Журналы защиты от сетевых угроз: Журнал трафика

Журнал трафика позволяет просмотреть информацию о событиях брандмауэра, в том числе о сетевых атаках и попытках вторжения. В журнале отображается список событий входящего или исходящего трафика, если компьютер подключен к сети.

Табл.: Команды меню "Журнал трафика" содержит задачи, которые можно выполнить с помощью команд меню Журнал трафика.

Табл.: Команды меню "Журнал трафика"

Меню

Описание

Файл

Позволяет выполнить следующие действия.

  • Очистить

    Удаляет все записи журнала.

  • Экспорт

    Сохранить все записи журнала в текстовый файл, разделенный символами табуляции, который можно использовать в других приложениях.

  • Изменить параметры (только для неуправляемого клиента)

    Открывает диалоговое окно, позволяющее изменить параметры защиты от сетевых угроз.

  • Параметры (только для управляемого клиента)

  • Выход

    Закрывает журнал.

Правка

Позволяет выполнить следующие действия.

  • Копировать

    Копирует выбранные записи журнала в буфер обмена.

  • Выбрать все

    Выбрать отображаемые записи журнала. Затем их можно скопировать и вставить в другое приложение.

Показать

Переключиться с просмотра одного журнала на просмотр другого или сменить представление можно с помощью следующих команд:

  • Журнал трафика или Журнал пакетов

    Показать другой журнал.

  • Локальное представление и Исходное представление

    Набор показываемых столбцов зависит от выбранного вида. Локальный вид показывает данные с учетом локального и удаленного порта. Обычно такой вид используется на сервере брандмауэра. Если выбран исходный вид, то данные будут показаны с учетом исходного и целевого порта. Обычно такой вид используется на сетевом брандмауэре.

    Табл.: Локальный вид и исходный вид содержит столбцы, которые отображаются в локальном и исходном видах.

Фильтр

Показывает записи журнала, сделанные за определенное число дней или с учетом серьезности.

Действие

Позволяет выполнить следующие действия.

  • Обратный путь

    Выполняет обратное отслеживание источника пакетов данных. Возможно, потребуется найти сведения о хосте-отправителе в пакетах данных, которые использовались при попытках атак. Обратите внимание, что не все записи поддерживают обратное отслеживание.

  • Остановить активный ответ

    Разрешает трафик с выбранного хоста, ранее блокированный клиентом.

  • Остановить все активные ответы

В управляемом клиенте могут быть доступны не все приведенные выше функции. Действия, которые не подходят для конкретной записи, также отображаются недоступными.

Табл.: Локальный вид и исходный вид содержит столбцы таблиц, которые отображаются в локальном и исходном видах.

Табл.: Локальный вид и исходный вид

Столбец

Описание

Дата и время

Дата и время регистрации события в журнале.

Действие

Действие с трафиком, выполненное клиентом. Клиент блокирует или разрешает трафик.

Серьезность

Уровень серьезности трафика, от 1 до 10.

Направление

Направление передачи трафика (входящий или исходящий).

Протокол

Тип протокола: UDP, TCP или ICMP.

Удаленный или исходный хост

Компьютер, на котором размещен текущий вид. Могут быть показаны следующие поля.

  • Удаленный хост (локальный вид)

    Имя удаленного компьютера.

  • Исходный хост (исходный вид)

    Имя исходного компьютера.

Удаленный или исходный MAC-адрес

MAC-адрес в текущем виде. Могут быть показаны следующие поля.

  • Удаленный MAC-адрес (локальный вид)

    MAC-адрес удаленного компьютера. Если компьютер находится в другой подсети, здесь будет указан MAC-адрес маршрутизатора.

  • Исходный MAC-адрес (исходный вид)

    MAC-адрес исходного компьютера.

Удаленный или исходный порт

Порт в текущем виде. Могут быть показаны следующие поля.

  • Удаленный порт (локальный вид)

    Порт и тип ICMP на удаленном компьютере (только если выбран локальный вид)

  • Исходный порт (исходный вид)

    Порт и тип ICMP на исходном компьютере (только если выбран исходный вид)

Локальный или целевой хост

Хост в текущем виде. Могут быть показаны следующие поля.

  • Локальный хост (локальный вид)

    IP-адрес локального компьютера.

  • Целевой хост (исходный вид)

    IP-адрес целевого компьютера.

Локальный MAC-адрес или целевой MAC-адрес

MAC-адрес в текущем виде. Могут быть показаны следующие поля.

  • Локальный MAC-адрес (локальный вид)

    MAC-адрес локального компьютера. Если компьютер находится в другой подсети, здесь будет указан MAC-адрес маршрутизатора.

  • Целевой MAC-адрес (исходный вид)

    MAC-адрес целевого компьютера.

Локальный или целевой порт

Порт в текущем виде. Могут быть показаны следующие поля.

  • Локальный порт (локальный вид)

    Порт, применявшийся на компьютере для передачи пакета.

  • Целевой порт (исходный вид)

    Порт, применявшийся на целевом компьютере для передачи пакета.

Приложение

Путь и имя приложения, связанного с трафиком.

Пользователь

Имя пользователя.

Домен пользователя

Имя домена сервера, в котором работает клиент.

Расположение

Расположение (такое как офис, дом или VPN), применявшееся в момент передачи трафика.

Экземпляры

Количество пакетов, переданных с начала до окончания трафика.

Начальное время

Время начала передачи трафика, соответствующего правилу.

Конечное время

Время окончания передачи трафика, соответствующего правилу.

Правило

Правило, разрешающее или блокирующее этот трафик.

Если в журналах защиты от угроз из сети и управления клиентами есть дополнительная информация, она будет показана следующим образом: