Cisco Cisco Firepower Management Center 2000 User Guide

41-38

FireSIGHT 系统用户指南

第 41 章      处理入侵事件       

  搜索入侵事件

分类

为生成要查看的事件的规则输入分类编号或者完整或部分的分类名称或描述。也可以输入编
号、名称或描述的以逗号分隔列表。最后，如果添加自定义分类，还可以使用其完整或部分
的名称或描述进行搜索。有关分类编号、名称和描述的列表，请参阅

发电机

指定生成要查看的事件的组件，如

指定生成事件的规则的 Snort ID (SID)，或者指定规则的生成器 ID (GID) 和 SID 的组合，GID 
和 SID 之间用冒号 (:) 隔开，格式为 GID:SID。可指定下表中的任何值：

有关详细信息，请参阅

请注意， Snort ID 列不显示在搜索结果中；正在查看的事件的 SID 列示在 Message 列中。

指定登录源主机的用户的用户 ID。

指定登录目标主机的用户的用户 ID。

指定登录源主机或目标主机的用户的用户 ID。

键入在触发入侵事件的流量中检测到的应用协议的名称 （它代表主机之间的通信）。

键入在触发入侵事件的流量中检测到的客户端应用的名称 （它表示在受监控主机上运行的
软件）。

表 

搜索值 

价值

示例

单个 SID

10000

SID 范围

10000 - 11000

大于某个 SID

>10000

大于或等于某个 SID

>=10000

小于某个 SID

<10000

小于或等于某个 SID

<=10000

以逗号分隔的 SID 值列表

10000,11000,12000

单个 GID:SID 组合

1:10000

以逗号分隔的 GID:SID 组合列表

1:10000,1:11000,1:12000

以逗号分隔的 SID 和 GID:SID 组合列表

10000,1:11000,12000