网络入侵检测系统 (NIDS) 记录NIDS 攻击日志
FortiGate-300 安装和配置指南
221减少 NIDS 攻击日志消息和报警邮件的数量入侵企图可能产生大量的攻击消息。为了帮助您从无关的警报中找到真正有用的信
息,FortiGate 设备提供了减少没必要的消息的数量的方法。根据消息生成的频率,
FortiGate 设备能自动删除重复的消息。如果您还收到大量的虚假警报,您可以手工禁
用有关的特征组的消息生成。
自动减少消息NIDS 生成的攻击日志和报警邮件消息中的内容包括被检测到的攻击的ID 编号和名
称。消息中的攻击 ID 编号和名称对应于NIDS 特征组成员列表中的 ID 编号和名称。
FortiGate 设备有一个报警邮件队列,它将每个新���成的消息与队列中已有的消息
比对。如果新的消息没有重复,FortiGate 设备将立刻发送这个消息,并将消息的一个
副本放进队列。如果新消息是重复的,FortiGate设备会删除它并将队列中对应的消息
内部的计数器加一。
FortiGate 设备将报警邮件消息的副本保存60 秒。如果一个消息副本在队列中的
时间超过了60 秒,FortiGate 设备删除这个消息并将副本计数器加一。如果副本数大
于一,FortiGate 设备将发送一个标题为 “重复 x次”的统计信息邮件,邮件内容为
“以下邮件在过去的y秒中重复了 x次”和原始信息。
手工减少信息如果您希望减少 NIDS 生成的警报的数量,您可以查看以下攻击日志消息的内容和
报警邮件的内容。如果有大量的无效警报 (例如,网页攻击警报,而您根本没有运行
网页服务器), 您 可 以 禁用攻击列表中对应的那些类型的攻击。使用攻击日志和报警邮
件中消息所显示的攻击 ID 编号可以很容易地在特征列表中找到对应的项目。见 第
216 页 “ 启用和禁用NIDS攻击特征” 。