Cisco Cisco Firepower Management Center 4000 User Guide
50-34
FireSIGHT 系统用户指南
第 50 章 使用发现事件
使用服务器
–
扫描仪:
scanner_type
(通过网络发现配置添加的 Nmap 或扫描仪)
–
对于 FireSIGHT 系统检测到的服务器,应为 FireSIGHT、 FireSIGHT Port Match 或
FireSIGHT Pattern Match
FireSIGHT Pattern Match
–
对于根据 NetFlow 数据添加至网络映射的服务器,为 NetFlow
。
设备
检测到服务器或处理 NetFlow 或主机输入数据且将服务器添加至网络映射的设备的名称。
Current User
主机当前登录用户的用户标识 (用户名)。
注意:当未授权用户登录主机时,该登录操作将记录在用户和主机历史记录中。如果没有授
权用户与该主机相关联,则未授权用户可能是该主机的当前用户。但是,授权用户登录该主
机后,只有另一授权用户登录才能改变当前用户。此外,未授权用户是主机当前用户时,该
用户仍不能进行用户管理。
权用户与该主机相关联,则未授权用户可能是该主机的当前用户。但是,授权用户登录该主
机后,只有另一授权用户登录才能改变当前用户。此外,未授权用户是主机当前用户时,该
用户仍不能进行用户管理。
计数
与每行中所显示的信息匹配的事件数。请注意,仅在您运用了某个创建了两个或多个相同行
的限制之后, Count 字段才显示。
的限制之后, Count 字段才显示。
搜索服务器
许可证:FireSIGHT
可通过预定义搜索条件之一或使用自己的搜索条件搜索在受监控主机上运行的特定服务器。预定
义搜索用作示例,可用于快速访问关于网络的重要信息。
义搜索用作示例,可用于快速访问关于网络的重要信息。
您可能想要修改默认搜索中的特定字段,以根据网络环境对它们进行自定义,然后保存以便日后
重复使用。
重复使用。
搜索服务器时,请谨记,虽然可将网络发现策略配置为根据 NetFlow 支持设备导入的数据向网络
映射添加应用,包括服务器,但关于这些服务器的可用信息是有限的。有关详细信息,请参阅
映射添加应用,包括服务器,但关于这些服务器的可用信息是有限的。有关详细信息,请参阅
通用搜索语法
系统在每个搜索字段旁边显示有效语法示例。输入搜索条件时,请记住以下几点:
•
所有字段都接受求反 (
!
)。
•
所有字段都接受逗号分隔的搜索值列表。包含指定字段中列出的任何值的记录与该搜索条件
匹配。
匹配。
•
所有字段都接受将用引号引起来的逗号分隔列表作为搜索值。
–
对于只能包含一个值的字段,将包含指定精确字符串的指定字段放在引号内的记录与搜
索条件匹配。例如,搜索
索条件匹配。例如,搜索
A, B, "C, D, E"
时,匹配记录为包含
"A"
或
"B"
或
"C, D, E"
的指定字段。这允许与可能的值中包含逗号的字段匹配。
–
对于可能同时包含多个值的字段,指定字段包含所有引号引号引起来的逗号分隔列表中
所有值的记录与该搜索条件匹配。
所有值的记录与该搜索条件匹配。
–
对于可能同时包含多个值的字段,搜索条件可以包含单个值以及引号引起来的逗号分隔
列表。例如,在某字段上搜索
列表。例如,在某字段上搜索
A, B, "C, D, E"
时,如果该字段可能包含这其中一个或多
个字母,则匹配的记录指定字段将包含
A
或
B
或同时包含
C
、
D
和
E
。