Cisco Cisco Firepower Management Center 4000 User Guide

Page of 1826
 
58-20
FireSIGHT 系统用户指南
  
 58       了解和使用工作流程       
  使用工作流程
基于可按时间限制的事件的工作流程在页面顶部包含一条时间范围线,如下图所示。
默认情况下,思科设备上的工作流程使用设置为前一小时的扩展式时间段。例如,如果您在上午 
11:30 登录,将会看到发生在上午 10:30 和上午 11:30 之间的事件。随着时间的推进,时间段进行
扩展。在中午 12:30,您将会看到发生在上午 10:30 和中午 12:30 之间的事件。
可以通过设置自己的默认时间段更改此行为,该时间段管理三个属性:
  •
时间段类型 (静态、扩展式或滑动式)
  •
时间段长度
  •
时间段数量 (多个时间段或单个全局时间段) 
有关默认时间段的常规信息,请参阅
无论默认时间段设置如何,都可以在事件分析期间手动更改时间段,方法是点击页面顶部的时间
范围,该页面会显示 Date/Time 弹出窗口。根据配置的时间段数量和使用的设备类型,还可以使
用 Date/Time 窗口更改所查看的事件类型的默认时间段。
最后,可以暂停时间段,借此能够检查工作流程提供的数据,而时间段不会更改以及移除或添加
无关的事件。请注意,为避免在不同工作流程页面上显示相同事件,在点击页面底部的链接以显
示另一页的事件时,时间段会自动暂停;准备就绪后,可以取消暂停时间段。
有关详细信息,请参阅:
  •
  •
  •
更改时间段
许可证:任何环境
无论默认时间段设置如何,都可以在事件分析期间手动更改时间段。
手动时间段设置仅对当前会话有效。在注销然后重新登录时,时间段会重置为默认值。
根据配置的时间段数量,更改一个工作流程的时间段可能会影响设备上的其他工作流程。例如,
如果具有单个全局时间段,则更改一个工作流程的时间段会更改设备上所有其他工作流程的时间
段。另一方面,如果使用的是多个时间段,则更改审核日志或运行状况事件工作流程时间段对于
任何其他时间段没有影响,而更改其他种类的事件的时间段则会影响可按时间限制的所有事件
(审核事件和运行状况事件除外)。
请注意,由于并非所有工作流程都可按时间限制,因此时间段设置对基于主机、主机属性、应
用、应用详情、漏洞、用户或白名单违例的工作流程没有影响。
使用 Date/Time 窗口上的 Time Window 选项卡手动配置时间段。根据在默认时间段设置中配置的
时间段数量,选项卡的标题为以下之一:
  •
Events Time Window
(如果配置了多个时间段,并且是为除审核日志和运行状况事件工作流程
以外的工作流程设置时间段)
  •
Health Monitoring Time Window
(如果配置了多个时间段,并且是为运行状况事件工作流程配置
时间段)