RG-IDS報(bào)表和查詢工具手冊(cè)

1、RG-IDS報(bào)表和查詢工具手冊(cè)2007年01月目錄版權(quán)聲明1前言3簡(jiǎn)介3支持信息3報(bào)表管理4概述4報(bào)表查詢形式4統(tǒng)計(jì)報(bào)表分類4報(bào)表管理窗口5菜單介紹5工具欄7時(shí)間過(guò)濾欄7報(bào)表工作區(qū)7報(bào)表顯示區(qū)8查詢工具窗口8菜單介紹9日志服務(wù)器樹(shù)區(qū)域9查詢結(jié)果摘要區(qū)域10查詢結(jié)果詳細(xì)信息區(qū)域10報(bào)表生成器應(yīng)用11概述11報(bào)表登錄界面11設(shè)置數(shù)據(jù)服務(wù)器（LogServer）12查看報(bào)表13添加文件夾14展開(kāi)文件夾14收攏文件夾14添加報(bào)表15刪除文件夾或報(bào)表16導(dǎo)出報(bào)表17打印報(bào)表17發(fā)送郵件18更改報(bào)表主窗口顯示內(nèi)容和風(fēng)格18雙語(yǔ)切換19本地升級(jí)19查詢工具的應(yīng)用20安全事件查詢工具登錄界面20添加日志服務(wù)器

2、21刪除日志服務(wù)器21添加查詢21添加查詢22設(shè)置查詢條件22中止查詢29刪除查詢29修改查詢29導(dǎo)出查詢29預(yù)定義報(bào)表30概述30安全事件報(bào)表30告警類別統(tǒng)計(jì)30風(fēng)險(xiǎn)狀況統(tǒng)計(jì)31數(shù)據(jù)統(tǒng)計(jì)31交叉統(tǒng)計(jì)報(bào)表32系統(tǒng)事件報(bào)表33審計(jì)事件報(bào)表34自定義報(bào)表35概述35添加自定義報(bào)表35自定義報(bào)表窗口36報(bào)表模版窗口36過(guò)濾條件窗口37自定義報(bào)表模版37風(fēng)險(xiǎn)狀況統(tǒng)計(jì)模版37告警類別統(tǒng)計(jì)38數(shù)據(jù)統(tǒng)計(jì)38交叉統(tǒng)計(jì)報(bào)表39設(shè)置過(guò)濾條件40TOPN41事件日期41風(fēng)險(xiǎn)狀況42告警類別43事件名稱44傳感器45源IP地址46目標(biāo)IP地址46源端口47目標(biāo)端口48RG-IDS目錄 ii版權(quán)聲明1. 軟件許可協(xié)議請(qǐng)

3、在安裝和使用本產(chǎn)品前認(rèn)真閱讀以下關(guān)于本產(chǎn)品使用許可的條款和條件。在本協(xié)議中，用戶被稱為“許可證持有人”。安裝、復(fù)制、下載、訪問(wèn)或以其它方式使用本軟件，即表示您同意接受本協(xié)議中各項(xiàng)條款的約束。如您不同意本協(xié)議中的條款，請(qǐng)不要安裝或使用本軟件。2. 使用許可銳捷網(wǎng)絡(luò)向許可證持有人提供“授權(quán)使用限制”所指定數(shù)量的完整產(chǎn)品（包括軟件、設(shè)備、文檔）。銳捷網(wǎng)絡(luò)根據(jù)本協(xié)議中的條款以及與許可證持有人簽署的訂單或條款，向許可證持有人授予本產(chǎn)品的使用許可。3. 使用限制本產(chǎn)品是銳捷網(wǎng)絡(luò)或其許可證頒發(fā)者的商業(yè)機(jī)密和私有財(cái)產(chǎn)。許可證持有人及其雇員應(yīng)對(duì)本產(chǎn)品和本協(xié)議條款保密。未經(jīng)銳捷網(wǎng)絡(luò)的書(shū)面特別授權(quán)，任何個(gè)人或組織都

4、不得對(duì)該產(chǎn)品進(jìn)行復(fù)制、修改、設(shè)計(jì)更改、翻譯、反編譯或其它試圖發(fā)現(xiàn)本軟件源代碼的行為；不得使用和更改銳捷網(wǎng)絡(luò)的商標(biāo)；不得對(duì)本軟件進(jìn)行轉(zhuǎn)讓、租賃、出讓。4. 維護(hù)支持在許可證持有人承擔(dān)維護(hù)支持費(fèi)用期間內(nèi)，銳捷網(wǎng)絡(luò)將提供該軟件的維護(hù)和支持服務(wù)。5. 免責(zé)條款本文檔中的信息如有更改，恕不另行通知。如果您是從銳捷網(wǎng)絡(luò)之外的其它來(lái)源得到這些信息的，則其可能已經(jīng)被改變或更改。對(duì)這些信息的使用即表明用戶同意在不附帶任何形式保證的僅此狀態(tài)的條件下使用，用戶須自行承擔(dān)使用這些信息所造成的風(fēng)險(xiǎn)。銳捷網(wǎng)絡(luò)聲明免除任何明示或默示的保證，包括適銷性和適用于某特定用途的保證。無(wú)論何種情況和理由，對(duì)于由對(duì)這些信息的使用或分發(fā)

5、所導(dǎo)致的任何損失，包括直接的、間接的、附帶的、后果性的或特別的損失，銳捷網(wǎng)絡(luò)不負(fù)任何責(zé)任。因此如果您所在的國(guó)家或地區(qū)法律上有上述規(guī)定，銳捷網(wǎng)絡(luò)的前述限制條款可能不適合您，請(qǐng)您謹(jǐn)慎考慮選擇適用的產(chǎn)品。6. 終止許可證持有人可通過(guò)銷毀所有本軟件和相關(guān)文檔的副本隨時(shí)終止本許可的執(zhí)行，本許可不經(jīng)銳捷網(wǎng)絡(luò)事先書(shū)面通知而立即終止和失效。許可證持有人如果不遵守本許可的條款，根據(jù)終止和無(wú)效條款，必須停止使用本軟件并且銷毀所有本軟件及相關(guān)文檔的副本。7. 授權(quán)本軟件旨在檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全性，并且在系統(tǒng)測(cè)試操作中可能會(huì)出現(xiàn)或產(chǎn)生的一些問(wèn)題，被許可方和被許可方的代表保證：(a)他們得到計(jì)算機(jī)網(wǎng)絡(luò)的被許可方和所

6、有者的完全授權(quán)，本軟件經(jīng)許可進(jìn)入這些計(jì)算機(jī)網(wǎng)絡(luò)，并且可以操作軟件以檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)；(b) 被許可方和計(jì)算機(jī)網(wǎng)絡(luò)所有者充分理解并完全接受所涉及的風(fēng)險(xiǎn)。8. 法律責(zé)任被許可方應(yīng)當(dāng)嚴(yán)格遵守上述條款，若有違反，銳捷網(wǎng)絡(luò)將保留一切法律追訴（包括但不限于訴訟、仲裁等）的權(quán)利，以維護(hù)自身的合法權(quán)益。RG-IDS版權(quán)聲明 2前言簡(jiǎn)介Report子系統(tǒng)作為IDS系統(tǒng)的一個(gè)獨(dú)立的部分，主要完成從數(shù)據(jù)服務(wù)器提取數(shù)據(jù)、統(tǒng)計(jì)數(shù)據(jù)和顯示數(shù)據(jù)的功能。本用戶指南介紹了銳捷入侵檢測(cè)系統(tǒng) 報(bào)表子系統(tǒng)的功能和操作使用方法。本指南適合于銳捷入侵檢測(cè)系統(tǒng)的所有用戶。支持信息祝賀您擁有銳捷網(wǎng)絡(luò)產(chǎn)品！銳捷網(wǎng)絡(luò)客服中心福建星網(wǎng)銳捷網(wǎng)絡(luò)有限公

7、司：電話：800-858-1360如果您希望得到更多的關(guān)于銳捷網(wǎng)絡(luò)產(chǎn)品的報(bào)價(jià)、產(chǎn)品信息以及技術(shù)支持等信息，請(qǐng)您查閱我公司網(wǎng)站：。RG-IDS前言 3報(bào)表管理概述Report子系統(tǒng)作為RG-IDS系統(tǒng)的一個(gè)獨(dú)立的部分，主要完成從數(shù)據(jù)服務(wù)器提取數(shù)據(jù)進(jìn)行顯示的功能。報(bào)表查詢形式報(bào)表有兩種形式：1. 統(tǒng)計(jì)報(bào)表在“報(bào)表子系統(tǒng)”中，提供安全事件、系統(tǒng)事件、審計(jì)事件的統(tǒng)計(jì)圖表信息和系統(tǒng)事件、審計(jì)事件的詳細(xì)信息。2. 安全事件明細(xì)查詢?cè)凇鞍踩录樵児ぞ摺敝校峁┎樵兡骋粫r(shí)間段安全事件的詳細(xì)信息列表。統(tǒng)計(jì)報(bào)表分類報(bào)表生成器提供了四類報(bào)表模版：安全事件報(bào)表、系統(tǒng)事件

8、報(bào)表、審計(jì)事件報(bào)表和自定義報(bào)表。1. 安全事件報(bào)表安全事件報(bào)表提供對(duì)于某一時(shí)間段內(nèi)的安全事件的統(tǒng)計(jì)圖表，它按照告警類別、風(fēng)險(xiǎn)狀況、數(shù)據(jù)統(tǒng)計(jì)和交叉統(tǒng)計(jì)分為四類。2. 系統(tǒng)事件報(bào)表系統(tǒng)事件報(bào)表提供某一時(shí)間段內(nèi)的對(duì)于系統(tǒng)事件的統(tǒng)計(jì)圖表。3. 審計(jì)事件報(bào)表審計(jì)事件報(bào)表提供某一時(shí)間段內(nèi)的對(duì)于審計(jì)事件的統(tǒng)計(jì)圖表。4. 自定義報(bào)表自定義報(bào)表是指通過(guò)選擇自定義報(bào)表模版，設(shè)置過(guò)濾條件（過(guò)濾條件包括：TOPN、日期時(shí)間、風(fēng)險(xiǎn)狀況、事件名稱、傳感器、源IP地址、目標(biāo)IP地址、源端口、目標(biāo)端口），生成用戶關(guān)心的相關(guān)統(tǒng)計(jì)報(bào)表。報(bào)表管理窗口報(bào)表管理窗口包括：菜單、工具欄、任務(wù)欄、“報(bào)表工作區(qū)”和“報(bào)表顯示區(qū)”兩個(gè)區(qū)域?！?/p>

9、報(bào)表工作區(qū)”以樹(shù)形結(jié)構(gòu)顯示各類報(bào)表模版；“報(bào)表顯示區(qū)”顯示報(bào)表詳細(xì)內(nèi)容。菜單介紹主界面上包括四個(gè)菜單：文件、查看、工作區(qū)、工具和幫助。文件文件菜單中包括：導(dǎo)出報(bào)表、發(fā)送郵件、打印報(bào)表、打印設(shè)定和退出。 導(dǎo)出報(bào)表：選擇此項(xiàng)，導(dǎo)出當(dāng)前打開(kāi)的報(bào)表到用戶指定的目錄（可以保存為“.rpt”、“.txt”、“html”、“.rtf”四種格式）。 發(fā)送郵件：選擇此項(xiàng)，發(fā)送當(dāng)前打開(kāi)的報(bào)表給指定收件人（可以選擇四種發(fā)送格式“.rpt”、“.txt”、“html”、“.rtf”）。注：要求用戶安裝有微軟的outlook，同時(shí)保證默認(rèn)帳戶可用，否則將不能成功發(fā)送。 打印報(bào)表：打印當(dāng)前打開(kāi)的報(bào)表。 打印設(shè)定：與打印相

10、關(guān)的設(shè)置，包括打印機(jī)設(shè)置、紙張?jiān)O(shè)置、打印方向設(shè)置等。 退出：選擇此項(xiàng)，退出報(bào)表子系統(tǒng)界面。查看查看菜單中包括：報(bào)表工作區(qū)、時(shí)間過(guò)濾欄、工具欄、狀態(tài)欄、XP風(fēng)格和Language。 報(bào)表工作區(qū)：選擇此項(xiàng)，報(bào)表工作區(qū)在主界面上關(guān)閉或打開(kāi)。 時(shí)間過(guò)濾欄：選擇此項(xiàng)，時(shí)間過(guò)濾欄在主界面上關(guān)閉或打開(kāi)。 工具欄：選擇此項(xiàng)，工具欄在主界面上關(guān)閉或打開(kāi)。 狀態(tài)欄：選擇此項(xiàng)，狀態(tài)欄在主界面上關(guān)閉或打開(kāi)。 XP風(fēng)格：選擇此項(xiàng)，可以改變主界面風(fēng)格。系統(tǒng)提供兩種風(fēng)格：XP風(fēng)格或普通風(fēng)格。 Language：選擇此項(xiàng)，可以改變主界面語(yǔ)言。系統(tǒng)提供兩種語(yǔ)言：中文或英文。工作區(qū)工作區(qū)菜單中包括：展開(kāi)文件夾、收攏文件夾、查看報(bào)

11、表、添加報(bào)表、添加文件夾和刪除。 展開(kāi)文件夾：此項(xiàng)用于展開(kāi)報(bào)表工作區(qū)內(nèi)已選定的文件夾。 收攏文件夾：此項(xiàng)用于收攏報(bào)表工作區(qū)內(nèi)已選定的文件夾。 查看報(bào)表：此項(xiàng)用于查看報(bào)表工作區(qū)內(nèi)已選定的報(bào)表，選擇此項(xiàng)系統(tǒng)從數(shù)據(jù)服務(wù)器中讀取數(shù)據(jù)后顯示該報(bào)表。 添加報(bào)表：此項(xiàng)用于在報(bào)表工作區(qū)中選定文件夾中添加新報(bào)表模版。 添加文件夾：此項(xiàng)用于在報(bào)表工作區(qū)中選定文件夾中添加新文件夾。 刪除：此項(xiàng)用于刪除報(bào)表工作區(qū)中的報(bào)表模版或文件夾（注：預(yù)定義的文件夾和報(bào)表模版不能刪除）。工具工具菜單中包括：數(shù)據(jù)服務(wù)器信息設(shè)定、在線升級(jí)和本地升級(jí)。 數(shù)據(jù)服務(wù)器信息設(shè)定：此項(xiàng)用于設(shè)定數(shù)據(jù)服務(wù)器登錄信息，包括：數(shù)據(jù)服務(wù)器名稱和數(shù)據(jù)服務(wù)器

12、地址。 在線升級(jí)：通過(guò)點(diǎn)擊在線升級(jí)從網(wǎng)絡(luò)上下載升級(jí)程序進(jìn)行升級(jí)。 本地升級(jí)：通過(guò)獲取升級(jí)包從本地升級(jí)程序。幫助幫助菜單中包括：內(nèi)容、搜索和關(guān)于。 內(nèi)容：此項(xiàng)用于查看聯(lián)機(jī)幫助的內(nèi)容。 搜索：此項(xiàng)用于通過(guò)搜索方式查看聯(lián)機(jī)幫助的內(nèi)容。 關(guān)于報(bào)表生成器：此項(xiàng)用于查看報(bào)表子系統(tǒng)的版本信息。工具欄工具欄在主界面的左上方，由10個(gè)按鈕組成。這些按鈕的功能在菜單中已經(jīng)介紹，此處不再詳細(xì)介紹。鼠標(biāo)在按鈕上停留一段時(shí)間后，鼠標(biāo)下方就會(huì)出現(xiàn)該按鈕的說(shuō)明。時(shí)間過(guò)濾欄在工具欄在主界面的右上方，可以使用時(shí)間過(guò)濾功能。用戶可以選擇按照預(yù)定義時(shí)間過(guò)濾規(guī)則查看報(bào)表；也可以自定義開(kāi)始時(shí)間和結(jié)束時(shí)間并且設(shè)定TOPX的值。 可以按開(kāi)

13、始和結(jié)束時(shí)間過(guò)濾。首先要在預(yù)定義時(shí)間過(guò)濾框中選擇“自定義”，然后輸入開(kāi)始和結(jié)束時(shí)間，生成的報(bào)表就可以按照自定義的時(shí)間過(guò)濾。 可以設(shè)定TOPX的值（X為小于100的正整數(shù)）。預(yù)定義的時(shí)間過(guò)濾，默認(rèn)值為缺省。報(bào)表工作區(qū)以樹(shù)結(jié)構(gòu)顯示 IDS報(bào)表模版。報(bào)表顯示區(qū)“報(bào)表顯示區(qū)”區(qū)域用來(lái)顯示報(bào)表的內(nèi)容。查詢工具窗口登錄成功后，進(jìn)入主界面，各個(gè)區(qū)域如下圖所示。主界面的3個(gè)區(qū)域中，左邊的服務(wù)器列表和右下的詳細(xì)信息窗口都可以關(guān)閉打開(kāi)。通過(guò)窗口右上的“X”按鈕或“查看”菜單里關(guān)閉，但只能在“查看”菜單里再重新打開(kāi)。菜單介紹主界面上包括四個(gè)菜單：數(shù)據(jù)庫(kù)、查詢、查看和幫助。數(shù)據(jù)庫(kù)數(shù)據(jù)庫(kù)菜單中包括：添加日志服務(wù)器和刪除

14、日志服務(wù)器。查詢查詢菜單中包括：添加查詢、中止查詢、刪除查詢、修改查詢和導(dǎo)出查詢。查看查看菜單中包括：工具欄、狀態(tài)欄、日志服務(wù)器、查詢摘要和詳細(xì)信息。幫助幫助菜單包括：關(guān)于。日志服務(wù)器樹(shù)區(qū)域查詢工具窗口左側(cè)是服務(wù)器和查詢的樹(shù)型列表。日志服務(wù)器樹(shù)型列表共分為4級(jí)顯示。最上一級(jí)是總的根結(jié)點(diǎn)，顯示為日志服務(wù)器；第二級(jí)節(jié)點(diǎn)是用戶添加的日志服務(wù)器，用“IP：Port”的形式顯示；第三級(jí)節(jié)點(diǎn)是用戶每次的查詢，用用戶添加查詢當(dāng)時(shí)的時(shí)間作為顯示；最下一級(jí)是查詢結(jié)果，用事件實(shí)際發(fā)生的“起始時(shí)間終止時(shí)間”顯示；事件查詢結(jié)果分幀顯示，一幀顯示100條事件，每一幀在查詢節(jié)點(diǎn)下單獨(dú)顯示。查詢結(jié)果摘要區(qū)域查詢工具窗口右上

15、是查詢結(jié)果的摘要顯示。用戶在日志服務(wù)器樹(shù)上選擇不同節(jié)點(diǎn)，右邊列表隨之修改，而用戶在摘要窗口選擇事件，它的詳細(xì)信息列表在右下窗口顯示，完全相同的詳細(xì)信息會(huì)被歸并為一條，并以“事件產(chǎn)生時(shí)間(個(gè)數(shù))”的形式顯示每一條詳細(xì)信息的名字。查詢結(jié)果詳細(xì)信息區(qū)域查詢工具窗口右下是查詢結(jié)果的詳細(xì)信息。RG-IDS報(bào)表管理 10報(bào)表生成器應(yīng)用概述報(bào)表應(yīng)用部分介紹了查看報(bào)表、添加報(bào)表、導(dǎo)出報(bào)表、打印報(bào)表等操作。報(bào)表登錄界面可以執(zhí)行以下的任一操作，登錄報(bào)表生成器界面：在控制臺(tái)主窗口，單擊主界面上方“功能菜單”中的“報(bào)表”按鈕在桌面上，雙擊 Report 圖標(biāo)。字段描述事件收集器輸入相關(guān)事件收集器（EC）所安裝的主機(jī)的

16、IP地址。帳號(hào)需要從管理員那里獲得登錄報(bào)表子系統(tǒng)的權(quán)限，由管理員分配帳號(hào)。密碼需要從管理員那里獲得登錄報(bào)表子系統(tǒng)的權(quán)限，由管理員分配密碼。通信端口報(bào)表子系統(tǒng)與EC的通信端口。數(shù)據(jù)服務(wù)器輸入相關(guān)LogServer主機(jī)的IP地址。通信端口報(bào)表子系統(tǒng)與LogServer的通信端口。根證書(shū)/ca.crt - 證書(shū)發(fā)行者的公鑰。證書(shū)文件/client.crt - 自己的公鑰。密鑰加密/client.key - 自己的私鑰。加密口令訪問(wèn)自己私鑰的密碼。對(duì)于安全登錄，IDS系統(tǒng)支持公鑰密碼技術(shù)。公鑰密碼技術(shù)核心思想是使用公鑰密碼算法的用戶有一對(duì)密鑰，其中一個(gè)稱謂私鑰，用于解密消息或?qū)ο⑦M(jìn)行數(shù)字簽名，由用戶

17、自己使用，需妥善保存，防止泄密；另一稱為公鑰，公布在公開(kāi)位置，由其他人使用，其作用是進(jìn)行加密或驗(yàn)證數(shù)字簽名。如果您需要使用“公鑰密碼技術(shù)”來(lái)增加您的系統(tǒng)安全性，請(qǐng)自行了解相關(guān)內(nèi)容，我們不對(duì)此作技術(shù)支持。設(shè)置數(shù)據(jù)服務(wù)器（LogServer）數(shù)據(jù)服務(wù)器即LogServer。設(shè)置數(shù)據(jù)服務(wù)器的步驟：1. 進(jìn)入報(bào)表子系統(tǒng)界面。2. 在“工具”菜單中選擇“數(shù)據(jù)服務(wù)器信息設(shè)定”。3. 彈出數(shù)據(jù)服務(wù)器信息設(shè)置窗口。4. 點(diǎn)擊“增加”按鈕，增加數(shù)據(jù)服務(wù)器（此處可以添加多個(gè)數(shù)據(jù)服務(wù)器，生成報(bào)表時(shí)會(huì)從多個(gè)數(shù)據(jù)服務(wù)器中取數(shù)據(jù)）。5. 在彈出的窗口中輸入服務(wù)器名稱和服務(wù)器地址。字段描述服務(wù)器名稱輸入LogServer所

18、在服務(wù)器（此處可以設(shè)定任意名稱）服務(wù)器地址輸入LogServer所在服務(wù)器IP地址通信端口報(bào)表子系統(tǒng)與LogServer的通信端口。根證書(shū)/ca.crt - 證書(shū)發(fā)行者的公鑰。證書(shū)文件/client.crt - 自己的公鑰。密鑰文件/client.key - 自己的私鑰。加密口令訪問(wèn)自己私鑰的密碼。6. 點(diǎn)擊“測(cè)試”按鈕。7. 測(cè)試 通過(guò)點(diǎn)擊“確定”按鈕。8. 數(shù)據(jù)服務(wù)器添加成功。查看報(bào)表 1. 在“報(bào)表工作區(qū)”中雙擊需要查看的報(bào)表模版。2. 系統(tǒng)正在生成報(bào)表。3. 報(bào)表生成后即可查看報(bào)表。注：如果用戶沒(méi)有增加數(shù)據(jù)服務(wù)器，那么在查看報(bào)表的時(shí)候會(huì)首先彈出數(shù)據(jù)服務(wù)器設(shè)置對(duì)話框，當(dāng)有可用的數(shù)據(jù)服務(wù)器

