Журналы защиты от угроз из сети: журнал трафика

С помощью Журнала трафика можно просмотреть информацию о событиях брандмауэра, включая атаку из сети или попытку вторжения. В журнале отображается список событий входящего или исходящего трафика, если компьютер подключен к сети.

В Табл.: Команды меню Журнала трафика представлены задачи, которые можно выполнить с помощью команд меню Журнала трафика.

Табл.: Команды меню Журнала трафика

Меню

Описание

Файл

Позволяет выполнить следующие задачи:

  • Сброс

    Удалить все записи журнала.

  • Экспорт

    Сохранить все записи журнала в текстовый файл, разделенный символами табуляции, который можно использовать в других приложениях.

  • Изменить параметры (только для клиента с автономным управлением)

    Открыть окно, позволяющее изменить параметры Защиты от угроз из сети.

  • Параметры (только для клиента, управляемого из центрального расположения)

  • Выход

    Закрыть журнал.

Правка

Позволяет выполнить следующие задачи:

  • Копия

    Копировать выбранные записи журнала в буфер обмена.

  • Выбрать все

    Выбрать отображаемые записи журнала. Затем их можно скопировать и вставить в другое приложение.

Показать

Переключиться с просмотра одного журнала на просмотр другого или сменить представление можно с помощью следующих команд:

  • Журнал трафика или Журнал пакетов

    Показать другой журнал.

  • Локальное представление и Исходное представление

    Набор показываемых столбцов зависит от выбранного вида. Если выбран локальный вид, то данные будут показаны в терминах локального порта и удаленного порта. Обычно такой вид используется на сервере брандмауэра. Если выбран исходный вид, то данные будут показаны в терминах исходного порта и целевого порта. Обычно такой вид используется на сетевом брандмауэре.

    В Табл.: Локальное представление и исходное представление представлены столбцы, которые отображаются и в Локальном, и в Исходном представлении.

Фильтр

Показать записи журнала, сделанные за определенное число дней, или по уровню серьезности.

Действие

Позволяет выполнить следующие задачи:

  • Обратный путь

    Проследить происхождение пакетов данных. Возможно, вам потребуется найти в пакетах данных, которые использовались при попытках атак, сведения о хосте-отправителе. Обратите внимание, что не все записи поддерживают обратное прослеживание.

  • Остановить активный ответ

    Разрешить трафик с выбранного хоста, ранее блокированный клиентом.

  • Остановить все активные ответы

На клиенте, управляемом из центрального расположения, пользователю может быть предоставлен доступ не ко всем этим функциям. Действия, недопустимые для данной записи, будут недоступны.

В Табл.: Локальное представление и исходное представление представлены столбцы таблиц, которые отображаются и в локальном, и в исходном представлении.

Табл.: Локальное представление и исходное представление

Столбец

Описание

Дата и время

Дата и время регистрации события в журнале.

Действие

Действия над трафиком, выполненные клиентом. Клиент блокирует или разрешает трафик.

Уровень серьезности

Уровень серьезности трафика, от 1 до 10.

Направление

Направление передачи трафика (входящий или исходящий).

Протокол

Тип протокола: UDP, TCP или ICMP.

Удаленный хост или Исходный хост

Компьютер, на котором открыто текущее представление. Могут быть показаны следующие поля:

  • Удаленный хост (локальный вид)

    Имя удаленного компьютера.

  • Исходный хост (исходный вид)

    Имя исходного компьютера.

Удаленный MAC-адрес или Исходный MAC-адрес

MAC-адрес в текущем представлении. Могут быть показаны следующие поля:

  • Удаленный MAC-адрес (локальный вид)

    MAC-адрес удаленного компьютера. Если компьютер находится в другой подсети, здесь будет указан MAC-адрес маршрутизатора.

  • Исходный MAC-адрес (исходный вид)

    MAC-адрес исходного компьютера.

Удаленный порт или Исходный порт

Порт в текущем представлении. Могут быть показаны следующие поля:

  • Удаленный порт (локальный вид)

    Порт и тип ICMP на удаленном компьютере (только если выбран локальный вид)

  • Исходный порт (исходный вид)

    Порт и тип ICMP на исходном компьютере (только если выбран исходный вид)

Локальный хост или Целевой хост

Хост в текущем представлении. Могут быть показаны следующие поля:

  • Локальный хост (локальный вид)

    IP-адрес локального компьютера.

  • Целевой хост (исходный вид)

    IP-адрес целевого компьютера.

Локальный MAC-адрес или Целевой MAC-адрес

MAC-адрес в текущем представлении. Могут быть показаны следующие поля:

  • Локальный MAC-адрес (локальный вид)

    MAC-адрес локального компьютера. Если компьютер находится в другой подсети, здесь будет указан MAC-адрес маршрутизатора.

  • Целевой MAC-адрес (исходный вид)

    MAC-адрес целевого компьютера.

Локальный порт или Целевой порт

Порт в текущем представлении. Могут быть показаны следующие поля:

  • Локальный порт (локальный вид)

    Порт, применявшийся на компьютере для передачи пакета.

  • Целевой порт (исходный вид)

    Порт, применявшийся на целевом компьютере для передачи пакета.

Приложение

Путь и имя приложения, связанного с трафиком.

Пользователь

Имя пользователя.

Домен пользователя

Имя домена сервера, в котором работает клиент.

Расположение

Расположение (такое как офис, дом или VPN), применявшееся в момент передачи трафика.

Экземпляры

Количество пакетов, переданных с начала до окончания трафика.

Начальное время

Время начала передачи трафика, соответствующего правилу.

Конечное время

Время окончания передачи трафика, соответствующего правилу.

Правило

Правило, разрешающее или блокирующее этот трафик.

Если в Журналах защиты от угроз из сети и Журналах управления клиентами есть дополнительная информация, она будет показана следующим образом: