ID。
- 状态:事件内的已解码状态。
- 命令:在事件内调用的命令。
- URL:事件内的 URL。
- 数据:从事件中提取的任意其他数据。
- 系统名称:事件内的系统名称。
- 匹配的规则:匹配的规则数目。
- 事件来源:发生事件的趋势科技服务器深度安全防护系统组件。
查看事件属性
双击某个事件会显示该条目的属性窗口,这样将在一个页面上显示该事件的所有信息。标记选项卡显示已附加到此事件的标记。有关事件标记的更多信息,请参阅策略 > 通用对象 > 其他 > 标记以及参考部分中的事件标记。
过滤列表和/或搜索事件
使用期间工具栏可以过滤列表,从而只显示在特定时间范围内发生的事件。
使用计算机工具栏,可以按照计算机组或计算机策略来组织事件日志条目的显示。
使用“搜索”或“高级搜索”选项对显示的事件进行搜索、排序或过滤。
高级搜索功能(搜索不区分大小写):
- 包含:选定列中的条目包含该搜索字符串
- 不包含:选定列中的条目不包含该搜索字符串
- 等于:选定列中的条目完全符合该搜索字符串
- 不等于:选定列中的条目并不完全符合该搜索字符串
- 在范围内:选定列中的条目与其中的一个逗号分隔的搜索字符串条目完全匹配
- 不在范围内:选定列中的条目并未与任意逗号分隔的搜索字符串条目完全匹配
导出
单击导出... 按钮,可将所有事件日志条目导出为 CSV 文件。
自动标记
单击自动标记...将显示现有日志审查自动标记规则的列表。
您可以使用自动标记来自动对日志审查组应用标记。LI 规则将组与规则中的标记关联。例如:
<rule id="18126" level="3">
<if_sid>18101</if_sid>
<id>^20158</id>
<description>Remote access login success</description>
<group>authentication_success,</group>
</rule>
<rule id="18127" level="8">
<if_sid>18104</if_sid>
<id>^646|^647</id>
<description>Computer account changed/deleted</description>
<group>account_changed,</group>
</rule>
每个组名都具有一个与其关联的“友好”名称字符串。在上述示例中,"authentication_success" 的友好名称为“认证成功”,"account_changed" 的友好名称为“帐户已更改”。设置此复选框后,该友好名称将自动添加为该事件的标记。如果触发了多个规则,则会有多个标记添加到事件。