Ansichten:
Weitere bewährte Methoden im Zusammenhang mit Ereignissen finden Sie unter Ereignisse in Server- und Workload Protection.
Um die von Server- und Workload Protection erfassten Firewall-Ereignisse zu sehen, gehen Sie zu Events & ReportsEreignisseFirewall Events.
Firewall-Ereignissymbole:
  • generic_single_event=fc583fcd-9c53-469c-8bcb-5ee489c8701b.png Einzelereignis
  • generic_event_w_data=43cee9a6-4704-4930-9e37-dffdf976028b.png Einzelereignis mit Daten
  • generic_repeated_event=b1bad8d8-631d-4fca-ae43-3f83000dcc46.png Gefaltetes Ereignis
  • generic_repeated_event_w_data=6d923c87-c0fe-49d8-8662-739a19157744.png Gefaltetes Ereignis mit Daten
Hinweis
Hinweis
  1. Um nach Benutzername auf der Firewall Events-Registerkarte zu suchen, müssen Sie die erweiterte Suchoption verwenden.
  2. Ereignisfaltung tritt auf, wenn mehrere Ereignisse desselben Typs nacheinander auftreten. Dies spart Speicherplatz und schützt vor DoS-Angriffen, die versuchen könnten, den Protokollierungsmechanismus zu überlasten.

Welche Informationen werden für Firewall-Ereignisse angezeigt?

Diese Spalten können auf der Firewall-Ereignisse-Seite angezeigt werden. Sie können auf Spalten klicken, um auszuwählen, welche Spalten in der Tabelle angezeigt werden.
  • Zeit: Zeitpunkt, zu dem das Ereignis auf dem Computer stattfand.
  • Computer: Der Computer, auf dem dieses Ereignis protokolliert wurde. (Wenn der Computer entfernt wurde, wird dieser Eintrag "Unbekannter Computer" anzeigen.)
  • Grund: Protokolleinträge auf dieser Seite werden entweder durch Firewall-Regeln oder durch zustandsbehaftete Firewall-Konfigurationseinstellungen generiert. Wenn ein Eintrag durch eine Firewall-Regel generiert wird, wird der Spalteneintrag mit "Firewall-Regel:" gefolgt vom Namen der Firewall-Regel versehen. Andernfalls wird der Spalteneintrag die zustandsbehaftete Firewall-Konfigurationseinstellung anzeigen, die den Protokolleintrag generiert hat.
  • Tag(s): Ereignis-Tags, die auf dieses Ereignis angewendet werden.
  • !!Action:!! Die durch die Firewall-Regel oder die zustandsbehaftete Firewall-Konfiguration durchgeführte Aktion. Mögliche Aktionen sind: Erlauben, Verweigern, Erzwingen Erlauben und Nur protokollieren.
  • Rank: Das Bewertungssystem bietet eine Möglichkeit, die Bedeutung von Eindringschutz- und Firewall-Ereignissen zu quantifizieren. Indem "Asset-Werte" Computern zugewiesen werden und "Schweregradwerte" den Regeln zum Eindringschutz und Firewall-Regeln zugewiesen werden, wird die Bedeutung ("Rang") eines Ereignisses berechnet, indem die beiden Werte miteinander multipliziert werden. Dies ermöglicht es Ihnen, Ereignisse nach Rang zu sortieren, wenn Sie Eindringschutz- oder Firewall-Ereignisse anzeigen.
  • Richtung: Die Richtung des betroffenen Pakets (eingehend oder ausgehend).
  • Interface: Die MAC-Adresse der Schnittstelle, über die das Paket unterwegs war.
  • Frame Type: Der Rahmentyp des betreffenden Pakets. Mögliche Werte sind "IPV4", "IPV6", "ARP", "REVARP" und "Andere: XXXX", wobei XXXX den vierstelligen Hex-Code des Rahmentyps darstellt.
