|
|
ASAM提供一组事件清单,下表列出了清单包含的属性:
| 属性 | 描述 |
| ID | 它是唯一的,用于标识事件。 |
| 问题 | 事件归属的分类和特殊问题。 |
| 入侵者 | 可疑流的源IP地址 |
| 所经路由 | 一个路由器的各种接口名,因为ASAM使用的算法类型是路由集合,一个事件的流都是从一个路由器或得的。 |
| 目标 | 可疑流的目标IP地址。 |
| 时间 | 检测到的第一个流和最后一个流(第100个流)的日期和时间。 |
| 命中 | 该类型的流出现了多少,因为阈值设置为100,所以它的值将会总是100。第101个流竟会被计入下一次事件中。 |
| 重要度 | 这里有4中重要度-信息、警告、主要的和严重的。他们基于一种算法显示,并且不能被手动修改。 |
| 状态 | 所有事件默认是未处理,当你解决了这个问题,你可以手动修改它。 |
| 视图 | 点击它将显示该事件的更多详细信息。 |
点击“显示过滤器”打开检索条件,你可以从下拉列表里选择时间段,或自定义时间段,来查看相应的事件列表。
状态: 你可以选择你希望看到特殊状态的事件,包括未处理、关闭、忽略和全部。
你也可以基于下面的标准来过滤报表:
| 名称 | 描述 |
| 分类 - 问题 | 选择你希望看到的分类和问题。 |
| 入侵者 | 输入IP地址 |
| 目标 | 输入IP地址 |
| 路由器/ 接口 | 输入IP地址 |
| 重要度 | 从下拉列表中选择 |
你可以根据需求创建多个过滤标准,你也可以选择“匹配全部”或“匹配其一”,点击“产生报表”查看报表。
忽略的时间:
选择你认为无害的并且需要被忽略的事件。选择事件以后,点击“忽略事件”(参照上面的截图),将会弹出一个该忽略的详细信息确认窗口,你可以确认或取消。
当你忽略了一个特殊的事件,以后它将不会被列入到事件清单中,你可以点击“查看忽略情况”查看所有的忽略事件。你也可以在忽略事件清单中删除忽略配置。
这个选项可以用于你知道那个特别的问题不会出现在特别的路由器中。
 |
由于ASAM使用的是路由器聚合算法,一个事件将会从一个路由器获取流。 |
丢弃的流:
丢弃的流是ASAM算法定义的对网络无害的流。这种情况你可能想要丢弃这些流。当你想要丢弃一个流,选中事件然后点击丢弃的流。
你可以从显示的标准中选择:
如果你需要添加更多标准,点击“高级选项”,添加你需要的标准。在高级选项下,你可以添加下面的标准:
IMP: 如果你需要丢弃除从一个特殊的源IP以外的所有流,你不需要设置其他所有的IP地址。你可以在高级选项中点击源IP,在下一个下拉列表里选择“不等于”,然后设置你想要免除的IP地址。
选择匹配所有标准或匹配任一标准,然后点击“保存”。
更多动作:
你可以选择多个事件执行动作,例如未处理或关闭甚至删除选择的事件。
问题(管理):
点击问题旁边的“管理”(参看上面的截图),你可以选择你不想列出在事件清单中的问题,“禁用”它们。同样的你可以在禁用列表里启用已禁用的问题。
事件明细
点击特殊事件最后一列的“查看”,你可以看到事件明细页面,该页将会显示关于事件的下列详细信息:
总量
数据包
命中
独特的源IP(入侵者)
独特的目的IP(目标)
独特的源网络
独特的目的网络
独特的源端口
独特的目的端口
独特的应用
独特的TCP标志
独特的协议
独特的ToS值
独特的流入接口(所经路由)
独特的流出接口
独特的连接
独特的路由器IP
点击独特的路由器IP ,显示下列信息:
源IP
目的IP
应用
源端口
目的端口
协议
ToS
TCP标志
数据包
流量
这个报表可以被邮寄
或输出为 pdf 
。
 |
这些数据是由原始数据产生的,报表中的数据基于你的 原始数据设置。 |
事件明细页面右上方的“更多信息”,提供全部入侵者、目标和接口名称列表。它也会提供使用的算法和路由名称的信息。
|
|