安全云脑 SECMASTER-日志字段含义:sec-nip-attack

时间：2024-05-08 16:56:55

安全云脑 SECMASTER 安全分析

sec-nip-attack

IPS攻击日志字段含义如下所示：

表5 sec-nip-attack
字段	类型	字段含义
SyslogId	String	日志序号。
Vsys	String	虚拟系统名称。
Policy	String	安全策略名称。
SrcIp	String	报文的源IP地址
DstIp	String	报文的目的IP地址
SrcPort	String	报文的源端口（对于ICMP报文，该字段为0）。
DstPort	String	报文的目的端口（对于ICMP报文，该字段为0）。
SrcZone	String	报文的源安全域。
DstZone	String	报文的目的安全域。
User	String	用户名。
Protocol	String	签名检测到的报文所属协议。
Application	String	签名检测到的报文所属应用。
Profile	String	配置文件的名称。
SignName	String	签名的名称。
SignId	String	签名的ID。
EventNum	String	日志归并引入字段，是否归并需根据归并频率及日志归并条件来确定，不发生归并则为1。
Target	String	签名所检测的报文所攻击的对象。具体情况如下： server：攻击对象为服务端。 client：攻击对象为客户端。 both：攻击对象为服务端和客户端。
Severity	String	签名所检测的报文所造成攻击的严重性。具体情况如下： information：表示严重性为提示。 low：表示严重性为低。 medium：表示严重性为中。 high：表示严重性为高。
Os	String	签名所检测的报文所攻击的操作系统。具体情况如下： all：所有系统。 android：安卓系统。 ios：苹果系统。 unix-like：Unix系统。 windows：Windows系统。 other：其他系统。
Category	String	签名检测到的报文攻击特征所属的威胁分类。
Action	String	签名动作。 alert：签名动作为告警。 block：签名动作为阻断。
Reference	String	签名的参考信息。
Extend	String	增强模式下的取证字段。