  • Protokoll: Mögliche Werte sind "ICMP", "ICMPV6", "IGMP", "GGP", "TCP", "PUP", "UDP", "IDP", "ND", "RAW", "TCP+UDP" und "Andere: nnn", wobei nnn einen dreistelligen Dezimalwert darstellt.
  • Flags: Im Paket gesetzte Flags.
  • Quell-IP: Die Quell-IP des Pakets.
  • Source MAC: Die Quell-MAC-Adresse des Pakets.
  • Source Port: Der Quellport des Pakets.
  • Destination IP: Die Ziel-IP-Adresse des Pakets.
  • Destination MAC: Die Ziel-MAC-Adresse des Pakets.
  • Destination Port: Der Zielport des Pakets.
  • Packet Size: Die Größe des Pakets in Byte.
  • Repeat Count: Die Anzahl der aufeinanderfolgenden Wiederholungen des Ereignisses.
  • Time (microseconds): Mikrosekundenauflösung für die Zeit, zu der das Ereignis auf dem Computer stattfand.
  • Event Origin: Die Server- und Workload Protection-Komponente, von der das Ereignis stammt.
Die folgenden Spalten sind ebenfalls verfügbar. Sie zeigen Informationen zu Ereignissen an, die von Containern auf Computern ausgelöst werden, die durch Agentenversion 12 FR oder neuer geschützt sind:
  • Interface Type: Container-Schnittstellentyp.
  • Container Name: Name des Containers, in dem das Ereignis aufgetreten ist.
  • Container ID: Container-ID des Containers, in dem das Ereignis aufgetreten ist.
  • Image Name: Bildname, der verwendet wurde, um den Container zu erstellen, in dem das Ereignis aufgetreten ist.
  • RepoDigest: Ein einzigartiger Digest, der das Container-Image identifiziert.
  • Process Name: Name des Prozesses (aus dem Container), der das Ereignis verursacht hat.
Hinweis
Hinweis
Log-only-Regeln erzeugen nur dann einen Logeintrag, wenn das betreffende Paket nicht anschließend entweder durch eine deny-Regel oder eine allow-Regel, die es ausschließt, gestoppt wird. Wenn das Paket durch eine dieser beiden Regeln gestoppt wird, erzeugen diese Regeln einen Logeintrag und nicht die log-only-Regel. Wenn keine nachfolgenden Regeln das Paket stoppen, erzeugt die Nur-Log-Regel einen Eintrag.

Liste aller Firewall-Ereignisse

ID
Ereignis
Hinweise
100
Keine Verbindung
Ein Paket wurde empfangen, das keiner bestehenden Verbindung zugeordnet war.
101
Ungültige Flags
In einem Paket gesetzte Flag(s) waren ungültig. Dieses Ereignis kann darauf hinweisen, dass ein Flag im Kontext einer aktuellen Verbindung (falls vorhanden) keinen Sinn ergibt oder dass eine unsinnige Kombination von Flags vorliegt.
Die "Firewall-Zustandskonfiguration" muss aktiviert sein, damit der Verbindungskontext bewertet werden kann.
102
Ungültige Sequenz
Ein Paket mit einer ungültigen Sequenznummer oder einer Datenmenge außerhalb des Fensters wurde festgestellt.
103
Ungültige ACK
Ein Paket mit einer ungültigen Bestätigungsnummer wurde gefunden.
104
Interner Fehler
105
CE-Flags
Ein Paket hat Stau-Flags gesetzt und die Anti-Evasion-Einstellungen der Richtlinie verwenden eine benutzerdefinierte Konfiguration, bei der die TCP-Stau-Flags-Eigenschaft auf Protokollieren oder Verweigern gesetzt ist. (Siehe Anti-Evasion-Einstellungen konfigurieren.)
106
Ungültige IP
Die Quell-IP des Pakets war ungültig.
107
Ungültige IP-Datagrammlänge
Die Länge des IP-Datagramms ist kürzer als die im IP-Header angegebene Länge.
