TSSLTD

User Tools

Site Tools

Trace:
tssltd:журнал_сов

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
Next revision		Previous revision
tssltd:журнал_сов [2024/12/30 23:01] i.sharapovtssltd:журнал_сов [2025/01/13 13:21] (current) r.krestianinov
Line 4: Line 4:
  
 <WRAP indent> <WRAP indent>
-Для просмотра журнала системы обнаружения и предотвращения вторжений необходимо в главном меню выбрать пункт «Журнал событий – Журнал СОВ». В таблице «**Записи в журнале**» представлены события системы обнаружения и предотвращения вторжений. Дополнительные настройки и фильтры позволяют оптимизировать представление данных. По умолчанию в журнале событий отображется последние 50 событий, которые были зафиксированы, интерфвал обновления составляет 10 секунд.+Для просмотра журнала системы обнаружения и предотвращения вторжений необходимо в главном меню выбрать пункт «Журнал событий – Журнал СОВ». В таблице «**Записи в журнале**» представлены события системы обнаружения и предотвращения вторжений. Дополнительные настройки и фильтры позволяют оптимизировать представление данных. По умолчанию в журнале событий отображается последние 50 событий, которые были зафиксированы, интервал обновления составляет 10 секунд.
 </WRAP> </WRAP>
  
Line 21: Line 21:
  
 <WRAP indent> <WRAP indent>
-Журнал событий поддерживает возможность выводить данные журанла событий с учетом дополнительных фильтров, которые можно настраивать администратор системы. Параметры и их описание, которые можно использовать для фильтрации событий, представлены в таблице:+Журнал событий поддерживает возможность выводить данные журнала событий с учетом дополнительных фильтров, которые можно настраивать администратор системы. Параметры и их описание, которые можно использовать для фильтрации событий, представлены в таблице:
  
 ^ Параметр      ^ Описание          ^ Параметр      ^ Описание         
Line 27: Line 27:
 | Дата до           | В данном поле необходимо задать дату в формате ГГГГ-ММ-ДД, до которой необходимо отобразить события. | | Дата до           | В данном поле необходимо задать дату в формате ГГГГ-ММ-ДД, до которой необходимо отобразить события. |
 | Номер             | В данном поле необходимо задать номер сигнатуры. Номер сигнатуры состоит из 7-ми цифр.     | | Номер             | В данном поле необходимо задать номер сигнатуры. Номер сигнатуры состоит из 7-ми цифр.     |
-| Политика          | В данном поле необходимо задать одну из доступны политик.     |+| Политика          | В данном поле необходимо задать одну из доступных политик.     |
 | Классификация     | В данном поле необходимо задать один из доступных классов.     | | Классификация     | В данном поле необходимо задать один из доступных классов.     |
 | Приоритет         | В данном поле необходимо задать один из доступных приоритетов.     | | Приоритет         | В данном поле необходимо задать один из доступных приоритетов.     |
 | Протокол          | В данном поле необходимо задать один из доступных протоколов.     | | Протокол          | В данном поле необходимо задать один из доступных протоколов.     |
-| IP истоника       | В данном поле неоходимо задать сетевой адрес источника.     | +| IP источника       | В данном поле необходимо задать сетевой адрес источника.     | 
-| Порт источника    | В данном поле неоходимо задать сетевой порт источника.     | +| Порт источника    | В данном поле необходимо задать сетевой порт источника.     | 
-| IP назначения     | В данном поле неоходимо задать сетевой адрес назначения.     | +| IP назначения     | В данном поле необходимо задать сетевой адрес назначения.     | 
-| Порт назначения   | В данном поле неоходимо задать сетевой порт назначения.     | +| Порт назначения   | В данном поле необходимо задать сетевой порт назначения.     | 
-| Pcap              | В данном поле неоходимо задать номер pcap файла.     |+| Pcap              | В данном поле необходимо задать номер pcap файла.     |
  
 </WRAP> </WRAP>
  
-==== Сохранение pcap ====+==== Гибкая настройка фильтра при поиске данных ====
  
 <WRAP indent> <WRAP indent>
 +При работе с фильтрами можно использовать дополнительные возможности поиска. Рассмотрим несколько вариантов:
 +
 +  - Задаем точное значение. В этом случае поиск осуществляется по всем полю вне зависимости от позиции значения, которое мы ищем.
 +  - Задаем значение и далее указываем символ <wrap hi>*</wrap>. В этом случае поиск искомого значения осуществляется в начале поля.
 +  - Задаем символ <wrap hi>*</wrap> и далее указываем значение. В этом случае поиск искомого значения осуществляется в конце поля.
 +
 +Рассмотрим несколько примеров.
 +
 +**Свободный поиск в поле номер сигнатуры.** Для примера осуществим поиск значения 10. Так как дополнительные ключи для поиска не заданы, то устройство отобразило все возможные варианты, где в поле номер сигнатуры встречается значение "**10**".
 +{{ :tssltd:ids_filter_ex_1.png |}} 
 +
 +
 +**Поиск по первому октету в поле ip адрес источника.** Для примера осуществим поиск значения 45. При этом зададим дополнительный ключ, чтобы поиск осуществлялся только по первому октету. Для этого необходимо ввести значение "**45.***".
 +{{ :tssltd:ids_filter_ex_2.png |}}
 +
 +
 +**Поиск последней цифре в поле порт источника.** Для примера осуществим поиск значения 9. При этом зададим дополнительный ключ, чтобы поиск осуществлялся только по последнему числу номера порта источника. Для этого необходимо ввести значение "***9**".
 +{{ :tssltd:ids_filter_ex_3.png |}}
 +
 </WRAP>  </WRAP> 
  
-В поле «**Дата и время**» необходимо задать дату и время для просмотра событий в журнале. Если дата и время не заданы, то для просмотра будет доступен весь журнал событий. В поле «**Название интерфейса**» необходимо задать сетевой интерфейс. В поле «Политика» необходимо задать политику системы обнаружения вторжений. В поле «**Классификация**» необходимо задать классификацию системы обнаружения вторжений. В поле «**Версия протокола**» необходимо задать версию протокола. В поле «**Протокол**» необходимо выбрать протокол TCP или UDP. +==== Сохранение pcap ====
-  +
-</WRAP>+
  
-По умолчанию в журнале событий отображается 10 последних записей. Для задания большего количества записей необходимо выбрать количество и нажать на кнопку «**Показать**». +<WRAP indent> 
-Для выгрузки журнала событий в файл необходимо нажать на кнопку «**Сохранить в файл**» и задать путь для сохранения файла с журналом событий+Если при настройке механизма обнаружения и предотвращения сетевых атак был активирован механизм сохранения сетевого трафика атаки в формате pcap, то для каждого сообщения в журнале событий будет записал образец трафика. Для сохранения pcap файла необходимо кликнуть левой кнопкой мыши по названию pcap файлаЕсли для нескольких профилей сетевых атак будет подходить один и тот же образец сетевого трафикато в этом случае будет сохранен один pcap файл.  
-Система обнаружения вторжений позволяет сохранять pcap файл с сетевой атакой, которая быта обнаружена системой. Для сохранения pcap файла с сетевой атакой необходимо выделить сетевую атаку и нажать на кнопку «**Сохранить Pcap файл**».+</WRAP> 
  
 [[tssltd:мксз_diamond_next|Вернуться к оглавлению]] [[tssltd:мксз_diamond_next|Вернуться к оглавлению]]
tssltd/журнал_сов.1735588864.txt.gz · Last modified: 2024/12/30 23:01 by i.sharapov
Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki