Für allgemeine bewährte Verfahren im Zusammenhang mit Ereignissen siehe Ereignisse in Server- und Workload Protection.
Um die von Server- und Workload Protection erfassten Protokollinspektionsereignisse zu sehen, gehen Sie zu .
Welche Informationen werden für Protokollinspektionsereignisse angezeigt?
Diese Spalten können auf der Seite mit den Protokollinspektionsereignissen angezeigt
werden. Sie können auf Columns klicken, um auszuwählen, welche Spalten in der Tabelle angezeigt werden.
- Zeit: Zeitpunkt, zu dem das Ereignis auf dem Computer stattfand.
- Computer: Der Computer, auf dem dieses Ereignis protokolliert wurde. (Wenn der Computer entfernt wurde, wird dieser Eintrag "Unbekannter Computer" lauten.)
- Grund: Die mit diesem Ereignis verknüpfte Protokollinspektionsregel.
- Tag(s): Alle mit dem Ereignis verbundenen Tags.
- Beschreibung: Beschreibung der Regel.
- Rang: Das Bewertungssystem bietet eine Möglichkeit, die Bedeutung von Ereignissen zu quantifizieren. Indem "Asset-Werte" Computern zugewiesen und "Schweregrad-Werte" den Protokollinspektionsregeln zugeordnet werden, wird die Bedeutung ("Rang") eines Ereignisses berechnet, indem die beiden Werte miteinander multipliziert werden. Dies ermöglicht es Ihnen, Ereignisse nach Rang zu sortieren.
- Schweregrad: Der Schweregradwert der Protokollinspektionsregel.
- Gruppen: Gruppe, zu der die Regel gehört.
- Programmname: Programmname. Dies wird aus dem Syslog-Header des Ereignisses entnommen.
- Ereignis: Der Name des Ereignisses.
- Standort: Woher das Protokoll stammt.
- Quell-IP: Die Quell-IP des Pakets.
- Quellport: Der Quellport des Pakets.
- Ziel-IP: Die Ziel-IP-Adresse des Pakets.
- Zielport: Der Zielport des Pakets.
- Protokoll: Mögliche Werte sind "ICMP", "ICMPV6", "IGMP", "GGP", "TCP", "PUP", "UDP", "IDP", "ND", "RAW", "TCP+UDP" und "Andere: nnn", wobei nnn einen dreistelligen Dezimalwert darstellt.
- Aktion: Die durchgeführte Aktion innerhalb des Ereignisses
- Quellbenutzer: Ursprünglicher Benutzer innerhalb des Ereignisses.
- Zielbenutzer: Zielbenutzer innerhalb des Ereignisses.
- Event HostName: Hostname der Ereignisquelle.
- ID: Jede ID, die als ID aus dem Ereignis dekodiert wird.
- Status: Der dekodierte Status innerhalb des Ereignisses.
- Befehl: Der Befehl, der innerhalb des Ereignisses aufgerufen wird.
- URL: Die URL innerhalb des Ereignisses.
- Daten: Alle zusätzlichen Daten, die aus dem Ereignis extrahiert wurden.
- System Name: Der Systemname innerhalb des Ereignisses.
- Rule Matched: Übereinstimmende Regelnummer.
- Event Origin: Die Server- und Workload Protection-Komponente, von der das Ereignis stammt.
Liste der Sicherheitsereignisse bei der Protokollinspektion
 |
HinweisWeitere Informationen zu Systemereignissen im Zusammenhang mit der Protokollinspektion
finden Sie unter Systemereignisse.
|
|
ID
|
Schweregrad
|
Ereignis
|
|
8100
|
Fehler
|
Engine zur Protokollüberprüfung Fehler
|
|
8101
|
Achtung
|
Engine zur Logüberprüfung Warnung
|
|
8102
|
Info
|
Protokollinspektions-Engine initialisiert
|