1、RG-IDS報表和查詢工具手冊2007年01月目錄版權(quán)聲明1前言3簡介3支持信息3報表管理4概述4報表查詢形式4統(tǒng)計報表分類4報表管理窗口5菜單介紹5工具欄7時間過濾欄7報表工作區(qū)7報表顯示區(qū)8查詢工具窗口8菜單介紹9日志服務(wù)器樹區(qū)域9查詢結(jié)果摘要區(qū)域10查詢結(jié)果詳細(xì)信息區(qū)域10報表生成器應(yīng)用11概述11報表登錄界面11設(shè)置數(shù)據(jù)服務(wù)器（LogServer）12查看報表13添加文件夾14展開文件夾14收攏文件夾14添加報表15刪除文件夾或報表16導(dǎo)出報表17打印報表17發(fā)送郵件18更改報表主窗口顯示內(nèi)容和風(fēng)格18雙語切換19本地升級19查詢工具的應(yīng)用20安全事件查詢工具登錄界面20添加日志服務(wù)器

2、21刪除日志服務(wù)器21添加查詢21添加查詢22設(shè)置查詢條件22中止查詢29刪除查詢29修改查詢29導(dǎo)出查詢29預(yù)定義報表30概述30安全事件報表30告警類別統(tǒng)計30風(fēng)險狀況統(tǒng)計31數(shù)據(jù)統(tǒng)計31交叉統(tǒng)計報表32系統(tǒng)事件報表33審計事件報表34自定義報表35概述35添加自定義報表35自定義報表窗口36報表模版窗口36過濾條件窗口37自定義報表模版37風(fēng)險狀況統(tǒng)計模版37告警類別統(tǒng)計38數(shù)據(jù)統(tǒng)計38交叉統(tǒng)計報表39設(shè)置過濾條件40TOPN41事件日期41風(fēng)險狀況42告警類別43事件名稱44傳感器45源IP地址46目標(biāo)IP地址46源端口47目標(biāo)端口48RG-IDS目錄 ii版權(quán)聲明1. 軟件許可協(xié)議請

3、在安裝和使用本產(chǎn)品前認(rèn)真閱讀以下關(guān)于本產(chǎn)品使用許可的條款和條件。在本協(xié)議中，用戶被稱為“許可證持有人”。安裝、復(fù)制、下載、訪問或以其它方式使用本軟件，即表示您同意接受本協(xié)議中各項條款的約束。如您不同意本協(xié)議中的條款，請不要安裝或使用本軟件。2. 使用許可銳捷網(wǎng)絡(luò)向許可證持有人提供“授權(quán)使用限制”所指定數(shù)量的完整產(chǎn)品（包括軟件、設(shè)備、文檔）。銳捷網(wǎng)絡(luò)根據(jù)本協(xié)議中的條款以及與許可證持有人簽署的訂單或條款，向許可證持有人授予本產(chǎn)品的使用許可。3. 使用限制本產(chǎn)品是銳捷網(wǎng)絡(luò)或其許可證頒發(fā)者的商業(yè)機密和私有財產(chǎn)。許可證持有人及其雇員應(yīng)對本產(chǎn)品和本協(xié)議條款保密。未經(jīng)銳捷網(wǎng)絡(luò)的書面特別授權(quán)，任何個人或組織都

4、不得對該產(chǎn)品進(jìn)行復(fù)制、修改、設(shè)計更改、翻譯、反編譯或其它試圖發(fā)現(xiàn)本軟件源代碼的行為；不得使用和更改銳捷網(wǎng)絡(luò)的商標(biāo)；不得對本軟件進(jìn)行轉(zhuǎn)讓、租賃、出讓。4. 維護(hù)支持在許可證持有人承擔(dān)維護(hù)支持費用期間內(nèi)，銳捷網(wǎng)絡(luò)將提供該軟件的維護(hù)和支持服務(wù)。5. 免責(zé)條款本文檔中的信息如有更改，恕不另行通知。如果您是從銳捷網(wǎng)絡(luò)之外的其它來源得到這些信息的，則其可能已經(jīng)被改變或更改。對這些信息的使用即表明用戶同意在不附帶任何形式保證的僅此狀態(tài)的條件下使用，用戶須自行承擔(dān)使用這些信息所造成的風(fēng)險。銳捷網(wǎng)絡(luò)聲明免除任何明示或默示的保證，包括適銷性和適用于某特定用途的保證。無論何種情況和理由，對于由對這些信息的使用或分發(fā)

5、所導(dǎo)致的任何損失，包括直接的、間接的、附帶的、后果性的或特別的損失，銳捷網(wǎng)絡(luò)不負(fù)任何責(zé)任。因此如果您所在的國家或地區(qū)法律上有上述規(guī)定，銳捷網(wǎng)絡(luò)的前述限制條款可能不適合您，請您謹(jǐn)慎考慮選擇適用的產(chǎn)品。6. 終止許可證持有人可通過銷毀所有本軟件和相關(guān)文檔的副本隨時終止本許可的執(zhí)行，本許可不經(jīng)銳捷網(wǎng)絡(luò)事先書面通知而立即終止和失效。許可證持有人如果不遵守本許可的條款，根據(jù)終止和無效條款，必須停止使用本軟件并且銷毀所有本軟件及相關(guān)文檔的副本。7. 授權(quán)本軟件旨在檢測計算機網(wǎng)絡(luò)系統(tǒng)的安全性，并且在系統(tǒng)測試操作中可能會出現(xiàn)或產(chǎn)生的一些問題，被許可方和被許可方的代表保證：(a)他們得到計算機網(wǎng)絡(luò)的被許可方和所

6、有者的完全授權(quán)，本軟件經(jīng)許可進(jìn)入這些計算機網(wǎng)絡(luò)，并且可以操作軟件以檢測計算機網(wǎng)絡(luò)；(b) 被許可方和計算機網(wǎng)絡(luò)所有者充分理解并完全接受所涉及的風(fēng)險。8. 法律責(zé)任被許可方應(yīng)當(dāng)嚴(yán)格遵守上述條款，若有違反，銳捷網(wǎng)絡(luò)將保留一切法律追訴（包括但不限于訴訟、仲裁等）的權(quán)利，以維護(hù)自身的合法權(quán)益。RG-IDS版權(quán)聲明 2前言簡介Report子系統(tǒng)作為IDS系統(tǒng)的一個獨立的部分，主要完成從數(shù)據(jù)服務(wù)器提取數(shù)據(jù)、統(tǒng)計數(shù)據(jù)和顯示數(shù)據(jù)的功能。本用戶指南介紹了銳捷入侵檢測系統(tǒng) 報表子系統(tǒng)的功能和操作使用方法。本指南適合于銳捷入侵檢測系統(tǒng)的所有用戶。支持信息祝賀您擁有銳捷網(wǎng)絡(luò)產(chǎn)品！銳捷網(wǎng)絡(luò)客服中心福建星網(wǎng)銳捷網(wǎng)絡(luò)有限公

