ID сессии

session-id

Уникальный среди всех устройств Kaspersky NGFW идентификатор сессии.

Имя правила безопасности

rule-name

Название правила фильтрации сетевого трафика. При изменении названия правила фильтрации в политике оно изменится и в Менеджере сессий.

Дата/время открытия

create-datetime

Дата и время создания сессии.

Дата/время закрытия

close-datetime

Дата и время закрытия сессии.

Продолжительность (сек.)

duration

Время жизни сессии в секундах.

Время последней активности

last-active-time

Дата и время получения последнего пакета в рамках текущей сессии.

Устаревание

last-active-aging

Время, прошедшее с последнего полученного пакета в секундах.

Метасостояние сессии

meta-state

Метасостояние сессии.

Состояние протокола в сессии

protocol-state

Состояние протокола в сессии.

Пакеты

packets

Общее количество пакетов, полученных в рамках сессии.

Пакеты клиент-сервер

packets-c2s

Количество пакетов, полученных от клиента.

Пакеты сервер-клиент

packets-s2c

Количество пакетов, полученных от сервера.

Байты

bytes

Общее количество байт, полученных в рамках сессии.

Байты клиент-сервер

bytes-c2s

Количество байт, полученных от клиента.

Байты сервер-клиент

bytes-s2c

Количество байт, полученных от сервера.

IP источника

source-address

IP-адрес источника.

IP назначения

destination-address

IP-адрес назначения.

Протокол

transport-protocol

Протокол транспортного уровня.

URL

–

Распознанный веб-адрес или массив веб-адресов.

Порт источника

source-port

Порт источника для TCP и UDP. Для ICMP отображается ICMP ID. Для остальных протоколов – недоступно (N/A).

Порт назначения

destination-port

Порт назначения для TCP и UDP. Для ICMP отображается ICMP ID. Для остальных протоколов – недоступно (N/A).

Тип ICMP

icmp-type

Тип ICMP. Для протоколов, отличных от ICMP, в таблице указывается пустое значение.

Для протокола ICMP значение указывается в следующем формате: {<номер ICMP-типа ICMP-запроса> / <номер ICMP-типа ICMP-ответа>}.

Код ICMP

icmp-code

Код ICMP. Для протоколов, отличных от ICMP, в таблице указывается пустое значение.

Для протокола ICMP значение указывается в следующем формате: {<ICMP-код ICMP-запроса> / <ICMP-код ICMP-ответа>}.

При получении ICMP-сообщения с кодами ICMP, которые недоступны администратору для настройки, поле все равно заполняется.

TCP-перенаправление

tcp-redirected

Параметр, показывающий, была ли сессия перенаправлена на прозрачный TCP-прокси. Возможные значения:

• Да.
• Нет.

Для UDP- и ICMP-сессий – всегда Нет.

Расшифровано

decrypted

Параметр, показывающий, была ли сессия расшифрована. Возможные значения:

• Да.
• Нет.

Название правила расшифровки

decrypt-rule-name

Название правила расшифровки сетевого трафика. При изменении названия правила расшифровки в политике оно изменится и в Менеджере сессий.

Цепочка приложения

–

Цепочка приложений, использованных в сессии.

Клиентское приложение

client-app

Клиентское приложение.

Категория прикладного сервиса

–

Категория сервиса или список категорий сервисов, к которым было обращение от клиента.

Прикладные протоколы

app-protocol

Протоколы прикладного уровня. Полный список перечислен в статье Список возможных значений протоколов.

Если транспорт осуществляется не по UDP и TCP, в том числе если использование UDP и TCP не распознано, выводится значение –.

Прикладной сервис

app-service

Прикладной сервис.

Действие

rule-action

Действие, применяемое к трафику.

Возможные значения:

• block – блокировать трафик.

  Сессия переводится в статус DISCARD, и все пакеты этой сессии отбрасываются.

• allow – разрешать трафик.
• inspect – разрешать трафик и включать его дополнительные проверки механизмами безопасности, которые объединены в группы профилей безопасности.

Полное совпадение

full-match

Параметр, показывающий, попадает ли сессия под какое-либо правило фильтрации.

Возможные значения:

• yes – в этом случае значение поля Действие всегда будет соответствовать значению Действие из правила фильтрации, которому соответствует сессия;
• no – в этом случае значение поля Действие всегда будет inspect.

Профиль Антивируса

av-profile

Профиль механизма безопасности Антивирус, примененный в сессии. Возможные значения:

• no;
• default;
• название профиля Антивируса.

Профиль IDPS

ids-profile

Профиль механизма безопасности IDPS, примененный в сессии. Возможные значения:

• no;
• default;
• название профиля IDPS.

Профиль Веб-Контроля

wc-profile

Профиль механизма безопасности Веб-Контроля, примененный в сессии. Возможные значения:

• no;
• default;
• название профиля Веб-Контроля.

Профиль защиты DNS-трафика

dnssec-profile

Профиль механизма безопасности Защита DNS-трафика, примененный в сессии. Возможные значения:

• no;
• default;
• название профиля Защиты DNS-трафика.

Причина завершения

end-reason

Причина завершения сессии.

Отображаются только сессии, для которых есть причина завершения, но время ожидания до удаления сессии из Kaspersky NGFW еще не прошло.

В разделе Менеджер сессий причины завершения отображаются только для сессий в метасостоянии DISCARD или состоянии протокола TCP_TIME_WAIT. Дополнительные причины завершения доступны в Журнале сессий.

Возможные значения:

• blocked by rule – сессия попадает под правило фильтрации с действием block.
• blocked by DNS security engine – механизм безопасности Защита DNS-трафика заблокировал угрозу.
• blocked by WC engine – механизм безопасности Веб-Контроль заблокировал угрозу.
• blocked by IDPS engine – механизм безопасности IDPS заблокировал угрозу.
• blocked by AV engine – механизм безопасности Антивирус заблокировал угрозу.
• decryption error – во время расшифровки обнаружены ошибки, например: неподдерживаемые параметры (такие как версия SSL, наборы шифров, алгоритмы), непройденная валидация, ошибки в протоколе.
• client sent TCP RST – клиент отправил RST.
• server sent TCP RST – сервер отправил RST.
• server and client sent TCP FIN – хосты обменялись FIN.
• timeout expired – сессия, которая находилась в состоянии, отличном от time-wait и discard, удалена по истечению времени ожидания. Сюда не относятся сессии, закрытые по FIN, RST, правилу pf или механизмами безопасности.

  Отображается только в журнале сессий.

• manual – сессия, которая находилась в состоянии, отличном от time-wait и discard, удалена вручную.

  Отображается только в журнале сессий.

При возникновения ошибки механизма безопасности сессия не завершается автоматически и причина завершения не отображается в таблице. В зависимости от механизма безопасности, на котором произошла ошибка, Kaspersky NGFW выполняет одно из следующих действий: отправляет TCP RST и удаляет сессию (Инспектирование SSL), обходит пакет (bypass) в режиме прокси или отбрасывает пакет в режиме прямого управления (DPI и IDPS), обходит пакет (Веб-Контроль), отправляет TCP RST и удаляет сессию для DNS по протоколу TCP или отбрасывает пакет для DNS по протоколу UDP (Защита DNS-трафика).

-

address

IP-адрес, соответствующий IP-адресу источника или назначения. Может использоваться как дополнительный параметр в фильтре, чтобы указать одновременно источник и назначение.

-

port

Порт, соответствующий порту источника или назначения. Может использоваться как дополнительный параметр в фильтре, чтобы указать одновременно источник и назначение.