Cisco Cisco Firepower Management Center 4000 User Guide

60-7

FireSIGHT 系统用户指南 

第 60 章      搜索事件 

  在搜索中指定端口  

有关详细信息，请参阅：

在搜索中指定端口

许可证：任何环境

FireSIGHT 系统 接受搜索中端口号的特定语法。可输入：

单个端口号

用逗号隔开的端口号列表。

两个用连字号隔开的端口号，代表端口号范围

后接协议缩写、并用正斜杠隔开的端口号 （仅限搜索入侵事件时）

一个端口号或端口号范围，前面带有感叹号，表示指定端口的求反

注

指定端口号或范围时，请不要使用空格。

下表包含输入端口作为搜索约束的有效方法的示例。

\

停止长期查询

许可证：任何环境

受支持的设备：任意防御中心

系统管理员可以使用基于外壳的查询管理工具找到和停止长期查询。

注

退出网络界面的搜索页面不会停止查询。需要很长时间才返回结果的查询在运行时会影响总体系
统性能。

借助于查询管理工具，可找到并停止运行时间超过指定分钟数的查询。停止查询时，此工具会将
事件记入审计日志和系统日志。

表 

端口语法示例 

示例

说明

21

返回端口 21 上的所有事件，包括 TCP 和 UDP 事件。

!23

返回除端口 23 上的事件以外的所有事件。

25/tcp

返回端口 25 上的所有与 TCP 相关的入侵事件。

21/tcp,25/tcp

返回端口 21 和 25 上所有与 TCP 相关的入侵事件

21-25

返回端口 21 到 25 上的所有事件。