7、司：電話：800-858-1360如果您希望得到更多的關(guān)于銳捷網(wǎng)絡(luò)產(chǎn)品的報價、產(chǎn)品信息以及技術(shù)支持等信息，請您查閱我公司網(wǎng)站：。RG-IDS前言 3報表管理概述Report子系統(tǒng)作為RG-IDS系統(tǒng)的一個獨立的部分，主要完成從數(shù)據(jù)服務(wù)器提取數(shù)據(jù)進(jìn)行顯示的功能。報表查詢形式報表有兩種形式：1. 統(tǒng)計報表在“報表子系統(tǒng)”中，提供安全事件、系統(tǒng)事件、審計事件的統(tǒng)計圖表信息和系統(tǒng)事件、審計事件的詳細(xì)信息。2. 安全事件明細(xì)查詢在“安全事件查詢工具”中，提供查詢某一時間段安全事件的詳細(xì)信息列表。統(tǒng)計報表分類報表生成器提供了四類報表模版：安全事件報表、系統(tǒng)事件

8、報表、審計事件報表和自定義報表。1. 安全事件報表安全事件報表提供對于某一時間段內(nèi)的安全事件的統(tǒng)計圖表，它按照告警類別、風(fēng)險狀況、數(shù)據(jù)統(tǒng)計和交叉統(tǒng)計分為四類。2. 系統(tǒng)事件報表系統(tǒng)事件報表提供某一時間段內(nèi)的對于系統(tǒng)事件的統(tǒng)計圖表。3. 審計事件報表審計事件報表提供某一時間段內(nèi)的對于審計事件的統(tǒng)計圖表。4. 自定義報表自定義報表是指通過選擇自定義報表模版，設(shè)置過濾條件（過濾條件包括：TOPN、日期時間、風(fēng)險狀況、事件名稱、傳感器、源IP地址、目標(biāo)IP地址、源端口、目標(biāo)端口），生成用戶關(guān)心的相關(guān)統(tǒng)計報表。報表管理窗口報表管理窗口包括：菜單、工具欄、任務(wù)欄、“報表工作區(qū)”和“報表顯示區(qū)”兩個區(qū)域。“

9、報表工作區(qū)”以樹形結(jié)構(gòu)顯示各類報表模版；“報表顯示區(qū)”顯示報表詳細(xì)內(nèi)容。菜單介紹主界面上包括四個菜單：文件、查看、工作區(qū)、工具和幫助。文件文件菜單中包括：導(dǎo)出報表、發(fā)送郵件、打印報表、打印設(shè)定和退出。 導(dǎo)出報表：選擇此項，導(dǎo)出當(dāng)前打開的報表到用戶指定的目錄（可以保存為“.rpt”、“.txt”、“html”、“.rtf”四種格式）。 發(fā)送郵件：選擇此項，發(fā)送當(dāng)前打開的報表給指定收件人（可以選擇四種發(fā)送格式“.rpt”、“.txt”、“html”、“.rtf”）。注：要求用戶安裝有微軟的outlook，同時保證默認(rèn)帳戶可用，否則將不能成功發(fā)送。 打印報表：打印當(dāng)前打開的報表。 打印設(shè)定：與打印相

10、關(guān)的設(shè)置，包括打印機設(shè)置、紙張設(shè)置、打印方向設(shè)置等。 退出：選擇此項，退出報表子系統(tǒng)界面。查看查看菜單中包括：報表工作區(qū)、時間過濾欄、工具欄、狀態(tài)欄、XP風(fēng)格和Language。 報表工作區(qū)：選擇此項，報表工作區(qū)在主界面上關(guān)閉或打開。 時間過濾欄：選擇此項，時間過濾欄在主界面上關(guān)閉或打開。 工具欄：選擇此項，工具欄在主界面上關(guān)閉或打開。 狀態(tài)欄：選擇此項，狀態(tài)欄在主界面上關(guān)閉或打開。 XP風(fēng)格：選擇此項，可以改變主界面風(fēng)格。系統(tǒng)提供兩種風(fēng)格：XP風(fēng)格或普通風(fēng)格。 Language：選擇此項，可以改變主界面語言。系統(tǒng)提供兩種語言：中文或英文。工作區(qū)工作區(qū)菜單中包括：展開文件夾、收攏文件夾、查看報

11、表、添加報表、添加文件夾和刪除。 展開文件夾：此項用于展開報表工作區(qū)內(nèi)已選定的文件夾。 收攏文件夾：此項用于收攏報表工作區(qū)內(nèi)已選定的文件夾。 查看報表：此項用于查看報表工作區(qū)內(nèi)已選定的報表，選擇此項系統(tǒng)從數(shù)據(jù)服務(wù)器中讀取數(shù)據(jù)后顯示該報表。 添加報表：此項用于在報表工作區(qū)中選定文件夾中添加新報表模版。 添加文件夾：此項用于在報表工作區(qū)中選定文件夾中添加新文件夾。 刪除：此項用于刪除報表工作區(qū)中的報表模版或文件夾（注：預(yù)定義的文件夾和報表模版不能刪除）。工具工具菜單中包括：數(shù)據(jù)服務(wù)器信息設(shè)定、在線升級和本地升級。 數(shù)據(jù)服務(wù)器信息設(shè)定：此項用于設(shè)定數(shù)據(jù)服務(wù)器登錄信息，包括：數(shù)據(jù)服務(wù)器名稱和數(shù)據(jù)服務(wù)器

12、地址。 在線升級：通過點擊在線升級從網(wǎng)絡(luò)上下載升級程序進(jìn)行升級。 本地升級：通過獲取升級包從本地升級程序。幫助幫助菜單中包括：內(nèi)容、搜索和關(guān)于。 內(nèi)容：此項用于查看聯(lián)機幫助的內(nèi)容。 搜索：此項用于通過搜索方式查看聯(lián)機幫助的內(nèi)容。 關(guān)于報表生成器：此項用于查看報表子系統(tǒng)的版本信息。工具欄工具欄在主界面的左上方，由10個按鈕組成。這些按鈕的功能在菜單中已經(jīng)介紹，此處不再詳細(xì)介紹。鼠標(biāo)在按鈕上停留一段時間后，鼠標(biāo)下方就會出現(xiàn)該按鈕的說明。時間過濾欄在工具欄在主界面的右上方，可以使用時間過濾功能。用戶可以選擇按照預(yù)定義時間過濾規(guī)則查看報表；也可以自定義開始時間和結(jié)束時間并且設(shè)定TOPX的值。 可以按開