108
Fragmentiert
Ein fragmentiertes Paket wurde erkannt, und Ihre Umgebung hat die IP-Paketinspektion so eingestellt, dass eingehende fragmentierte Pakete verweigert werden.
109
Ungültiger Fragmentversatz
110
Erstes Fragment zu klein
Ein fragmentiertes Paket wurde erkannt, und die Größe des ersten Fragments ist kleiner als die Größe eines TCP-Pakets (keine Daten).
Ein Paket wird bei diesem Ereignis verworfen, wenn der Paket-Header die folgende Konfiguration aufweist:
  • Fragment-Offset = 0 (Das Fragment ist das erste im Paket)
  • Gesamtlänge (maximale kombinierte Header-Länge) < 120 Byte (die standardmäßig erlaubte minimale Fragmentgröße)
Um das Auftreten dieses Ereignisses zu verhindern, konfigurieren Sie die erweiterten Einstellungen der Netzwerk-Engine der Richtlinie so, dass ein niedrigerer Wert für die Eigenschaft "Minimale Fragmentgröße" verwendet wird, oder setzen Sie sie auf 0, um diese Überprüfung zu deaktivieren. (Siehe "Erweiterte Optionen der Netzwerk-Engine" in Computer- und Richtlinieneinstellungen.)
111
Fragment außerhalb des Bereichs
Die im fragmentierten Paketsequenz angegebenen Offset(s) liegen außerhalb des Bereichs der maximalen Größe eines Datagramms.
112
Fragmentversatz zu klein
Ein fragmentiertes Paket wurde erkannt, die Größe des Fragments war kleiner als die Größe eines TCP-Pakets (keine Daten).
113
IPv6-Paket
Ein IPv6-Paket wurde erkannt, und die IPv6-Sperre ist aktiviert. Siehe die Eigenschaft "IPv6 auf Agents und Appliances Versionen 9 und höher sperren" in den erweiterten Netzwerkeinstellungen (siehe Computer- und Richtlinieneinstellungen.)
114
Maximale eingehende Verbindungen
Die Anzahl der eingehenden Verbindungen hat die maximal zulässige Anzahl von Verbindungen überschritten. Siehe die Eigenschaft "TCP-Zustandsüberprüfung aktivieren" in TCP-Paketinspektion.
115
Maximale ausgehende Verbindungen
Die Anzahl der ausgehenden Verbindungen hat die maximal zulässige Anzahl von Verbindungen überschritten. Siehe die Eigenschaft "TCP-Zustandsprüfung aktivieren" in TCP-Paketinspektion.
116
Maximale SYN gesendet
Die Anzahl der halb offenen Verbindungen von einem einzelnen Computer überschreitet die in der Firewall-Zustandskonfiguration festgelegte Anzahl. Siehe die Eigenschaft "Anzahl der halb offenen Verbindungen von einem einzelnen Computer begrenzen auf" in TCP-Paketinspektion.
118
IP-Version unbekannt
Ein IP-Paket, das weder IPv4 noch IPv6 ist, wurde erkannt.
119
Ungültige Paketinformationen
120
Interner Maschinenfehler
Unzureichender Systemspeicher. Fügen Sie mehr Systemressourcen hinzu, um dieses Problem zu beheben.
121
Unaufgeforderte UDP
Eingehende UDP-Pakete, die nicht vom Computer angefordert wurden, werden abgelehnt.
122
Unaufgeforderte ICMP
ICMP Stateful wurde aktiviert (in der Firewall-Stateful-Konfiguration) und ein unerwünschtes Paket, das keiner Force-Allow-Regel entspricht, wurde empfangen.
123
Außerhalb der erlaubten Richtlinie
Das Paket erfüllt keine der Erlauben- oder Erzwingen-Erlauben-Regeln und wird daher implizit abgelehnt.
124
Ungültiger Port-Befehl
Ein ungültiger FTP-Portbefehl wurde im Datenstrom des FTP-Steuerkanals festgestellt.