19、的時(shí)候，才會(huì)生成報(bào)表。添加文件夾1. 在“報(bào)表工作區(qū)”中選中某一的文件夾（注意：新添加的文件夾在選中的文件夾下一級(jí)目錄中）。2. 點(diǎn)擊右鍵，在菜單中選擇“添加文件夾”，或點(diǎn)擊工具欄的“添加文件夾”按鈕。3. 在彈出的窗口中，輸入新添加的文件夾的名稱。4. 點(diǎn)擊“確定”按鈕。新添加的文件夾則顯示在選中文件夾的下一級(jí)目錄中。展開(kāi)文件夾1. 在“報(bào)表工作區(qū)”中選中某一的文件夾。2. 點(diǎn)擊右鍵，在出現(xiàn)的菜單中選擇“展開(kāi)文件夾”；也可以點(diǎn)擊文件夾前面的“+”號(hào)。收攏文件夾1. 在“報(bào)表工作區(qū)”中選中某一的文件夾。2. 點(diǎn)擊右鍵，在出現(xiàn)的菜單中選擇“收攏文件夾”；也可以點(diǎn)擊文件夾前面的“-”號(hào)。添加報(bào)表1

20、. 在“報(bào)表工作區(qū)”中選中某一的文件夾（注意：新添加的報(bào)表在選中的文件夾下一級(jí)目錄中）。2. 點(diǎn)擊右鍵，在出現(xiàn)的菜單中選擇“添加報(bào)表”；也可以點(diǎn)擊工具欄中的“添加報(bào)表”按鈕。3. 在彈出的窗口中進(jìn)行設(shè)置（如何設(shè)置請(qǐng)參見(jiàn)自定義報(bào)表）。4. 點(diǎn)擊“保存”按鈕。新添加的報(bào)表則顯示在選中文件夾的下一級(jí)目錄中。刪除文件夾或報(bào)表1. 在“報(bào)表工作區(qū)中”選中某一的文件夾或者報(bào)表（須為自定義報(bào)表或文件夾）。2. 點(diǎn)擊右鍵，在出現(xiàn)的菜單中選擇“刪除”；也可以點(diǎn)擊工具欄中的“刪除”按鈕 。3. 彈出警告對(duì)話框，選擇“是”。4. 文件夾或報(bào)表被刪除。注：用戶只能刪除自定義的文件夾或者報(bào)表，不能刪除預(yù)定義文件夾和報(bào)表

21、。導(dǎo)出報(bào)表1. 點(diǎn)擊報(bào)表主窗口“文件”菜單中的“導(dǎo)出報(bào)表”。2. 在彈出的窗口中選擇保存路徑。3. 輸入保存名稱，選擇保存格式（可以保存為四種格式“.rpt”、“.txt”、“html”、“.rtf”）。4. 點(diǎn)擊“保存”按鈕。打印報(bào)表1. 在查看報(bào)表窗口中選定需要打印的報(bào)表。2. 點(diǎn)擊報(bào)表主窗口“文件”菜單中的“打印報(bào)表”。3. 在彈出的窗口中輸入打印范圍和份數(shù)。4. 點(diǎn)擊“確定”按鈕。發(fā)送郵件注：要求用戶安裝有微軟的outlook，同時(shí)保證默認(rèn)帳戶可用，否則將不能成功發(fā)送。1. 點(diǎn)擊報(bào)表主窗口“文件”菜單中的“發(fā)送郵件”。2. 輸入收信人地址、抄送地址、郵件標(biāo)題、郵件內(nèi)容并且選擇文件類型。

22、字段描述收信人地址收信人的E-mail地址抄送地址發(fā)送一個(gè)副本給其他收信人郵件標(biāo)題要發(fā)送郵件的標(biāo)題郵件內(nèi)容要發(fā)送郵件的內(nèi)容文件類型選擇發(fā)送附件的文件類型3. 點(diǎn)擊發(fā)送按鈕，郵件被成功發(fā)送。更改報(bào)表主窗口顯示內(nèi)容和風(fēng)格1. 點(diǎn)擊報(bào)表主窗口“查看”菜單中的“報(bào)表工作區(qū)”、“時(shí)間過(guò)濾欄”、“工具欄”、“狀態(tài)欄”或“XP風(fēng)格”。2. 報(bào)表主窗口顯示的內(nèi)容會(huì)隨之更改，風(fēng)格隨之改變。雙語(yǔ)切換1. 點(diǎn)擊報(bào)表主窗口“查看”菜單中的“Language”。2. 在出現(xiàn)的菜單中選擇“中文”或“英文”。3. 報(bào)表主窗口中的文字將隨之切換。本地升級(jí)1. 獲得“本地升級(jí)”的升級(jí)包（升級(jí)光盤等）2. 點(diǎn)擊報(bào)表主窗口“工具”

23、菜單中的“本地升級(jí)”。3. 選擇升級(jí)包所在的目錄。4. 系統(tǒng)在指定目錄下尋找到升級(jí)包，出現(xiàn)“升級(jí)提示”對(duì)話框，繼續(xù)升級(jí)。5. 選擇“是”。6. 系統(tǒng)彈出“升級(jí)提示”對(duì)話框，選擇“是”。7. 系統(tǒng)開(kāi)始升級(jí)軟件，壓縮備份就版本文件。8. 系統(tǒng)正在解壓更新舊版本文件9. 升級(jí)成功，重新啟動(dòng)Report，選擇“是”。RG-IDS報(bào)表生成器應(yīng)用 19查詢工具的應(yīng)用安全事件查詢工具登錄界面登錄界面和操作與console完全相同。字段描述事件收集器輸入相關(guān)事件收集器（EC）所安裝的主機(jī)的IP地址。帳號(hào)需要從管理員那里獲得登錄報(bào)表子系統(tǒng)的權(quán)限，由管理員分配帳號(hào)。密碼需要從管理員那里獲得登錄報(bào)表子系統(tǒng)的權(quán)限，由

24、管理員分配密碼。通信端口安全事件查詢工具與EC的通信端口。根證書(shū)/ca.crt - 證書(shū)發(fā)行者的公鑰。證書(shū)文件/client.crt - 自己的公鑰。密鑰加密/client.key - 自己的私鑰。加密口令訪問(wèn)自己私鑰的密碼。對(duì)于安全登錄，IDS系統(tǒng)支持公鑰密碼技術(shù)。公鑰密碼技術(shù)核心思想是使用公鑰密碼算法的用戶有一對(duì)密鑰，其中一個(gè)稱謂私鑰，用于解密消息或?qū)ο⑦M(jìn)行數(shù)字簽名，由用戶自己使用，需妥善保存，防止泄密；另一稱為公鑰，公布在公開(kāi)位置，由其他人使用，其作用是進(jìn)行加密或驗(yàn)證數(shù)字簽名。如果您需要使用“公鑰密碼技術(shù)”來(lái)增加您的系統(tǒng)安全性，請(qǐng)自行了解相關(guān)內(nèi)容，我們不對(duì)此作技術(shù)支持。添加日志服務(wù)器1

25、. 輸入LogServer所在主機(jī)的IP地址。2. 輸入查詢工具與LogServer的通訊端口。注：如果添加的地址已經(jīng)存在于列表當(dāng)中服務(wù)器樹(shù)當(dāng)中，則不會(huì)再重復(fù)添加。刪除日志服務(wù)器只有用戶在樹(shù)上選擇了日志服務(wù)器，且本服務(wù)器當(dāng)前沒(méi)有查詢進(jìn)行，本功能才能使用。在日志服務(wù)器樹(shù)區(qū)域，右鍵點(diǎn)擊日志服務(wù)器，在出現(xiàn)的菜單中選擇“刪除日志服務(wù)器”系統(tǒng)要求用戶確認(rèn)是否刪除服務(wù)器。服務(wù)器如果被刪除則它的所有查詢也被刪除，無(wú)法恢復(fù)。添加查詢只有用戶在樹(shù)上選擇了日志服務(wù)器，且本服務(wù)器當(dāng)前沒(méi)有查詢進(jìn)行，本功能才能使用。查詢進(jìn)行中，左邊服務(wù)器樹(shù)上的查詢節(jié)點(diǎn)和服務(wù)器節(jié)點(diǎn)圖標(biāo)會(huì)變灰，只能進(jìn)行中止查詢的操作。此時(shí)下方的狀態(tài)條會(huì)顯