13、始和結(jié)束時間過濾。首先要在預(yù)定義時間過濾框中選擇“自定義”，然后輸入開始和結(jié)束時間，生成的報表就可以按照自定義的時間過濾。 可以設(shè)定TOPX的值（X為小于100的正整數(shù)）。預(yù)定義的時間過濾，默認(rèn)值為缺省。報表工作區(qū)以樹結(jié)構(gòu)顯示 IDS報表模版。報表顯示區(qū)“報表顯示區(qū)”區(qū)域用來顯示報表的內(nèi)容。查詢工具窗口登錄成功后，進(jìn)入主界面，各個區(qū)域如下圖所示。主界面的3個區(qū)域中，左邊的服務(wù)器列表和右下的詳細(xì)信息窗口都可以關(guān)閉打開。通過窗口右上的“X”按鈕或“查看”菜單里關(guān)閉，但只能在“查看”菜單里再重新打開。菜單介紹主界面上包括四個菜單：數(shù)據(jù)庫、查詢、查看和幫助。數(shù)據(jù)庫數(shù)據(jù)庫菜單中包括：添加日志服務(wù)器和刪除

14、日志服務(wù)器。查詢查詢菜單中包括：添加查詢、中止查詢、刪除查詢、修改查詢和導(dǎo)出查詢。查看查看菜單中包括：工具欄、狀態(tài)欄、日志服務(wù)器、查詢摘要和詳細(xì)信息。幫助幫助菜單包括：關(guān)于。日志服務(wù)器樹區(qū)域查詢工具窗口左側(cè)是服務(wù)器和查詢的樹型列表。日志服務(wù)器樹型列表共分為4級顯示。最上一級是總的根結(jié)點，顯示為日志服務(wù)器；第二級節(jié)點是用戶添加的日志服務(wù)器，用“IP：Port”的形式顯示；第三級節(jié)點是用戶每次的查詢，用用戶添加查詢當(dāng)時的時間作為顯示；最下一級是查詢結(jié)果，用事件實際發(fā)生的“起始時間終止時間”顯示；事件查詢結(jié)果分幀顯示，一幀顯示100條事件，每一幀在查詢節(jié)點下單獨顯示。查詢結(jié)果摘要區(qū)域查詢工具窗口右上

15、是查詢結(jié)果的摘要顯示。用戶在日志服務(wù)器樹上選擇不同節(jié)點，右邊列表隨之修改，而用戶在摘要窗口選擇事件，它的詳細(xì)信息列表在右下窗口顯示，完全相同的詳細(xì)信息會被歸并為一條，并以“事件產(chǎn)生時間(個數(shù))”的形式顯示每一條詳細(xì)信息的名字。查詢結(jié)果詳細(xì)信息區(qū)域查詢工具窗口右下是查詢結(jié)果的詳細(xì)信息。RG-IDS報表管理 10報表生成器應(yīng)用概述報表應(yīng)用部分介紹了查看報表、添加報表、導(dǎo)出報表、打印報表等操作。報表登錄界面可以執(zhí)行以下的任一操作，登錄報表生成器界面：在控制臺主窗口，單擊主界面上方“功能菜單”中的“報表”按鈕在桌面上，雙擊 Report 圖標(biāo)。字段描述事件收集器輸入相關(guān)事件收集器（EC）所安裝的主機的

16、IP地址。帳號需要從管理員那里獲得登錄報表子系統(tǒng)的權(quán)限，由管理員分配帳號。密碼需要從管理員那里獲得登錄報表子系統(tǒng)的權(quán)限，由管理員分配密碼。通信端口報表子系統(tǒng)與EC的通信端口。數(shù)據(jù)服務(wù)器輸入相關(guān)LogServer主機的IP地址。通信端口報表子系統(tǒng)與LogServer的通信端口。根證書/ca.crt - 證書發(fā)行者的公鑰。證書文件/client.crt - 自己的公鑰。密鑰加密/client.key - 自己的私鑰。加密口令訪問自己私鑰的密碼。對于安全登錄，IDS系統(tǒng)支持公鑰密碼技術(shù)。公鑰密碼技術(shù)核心思想是使用公鑰密碼算法的用戶有一對密鑰，其中一個稱謂私鑰，用于解密消息或?qū)ο⑦M(jìn)行數(shù)字簽名，由用戶

17、自己使用，需妥善保存，防止泄密；另一稱為公鑰，公布在公開位置，由其他人使用，其作用是進(jìn)行加密或驗證數(shù)字簽名。如果您需要使用“公鑰密碼技術(shù)”來增加您的系統(tǒng)安全性，請自行了解相關(guān)內(nèi)容，我們不對此作技術(shù)支持。設(shè)置數(shù)據(jù)服務(wù)器（LogServer）數(shù)據(jù)服務(wù)器即LogServer。設(shè)置數(shù)據(jù)服務(wù)器的步驟：1. 進(jìn)入報表子系統(tǒng)界面。2. 在“工具”菜單中選擇“數(shù)據(jù)服務(wù)器信息設(shè)定”。3. 彈出數(shù)據(jù)服務(wù)器信息設(shè)置窗口。4. 點擊“增加”按鈕，增加數(shù)據(jù)服務(wù)器（此處可以添加多個數(shù)據(jù)服務(wù)器，生成報表時會從多個數(shù)據(jù)服務(wù)器中取數(shù)據(jù)）。5. 在彈出的窗口中輸入服務(wù)器名稱和服務(wù)器地址。字段描述服務(wù)器名稱輸入LogServer所

18、在服務(wù)器（此處可以設(shè)定任意名稱）服務(wù)器地址輸入LogServer所在服務(wù)器IP地址通信端口報表子系統(tǒng)與LogServer的通信端口。根證書/ca.crt - 證書發(fā)行者的公鑰。證書文件/client.crt - 自己的公鑰。密鑰文件/client.key - 自己的私鑰。加密口令訪問自己私鑰的密碼。6. 點擊“測試”按鈕。7. 測試 通過點擊“確定”按鈕。8. 數(shù)據(jù)服務(wù)器添加成功。查看報表 1. 在“報表工作區(qū)”中雙擊需要查看的報表模版。2. 系統(tǒng)正在生成報表。3. 報表生成后即可查看報表。注：如果用戶沒有增加數(shù)據(jù)服務(wù)器，那么在查看報表的時候會首先彈出數(shù)據(jù)服務(wù)器設(shè)置對話框，當(dāng)有可用的數(shù)據(jù)服務(wù)器

19、的時候，才會生成報表。添加文件夾1. 在“報表工作區(qū)”中選中某一的文件夾（注意：新添加的文件夾在選中的文件夾下一級目錄中）。2. 點擊右鍵，在菜單中選擇“添加文件夾”，或點擊工具欄的“添加文件夾”按鈕。3. 在彈出的窗口中，輸入新添加的文件夾的名稱。4. 點擊“確定”按鈕。新添加的文件夾則顯示在選中文件夾的下一級目錄中。展開文件夾1. 在“報表工作區(qū)”中選中某一的文件夾。2. 點擊右鍵，在出現(xiàn)的菜單中選擇“展開文件夾”；也可以點擊文件夾前面的“+”號。收攏文件夾1. 在“報表工作區(qū)”中選中某一的文件夾。2. 點擊右鍵，在出現(xiàn)的菜單中選擇“收攏文件夾”；也可以點擊文件夾前面的“-”號。添加報表1

20、. 在“報表工作區(qū)”中選中某一的文件夾（注意：新添加的報表在選中的文件夾下一級目錄中）。2. 點擊右鍵，在出現(xiàn)的菜單中選擇“添加報表”；也可以點擊工具欄中的“添加報表”按鈕。3. 在彈出的窗口中進(jìn)行設(shè)置（如何設(shè)置請參見自定義報表）。4. 點擊“保存”按鈕。新添加的報表則顯示在選中文件夾的下一級目錄中。刪除文件夾或報表1. 在“報表工作區(qū)中”選中某一的文件夾或者報表（須為自定義報表或文件夾）。2. 點擊右鍵，在出現(xiàn)的菜單中選擇“刪除”；也可以點擊工具欄中的“刪除”按鈕 。3. 彈出警告對話框，選擇“是”。4. 文件夾或報表被刪除。注：用戶只能刪除自定義的文件夾或者報表，不能刪除預(yù)定義文件夾和報表

21、。導(dǎo)出報表1. 點擊報表主窗口“文件”菜單中的“導(dǎo)出報表”。2. 在彈出的窗口中選擇保存路徑。3. 輸入保存名稱，選擇保存格式（可以保存為四種格式“.rpt”、“.txt”、“html”、“.rtf”）。4. 點擊“保存”按鈕。打印報表1. 在查看報表窗口中選定需要打印的報表。2. 點擊報表主窗口“文件”菜單中的“打印報表”。3. 在彈出的窗口中輸入打印范圍和份數(shù)。4. 點擊“確定”按鈕。發(fā)送郵件注：要求用戶安裝有微軟的outlook，同時保證默認(rèn)帳戶可用，否則將不能成功發(fā)送。1. 點擊報表主窗口“文件”菜單中的“發(fā)送郵件”。2. 輸入收信人地址、抄送地址、郵件標(biāo)題、郵件內(nèi)容并且選擇文件類型。

22、字段描述收信人地址收信人的E-mail地址抄送地址發(fā)送一個副本給其他收信人郵件標(biāo)題要發(fā)送郵件的標(biāo)題郵件內(nèi)容要發(fā)送郵件的內(nèi)容文件類型選擇發(fā)送附件的文件類型3. 點擊發(fā)送按鈕，郵件被成功發(fā)送。更改報表主窗口顯示內(nèi)容和風(fēng)格1. 點擊報表主窗口“查看”菜單中的“報表工作區(qū)”、“時間過濾欄”、“工具欄”、“狀態(tài)欄”或“XP風(fēng)格”。2. 報表主窗口顯示的內(nèi)容會隨之更改，風(fēng)格隨之改變。雙語切換1. 點擊報表主窗口“查看”菜單中的“Language”。2. 在出現(xiàn)的菜單中選擇“中文”或“英文”。3. 報表主窗口中的文字將隨之切換。本地升級1. 獲得“本地升級”的升級包（升級光盤等）2. 點擊報表主窗口“工具”

23、菜單中的“本地升級”。3. 選擇升級包所在的目錄。4. 系統(tǒng)在指定目錄下尋找到升級包，出現(xiàn)“升級提示”對話框，繼續(xù)升級。5. 選擇“是”。6. 系統(tǒng)彈出“升級提示”對話框，選擇“是”。7. 系統(tǒng)開始升級軟件，壓縮備份就版本文件。8. 系統(tǒng)正在解壓更新舊版本文件9. 升級成功，重新啟動Report，選擇“是”。RG-IDS報表生成器應(yīng)用 19查詢工具的應(yīng)用安全事件查詢工具登錄界面登錄界面和操作與console完全相同。字段描述事件收集器輸入相關(guān)事件收集器（EC）所安裝的主機的IP地址。帳號需要從管理員那里獲得登錄報表子系統(tǒng)的權(quán)限，由管理員分配帳號。密碼需要從管理員那里獲得登錄報表子系統(tǒng)的權(quán)限，由

24、管理員分配密碼。通信端口安全事件查詢工具與EC的通信端口。根證書/ca.crt - 證書發(fā)行者的公鑰。證書文件/client.crt - 自己的公鑰。密鑰加密/client.key - 自己的私鑰。加密口令訪問自己私鑰的密碼。對于安全登錄，IDS系統(tǒng)支持公鑰密碼技術(shù)。公鑰密碼技術(shù)核心思想是使用公鑰密碼算法的用戶有一對密鑰，其中一個稱謂私鑰，用于解密消息或?qū)ο⑦M(jìn)行數(shù)字簽名，由用戶自己使用，需妥善保存，防止泄密；另一稱為公鑰，公布在公開位置，由其他人使用，其作用是進(jìn)行加密或驗證數(shù)字簽名。如果您需要使用“公鑰密碼技術(shù)”來增加您的系統(tǒng)安全性，請自行了解相關(guān)內(nèi)容，我們不對此作技術(shù)支持。添加日志服務(wù)器1

25、. 輸入LogServer所在主機的IP地址。2. 輸入查詢工具與LogServer的通訊端口。注：如果添加的地址已經(jīng)存在于列表當(dāng)中服務(wù)器樹當(dāng)中，則不會再重復(fù)添加。刪除日志服務(wù)器只有用戶在樹上選擇了日志服務(wù)器，且本服務(wù)器當(dāng)前沒有查詢進(jìn)行，本功能才能使用。在日志服務(wù)器樹區(qū)域，右鍵點擊日志服務(wù)器，在出現(xiàn)的菜單中選擇“刪除日志服務(wù)器”系統(tǒng)要求用戶確認(rèn)是否刪除服務(wù)器。服務(wù)器如果被刪除則它的所有查詢也被刪除，無法恢復(fù)。添加查詢只有用戶在樹上選擇了日志服務(wù)器，且本服務(wù)器當(dāng)前沒有查詢進(jìn)行，本功能才能使用。查詢進(jìn)行中，左邊服務(wù)器樹上的查詢節(jié)點和服務(wù)器節(jié)點圖標(biāo)會變灰，只能進(jìn)行中止查詢的操作。此時下方的狀態(tài)條會顯

