异常/攻击详情

报表功能

异常/攻击详情记录了所有异常/攻击的详细信息,协助定位异常/攻击事件。

参数说明

表1 异常/攻击详情查询参数
参数 说明
方向 从下拉列表选择“Inbound”“Outbound”方向类型。
设备

从下拉列表中选择设备。
防护对象 单击,在弹出的“防护对象”界面中选中一个防护对象,单击“确定”
IP地址 输入目的IP地址,支持IPv4和IPv6两种格式。表示查询的是去往此防护对象IP地址的异常/攻击详情。
时间 分别单击,选择查询的开始时间和结束时间,或直接在输入框中修改时间。

结束时间应大于开始时间,且查询时间间隔不能超过一年。
类型 选择日志类型。包括“全部”“异常”“攻击”
最小入流量峰值

配置最小入流量峰值。
最小攻击流量峰值

仅选择清洗设备时可配置。
单位

选择流量单位。流量单位有“pps”和“kbps”两种。默认为“pps”。
说明:
防护对象的流量和正常的流量模型不一致,即流量值超出防御策略中配置的阈值,即为异常事件。 清洗设备上检测到流量异常后,已启用防御,开始丢包,即发生攻击事件。

报表展示

设备为“bj-清洗”,防护对象选择“全部”时,某个时间内查询到的流量异常/攻击详情如图1所示。

图1 清洗设备异常/攻击详情

图2 清洗设备异常/攻击明细

设备为“bj-检测”,防护对象选择“全部”时,某个时间内查询到的流量异常/攻击详情如图3所示。

图3 检测设备异常/攻击详情

图4 检测设备异常/攻击明细

操作步骤

  1. 选择报表 > 专项报表 > 异常/攻击分析
  2. 选择“异常/攻击详情”页签。
  3. 输入查询参数。
  4. 单击“查询报表”。异常/攻击详情如图1图3所示。

    显示符合查询条件的异常/攻击详情。

  5. “异常/攻击详情”界面,单击,查看异常/攻击的明细。

    • 单击,查看当前异常/攻击事件关联的抓包文件。

      说明:

      NFA2000V设备不支持此功能。

      对抓包文件可执行攻击溯源、报文解析和下载操作,从而获取攻击者的详细信息及特征,为制定合理的防御策略提供依据。具体请参见对抓包文件攻击溯源对抓包文件报文解析下载抓包文件

      部分异常/攻击事件不支持查看关联的抓包文件。

    • 单击,查看单次攻击的时间曲线图及攻击流量详细数据。

  6. 可选:以文件形式打开或保存查询结果,或将查询的报表发送到指定邮箱。

    • 单击,以PDF文件的形式打开或保存查询结果。最多只能显示10000条数据。
    • 单击,以EXCEL文件的形式打开或保存查询结果。最多只能显示10000条数据。
    • 单击,输入收件人邮箱并选择附件格式,单击“确定”

父主题: 异常/攻击分析
版权所有 © 华为技术有限公司