26、示提示信息和進(jìn)度條。查詢結(jié)束后，恢復(fù)節(jié)點(diǎn)圖標(biāo)，銷毀進(jìn)度條。在日志服務(wù)器樹(shù)區(qū)域，右鍵點(diǎn)擊日志服務(wù)器，在出現(xiàn)的菜單中選擇“添加查詢”。設(shè)置查詢條件（查詢條件設(shè)置包含：時(shí)間、源IP、源端口、目標(biāo)IP、目標(biāo)端口、事件類型。時(shí)間選擇中，時(shí)間間隔必須小于3個(gè)月。起始和終止時(shí)間可以相同。IP和端口條件設(shè)置中，也可以輸入一段IP(端口)。查詢結(jié)果是這些條件的交集結(jié)果）。設(shè)置查詢條件后，點(diǎn)擊“查詢按鈕”。添加查詢只有用戶在樹(shù)上選擇了日志服務(wù)器，且本服務(wù)器當(dāng)前沒(méi)有查詢進(jìn)行，本功能才能使用。查詢進(jìn)行中，左邊服務(wù)器樹(shù)上的查詢節(jié)點(diǎn)和服務(wù)器節(jié)點(diǎn)圖標(biāo)會(huì)變灰，只能進(jìn)行中止查詢的操作。此時(shí)下方的狀態(tài)條會(huì)顯示提示信息和進(jìn)度條。查

27、詢結(jié)束后，恢復(fù)節(jié)點(diǎn)圖標(biāo)，銷毀進(jìn)度條。在日志服務(wù)器樹(shù)區(qū)域，右鍵點(diǎn)擊“日志服務(wù)器”，在出現(xiàn)的菜單中選擇“添加查詢”。設(shè)置查詢條件設(shè)置查詢條件（查詢條件設(shè)置包含：時(shí)間、源IP、源端口、目標(biāo)IP、目標(biāo)端口、事件等級(jí)選擇、事件內(nèi)容選擇、事件類型和傳感器選擇。查詢結(jié)果是這些條件的交集結(jié)果）。設(shè)置查詢條件后，點(diǎn)擊“查詢按鈕”。時(shí)間選擇選擇需要查詢的事件段。字段描述請(qǐng)選擇事件范圍輸入起始時(shí)間和終止時(shí)間。時(shí)間間隔必須小于3個(gè)月，起始和終止時(shí)間可以相同。定時(shí)查詢輸入定時(shí)查詢的時(shí)間間隔。定時(shí)查詢是作為一項(xiàng)特殊查詢功能使用的，一個(gè)定時(shí)查詢會(huì)在設(shè)定的時(shí)間間隔里使用同一個(gè)查詢條件查詢。對(duì)每一個(gè)日志服務(wù)器，只能有一個(gè)定時(shí)查

28、詢，無(wú)論用戶新建定時(shí)查詢還是派生定時(shí)查詢都會(huì)覆蓋該日志服務(wù)器舊的定時(shí)查詢?cè)O(shè)置。設(shè)置定時(shí)查詢可以在設(shè)置查詢條件的“時(shí)間選擇”選項(xiàng)卡中將“定時(shí)查詢”按鈕打勾，然后輸入定時(shí)查詢的時(shí)間間隔，此時(shí)將不能再設(shè)置“時(shí)間范圍”，程序每次定時(shí)查詢都會(huì)將上次定時(shí)查詢時(shí)間和這次定時(shí)查詢時(shí)間作為查詢的時(shí)間范圍，使得每次查詢結(jié)果都是這一個(gè)時(shí)間間隔內(nèi)的符合其它查詢條件的事件。其他查詢條件和普通查詢意義相同，設(shè)置方法也相同。源IP選擇輸入單一IP地址或輸入IP地址范圍。點(diǎn)擊 “向下”箭頭。輸入的源IP地址或IP地址范圍顯示在“選中的IP地址”列表中。字段描述單一IP某一IP地址。連續(xù)IP連續(xù)IP是指起始IP和終止IP間的一

29、段IP地址。源端口選擇輸入單一端口或者連續(xù)端口。點(diǎn)擊 “向下”箭頭。輸入的“端口”顯示在“選中的端口”中。字段描述單一端口某一端口號(hào)。連續(xù)端口連續(xù)端口是指起始端口和終止端口間的所有端口。目標(biāo)IP選擇輸入單一IP地址或輸入IP地址范圍。點(diǎn)擊 “向下”箭頭。輸入的目標(biāo)IP地址或IP地址范圍顯示在“選中的IP地址”列表中。字段描述單一IP某一IP地址。連續(xù)IP連續(xù)IP是指起始IP和終止IP間的一段IP地址。目標(biāo)端口選擇輸入單一端口或者連續(xù)端口。點(diǎn)擊 “向下”箭頭。輸入的“端口”顯示在“選中的端口”中。字段描述單一端口某一端口號(hào)。連續(xù)端口連續(xù)端口是指起始端口和終止端口間的所有端口。事件等級(jí)選擇選擇查詢

30、事件的等級(jí)。字段描述高風(fēng)險(xiǎn)對(duì)主機(jī)或網(wǎng)絡(luò)的未經(jīng)授權(quán)的訪問(wèn)。中風(fēng)險(xiǎn)訪問(wèn)有可能導(dǎo)致高風(fēng)險(xiǎn)利用的敏感性網(wǎng)絡(luò)數(shù)據(jù)。低風(fēng)險(xiǎn)訪問(wèn)有可能具有敏感性的網(wǎng)絡(luò)數(shù)據(jù)，但不太可能導(dǎo)致高風(fēng)險(xiǎn)利用。信息對(duì)主機(jī)或網(wǎng)絡(luò)的正常連接，對(duì)系統(tǒng)沒(méi)有什么危害，只是對(duì)于連接操作的記錄。攻擊對(duì)主機(jī)、網(wǎng)絡(luò)或網(wǎng)絡(luò)設(shè)備造成威脅或破壞的行為。探測(cè)嘗試對(duì)主機(jī)或網(wǎng)絡(luò)的未經(jīng)授權(quán)的訪問(wèn)，有可能竊取敏感性網(wǎng)絡(luò)數(shù)據(jù)或造成安全漏洞。記錄對(duì)特定網(wǎng)絡(luò)行為的審計(jì)。搜集信息搜集探測(cè)結(jié)果。未知不能確定的告警類別。事件內(nèi)容選擇輸入要查詢的事件內(nèi)容的關(guān)鍵字。事件選擇在“可選事件類型”中選中需要添加事件。點(diǎn)擊 “向下”箭頭。添加的事件顯示在“查詢事件類型”中字段描述可選事件類型

31、傳感器所能檢測(cè)到的所有告警事件類型。查詢事件類型需要查詢的告警事件類型。傳感器選擇輸入傳感器的名稱。點(diǎn)擊 “向下”箭頭。添加的傳感器顯示在“選中的傳感器”列表中。字段描述請(qǐng)輸入傳感器名稱輸入傳感器設(shè)置中傳感器的名稱。選中的傳感器顯示已輸入的傳感器名稱。中止查詢當(dāng)服務(wù)器正在進(jìn)行查詢時(shí)，可以對(duì)該服務(wù)器節(jié)點(diǎn)或者它下面正在查詢的節(jié)點(diǎn)中止查詢操作。在日志服務(wù)器樹(shù)區(qū)域，右鍵點(diǎn)擊日志服務(wù)器，在出現(xiàn)的菜單中選擇“中止查詢”。刪除查詢只有用戶在樹(shù)上選擇了查詢節(jié)點(diǎn)，且本查詢已經(jīng)結(jié)束，本功能才能使用。在日志服務(wù)器樹(shù)區(qū)域，右鍵點(diǎn)擊“查詢節(jié)點(diǎn)”，在出現(xiàn)的菜單中選擇“刪除查詢”。修改查詢只有用戶在樹(shù)上選擇了查詢節(jié)點(diǎn)，且查

32、詢所屬的服務(wù)器沒(méi)有進(jìn)行查詢，本功能才能使用。修改查詢會(huì)恢復(fù)本次查詢的條件，用戶可以在此基礎(chǔ)之上對(duì)條件進(jìn)行修改再查詢，建立新查詢并不會(huì)修改原有查詢的條件和結(jié)果。在日志服務(wù)器樹(shù)區(qū)域，右鍵點(diǎn)擊“查詢節(jié)點(diǎn)”，在出現(xiàn)的菜單中選擇“修改查詢”。設(shè)置查詢條件。點(diǎn)擊“查詢按鈕”。導(dǎo)出查詢只有用戶在樹(shù)上選擇了查詢節(jié)點(diǎn)，且查詢所屬的服務(wù)器沒(méi)有進(jìn)行查詢，本功能才能使用。目前導(dǎo)出只支持txt文本格式。導(dǎo)出結(jié)束后用戶可以選擇刪除本次查詢。RG-IDS查詢工具的應(yīng)用 29預(yù)定義報(bào)表概述預(yù)定義報(bào)表以樹(shù)結(jié)構(gòu)顯示在報(bào)表工作區(qū)中，是通過(guò)總結(jié)大量用戶需求產(chǎn)生的報(bào)表模版。 預(yù)定義報(bào)表分為3大類：安全事件報(bào)表、系統(tǒng)事件報(bào)表和審計(jì)事件報(bào)

33、表。安全事件報(bào)表告警類別統(tǒng)計(jì)星期n告警類別統(tǒng)計(jì)反映本周內(nèi)每天所產(chǎn)生的各類告警類別的事件數(shù)量和攻擊風(fēng)險(xiǎn)的比例分布信息。周告警類別統(tǒng)計(jì)反映本月內(nèi)每周所產(chǎn)生的各類告警類別的事件數(shù)量和攻擊風(fēng)險(xiǎn)的比例分布信息。月告警類別統(tǒng)計(jì)反映本年內(nèi)每月所產(chǎn)生的各類告警類別的事件數(shù)量和攻擊風(fēng)險(xiǎn)的比例分布信息。季度告警類別統(tǒng)計(jì)反映本年內(nèi)每季度所產(chǎn)生的各類告警類別的事件數(shù)量和攻擊風(fēng)險(xiǎn)的比例分布信息。風(fēng)險(xiǎn)狀況統(tǒng)計(jì)星期n風(fēng)險(xiǎn)狀況統(tǒng)計(jì)反映本周內(nèi)每天所產(chǎn)生的各類風(fēng)險(xiǎn)狀況的事件數(shù)量和攻擊風(fēng)險(xiǎn)的比例分布信息。周風(fēng)險(xiǎn)狀況統(tǒng)計(jì)反映本月內(nèi)每周所產(chǎn)生的各類風(fēng)險(xiǎn)狀況的事件數(shù)量和攻擊風(fēng)險(xiǎn)的比例分布信息。月風(fēng)險(xiǎn)狀況統(tǒng)計(jì)反映本年內(nèi)每月所產(chǎn)生的各類風(fēng)險(xiǎn)

34、狀況的事件數(shù)量和攻擊風(fēng)險(xiǎn)的比例分布信息。季度風(fēng)險(xiǎn)狀況統(tǒng)計(jì)反映本年內(nèi)每季度所產(chǎn)生的各類風(fēng)險(xiǎn)狀況的事件數(shù)量和攻擊風(fēng)險(xiǎn)的比例分布信息。數(shù)據(jù)統(tǒng)計(jì)安全事件統(tǒng)計(jì)概要反映攻擊和被攻擊的計(jì)算數(shù)，各風(fēng)險(xiǎn)狀況對(duì)應(yīng)的事件名稱數(shù)，以及事件名稱、源IP、目標(biāo)IP和傳感器的概要統(tǒng)計(jì)信息。目標(biāo)IP數(shù)據(jù)統(tǒng)計(jì)反映與目標(biāo)IP相關(guān)的各類風(fēng)險(xiǎn)狀況的事件數(shù)量、比例分布和攻擊風(fēng)險(xiǎn)比例分布的狀況信息。源IP數(shù)據(jù)統(tǒng)計(jì)反映源IP所產(chǎn)生的各類風(fēng)險(xiǎn)狀況的事件數(shù)量、比例分布和攻擊風(fēng)險(xiǎn)比例分布的狀況信息。傳感器數(shù)據(jù)統(tǒng)計(jì)反映傳感器所產(chǎn)生的各類風(fēng)險(xiǎn)狀況的事件數(shù)量、比例分布和攻擊風(fēng)險(xiǎn)比例分布的狀況信息。事件名稱數(shù)據(jù)統(tǒng)計(jì)反映各風(fēng)險(xiǎn)狀況事件名稱的數(shù)量和分布比例

35、等統(tǒng)計(jì)信息。源端口數(shù)據(jù)統(tǒng)計(jì)反映各風(fēng)險(xiǎn)狀況源端口的數(shù)量和分布比例等統(tǒng)計(jì)信息。目標(biāo)端口數(shù)據(jù)統(tǒng)計(jì)反映各風(fēng)險(xiǎn)狀況目標(biāo)端口的數(shù)量和分布比例等統(tǒng)計(jì)信息。交叉統(tǒng)計(jì)報(bào)表目標(biāo)IP_事件名稱數(shù)據(jù)統(tǒng)計(jì)反映目標(biāo)IP以及事件名稱的數(shù)量和分布比例等統(tǒng)計(jì)信息。源IP_事件名稱數(shù)據(jù)統(tǒng)計(jì)反映源IP以及事件名稱的數(shù)量和分布比例等統(tǒng)計(jì)信息。傳感器_事件名稱數(shù)據(jù)統(tǒng)計(jì)反映傳感器以及事件名稱的數(shù)量和分布比例等統(tǒng)計(jì)信息。告警類別_事件名稱數(shù)據(jù)統(tǒng)計(jì)反映告警類別以及事件名稱的數(shù)量和分布比例等統(tǒng)計(jì)信息。事件名稱_目標(biāo)IP數(shù)據(jù)統(tǒng)計(jì)反映事件名稱以及目標(biāo)IP的數(shù)量和分布比例等統(tǒng)計(jì)信息。事件名稱_源IP數(shù)據(jù)統(tǒng)計(jì)反映事件名稱以及源 IP的數(shù)量和分布比例等

36、統(tǒng)計(jì)信息。事件名稱_傳感器數(shù)據(jù)統(tǒng)計(jì)反映事件名稱以及傳感器的數(shù)量和分布比例等統(tǒng)計(jì)信息。目標(biāo)IP_告警類別數(shù)據(jù)統(tǒng)計(jì)反映目標(biāo)IP以及告警類別的數(shù)量和分布比例等統(tǒng)計(jì)信息。源IP_告警類別數(shù)據(jù)統(tǒng)計(jì)反映源IP以及告警類別的數(shù)量和分布比例等統(tǒng)計(jì)信息。傳感器_告警類別數(shù)據(jù)統(tǒng)計(jì)反映傳感器以及告警類別的數(shù)量和分布比例等統(tǒng)計(jì)信息。源端口_告警類別數(shù)據(jù)統(tǒng)計(jì)反映源端口以及告警類別的數(shù)量和分布比例等統(tǒng)計(jì)信息。目標(biāo)端口_告警類別數(shù)據(jù)統(tǒng)計(jì)反映目標(biāo)端口以及告警類別的數(shù)量和分布比例等統(tǒng)計(jì)信息。事件名稱_告警類別數(shù)據(jù)統(tǒng)計(jì)反映事件名稱以及告警類別的數(shù)量和分布比例等統(tǒng)計(jì)信息。源IP_源端口數(shù)據(jù)統(tǒng)計(jì)反映源IP以及源端口的數(shù)量和分布比例等