26、示提示信息和進(jìn)度條。查詢結(jié)束后，恢復(fù)節(jié)點圖標(biāo)，銷毀進(jìn)度條。在日志服務(wù)器樹區(qū)域，右鍵點擊日志服務(wù)器，在出現(xiàn)的菜單中選擇“添加查詢”。設(shè)置查詢條件（查詢條件設(shè)置包含：時間、源IP、源端口、目標(biāo)IP、目標(biāo)端口、事件類型。時間選擇中，時間間隔必須小于3個月。起始和終止時間可以相同。IP和端口條件設(shè)置中，也可以輸入一段IP(端口)。查詢結(jié)果是這些條件的交集結(jié)果）。設(shè)置查詢條件后，點擊“查詢按鈕”。添加查詢只有用戶在樹上選擇了日志服務(wù)器，且本服務(wù)器當(dāng)前沒有查詢進(jìn)行，本功能才能使用。查詢進(jìn)行中，左邊服務(wù)器樹上的查詢節(jié)點和服務(wù)器節(jié)點圖標(biāo)會變灰，只能進(jìn)行中止查詢的操作。此時下方的狀態(tài)條會顯示提示信息和進(jìn)度條。查

27、詢結(jié)束后，恢復(fù)節(jié)點圖標(biāo)，銷毀進(jìn)度條。在日志服務(wù)器樹區(qū)域，右鍵點擊“日志服務(wù)器”，在出現(xiàn)的菜單中選擇“添加查詢”。設(shè)置查詢條件設(shè)置查詢條件（查詢條件設(shè)置包含：時間、源IP、源端口、目標(biāo)IP、目標(biāo)端口、事件等級選擇、事件內(nèi)容選擇、事件類型和傳感器選擇。查詢結(jié)果是這些條件的交集結(jié)果）。設(shè)置查詢條件后，點擊“查詢按鈕”。時間選擇選擇需要查詢的事件段。字段描述請選擇事件范圍輸入起始時間和終止時間。時間間隔必須小于3個月，起始和終止時間可以相同。定時查詢輸入定時查詢的時間間隔。定時查詢是作為一項特殊查詢功能使用的，一個定時查詢會在設(shè)定的時間間隔里使用同一個查詢條件查詢。對每一個日志服務(wù)器，只能有一個定時查

28、詢，無論用戶新建定時查詢還是派生定時查詢都會覆蓋該日志服務(wù)器舊的定時查詢設(shè)置。設(shè)置定時查詢可以在設(shè)置查詢條件的“時間選擇”選項卡中將“定時查詢”按鈕打勾，然后輸入定時查詢的時間間隔，此時將不能再設(shè)置“時間范圍”，程序每次定時查詢都會將上次定時查詢時間和這次定時查詢時間作為查詢的時間范圍，使得每次查詢結(jié)果都是這一個時間間隔內(nèi)的符合其它查詢條件的事件。其他查詢條件和普通查詢意義相同，設(shè)置方法也相同。源IP選擇輸入單一IP地址或輸入IP地址范圍。點擊 “向下”箭頭。輸入的源IP地址或IP地址范圍顯示在“選中的IP地址”列表中。字段描述單一IP某一IP地址。連續(xù)IP連續(xù)IP是指起始IP和終止IP間的一

29、段IP地址。源端口選擇輸入單一端口或者連續(xù)端口。點擊 “向下”箭頭。輸入的“端口”顯示在“選中的端口”中。字段描述單一端口某一端口號。連續(xù)端口連續(xù)端口是指起始端口和終止端口間的所有端口。目標(biāo)IP選擇輸入單一IP地址或輸入IP地址范圍。點擊 “向下”箭頭。輸入的目標(biāo)IP地址或IP地址范圍顯示在“選中的IP地址”列表中。字段描述單一IP某一IP地址。連續(xù)IP連續(xù)IP是指起始IP和終止IP間的一段IP地址。目標(biāo)端口選擇輸入單一端口或者連續(xù)端口。點擊 “向下”箭頭。輸入的“端口”顯示在“選中的端口”中。字段描述單一端口某一端口號。連續(xù)端口連續(xù)端口是指起始端口和終止端口間的所有端口。事件等級選擇選擇查詢

30、事件的等級。字段描述高風(fēng)險對主機或網(wǎng)絡(luò)的未經(jīng)授權(quán)的訪問。中風(fēng)險訪問有可能導(dǎo)致高風(fēng)險利用的敏感性網(wǎng)絡(luò)數(shù)據(jù)。低風(fēng)險訪問有可能具有敏感性的網(wǎng)絡(luò)數(shù)據(jù)，但不太可能導(dǎo)致高風(fēng)險利用。信息對主機或網(wǎng)絡(luò)的正常連接，對系統(tǒng)沒有什么危害，只是對于連接操作的記錄。攻擊對主機、網(wǎng)絡(luò)或網(wǎng)絡(luò)設(shè)備造成威脅或破壞的行為。探測嘗試對主機或網(wǎng)絡(luò)的未經(jīng)授權(quán)的訪問，有可能竊取敏感性網(wǎng)絡(luò)數(shù)據(jù)或造成安全漏洞。記錄對特定網(wǎng)絡(luò)行為的審計。搜集信息搜集探測結(jié)果。未知不能確定的告警類別。事件內(nèi)容選擇輸入要查詢的事件內(nèi)容的關(guān)鍵字。事件選擇在“可選事件類型”中選中需要添加事件。點擊 “向下”箭頭。添加的事件顯示在“查詢事件類型”中字段描述可選事件類型

31、傳感器所能檢測到的所有告警事件類型。查詢事件類型需要查詢的告警事件類型。傳感器選擇輸入傳感器的名稱。點擊 “向下”箭頭。添加的傳感器顯示在“選中的傳感器”列表中。字段描述請輸入傳感器名稱輸入傳感器設(shè)置中傳感器的名稱。選中的傳感器顯示已輸入的傳感器名稱。中止查詢當(dāng)服務(wù)器正在進(jìn)行查詢時，可以對該服務(wù)器節(jié)點或者它下面正在查詢的節(jié)點中止查詢操作。在日志服務(wù)器樹區(qū)域，右鍵點擊日志服務(wù)器，在出現(xiàn)的菜單中選擇“中止查詢”。刪除查詢只有用戶在樹上選擇了查詢節(jié)點，且本查詢已經(jīng)結(jié)束，本功能才能使用。在日志服務(wù)器樹區(qū)域，右鍵點擊“查詢節(jié)點”，在出現(xiàn)的菜單中選擇“刪除查詢”。修改查詢只有用戶在樹上選擇了查詢節(jié)點，且查