125
SYN-Cookie-Fehler
Beim SYN-Cookies-Schutzmechanismus ist ein Fehler aufgetreten.
126
Ungültiger Datenversatz
Ungültiger Datenoffset-Parameter.
127
Kein IP-Header
Der IP-Header des Pakets ist ungültig oder unvollständig.
128
Nicht lesbarer Ethernet-Header
Die in diesem Ethernet-Frame enthaltenen Daten sind kleiner als der Ethernet-Header.
129
Nicht definiert
130
Gleiche Quell- und Ziel-IP
Quell- und Ziel-IPs waren identisch.
131
Ungültige TCP-Header-Länge
132
Unlesbarer Protokoll-Header
Das Paket enthält einen unlesbaren TCP-, UDP- oder ICMP-Header.
133
Nicht lesbare IPv4-Header
Das Paket enthält einen unlesbaren IPv4-Header.
134
Unbekannte IP-Version
Nicht erkannte IP-Version.
135
Ungültige Adapterkonfiguration
Eine ungültige Adapterkonfiguration wurde empfangen.
136
Überlappendes Fragment
Dieses Paketfragment überlappt ein zuvor gesendetes Fragment.
138
Paket auf geschlossener Verbindung
Ein Paket wurde empfangen, das zu einer bereits geschlossenen Verbindung gehört.
139
Übertragungswiederholung verworfen
Die Netzwerk-Engine hat ein TCP-Paket erkannt, das sich mit bereits empfangenen Daten in derselben TCP-Verbindung überschneidet, aber nicht mit den bereits empfangenen Daten übereinstimmt. (Die Netzwerk-Engine vergleicht die Paketdaten, die im Verbindungs-Puffer der Engine gespeichert wurden, mit den Daten im erneut übertragenen Paket.)
Die Netzwerk-Engine rekonstruiert den sequenzierten Datenstrom jeder TCP-Verbindung, die sie verarbeitet. Die Sequenznummer und die Länge im empfangenen Paket geben einen bestimmten Bereich in diesem Datenstrom an. Das Notizfeld im Protokoll zeigt die Position des geänderten Inhalts im TCP-Strom an: prev-full, prev-part, next-full und next-part:
  • "prev-full" und "prev-part": Der geänderte Bereich befindet sich im Paket, das unmittelbar dem erneut gesendeten Paket im sequenzierten Datenstrom vorausgeht. "prev-full" zeigt an, dass der geänderte Bereich vollständig im Paket enthalten ist, das unmittelbar dem erneut gesendeten Paket im sequenzierten Datenstrom vorausgeht. Andernfalls lautet die Anmerkung "prev-part".
  • "next-full" und "next-part": Der geänderte Bereich befindet sich im Paket, das unmittelbar auf das erneut übertragene Paket im sequenzierten Datenstrom folgt. "next-full" bedeutet, dass der geänderte Bereich vollständig im Paket enthalten ist, das unmittelbar auf das erneut übertragene Paket im sequenzierten Datenstrom folgt. Andernfalls lautet die Anmerkung "next-part".
140
Nicht definiert
141
Außerhalb der erlaubten Richtlinie (Offener Port)
142
Neue Verbindung initiiert
143
Ungültige Prüfsumme
144
Ungültiger Hook verwendet
145
IP-Null-Payload
146
IPv6-Quelle ist Multicast
147
Ungültige IPv6-Adresse
148
IPv6-Fragment zu klein
149
Ungültige Transport-Header-Länge
150
Nicht genügend Speicher
151
Maximale TCP-Verbindungen
Die maximale Anzahl von TCP-Verbindungen wurde überschritten. Siehe Erhöhen Sie die maximal erlaubten TCP-Verbindungen.
152
Maximale UDP-Verbindungen
200
Region zu groß
Ein Bereich (Bearbeitungsbereich, URI usw.) hat die maximal zulässige Puffergröße (7570 Byte) überschritten, ohne geschlossen zu werden. Dies liegt normalerweise daran, dass die Daten nicht dem Protokoll entsprechen.