37、統(tǒng)計(jì)信息。目標(biāo)IP_目標(biāo)端口數(shù)據(jù)統(tǒng)計(jì)反映目標(biāo)IP以及目標(biāo)端口的數(shù)量和分布比例等統(tǒng)計(jì)信息。風(fēng)險(xiǎn)狀況_事件名稱數(shù)據(jù)統(tǒng)計(jì)反映風(fēng)險(xiǎn)狀況以及事件名稱的數(shù)量和分布比例等統(tǒng)計(jì)信息。系統(tǒng)事件報(bào)表系統(tǒng)事件統(tǒng)計(jì)概要反映各風(fēng)險(xiǎn)狀況對(duì)應(yīng)的系統(tǒng)事件名稱數(shù)，以及系統(tǒng)事件名稱、系統(tǒng)事件源和用戶的概要統(tǒng)計(jì)信息。系統(tǒng)事件源統(tǒng)計(jì)按系統(tǒng)事件源進(jìn)行統(tǒng)計(jì)，反映系統(tǒng)事件源相關(guān)的系統(tǒng)事件統(tǒng)計(jì)信息。系統(tǒng)事件名稱統(tǒng)計(jì)按系統(tǒng)事件名稱進(jìn)行統(tǒng)計(jì)，反映系統(tǒng)事件統(tǒng)計(jì)信息。系統(tǒng)事件風(fēng)險(xiǎn)狀況統(tǒng)計(jì)按風(fēng)險(xiǎn)狀況進(jìn)行統(tǒng)計(jì)，反映與各風(fēng)險(xiǎn)狀況相關(guān)的系統(tǒng)事件統(tǒng)計(jì)信息。審計(jì)事件報(bào)表審計(jì)事件統(tǒng)計(jì)概要反映審計(jì)風(fēng)險(xiǎn)狀況，以及TOP10用戶、事件名稱、資產(chǎn)名稱的審計(jì)事件概要統(tǒng)計(jì)信

38、息。用戶統(tǒng)計(jì)按用戶進(jìn)行統(tǒng)計(jì)，反映用戶相關(guān)的審計(jì)事件統(tǒng)計(jì)信息。審計(jì)事件名稱統(tǒng)計(jì)按審計(jì)事件名稱進(jìn)行統(tǒng)計(jì)，反映事件名稱的審計(jì)事件統(tǒng)計(jì)信息。審計(jì)事件風(fēng)險(xiǎn)狀況統(tǒng)計(jì)按審計(jì)事件風(fēng)險(xiǎn)狀況進(jìn)行統(tǒng)計(jì)，反映事件風(fēng)險(xiǎn)狀況相關(guān)的審計(jì)事件統(tǒng)計(jì)信息。RG-IDS預(yù)定義報(bào)表 34自定義報(bào)表概述用戶也可以根據(jù)自身需求，自行定義報(bào)表模版。添加自定義報(bào)表1. 在報(bào)表的主界面上點(diǎn)擊“添加自定義報(bào)表”按鈕。2. 在報(bào)表模版中選擇報(bào)表模版。3. 在報(bào)表描述中輸入描述信息。4. 輸入報(bào)表名稱。5. 進(jìn)入“過(guò)濾條件”頁(yè)面。 設(shè)置TOPN 設(shè)置日期時(shí)間 設(shè)置風(fēng)險(xiǎn)狀況 設(shè)置告警類型 設(shè)置事件名稱 設(shè)置傳感器 設(shè)置源IP地址 設(shè)置目標(biāo)IP地址 設(shè)

39、置源端口 設(shè)置目標(biāo)端口6. 點(diǎn)擊“保存”。7. 在彈出的“保存設(shè)置”窗口中輸入文件名。8. 點(diǎn)擊“確定”按鈕。自定義報(bào)表窗口報(bào)表模版窗口區(qū)域描述報(bào)表模版其中使用樹(shù)結(jié)構(gòu)顯示可供自定義的報(bào)表模版。報(bào)表描述選中一個(gè)報(bào)表模版，可以在“報(bào)表描述”中輸入相應(yīng)的描述。報(bào)表名稱選中一個(gè)報(bào)表模版，可以修改該模版的名稱。報(bào)表預(yù)覽選中一個(gè)報(bào)表模版，可以在窗口中查看該模版的預(yù)覽圖。提示信息選中一個(gè)報(bào)表模版，提示信息中顯示該模版的簡(jiǎn)介。過(guò)濾條件窗口用戶可以設(shè)定以下過(guò)濾條件，自定義報(bào)表模版：字段描述TOPN按照已設(shè)定N的值，報(bào)表只統(tǒng)計(jì)前N項(xiàng)數(shù)據(jù)。事件日期定義報(bào)表數(shù)據(jù)中從起始日期到結(jié)束日期之間的數(shù)據(jù)。風(fēng)險(xiǎn)狀況定義報(bào)表數(shù)據(jù)中

40、包含的事件的風(fēng)險(xiǎn)狀況。告警類別定義告警類別，可按照5類告警過(guò)濾查詢。事件名稱定義在報(bào)表數(shù)據(jù)中包含的事件名稱。傳感器定義在報(bào)表數(shù)據(jù)中包含的傳感器。源IP地址定義在報(bào)表數(shù)據(jù)中包含的源IP地址。目標(biāo)IP地址定義在報(bào)表數(shù)據(jù)中包含的目標(biāo)IP地址。源端口定義在報(bào)表數(shù)據(jù)中包含的源端口。目標(biāo)端口定義在報(bào)表數(shù)據(jù)中包含的目標(biāo)端口。過(guò)濾條件設(shè)定使用提示設(shè)定過(guò)濾條件的使用方法。自定義報(bào)表模版自定義報(bào)表模版是指在新建報(bào)表窗口中顯示的報(bào)表模版。風(fēng)險(xiǎn)狀況統(tǒng)計(jì)模版星期n風(fēng)險(xiǎn)狀況統(tǒng)計(jì)反映一周內(nèi)每天所產(chǎn)生的各類風(fēng)險(xiǎn)狀況的事件數(shù)量和攻擊風(fēng)險(xiǎn)的比例分布信息。周風(fēng)險(xiǎn)狀況統(tǒng)計(jì)反映一個(gè)月內(nèi)每周所產(chǎn)生的各類風(fēng)險(xiǎn)狀況的事件數(shù)量和攻擊風(fēng)險(xiǎn)的比例

41、分布信息。月風(fēng)險(xiǎn)狀況統(tǒng)計(jì)反映一年內(nèi)每月所產(chǎn)生的各類風(fēng)險(xiǎn)狀況的事件數(shù)量和攻擊風(fēng)險(xiǎn)的比例分布信息。季度風(fēng)險(xiǎn)狀況統(tǒng)計(jì)反映一年內(nèi)每季度所產(chǎn)生的各類風(fēng)險(xiǎn)狀況的事件數(shù)量和攻擊風(fēng)險(xiǎn)的比例分布信息。告警類別統(tǒng)計(jì)星期n告警類別統(tǒng)計(jì)反映本周內(nèi)每天所產(chǎn)生的各類告警類別的事件數(shù)量和攻擊風(fēng)險(xiǎn)的比例分布信息。周告警類別統(tǒng)計(jì)反映本月內(nèi)每周所產(chǎn)生的各類告警類別的事件數(shù)量和攻擊風(fēng)險(xiǎn)的比例分布信息。月告警類別統(tǒng)計(jì)反映本年內(nèi)每月所產(chǎn)生的各類告警類別的事件數(shù)量和攻擊風(fēng)險(xiǎn)的比例分布信息。季度告警類別統(tǒng)計(jì)反映本年內(nèi)每季度所產(chǎn)生的各類告警類別的事件數(shù)量和攻擊風(fēng)險(xiǎn)的比例分布信息。數(shù)據(jù)統(tǒng)計(jì)安全事件統(tǒng)計(jì)概要反映攻擊和被攻擊的計(jì)算數(shù)，各風(fēng)險(xiǎn)狀況對(duì)

