IPS日志
日志信息
user_id=[$1:UINT32];user_name=[$2:STRING];policy_id=[$3:UINT32];src_mac=[$4:MACADDR];dst_mac=[$5:MACADDR];src_ip=[$6:IPADDR];dst_ip=[$7:IPADDR];src_port=[$8:UINT32];dst_port=[$9:UINT32];X-Forwarded-For=[$10:IPADDR];app_name=[$11:STRING];protocol=[$12:STRING];app_protocol=[$13:STRING];event_id=[$14:UINT32];event_name=[$15:STRING];event_type=[$16:STRING];agg_mode:[$17:UINT32];agg_count:[$18:UINT32];attack_success:[$19:UINT32];level=[$20:STRING];ctime=[$21:STRING];action=[$22:STRING];severity=[$23:STRING]
日志含义
设备检测到来自[$2:STRING]的网络攻击产生的日志。
日志参数
|
参数名称 |
参数含义 |
|---|---|
|
user_id |
用户ID。 |
|
user_name |
用户名称。 |
|
policy_id |
策略ID。 |
|
src_mac |
源mac地址。 |
|
dst_mac |
目的mac地址。 |
|
src_ip |
源IP。 |
|
dst_ip |
目的IP。 |
|
src_port |
源端口。 |
|
dst_port |
目的端口。 |
|
X-Forwarded-For |
HTTP代理IP。 |
|
app_name |
应用名称。 |
|
protocol |
协议名称。 |
|
app_protocal |
应用协议名称。 |
|
event_id |
事件ID。 |
|
event_name |
事件名称。 |
|
event_type |
事件类型。 |
|
agg_mode |
聚合模式。取值包括0(不聚合)、1(按规则聚合)、2(按源IP聚合)、3(按目的IP聚合)、4(按源/目的IP聚合)。 |
|
agg_count |
聚合次数。表示该条日志聚合的次数,如取值为0则表示该条日志不是通过聚合方式产生。 |
|
attack_success |
攻击是否成功。取值为0表示正在尝试攻击;取值为1表示攻击成功。 |
|
level |
日志等级。 |
|
ctime |
日志时间。 |
|
action |
策略动作。取值包括drop(表示阻断)、pass(表示放行)。 |
|
severity |
严重程度:取值包括low(低)、medium(中)、high(高)、emergency(紧急)。 |
可能原因
控制策略引用IPS模板,流量匹配到模板下的某个规则,且控制策略下开启防护模式,规则和日志过滤均配置发送日志。
处理步骤
- 根据告警信息提示,调整安全策略,拒绝外来攻击。
- 查看攻击IP是否为内网用户地址,如果是请对该内网地址进行排查。
- 对漏洞主机进行更新补丁处理,修复问题。
版权声明:
作者:SE_Gai
链接:https://www.cnesa.cn/2362.html
来源:CNESA
文章版权归作者所有,未经允许请勿转载。
共有 0 条评论