システムは、潜在的な侵入を特定すると侵入イベントを生成します。これは、エクスプロイトの日付、時間、タイプ、および攻撃元とそのターゲットに関するコンテキスト情報のデータです。パケットベースのイベントの場合、イベントをトリガーとして使用したパケットのコピーも記録されます。

侵入イベントを検索するときは、個別のイベントで利用可能な情報は、システムがいつ、なぜ、どのようにしてイベントを記録したかによって異なることに注意してください。たとえば、復号化されたトラフィックでトリガーされた侵入イベントだけが SSL 情報を含んでいます。

（注）	デフォルトでは、侵入イベントのテーブル ビューにいくつかのフィールドが表示されます。セッション中にフィールドを有効にするには、検索制約を拡張してから、[無効の列（Disabled Columns）] の下の列名をクリックします。

アクセス コントロール ポリシー（Access Control Policy）

イベントを生成した侵入ルール、プリプロセッサ ルール、またはデコーダ ルールが有効になっている侵入ポリシーに関連付けられているアクセス コントロール ポリシー。

アクセス コントロール ルール（Access Control Rule）

イベントを生成した侵入ルールを呼び出したアクセス コントロール ルール。[デフォルト アクション（Default Action）] は、ルールが有効化されている侵入ポリシーが特定のアクセス コントロール ルールに関連付けられておらず、代わりに、アクセス コントロール ポリシーのデフォルト アクションとして設定されていることを示しています。

侵入インスペクションがアクセス コントロール ルールにもデフォルト アクションにも関連付けられていない場合、このフィールドは空欄になります。たとえば、パケットがデフォルトの侵入ポリシーによって検査された場合などです。

アプリケーション プロトコル（Application Protocol）

（使用可能な場合）侵入イベントをトリガーとして使用したトラフィックで検出されたホスト間の通信を表す、アプリケーション プロトコル。

アプリケーション プロトコル カテゴリおよびタグ（Application Protocol Category and Tag）

アプリケーションの機能を理解するのに役立つ、アプリケーションの特性を示す基準。

アプリケーションのリスク（Application Risk）

侵入イベントをトリガーしたトラフィックで検出されたアプリケーションに関連付けられているリスク。[非常に高い（Very High）]、[高（High）]、[中（Medium）]、[低（Low）]、および [非常に低い（Very Low）]。接続で検出されるアプリケーションのタイプごとに関連するリスクがあります。このフィールドは、それらのうち最も高いリスクを表示します。

ビジネスとの関連性（Business Relevance）

侵入イベントをトリガーしたトラフィックで検出されたアプリケーションに関連付けられているビジネスとの関連性。[非常に高い（Very High）]、[高（High）]、[中（Medium）]、[低（Low）]、および [非常に低い（Very Low）]。接続で検出されるアプリケーションのタイプごとに関連するビジネスとの関連性があります。このフィールドは、それらのうち最も低い（関連性が最も低い）ものを表示します。

分類（Classification）

イベントを生成したルールが属する分類。

このフィールドを検索するときは、表示するイベントを生成したルールの分類番号を入力するか、分類名または説明のすべてまたは一部を入力します。また、番号、名前、または説明のコンマ区切りリストを入力することもできます。最後に、カスタム分類を追加した場合、その名前または説明のすべてまたは一部を使用して検索することもできます。

クライアント（Client）

（使用可能な場合）侵入イベントをトリガーとして使用したトラフィックで検出されたモニタ対象のホストで実行されているソフトウェアを表す、クライアント アプリケーション。

クライアント カテゴリおよびタグ（Client Category and Tag）

アプリケーションの機能を理解するのに役立つ、アプリケーションの特性を示す基準。

メンバー数（Count）

各行に表示される情報と一致するイベントの数。[カウント（Count）] フィールドは、複数の同一行が生成される制限を適用した後でのみ表示されることに注意してください。このフィールドは検索できません。

送信先の大陸（Destination Continent）

侵入イベントに関連する受信ホストの大陸。

送信先の国（Destination Country）

侵入イベントに関連する受信ホストの国。

宛先 IP（Destination IP）

侵入イベントに関連する受信ホストが使用する IP アドレス。

送信先ポートまたは ICMP コード（Destination Port / ICMP Code）

トラフィックを受信するホストのポート番号。ICMP トラフィックの場合は、ポート番号がないため、このフィールドには ICMP コードが表示されます。

宛先ユーザ（Destination User）

宛先ホストにログインしている既知のユーザのユーザ ID。

Device

アクセス コントロール ポリシーが展開された管理対象デバイス。

スタック構成設定では、プライマリ デバイスとセカンダリ デバイスは、別々のデバイスであるかのように侵入イベントをレポートすることに注意してください。

ドメイン

侵入を検出したデバイスのドメイン。このフィールドは、マルチテナンシーのために Firepower Management Center を設定したことがある場合に表示されます。

出力インターフェイス（Egress Interface）

イベントをトリガーとして使用したパケットの出力インターフェイス。パッシブ インターフェイスの場合、このインターフェイスの列には入力されません。

出力セキュリティ ゾーン（Egress Security Zone）

イベントをトリガーとして使用したパケットの出力セキュリティ ゾーン。パッシブ展開環境では、このセキュリティ ゾーンのフィールドには入力されません。

電子メールの添付ファイル（Email Attachments）

[MIME コンテンツ - 傾向（MIME Content-Disposition）] 見出しから取得された MIME 添付ファイル名。添付ファイルの名前を表示するには、SMTP プリプロセッサの [MIME 添付ファイル名のログ（Log MIME Attachment Names）] オプションを有効にする必要があります。複数の添付ファイル名がサポートされます。

電子メール ヘッダー（Email Headers）（検索のみ）

電子メールのヘッダーから取得したデータ。

電子メールのヘッダーを SMTP トラフィックの侵入イベントと関連付けるには、SMTP プリプロセッサの [ヘッダーのログ（Log Headers）] オプションを有効にする必要があります。

メール受信者（Email Recipient）

SMTP RCPT TO コマンドから取得された電子メール受信者のアドレス。このフィールドの値を表示するには、SMTP プリプロセッサの [受信者アドレスのログ（Log To Addresses）] オプションを有効にする必要があります。複数の受信者アドレスがサポートされます。

メール送信者（Email Sender）

SMTP MAIL FROM コマンドから取得された電子メール送信者のアドレス。このフィールドの値を表示するには、SMTP プリプロセッサの [送信者アドレスのログ（Log From Address）] オプションを有効にする必要があります。複数の送信者アドレスがサポートされます。

ジェネレータ（Generator）

イベントを生成したコンポーネント。

HTTP ホスト名（HTTP Hostname）

HTTP 要求のホスト ヘッダーから取得されたホスト名（存在する場合）。要求パケットにホスト名が常に含まれているわけではないことに注意してください。

ホスト名を HTTP クライアント トラフィックの侵入イベントと関連付けるには、HTTP 検査プリプロセッサの [ホスト名のログ（Log Headers）] オプションを有効にする必要があります。

テーブル ビューで、この列には、取得されたホスト名の最初の 50 文字が表示されます。ホストの省略名の表示部分にポインタを合わせると、最大 256 バイトまでの完全な名前を表示することができます。また、最大 256 バイトまでの完全なホスト名をパケット ビューに表示することもできます。

HTTP 応答コード（HTTP Response Code）

イベントをトリガーした接続を介してクライアントの HTTP 要求に応答して送信される HTTP ステータス コード。

HTTP URI

（存在する場合）侵入イベントをトリガーした HTTP 要求パケットに関連付けられた raw URI。要求パケットに URI が常に含まれているわけではないことに注意してください。

URI を HTTP クライアント トラフィックの侵入イベントと関連付けるには、HTTP 検査プリプロセッサの [URI のログ（Log URI）] オプションを有効にする必要があります。

HTTP 応答によってトリガーとして使用された侵入イベントの関連 HTTP URI を参照するには、[両方のポートでのストリーム再構成の実行（Perform Stream Reassembly on Both Ports）] オプションに HTTP サーバのポートを設定する必要があります。ただし、これにより、トラフィックのリアセンブル用のリソース要求が増加することに注意してください。

