Cisco Cisco Firepower Management Center 2000 User Guide

58-26

FireSIGHT 系统用户指南

第 58 章      了解和使用工作流程       

  使用工作流程

暂停时间窗口

许可证：任何环境

可以暂停时间段，从而能够检查工作流程提供的数据快照。这会有所帮助，因为已取消暂停的工
作流程在更新时，可能会移除要检查的事件，或者添加无关的事件。

请注意，不能暂停静态时间段。此外，暂停事件时间段对控制面板没有影响，而暂停控制面板对
暂停事件时间段也没有任何影响。

完成分析后，可以取消暂停时间段。取消暂停时间段将根据您的喜好对其进行更新，并且还更新
事件视图以反映已取消暂停的时间段。

如果数据库包含的事件数超过单个工作流程页面上可显示的事件数，则可点击页面底部的链接以
显示更多事件 （请参阅

）。执行此操作时，时间段

自动暂停，以便不重复显示相同的事件。当您准备就绪时，可以取消暂停时间段。

要暂停时间段，请执行以下操作：

访问：管理员/维护人员/任何安全分析师

步骤 1

在时间范围控件上，点击暂停图标  (

)。

时间段暂停，直到将其取消暂停为止。

要取消暂停时间段，请执行以下操作：

访问：管理员/维护人员/任何安全分析师

步骤 1

在时间范围控件上，点击播放图标  (

)。

时间段取消暂停并根据您的喜好进行更新。事件视图更新为反映当前时间段。

限制事件

许可证：任何环境

工作流程页面上显示的信息由实施的限制来确定。例如，最初打开事件工作流程时，信息限制为
前一小时生成的事件。

要前进到工作流程中的下一页并通过特定值限制所查看的数据，请选择页面上具有这些值的行，
然后点击 

。要前进到工作流程中的下一页并保留当前限制和传递所有事件，请选择 

View All。

注

如果选择含有多个非计数值的行并点击 

，则会创建复合限制。有关复合限制的详细信息，请

。

限制工作流程中的数据有第三种方法。要将页面限制为含有选定值的行，并且还将选定值添加到
页面顶部的限制列表中，请点击页面上某一行中的值。

例如，如果在具有以下事件的页面上点击 Initiator IP 列中的 

：