Cisco Cisco ASA 5510 Adaptive Security Appliance Leaflet
13-25
Cisco ASA Series 명령 참조, S 명령
13장 show tcpstat through show traffic 명령
show threat-detection statistics host
이 규칙의 유일한 예외는 총 이벤트를 계산할 때 완료되지 않은 버스트 간격의 이벤트 수가 가장 오
래된 버스트 간격(1/30)의 이벤트 수를 이미 초과한 경우입니다. 이 경우 ASA는 나머지 29번의 완
료 간격에 대한 총 이벤트와 완료되지 않은 버스트 간격에서 현재까지의 이벤트를 합산합니다. 이
러한 예외를 통해 이벤트 급증을 실시간으로 모니터링할 수 있습니다.
래된 버스트 간격(1/30)의 이벤트 수를 이미 초과한 경우입니다. 이 경우 ASA는 나머지 29번의 완
료 간격에 대한 총 이벤트와 완료되지 않은 버스트 간격에서 현재까지의 이벤트를 합산합니다. 이
러한 예외를 통해 이벤트 급증을 실시간으로 모니터링할 수 있습니다.
예
다음은 show threat-detection statistics host 명령의 샘플 출력입니다.
ciscoasa# show threat-detection statistics host
Average(eps) Current(eps) Trigger Total events
Host:10.0.0.1: tot-ses:289235 act-ses:22571 fw-drop:0 insp-drop:0 null-ses:21438 bad-acc:0
1-hour Sent byte: 2938 0 0 10580308
8-hour Sent byte: 367 0 0 10580308
24-hour Sent byte: 122 0 0 10580308
1-hour Sent pkts: 28 0 0 104043
8-hour Sent pkts: 3 0 0 104043
24-hour Sent pkts: 1 0 0 104043
20-min Sent drop: 9 0 1 10851
1-hour Sent drop: 3 0 1 10851
1-hour Recv byte: 2697 0 0 9712670
8-hour Recv byte: 337 0 0 9712670
24-hour Recv byte: 112 0 0 9712670
1-hour Recv pkts: 29 0 0 104846
8-hour Recv pkts: 3 0 0 104846
24-hour Recv pkts: 1 0 0 104846
20-min Recv drop: 42 0 3 50567
1-hour Recv drop: 14 0 1 50567
Host:10.0.0.0: tot-ses:1 act-ses:0 fw-drop:0 insp-drop:0 null-ses:0 bad-acc:0
1-hour Sent byte: 0 0 0 614
8-hour Sent byte: 0 0 0 614
24-hour Sent byte: 0 0 0 614
1-hour Sent pkts: 0 0 0 6
8-hour Sent pkts: 0 0 0 6
24-hour Sent pkts: 0 0 0 6
20-min Sent drop: 0 0 0 4
1-hour Sent drop: 0 0 0 4
1-hour Recv byte: 0 0 0 706
8-hour Recv byte: 0 0 0 706
24-hour Recv byte: 0 0 0 706
1-hour Recv pkts: 0 0 0 7
에는 각 필드에 대한 설명이 나와 있습니다.
표
13-2
show threat-detection statistics host
필드
필드
설명
Host
호스트 IP 주소를 표시합니다.
tot-ses
데이터베이스에 추가된 이후의 이 호스트에 대한 총 세션 수를 표시합니다.
act-ses
호스트가 현재 참여한 총 활성 세션 수를 표시합니다.
fw-drop
방화벽 삭제 수를 표시합니다. 방화벽 삭제 수는 액세스 목록 거부, 잘못된
패킷, 연결 제한 초과, DoS 공격 패킷, 의심스러운 ICMP 패킷, TCP SYN 공
격 패킷, 데이터 없는 UDP 공격 패킷 등 기본 위협 감지에서 추적된 모든 방
화벽 관련 패킷 삭제를 포함하는 통합 속도입니다. 인터페이스 오버로드,
애플리케이션 검사에 실패한 패킷, 스캔 공격 감지 등 방화벽과 관련이 없
는 삭제는 포함되지 않습니다.
패킷, 연결 제한 초과, DoS 공격 패킷, 의심스러운 ICMP 패킷, TCP SYN 공
격 패킷, 데이터 없는 UDP 공격 패킷 등 기본 위협 감지에서 추적된 모든 방
화벽 관련 패킷 삭제를 포함하는 통합 속도입니다. 인터페이스 오버로드,
애플리케이션 검사에 실패한 패킷, 스캔 공격 감지 등 방화벽과 관련이 없
는 삭제는 포함되지 않습니다.
insp-drop
애플리케이션 검사에 실패했기 때문에 삭제된 패킷 수를 표시합니다.