この列には、取得された URI の最初の 50 文字が表示されます。省略 URI の表示部分にポインタを合わせると、最大 2048 バイトまでの完全な URI を表示することができます。また、最大 2048 バイトまでの完全な URI をパケット ビューに表示することもできます。

影響（Impact）

このフィールドの影響レベルは、侵入データ、ネットワーク検出データ、脆弱性情報との関係を示します。

このフィールドを検索するときは、影響アイコンの色または一部の文字列を指定しないでください。たとえば、blue、level 1、または 0 を使用しないでください。有効な大文字と小文字を区別しない値は次のとおりです。

• Impact 0、Impact Level 0

• Impact 1、Impact Level 1

• Impact 2、Impact Level 2

• Impact 3、Impact Level 3

• Impact 4、Impact Level 4

NetFlow データからネットワーク マップに追加されたホストに使用可能なオペレーティング システムの情報はないので、システムは、それらのホストに作用する侵入イベントに対し脆弱な（インパクト レベル 1：赤）インパクト レベルを割り当てることができません。このような場合は、ホスト入力機能を使用して、ホストのオペレーティング システム ID を手動で設定します。

入力インターフェイス（Ingress Interface）

イベントをトリガーしたパケットの入力インターフェイス。パッシブ インターフェイスの場合、このインターフェイスの列だけに入力されます。

入力セキュリティ ゾーン（Ingress Security Zone）

イベントをトリガーとして使用したパケットの入力セキュリティ ゾーン。パッシブ展開環境では、このセキュリティ ゾーン フィールドだけに入力されます。

インライン結果（Inline Result）

ワークフローとテーブル ビューでは、このフィールドには次のいずれかが表示されます。

• 黒い下矢印：ルールをトリガーとして使用したパケットをシステムがドロップしたことを示します

• 灰色の下矢印：[インライン時にドロップ（Drop when Inline）] 侵入ポリシー オプション（インライン展開環境）を有効にした場合、またはシステムがプルーニングしている間に [ドロップしてイベントを生成する（Drop and Generate）] ルールがイベントを生成した場合、IPS がパケットをドロップしたことを示します

• 空白：トリガーとして使用されたルールが [ドロップしてイベントを生成する（Drop and Generate Events）] に設定されていないことを示します

侵入ポリシーのルールの状態またはインライン ドロップ動作にかかわらず、インライン インターフェイスがタップ モードになっている場合を含め、パッシブ展開環境ではシステムはパケットをドロップしません。

このフィールドを検索するときは、次のいずれかを入力します。

• dropped：パケットがインライン展開環境でパケットをドロップするかどうかを指定します

• would have dropped：インライン展開環境でパケットをドロップするように侵入ポリシーが設定されている場合に、パケットをドロップするかどうかを指定します

侵入ポリシー（Intrusion Policy）

イベントを生成した侵入ルール、プリプロセッサ ルール、またはデコーダ ルールが有効にされた侵入ポリシー。アクセス コントロール ポリシーのデフォルト アクションとして侵入ポリシーを選択するか、アクセス コントロール ルールと侵入ポリシーを関連付けることができます。

IOC

侵入イベントをトリガーとして使用したトラフィックが、接続に関係するホストに対する侵入の痕跡（IOC）もトリガーとして使用したかどうか。このフィールドを検索するときは、triggered または n/a を指定します。

メッセージ（Message）

イベントを説明するテキスト。ルールベースの侵入イベントの場合、イベント メッセージはルールから取得されます。デコーダベースおよびプリプロセッサベースのイベントの場合は、イベント メッセージはハード コーディングされています。

MPLSラベル（MPLS Label）

侵入イベントをトリガーしたパケットと関連付けられているマルチプロトコル ラベル スイッチング ラベル。

ネットワーク分析ポリシー（Network Analysis Policy）

イベントの生成に関連付けられているネットワーク分析ポリシー（ある場合）。

この列には、取得された URI の最初の 50 文字が表示されます。省略 URI の表示部分にポインタを合わせると、最大 2048 バイトまでの完全な URI を表示することができます。また、最大 2048 バイトまでの完全な URI をパケット ビューに表示することもできます。