201
Nicht genügend Arbeitsspeicher
Das Paket konnte nicht ordnungsgemäß verarbeitet werden, da die Ressourcen erschöpft waren. Dies kann daran liegen, dass zu viele gleichzeitige Verbindungen Pufferung (max. 2048) oder übereinstimmende Ressourcen (max. 128) zur gleichen Zeit erfordern oder aufgrund übermäßiger Übereinstimmungen in einem einzelnen IP-Paket (max. 2048) oder einfach, weil das System keinen Speicher mehr hat.
202
Maximale Anzahl an Bearbeitungen überschritten
Die maximale Anzahl von Bearbeitungen (32) in einem einzelnen Bereich eines Pakets wurde überschritten.
203
Bearbeitung zu groß
Bearbeitungsversuch, um die Größe des Bereichs über die maximal zulässige Größe (8188 Byte) hinaus zu erhöhen.
204
Maximale Übereinstimmungen im Paket überschritten
Im Paket gibt es mehr als 2048 Positionen mit Musterübereinstimmungen. Bei diesem Limit wird ein Fehler zurückgegeben und die Verbindung wird getrennt, da dies normalerweise auf ein fehlerhaftes oder ausweichendes Paket hinweist.
205
Engine-Aufrufstapel zu tief
206
Laufzeitfehler
Laufzeitfehler.
207
Paketlesefehler
Niedriges Problem beim Lesen von Paketdaten.
257
Fehleroffen: Verweigern
Protokollieren Sie das Paket, das verworfen werden sollte, jedoch nicht, wenn die Fail-Open-Funktion aktiviert ist und sich im Inline-Modus befindet.
300
Nicht unterstützter Chiffre
Ein unbekanntes oder nicht unterstütztes Cipher-Suite wurde angefordert.
301
Fehler beim Erstellen des Master-Schlüssels/der Master-Schlüssel
Es ist nicht möglich, die kryptografischen Schlüssel, Mac-Geheimnisse und Initialisierungsvektoren aus dem Mastergeheimnis abzuleiten.
302
Record Layer-Nachricht (nicht bereit)
Die SS-Zustandsmaschine hat einen SS-Datensatz vor der Initialisierung der Sitzung gefunden.
303
Handshake-Nachricht (nicht bereit)
Die SSL-Zustandsmaschine hat eine Handshake-Nachricht empfangen, nachdem der Handshake ausgehandelt wurde.
304
Handshake-Nachricht außer Reihenfolge
Ein korrekt formatiertes Handshake-Nachricht wurde außerhalb der Reihenfolge empfangen.
305
Speicherzuweisungsfehler
Das Paket konnte nicht ordnungsgemäß verarbeitet werden, da die Ressourcen erschöpft waren. Dies kann daran liegen, dass zu viele gleichzeitige Verbindungen Pufferung (max. 2048) oder übereinstimmende Ressourcen (max. 128) zur gleichen Zeit erfordern oder aufgrund übermäßiger Übereinstimmungen in einem einzelnen IP-Paket (max. 2048) oder einfach, weil das System keinen Speicher mehr hat.
306
Nicht unterstützte SSL-Version
Ein Client hat versucht, eine SSL V2-Sitzung auszuhandeln.
307
Fehler beim Entschlüsseln des Pre-Master-Schlüssels
Fehler beim Entschlüsseln des Pre-Master-Secrets aus der ClientKeyExchange-Nachricht.
308
Client hat versucht, ein Rollback durchzuführen
Ein Client hat versucht, auf eine frühere Version des SSL-Protokolls zurückzusetzen als die, die in der ClientHello-Nachricht angegeben war.
309
Erneuerungsfehler
Eine SSL-Sitzung wurde mit einem zwischengespeicherten Sitzungsschlüssel angefordert, der nicht gefunden werden konnte.
310
Schlüsselaustauschfehler
Der Server versucht, eine SSL-Sitzung mit einem temporär generierten Schlüssel aufzubauen.