42、應(yīng)的事件名稱數(shù)，以及事件名稱、源IP、目標(biāo)IP和傳感器的概要統(tǒng)計(jì)信息。目標(biāo)IP數(shù)據(jù)統(tǒng)計(jì)反映與目標(biāo)IP相關(guān)的各類風(fēng)險(xiǎn)狀況的事件數(shù)量、比例分布和攻擊風(fēng)險(xiǎn)比例分布的狀況信息。源IP數(shù)據(jù)統(tǒng)計(jì)反映源IP所產(chǎn)生的各類風(fēng)險(xiǎn)狀況的事件數(shù)量、比例分布和攻擊風(fēng)險(xiǎn)比例分布的狀況信息。傳感器數(shù)據(jù)統(tǒng)計(jì)反映傳感器所產(chǎn)生的各類風(fēng)險(xiǎn)狀況的事件數(shù)量、比例分布和攻擊風(fēng)險(xiǎn)比例分布的狀況信息。事件名稱數(shù)據(jù)統(tǒng)計(jì)反映各風(fēng)險(xiǎn)狀況事件名稱的數(shù)量和分布比例等統(tǒng)計(jì)信息。源端口數(shù)據(jù)統(tǒng)計(jì)反映各風(fēng)險(xiǎn)狀況源端口的數(shù)量和分布比例等統(tǒng)計(jì)信息。目標(biāo)端口數(shù)據(jù)統(tǒng)計(jì)反映各風(fēng)險(xiǎn)狀況目標(biāo)端口的數(shù)量和分布比例等統(tǒng)計(jì)信息。交叉統(tǒng)計(jì)報(bào)表目標(biāo)IP_事件名稱數(shù)據(jù)統(tǒng)計(jì)反映目標(biāo)IP

43、以及事件名稱的數(shù)量和分布比例等統(tǒng)計(jì)信息。源IP_事件名稱數(shù)據(jù)統(tǒng)計(jì)反映源IP以及事件名稱的數(shù)量和分布比例等統(tǒng)計(jì)信息。傳感器_事件名稱數(shù)據(jù)統(tǒng)計(jì)反映傳感器以及事件名稱的數(shù)量和分布比例等統(tǒng)計(jì)信息。告警類別_事件名稱數(shù)據(jù)統(tǒng)計(jì)反映告警類別以及事件名稱的數(shù)量和分布比例等統(tǒng)計(jì)信息。事件名稱_目標(biāo)IP數(shù)據(jù)統(tǒng)計(jì)反映事件名稱以及目標(biāo)IP的數(shù)量和分布比例等統(tǒng)計(jì)信息。事件名稱_源IP數(shù)據(jù)統(tǒng)計(jì)反映事件名稱以及源 IP的數(shù)量和分布比例等統(tǒng)計(jì)信息。事件名稱_傳感器數(shù)據(jù)統(tǒng)計(jì)反映事件名稱以及傳感器的數(shù)量和分布比例等統(tǒng)計(jì)信息。目標(biāo)IP_告警類別數(shù)據(jù)統(tǒng)計(jì)反映目標(biāo)IP以及告警類別的數(shù)量和分布比例等統(tǒng)計(jì)信息。源IP_告警類別數(shù)據(jù)統(tǒng)計(jì)反映

44、源IP以及告警類別的數(shù)量和分布比例等統(tǒng)計(jì)信息。傳感器_告警類別數(shù)據(jù)統(tǒng)計(jì)反映傳感器以及告警類別的數(shù)量和分布比例等統(tǒng)計(jì)信息。源端口_告警類別數(shù)據(jù)統(tǒng)計(jì)反映源端口以及告警類別的數(shù)量和分布比例等統(tǒng)計(jì)信息。目標(biāo)端口_告警類別數(shù)據(jù)統(tǒng)計(jì)反映目標(biāo)端口以及告警類別的數(shù)量和分布比例等統(tǒng)計(jì)信息。事件名稱_告警類別數(shù)據(jù)統(tǒng)計(jì)反映事件名稱以及告警類別的數(shù)量和分布比例等統(tǒng)計(jì)信息。源IP_源端口數(shù)據(jù)統(tǒng)計(jì)反映源IP以及源端口的數(shù)量和分布比例等統(tǒng)計(jì)信息。目標(biāo)IP_目標(biāo)端口數(shù)據(jù)統(tǒng)計(jì)反映目標(biāo)IP以及目標(biāo)端口的數(shù)量和分布比例等統(tǒng)計(jì)信息。風(fēng)險(xiǎn)狀況_事件名稱數(shù)據(jù)統(tǒng)計(jì)反映風(fēng)險(xiǎn)狀況以及事件名稱的數(shù)量和分布比例等統(tǒng)計(jì)信息。設(shè)置過(guò)濾條件用戶可以通過(guò)

45、設(shè)置過(guò)濾條件，自定義報(bào)表的格式和內(nèi)容?？梢栽O(shè)定的過(guò)濾條件包括：TOPN、事件日期、風(fēng)險(xiǎn)狀況、告警類型、事件名稱、傳感器、源IP地址、目標(biāo)IP地址、源端口和目標(biāo)端口。TOPN設(shè)置過(guò)濾條件TOPN，N的值為小于100的正整數(shù)。事件日期為了了解某一日期或時(shí)間段（靈活的時(shí)間描述）的報(bào)表信息，通常需要設(shè)定日期/時(shí)間 過(guò)濾標(biāo)準(zhǔn)，從而產(chǎn)生基于日期/時(shí)間的過(guò)濾Report，最小時(shí)間單位為秒。1. 用戶可以在界面上選擇固定時(shí)間段（如：最近3天）。2. 用戶也可以在界面上輸入查詢時(shí)間段的起始時(shí)刻和終止時(shí)刻，包括年、月、日、時(shí)、分、秒；查詢時(shí)間段表示從開(kāi)始時(shí)刻到終止時(shí)刻的一段時(shí)間（含起始時(shí)刻和終止時(shí)刻），即范圍為：

46、 起始時(shí)刻 = TIME = 終止時(shí)刻字段描述預(yù)定義時(shí)間范圍預(yù)先定義的一些時(shí)間范圍自定義時(shí)間范圍可以設(shè)定開(kāi)始時(shí)間和結(jié)束時(shí)間預(yù)定義時(shí)間選中預(yù)定義時(shí)間范圍。在下拉框中選擇預(yù)定義時(shí)間。自定義時(shí)間范圍選中自定義時(shí)間范圍。輸入開(kāi)始時(shí)間、結(jié)束時(shí)間。風(fēng)險(xiǎn)狀況為了了解網(wǎng)絡(luò)遭受攻擊事件或可疑活動(dòng)的嚴(yán)重性，需要以風(fēng)險(xiǎn)狀況來(lái)設(shè)定過(guò)濾標(biāo)準(zhǔn)，從而產(chǎn)生基于風(fēng)險(xiǎn)狀況的過(guò)濾Report。字段描述高風(fēng)險(xiǎn)能夠?qū)χ鳈C(jī)、網(wǎng)絡(luò)或網(wǎng)絡(luò)設(shè)備造成高度威脅或破壞的行為。中風(fēng)險(xiǎn)能夠?qū)χ鳈C(jī)、網(wǎng)絡(luò)或網(wǎng)絡(luò)設(shè)備造成一定程度的威脅或破壞的行為。低風(fēng)險(xiǎn)能夠?qū)χ鳈C(jī)、網(wǎng)絡(luò)或網(wǎng)絡(luò)設(shè)備造成有限的威脅或破壞的行為。通知對(duì)網(wǎng)絡(luò)行為的記錄。選擇風(fēng)險(xiǎn)狀況點(diǎn)擊風(fēng)險(xiǎn)狀況前面的選擇框。告警類別字段描述攻擊對(duì)主機(jī)、網(wǎng)絡(luò)或網(wǎng)絡(luò)設(shè)備造成威脅或破壞的行為。探測(cè)嘗試對(duì)主機(jī)或網(wǎng)絡(luò)的未經(jīng)授權(quán)的訪問(wèn)，有可能竊取敏感性網(wǎng)絡(luò)數(shù)據(jù)或造成安全漏洞。記錄對(duì)特定網(wǎng)絡(luò)行為的審計(jì)。搜集信息搜集探測(cè)結(jié)果。未知不能確定的告警類別。選擇告警類別點(diǎn)擊告警類別前面的選擇框。事件名稱為了了解特定事件的報(bào)表信息，需要以事件名稱來(lái)設(shè)定過(guò)濾標(biāo)準(zhǔn)，從而產(chǎn)生基于事件名稱的過(guò)濾Report。字段描述預(yù)定義事件名稱表可以在下拉列表中選擇預(yù)定義的事件所選擇的事件名稱表已選擇的事件顯示