32、詢所屬的服務(wù)器沒有進(jìn)行查詢，本功能才能使用。修改查詢會恢復(fù)本次查詢的條件，用戶可以在此基礎(chǔ)之上對條件進(jìn)行修改再查詢，建立新查詢并不會修改原有查詢的條件和結(jié)果。在日志服務(wù)器樹區(qū)域，右鍵點擊“查詢節(jié)點”，在出現(xiàn)的菜單中選擇“修改查詢”。設(shè)置查詢條件。點擊“查詢按鈕”。導(dǎo)出查詢只有用戶在樹上選擇了查詢節(jié)點，且查詢所屬的服務(wù)器沒有進(jìn)行查詢，本功能才能使用。目前導(dǎo)出只支持txt文本格式。導(dǎo)出結(jié)束后用戶可以選擇刪除本次查詢。RG-IDS查詢工具的應(yīng)用 29預(yù)定義報表概述預(yù)定義報表以樹結(jié)構(gòu)顯示在報表工作區(qū)中，是通過總結(jié)大量用戶需求產(chǎn)生的報表模版。 預(yù)定義報表分為3大類：安全事件報表、系統(tǒng)事件報表和審計事件報

33、表。安全事件報表告警類別統(tǒng)計星期n告警類別統(tǒng)計反映本周內(nèi)每天所產(chǎn)生的各類告警類別的事件數(shù)量和攻擊風(fēng)險的比例分布信息。周告警類別統(tǒng)計反映本月內(nèi)每周所產(chǎn)生的各類告警類別的事件數(shù)量和攻擊風(fēng)險的比例分布信息。月告警類別統(tǒng)計反映本年內(nèi)每月所產(chǎn)生的各類告警類別的事件數(shù)量和攻擊風(fēng)險的比例分布信息。季度告警類別統(tǒng)計反映本年內(nèi)每季度所產(chǎn)生的各類告警類別的事件數(shù)量和攻擊風(fēng)險的比例分布信息。風(fēng)險狀況統(tǒng)計星期n風(fēng)險狀況統(tǒng)計反映本周內(nèi)每天所產(chǎn)生的各類風(fēng)險狀況的事件數(shù)量和攻擊風(fēng)險的比例分布信息。周風(fēng)險狀況統(tǒng)計反映本月內(nèi)每周所產(chǎn)生的各類風(fēng)險狀況的事件數(shù)量和攻擊風(fēng)險的比例分布信息。月風(fēng)險狀況統(tǒng)計反映本年內(nèi)每月所產(chǎn)生的各類風(fēng)險

34、狀況的事件數(shù)量和攻擊風(fēng)險的比例分布信息。季度風(fēng)險狀況統(tǒng)計反映本年內(nèi)每季度所產(chǎn)生的各類風(fēng)險狀況的事件數(shù)量和攻擊風(fēng)險的比例分布信息。數(shù)據(jù)統(tǒng)計安全事件統(tǒng)計概要反映攻擊和被攻擊的計算數(shù)，各風(fēng)險狀況對應(yīng)的事件名稱數(shù)，以及事件名稱、源IP、目標(biāo)IP和傳感器的概要統(tǒng)計信息。目標(biāo)IP數(shù)據(jù)統(tǒng)計反映與目標(biāo)IP相關(guān)的各類風(fēng)險狀況的事件數(shù)量、比例分布和攻擊風(fēng)險比例分布的狀況信息。源IP數(shù)據(jù)統(tǒng)計反映源IP所產(chǎn)生的各類風(fēng)險狀況的事件數(shù)量、比例分布和攻擊風(fēng)險比例分布的狀況信息。傳感器數(shù)據(jù)統(tǒng)計反映傳感器所產(chǎn)生的各類風(fēng)險狀況的事件數(shù)量、比例分布和攻擊風(fēng)險比例分布的狀況信息。事件名稱數(shù)據(jù)統(tǒng)計反映各風(fēng)險狀況事件名稱的數(shù)量和分布比例

35、等統(tǒng)計信息。源端口數(shù)據(jù)統(tǒng)計反映各風(fēng)險狀況源端口的數(shù)量和分布比例等統(tǒng)計信息。目標(biāo)端口數(shù)據(jù)統(tǒng)計反映各風(fēng)險狀況目標(biāo)端口的數(shù)量和分布比例等統(tǒng)計信息。交叉統(tǒng)計報表目標(biāo)IP_事件名稱數(shù)據(jù)統(tǒng)計反映目標(biāo)IP以及事件名稱的數(shù)量和分布比例等統(tǒng)計信息。源IP_事件名稱數(shù)據(jù)統(tǒng)計反映源IP以及事件名稱的數(shù)量和分布比例等統(tǒng)計信息。傳感器_事件名稱數(shù)據(jù)統(tǒng)計反映傳感器以及事件名稱的數(shù)量和分布比例等統(tǒng)計信息。告警類別_事件名稱數(shù)據(jù)統(tǒng)計反映告警類別以及事件名稱的數(shù)量和分布比例等統(tǒng)計信息。事件名稱_目標(biāo)IP數(shù)據(jù)統(tǒng)計反映事件名稱以及目標(biāo)IP的數(shù)量和分布比例等統(tǒng)計信息。事件名稱_源IP數(shù)據(jù)統(tǒng)計反映事件名稱以及源 IP的數(shù)量和分布比例等

36、統(tǒng)計信息。事件名稱_傳感器數(shù)據(jù)統(tǒng)計反映事件名稱以及傳感器的數(shù)量和分布比例等統(tǒng)計信息。目標(biāo)IP_告警類別數(shù)據(jù)統(tǒng)計反映目標(biāo)IP以及告警類別的數(shù)量和分布比例等統(tǒng)計信息。源IP_告警類別數(shù)據(jù)統(tǒng)計反映源IP以及告警類別的數(shù)量和分布比例等統(tǒng)計信息。傳感器_告警類別數(shù)據(jù)統(tǒng)計反映傳感器以及告警類別的數(shù)量和分布比例等統(tǒng)計信息。源端口_告警類別數(shù)據(jù)統(tǒng)計反映源端口以及告警類別的數(shù)量和分布比例等統(tǒng)計信息。目標(biāo)端口_告警類別數(shù)據(jù)統(tǒng)計反映目標(biāo)端口以及告警類別的數(shù)量和分布比例等統(tǒng)計信息。事件名稱_告警類別數(shù)據(jù)統(tǒng)計反映事件名稱以及告警類別的數(shù)量和分布比例等統(tǒng)計信息。源IP_源端口數(shù)據(jù)統(tǒng)計反映源IP以及源端口的數(shù)量和分布比例等

37、統(tǒng)計信息。目標(biāo)IP_目標(biāo)端口數(shù)據(jù)統(tǒng)計反映目標(biāo)IP以及目標(biāo)端口的數(shù)量和分布比例等統(tǒng)計信息。風(fēng)險狀況_事件名稱數(shù)據(jù)統(tǒng)計反映風(fēng)險狀況以及事件名稱的數(shù)量和分布比例等統(tǒng)計信息。系統(tǒng)事件報表系統(tǒng)事件統(tǒng)計概要反映各風(fēng)險狀況對應(yīng)的系統(tǒng)事件名稱數(shù)，以及系統(tǒng)事件名稱、系統(tǒng)事件源和用戶的概要統(tǒng)計信息。系統(tǒng)事件源統(tǒng)計按系統(tǒng)事件源進(jìn)行統(tǒng)計，反映系統(tǒng)事件源相關(guān)的系統(tǒng)事件統(tǒng)計信息。系統(tǒng)事件名稱統(tǒng)計按系統(tǒng)事件名稱進(jìn)行統(tǒng)計，反映系統(tǒng)事件統(tǒng)計信息。系統(tǒng)事件風(fēng)險狀況統(tǒng)計按風(fēng)險狀況進(jìn)行統(tǒng)計，反映與各風(fēng)險狀況相關(guān)的系統(tǒng)事件統(tǒng)計信息。審計事件報表審計事件統(tǒng)計概要反映審計風(fēng)險狀況，以及TOP10用戶、事件名稱、資產(chǎn)名稱的審計事件概要統(tǒng)計信

38、息。用戶統(tǒng)計按用戶進(jìn)行統(tǒng)計，反映用戶相關(guān)的審計事件統(tǒng)計信息。審計事件名稱統(tǒng)計按審計事件名稱進(jìn)行統(tǒng)計，反映事件名稱的審計事件統(tǒng)計信息。審計事件風(fēng)險狀況統(tǒng)計按審計事件風(fēng)險狀況進(jìn)行統(tǒng)計，反映事件風(fēng)險狀況相關(guān)的審計事件統(tǒng)計信息。RG-IDS預(yù)定義報表 34自定義報表概述用戶也可以根據(jù)自身需求，自行定義報表模版。添加自定義報表1. 在報表的主界面上點擊“添加自定義報表”按鈕。2. 在報表模版中選擇報表模版。3. 在報表描述中輸入描述信息。4. 輸入報表名稱。5. 進(jìn)入“過濾條件”頁面。 設(shè)置TOPN 設(shè)置日期時間 設(shè)置風(fēng)險狀況 設(shè)置告警類型 設(shè)置事件名稱 設(shè)置傳感器 設(shè)置源IP地址 設(shè)置目標(biāo)IP地址 設(shè)

39、置源端口 設(shè)置目標(biāo)端口6. 點擊“保存”。7. 在彈出的“保存設(shè)置”窗口中輸入文件名。8. 點擊“確定”按鈕。自定義報表窗口報表模版窗口區(qū)域描述報表模版其中使用樹結(jié)構(gòu)顯示可供自定義的報表模版。報表描述選中一個報表模版，可以在“報表描述”中輸入相應(yīng)的描述。報表名稱選中一個報表模版，可以修改該模版的名稱。報表預(yù)覽選中一個報表模版，可以在窗口中查看該模版的預(yù)覽圖。提示信息選中一個報表模版，提示信息中顯示該模版的簡介。過濾條件窗口用戶可以設(shè)定以下過濾條件，自定義報表模版：字段描述TOPN按照已設(shè)定N的值，報表只統(tǒng)計前N項數(shù)據(jù)。事件日期定義報表數(shù)據(jù)中從起始日期到結(jié)束日期之間的數(shù)據(jù)。風(fēng)險狀況定義報表數(shù)據(jù)中

40、包含的事件的風(fēng)險狀況。告警類別定義告警類別，可按照5類告警過濾查詢。事件名稱定義在報表數(shù)據(jù)中包含的事件名稱。傳感器定義在報表數(shù)據(jù)中包含的傳感器。源IP地址定義在報表數(shù)據(jù)中包含的源IP地址。目標(biāo)IP地址定義在報表數(shù)據(jù)中包含的目標(biāo)IP地址。源端口定義在報表數(shù)據(jù)中包含的源端口。目標(biāo)端口定義在報表數(shù)據(jù)中包含的目標(biāo)端口。過濾條件設(shè)定使用提示設(shè)定過濾條件的使用方法。自定義報表模版自定義報表模版是指在新建報表窗口中顯示的報表模版。風(fēng)險狀況統(tǒng)計模版星期n風(fēng)險狀況統(tǒng)計反映一周內(nèi)每天所產(chǎn)生的各類風(fēng)險狀況的事件數(shù)量和攻擊風(fēng)險的比例分布信息。周風(fēng)險狀況統(tǒng)計反映一個月內(nèi)每周所產(chǎn)生的各類風(fēng)險狀況的事件數(shù)量和攻擊風(fēng)險的比例

41、分布信息。月風(fēng)險狀況統(tǒng)計反映一年內(nèi)每月所產(chǎn)生的各類風(fēng)險狀況的事件數(shù)量和攻擊風(fēng)險的比例分布信息。季度風(fēng)險狀況統(tǒng)計反映一年內(nèi)每季度所產(chǎn)生的各類風(fēng)險狀況的事件數(shù)量和攻擊風(fēng)險的比例分布信息。告警類別統(tǒng)計星期n告警類別統(tǒng)計反映本周內(nèi)每天所產(chǎn)生的各類告警類別的事件數(shù)量和攻擊風(fēng)險的比例分布信息。周告警類別統(tǒng)計反映本月內(nèi)每周所產(chǎn)生的各類告警類別的事件數(shù)量和攻擊風(fēng)險的比例分布信息。月告警類別統(tǒng)計反映本年內(nèi)每月所產(chǎn)生的各類告警類別的事件數(shù)量和攻擊風(fēng)險的比例分布信息。季度告警類別統(tǒng)計反映本年內(nèi)每季度所產(chǎn)生的各類告警類別的事件數(shù)量和攻擊風(fēng)險的比例分布信息。數(shù)據(jù)統(tǒng)計安全事件統(tǒng)計概要反映攻擊和被攻擊的計算數(shù)，各風(fēng)險狀況對