311
Maximale Anzahl von SSL-Schlüsselaustauschen überschritten
Die maximale Anzahl gleichzeitiger Schlüsselaustauschanfragen wurde überschritten.
312
Schlüssel zu groß
Die Hauptgeheimschlüssel sind größer als vom Protokollbezeichner angegeben.
313
Ungültige Parameter im Handshake
Ein ungültiger oder unvernünftiger Wert wurde beim Versuch, das Handshake-Protokoll zu dekodieren, gefunden.
314
Keine Sitzungen verfügbar
315
Komprimierungsmethode nicht unterstützt
316
Nicht unterstütztes Anwendungs-Schicht-Protokoll
Ein unbekanntes oder nicht unterstütztes SSL-Anwendungsschichtprotokoll wurde angefordert.
385
Fehleroffen: Verweigern
Protokollieren Sie das Paket, das verworfen werden sollte, jedoch nicht, wenn die Fail-Open-Funktion aktiviert ist und im Tap-Modus.
500
URI-Pfad-Tiefe überschritten
Zu viele "/"-Trennzeichen. Maximale Pfadtiefe: 100.
501
Ungültige Traversierung
Versucht, "../" über das Stammverzeichnis hinaus zu verwenden.
502
Illegales Zeichen in URI
Illegal Zeichen in URI verwendet.
503
Unvollständige UTF8-Sequenz
URI endete in der Mitte einer UTF-8-Sequenz.
504
Ungültige UTF8-Kodierung
Ungültiger oder nicht kanonischer Kodierungsversuch.
505
Ungültige Hex-Codierung
%nn, wobei nn keine Hexadezimalziffern sind.
506
URI-Pfad zu lang
Pfadlänge ist größer als 512 Zeichen.
507
Ungültige Verwendung des Zeichens
Verwendung von deaktivierten Zeichen
508
Doppelte Decodierungsexploit
Doppeltes Decodierungs-Exploit-Versuch (%25xx, %25%xxd, usw.).
700
Ungültiger Base64-Inhalt
Der erwartete Paketinhalt im Base64-Format wurde nicht korrekt kodiert.
710
Beschädigter Deflate/GZIP-Inhalt
Der erwartete Paketinhalt im Base64-Format wurde nicht korrekt kodiert.
711
Unvollständiger Deflate-/GZIP-Inhalt
Unvollständiger Deflate-/GZIP-Inhalt
712
Deflate/GZIP-Prüfsummenfehler
Deflate/GZIP-Prüfsummenfehler.
713
Nicht unterstütztes Deflate/GZIP-Wörterbuch
Nicht unterstütztes Deflate/GZIP-Wörterbuch.
714
Nicht unterstütztes GZIP-Headerformat/-methode
Nicht unterstütztes GZIP-Headerformat oder -methode.
801
Protokoll-Dekodierungs-Suchlimit überschritten
Eine Protokoll-Dekodierungsregel definierte ein Limit für ein Such- oder PDU-Objekt, aber das Objekt wurde nicht gefunden, bevor das Limit erreicht wurde.
802
Protokoll-Dekodierungsbeschränkungsfehler
Eine Protokoll-Dekodierungsregel hat Daten dekodiert, die die Protokollinhaltsbeschränkungen nicht erfüllten.
803
Protokoll-Dekodierungs-Engine Interner Fehler
804
Protokoll-Dekodierungsstruktur zu tief
Eine Protokoll-Dekodierungsregel stieß auf eine Typdefinition und Paketinhalt, die dazu führten, dass die maximale Typverschachtelungstiefe (16) überschritten wurde.
805
Fehler im Protokoll-Dekodierungsstapel
Ein Programmierfehler in der Regel versuchte, Rekursion zu verursachen oder zu viele verschachtelte Prozeduraufrufe zu verwenden.
806
Unendlicher Daten-Schleifenfehler
Zugehörige Informationen