Cisco Cisco ASA 5580 Adaptive Security Appliance Leaflet
13-34
思科 ASA 系列命令参考,S 命令
第 13 章 show tcpstat 至 show traffic 命令
show threat-detection statistics top
显示每个字段的说明。
以下是
show threat-detection statistics top access-list rate-1 命令的输出示例:
ciscoasa# show threat-detection statistics top access-list rate-1
Top Average(eps) Current(eps) Trigger Total events
1-hour ACL hits:
100/3[0] 173 0 0 623488
200/2[1] 43 0 0 156786
100/1[2] 43 0 0 156786
以下是
show threat-detection statistics top port-protocol 命令的输出示例:
ciscoasa# show threat-detection statistics top port-protocol
Top Name Id Average(eps) Current(eps) Trigger Total events
1-hour Recv byte:
1 gopher 70 71 0 0 32345678
2 btp-clnt/dhcp 68 68 0 0 27345678
3 gopher 69 65 0 0 24345678
4 Protocol-96 * 96 63 0 0 22345678
表
13-5
show threat-detection statistics top access-list
字段
字段
说明
Top
显示一定时间段内的
ACE 排名,从 [0](最高计数)到 [9](最低计数)。
统计信息可能不足以覆盖全部
10 个位置,因此可能列出不到 10 个 ACE。
Average(eps)
显示每个时间段内的平均速率(以事件数
/ 秒为单位)。
安全设备在每个突发周期的末尾存储计数,总共处理
30 个完整突发间
隔。当前进行的未完成突发间隔不包括在平均速率中。例如,如果平均
速率间隔为
速率间隔为
20 分钟,则突发间隔为 20 秒。如果上一个突发间隔为
3:00:00 至 3:00:20,并且您在 3:00:25 使用 show 命令,则最后 5 秒不会
包含在输出中。
包含在输出中。
此规则的唯一例外是,当计算总事件数时,未完成突发间隔内的事件数
已超过最早突发间隔(
已超过最早突发间隔(
30 个的第 1 个)内的事件数。在这种情况下,
ASA 会将最后 29 个完整间隔的事件数加上未完成突发间隔中到目前为止
的事件数作为总事件数。此例外可让您实时监控事件的大幅增加。
的事件数作为总事件数。此例外可让您实时监控事件的大幅增加。
Current(eps)
显示上一个完整突发间隔(平均速率间隔的
1/30 或 10 秒,两者中取较大
的一个)内的最新突发速率(以事件数
/ 秒为单位)。对于 Average(eps)
说明中指定的示例,最新速率为
3:19:30 至 3:20:00 的速率。
Trigger
此列始终为
0,因为不存在访问列表流量触发的速率限制;拒绝和允许
的流量在此显示中没有区别。如果使用
threat-detection basic-threat 命
令启用基本威胁检测,则可以使用
show threat-detection rate access-list
命令跟踪访问列表拒绝。
Total events
显示每个速率间隔内的事件总数。当前进行的未完成突发间隔不包括在事
件总数中。此规则的唯一例外是,当计算总事件数时,未完成突发间隔内
的事件数已超过最早突发间隔(
件总数中。此规则的唯一例外是,当计算总事件数时,未完成突发间隔内
的事件数已超过最早突发间隔(
30 个的第 1 个)内的事件数。在这种情况
下,
ASA 会将最后 29 个完整间隔的事件数加上未完成突发间隔中到目前
为止的事件数作为总事件数。此例外可让您实时监控事件的大幅增加。
1-hour(1 小时),
8-hour(8 小时)
8-hour(8 小时)
显示这些固定速率间隔的统计信息。
acl_name
/line_number 显示访问列表名称和导致拒绝的 ACE 的行号。