42、應(yīng)的事件名稱數(shù)，以及事件名稱、源IP、目標(biāo)IP和傳感器的概要統(tǒng)計信息。目標(biāo)IP數(shù)據(jù)統(tǒng)計反映與目標(biāo)IP相關(guān)的各類風(fēng)險狀況的事件數(shù)量、比例分布和攻擊風(fēng)險比例分布的狀況信息。源IP數(shù)據(jù)統(tǒng)計反映源IP所產(chǎn)生的各類風(fēng)險狀況的事件數(shù)量、比例分布和攻擊風(fēng)險比例分布的狀況信息。傳感器數(shù)據(jù)統(tǒng)計反映傳感器所產(chǎn)生的各類風(fēng)險狀況的事件數(shù)量、比例分布和攻擊風(fēng)險比例分布的狀況信息。事件名稱數(shù)據(jù)統(tǒng)計反映各風(fēng)險狀況事件名稱的數(shù)量和分布比例等統(tǒng)計信息。源端口數(shù)據(jù)統(tǒng)計反映各風(fēng)險狀況源端口的數(shù)量和分布比例等統(tǒng)計信息。目標(biāo)端口數(shù)據(jù)統(tǒng)計反映各風(fēng)險狀況目標(biāo)端口的數(shù)量和分布比例等統(tǒng)計信息。交叉統(tǒng)計報表目標(biāo)IP_事件名稱數(shù)據(jù)統(tǒng)計反映目標(biāo)IP

43、以及事件名稱的數(shù)量和分布比例等統(tǒng)計信息。源IP_事件名稱數(shù)據(jù)統(tǒng)計反映源IP以及事件名稱的數(shù)量和分布比例等統(tǒng)計信息。傳感器_事件名稱數(shù)據(jù)統(tǒng)計反映傳感器以及事件名稱的數(shù)量和分布比例等統(tǒng)計信息。告警類別_事件名稱數(shù)據(jù)統(tǒng)計反映告警類別以及事件名稱的數(shù)量和分布比例等統(tǒng)計信息。事件名稱_目標(biāo)IP數(shù)據(jù)統(tǒng)計反映事件名稱以及目標(biāo)IP的數(shù)量和分布比例等統(tǒng)計信息。事件名稱_源IP數(shù)據(jù)統(tǒng)計反映事件名稱以及源 IP的數(shù)量和分布比例等統(tǒng)計信息。事件名稱_傳感器數(shù)據(jù)統(tǒng)計反映事件名稱以及傳感器的數(shù)量和分布比例等統(tǒng)計信息。目標(biāo)IP_告警類別數(shù)據(jù)統(tǒng)計反映目標(biāo)IP以及告警類別的數(shù)量和分布比例等統(tǒng)計信息。源IP_告警類別數(shù)據(jù)統(tǒng)計反映

44、源IP以及告警類別的數(shù)量和分布比例等統(tǒng)計信息。傳感器_告警類別數(shù)據(jù)統(tǒng)計反映傳感器以及告警類別的數(shù)量和分布比例等統(tǒng)計信息。源端口_告警類別數(shù)據(jù)統(tǒng)計反映源端口以及告警類別的數(shù)量和分布比例等統(tǒng)計信息。目標(biāo)端口_告警類別數(shù)據(jù)統(tǒng)計反映目標(biāo)端口以及告警類別的數(shù)量和分布比例等統(tǒng)計信息。事件名稱_告警類別數(shù)據(jù)統(tǒng)計反映事件名稱以及告警類別的數(shù)量和分布比例等統(tǒng)計信息。源IP_源端口數(shù)據(jù)統(tǒng)計反映源IP以及源端口的數(shù)量和分布比例等統(tǒng)計信息。目標(biāo)IP_目標(biāo)端口數(shù)據(jù)統(tǒng)計反映目標(biāo)IP以及目標(biāo)端口的數(shù)量和分布比例等統(tǒng)計信息。風(fēng)險狀況_事件名稱數(shù)據(jù)統(tǒng)計反映風(fēng)險狀況以及事件名稱的數(shù)量和分布比例等統(tǒng)計信息。設(shè)置過濾條件用戶可以通過

45、設(shè)置過濾條件，自定義報表的格式和內(nèi)容。可以設(shè)定的過濾條件包括：TOPN、事件日期、風(fēng)險狀況、告警類型、事件名稱、傳感器、源IP地址、目標(biāo)IP地址、源端口和目標(biāo)端口。TOPN設(shè)置過濾條件TOPN，N的值為小于100的正整數(shù)。事件日期為了了解某一日期或時間段（靈活的時間描述）的報表信息，通常需要設(shè)定日期/時間 過濾標(biāo)準(zhǔn)，從而產(chǎn)生基于日期/時間的過濾Report，最小時間單位為秒。1. 用戶可以在界面上選擇固定時間段（如：最近3天）。2. 用戶也可以在界面上輸入查詢時間段的起始時刻和終止時刻，包括年、月、日、時、分、秒；查詢時間段表示從開始時刻到終止時刻的一段時間（含起始時刻和終止時刻），即范圍為：

46、 起始時刻 = TIME = 終止時刻字段描述預(yù)定義時間范圍預(yù)先定義的一些時間范圍自定義時間范圍可以設(shè)定開始時間和結(jié)束時間預(yù)定義時間選中預(yù)定義時間范圍。在下拉框中選擇預(yù)定義時間。自定義時間范圍選中自定義時間范圍。輸入開始時間、結(jié)束時間。風(fēng)險狀況為了了解網(wǎng)絡(luò)遭受攻擊事件或可疑活動的嚴(yán)重性，需要以風(fēng)險狀況來設(shè)定過濾標(biāo)準(zhǔn)，從而產(chǎn)生基于風(fēng)險狀況的過濾Report。字段描述高風(fēng)險能夠?qū)χ鳈C、網(wǎng)絡(luò)或網(wǎng)絡(luò)設(shè)備造成高度威脅或破壞的行為。中風(fēng)險能夠?qū)χ鳈C、網(wǎng)絡(luò)或網(wǎng)絡(luò)設(shè)備造成一定程度的威脅或破壞的行為。低風(fēng)險能夠?qū)χ鳈C、網(wǎng)絡(luò)或網(wǎng)絡(luò)設(shè)備造成有限的威脅或破壞的行為。通知對網(wǎng)絡(luò)行為的記錄。選擇風(fēng)險狀況點擊風(fēng)險狀況前面的選擇框。告警類別字段描述攻擊對主機、網(wǎng)絡(luò)或網(wǎng)絡(luò)設(shè)備造成威脅或破壞的行為。探測嘗試對主機或網(wǎng)絡(luò)的未經(jīng)授權(quán)的訪問，有可能竊取敏感性網(wǎng)絡(luò)數(shù)據(jù)或造成安全漏洞。記錄對特定網(wǎng)絡(luò)行為的審計。搜集信息搜集探測結(jié)果。未知不能確定的告警類別。選擇告警類別點擊告警類別前面的選擇框。事件名稱為了了解特定事件的報表信息，需要以事件名稱來設(shè)定過濾標(biāo)準(zhǔn)，從而產(chǎn)生基于事件名稱的過濾Report。字段描述預(yù)定義事件名稱表可以在下拉列表中選擇預(yù)定義的事件所選擇的事件名稱表已選擇的事件顯示