Таблица зарегистрированных событий

Вы можете просмотреть таблицу зарегистрированных событий и инцидентов в разделе События веб-интерфейса программы.

По умолчанию таблица зарегистрированных событий и инцидентов обновляется в онлайн-режиме. В начале таблицы отображаются события и инциденты с наиболее поздними значениями даты и времени последнего появления.

Дата и время последнего появления события или инцидента может не совпадать с датой и временем его регистрации (дата и время регистрации отображается в графе Начало). Для события дата и время последнего появления может обновляться в течение времени разрешения повтора для типа этого события. Для инцидента дата и время последнего появления обновляется в соответствии с датой и временем последнего появления событий, входящих в инцидент.

Параметры событий и инцидентов отображаются в следующих графах таблицы:

• Начало.

  Для события, не являющегося инцидентом – дата и время регистрации события. Для инцидента – дата и время регистрации первого события, включенного в инцидент. Вы можете просматривать в таблице дату совместно со временем, либо только дату или только время. Для выбора отображаемой информации нужно установить флажки напротив параметров Дата и/или Время.

• Последнее появление.

  Для события, не являющегося инцидентом – дата и время последнего появления события. Может содержать дату и время регистрации события или дату и время увеличения счетчика повторов события, если повторились условия для регистрации события в течение времени разрешения повтора. Значение счетчика повторов отображается в графе Всего появлений. Для инцидента – самые поздние дата и время последнего появления событий, входящих в инцидент. Аналогично графе Начало, вы можете просматривать в таблице дату совместно со временем, либо только дату или только время.

• Заголовок.

  Заголовок, заданный для типа события.

• Оценка.

  Рассчитанное значение оценки для события. Числовое значение определяет, к какому уровню критичности относится событие. В зависимости от уровня критичности, значение оценки может быть окрашено одним из следующих цветов:

  • Красный – событие с уровнем критичности Высокий.
  • Желтый – событие с уровнем критичности Средний.
  • Синий – событие с уровнем критичности Низкий.
• Отправитель.

  Адрес отправителя сетевых пакетов. Отображение адресов и портов адресной информации можно включать и выключать с помощью следующих параметров (в скобках указаны сокращенные названия для отображения в ячейках таблицы): IP-адрес, Номер порта (P), MAC-адрес, VLAN ID (VID), Адрес прикладного уровня. Если в программу добавлены дополнительные адресные пространства, при настройке таблицы устройств можно включать и выключать отображение имен адресных пространств с помощью параметра Отображать адресные пространства.

• Получатель.

  Адрес получателя сетевых пакетов. Отображение адресной информации можно настраивать аналогично, как для графы Отправитель.

• Протокол.

  Протокол прикладного уровня, при отслеживании которого программа зарегистрировала событие.

• Технология.

  Значок, соответствующий технологии, которая использовалась для регистрации события.

• Всего появлений.

  Для события, не являющегося инцидентом – значение счетчика повторов после регистрации события в течение времени разрешения повтора события. Значение больше 1 означает, что условия для регистрации события повторялись N – 1 раз. Для инцидента в этой графе отображается значение 1.

• ID.

  Уникальный идентификатор зарегистрированного события или инцидента.

• Программа.

  Сведения о программах или приложениях, при работе которых возникли условия для регистрации события. В событии сохраняются данные о программах или приложениях, полученные от EPP-программ.

• Пользователь программы.

  Сведения о пользователе, от имени которого выполнен запуск программы или приложения, указанного в графе Программа.

• Статус.

  Значок, соответствующий статусу события или инцидента.

• Описание.

  Описание, заданное для типа события.

• Завершение.

  Для события, не являющегося инцидентом – дата и время присвоения статуса Обработано, либо дата и время разрешения повтора события. Для инцидента – самые поздние дата и время завершения событий, входящих в инцидент. Аналогично графе Начало, вы можете просматривать в таблице дату совместно со временем, либо только дату или только время.

• Сработавшее правило.

  Для события, не являющегося инцидентом – имя правила контроля процесса или правила обнаружения вторжений, при срабатывании которого зарегистрировано событие. Для инцидента – имя правила корреляции, при срабатывании которого зарегистрирован инцидент.

• Точка мониторинга.

  Точка мониторинга, трафик с которой вызвал регистрацию события.

• Тип события.

  Числовой код, присвоенный типу события.

• Метка.

  Набор значков, которые вы можете установить для любого события или инцидента, чтобы легко находить события и инциденты по критерию, отсутствующему в таблице.

При просмотре таблицы событий и инцидентов вы можете использовать функции настройки, фильтрации, поиска и сортировки.

В начало