Cisco Cisco Firepower Management Center 4000 User Guide

41-20

FireSIGHT 系统用户指南

第 41 章      处理入侵事件       

  使用数据包视图

要显示数据包视图，请执行以下操作：

访问：管理员/入侵管理员

步骤 1

在入侵事件的表视图中，选择要查看的数据包。有关详细信息，请参阅

表。

系统显示数据包视图。如果选择多个事件，可以使用页面底部的页码来浏览多个页面上的数据包。

查看事件信息

许可证：保护

在数据包视图上，可以查看有关 Event Information 部分中数据包的信息。

事件消息。对于基于规则的事件，这相当于规则消息。对于其他事件，这取决于解码器或预
处理器。

将事件添加到剪贴板，以
便以后将其传输到事故

执行以下其中一种操作：

点击 

 以复制正在查看其数据包的事件

点击 

 以复制之前选择了其数据包的所有事件

剪贴板可为每个用户存储最多 25000 个事件。有关剪贴板的详细信息，请参阅

。

从事件数据库删除事件

执行以下其中一种操作：

点击 

 以删除正在查看其事件的数据包

点击 

 以删除之前选择了其数据包的所有事件

将事件标记为“已审核”
会将其从事件视图中移
除，但不会将其从事件数
据库中移除

执行以下其中一种操作：

点击 

 以审核正在查看其事件的数据包

点击 

 以审核之前选择了其数据包的所有事件 

有关详细信息，请参阅

。请注意，已审核事件将继续包括在 

Intrusion Event Statistics 页面的事件统计信息中。

下载触发事件的数据包

（数据包以 libpcap 格式捕

获文件）的本地副本

执行以下其中一种操作：

点击 

 以保存为正在查看的事件捕获的数据包的副本。

点击 

 以保存为之前选择了其数据包的所有事件捕获的数据包的副本

捕获的数据包以 libpcap 格式保存。多个常用的协议分析器均使用此格式。

请注意，无法下载端口扫描数据包，因为单个端口扫描事件基于多个数据包；但端口扫
描视图提供所有可用的数据包信息。有关详细信息，请参阅

。

请注意，要下载，必须至少有 15% 的可用磁盘空间。

展开或折叠页面部分

点击要展开或折叠的部分旁边的箭头。

表 

数据包视图操作 （续）

要......

您可以......