Cisco Cisco Web Security Appliance S670 User Guide
12-5
思科网络安全设备 AsyncOS 8.8 用户指南
第 12 章 扫描现有感染的出站流量
日志记录
步骤 7
在 “防恶意软件设置” (Anti-Malware Settings) 部分中,选择 “定义防恶意软件自定义设置”
(Define Anti-Malware Custom Settings)。
(Define Anti-Malware Custom Settings)。
步骤 8
在 Cisco IronPort DVS“防恶意软件设置”(Anti-Malware Settings) 部分中,选择要为此策略
组启用的防恶意软件扫描引擎。
组启用的防恶意软件扫描引擎。
步骤 9
在 “恶意软件类别” (Malware Categories) 区域中,选择是监控还是阻止各种恶意软件类别。
此部分中列出的类别取决于启用哪些扫描引擎。
注
当达到配置的最大时间设置或者当系统遇到暂时性错误状况时, URL 事务分类为不可扫
描。例如,事务可能在扫描引擎更新或 AsyncOS 升级期间分类为不可扫描。恶意软件扫
描判定 SV_TIMEOUT 和 SV_ERROR 被视为不可扫描的事务。
描。例如,事务可能在扫描引擎更新或 AsyncOS 升级期间分类为不可扫描。恶意软件扫
描判定 SV_TIMEOUT 和 SV_ERROR 被视为不可扫描的事务。
步骤 10
提交 (Submit) 并确认更改 (Commit Changes)。
日志记录
访问日志表明 DVS 引擎是否扫描了恶意软件的上传请求。每个访问日志条目的扫描判定信息部
分都包含已扫描的上传内容的 DVS 引擎活动的值。您还可以将其中一个字段添加到 W3C 或访
问日志,以更轻松地查找此 DVS 引擎活动:
分都包含已扫描的上传内容的 DVS 引擎活动的值。您还可以将其中一个字段添加到 W3C 或访
问日志,以更轻松地查找此 DVS 引擎活动:
当 DVS 引擎将上传请求标记为恶意软件,并且其配置为阻止恶意软件上传时,访问日志中的
ACL 决策标记为 BLOCK_AMW_REQ。
ACL 决策标记为 BLOCK_AMW_REQ。
但是,当 DVS 引擎将上传请求标记为恶意软件,并且其配置为监控恶意软件上传时,访问日志
中的 ACL 决策标记实际由应用于事务的访问策略确定。
中的 ACL 决策标记实际由应用于事务的访问策略确定。
要确定 DVS 引擎是否扫描了恶意软件的上传请求,请在每个访问日志条目的扫描判定信息部分
中查看 DVS 引擎活动的结果。
中查看 DVS 引擎活动的结果。
表
12-1
W3C
日志中的日志字段和访问日志中的格式说明符
W3C 日志字段
访问日志中的格式说明符
x-req-dvs-scanverdict
%X2
x-req-dvs-threat-name
%X4
x-req-dvs-verdictname
%X3