クライアントのオリジナル IP（Original Client IP）

X-Forwarded-For（XFF）、True-Client-IP、またはカスタム定義の HTTP ヘッダーから取得された、元のクライアント IP アドレス。

このフィールドの値を表示するには、ネットワーク解析ポリシーで HTTP プリプロセッサ [元のクライアント IP アドレスの抽出（Extract Original Client IP Address）] オプションを有効にする必要があります。オプションで、ネットワーク解析ポリシーの同じエリアで、最大 6 つのカスタム クライアント IP 見出しを指定し、システムが [クライアントのオリジナル IP（Original Client IP）] イベント フィールドの値を選択する優先順位を設定します。

[プライオリティ（Priority）]

Cisco Talos Security Intelligence and Research Group（Talos） で指定されたイベントの優先度。優先度は、priority キーワードの値または classtype キーワードの値に対応します。その他の侵入イベントの場合、プライオリティはデコーダまたはプリプロセッサによって決定されます。有効な値は、[高（high）]、[中（medium）]、および [低（low）] です。

プロトコル（Protocol）（検索のみ）

http:/​/​www.iana.org/​assignments/​protocol-numbers に一覧表示されている、接続で使用するトランスポート プロトコルの名前または番号。これは、送信元および宛先ポート/ICMP の列と関連付けられたプロトコルです。

確認者（Reviewed By）

イベントを確認したユーザの名前。このフィールドを検索するときは、unreviewed と入力すると、まだ確認されていないイベントを検索できます。

セキュリティ コンテキスト（Security Context）

トラフィックが通過した仮想ファイアウォール グループを識別するメタデータ。システムがこのフィールドにデータを設定するのは、マルチ コンテキスト モードの ASA FirePOWER だけです。

Snort ID（Snort ID）（検索のみ）

イベントを生成したルールの Snort ID（SID）を指定するか、オプションで、ルールの複合ジェネレータ ID（GID）および SID を指定します。ここで、GID および SID は、コロン（:）で区切られ、GID:SID の形式になります。次の表の任意の値を指定できます。

表示しているイベントの SID が [メッセージ（Message）] 列に表示されます。

ソースの大陸（Source Continent）

侵入イベントに関連する送信ホストのある大陸。

ソースの国（Source Country）

侵入イベントに関連する送信ホストのある国。

ソース IP

侵入イベントに関連する送信ホストが使用する IP アドレス。

送信元ポート/ICMP タイプ（Source Port / ICMP Type）

送信元ホストのポート番号。ICMP トラフィックの場合は、ポート番号がないため、このフィールドには ICMP タイプが表示されます。

送信元ユーザ（Source User）

送信元ホストにログインしている既知のユーザのユーザ ID。

SSL の実際のアクション（SSL Actual Action）（検索のみ）

システムが暗号化トラフィックに適用したアクション。

ブロック（Block）/リセットしてブロック（Block With Reset）

ブロックされた暗号化接続を表します。

複合（再署名）（Decrypt (Resign)）

再署名サーバ証明書を使用して復号された発信接続を表します。

復号（キーの置き換え）（Decrypt (Replace Key)）

置き換えられた公開キーと自己署名サーバ証明書を使用して復号された発信接続を表します。

復号（既知のキー）（Decrypt (Known Key)）

既知の秘密キーを使用して復号された着信接続を表します。

デフォルト アクション（Default Action）

接続がデフォルト アクションによって処理されたことを示しています。

復号しない（Do Not Decrypt）

システムが復号しなかった接続を表します。

フィールド値は、検索ワークフロー ページの [SSL ステータス（SSL Status）] フィールドに表示されます。

SSL 証明書情報（SSL Certificate Information）（検索のみ）

トラフィックを暗号化するための公開キー証明書に保存される次の情報：

• 件名/発行元共通名（Subject/Issuer Common Name）

• 件名/発行元組織（Subject/Issuer Organization）

• 件名/発行元組織ユニット（Subject/Issuer Organization Unit）

• 有効期間の開始/終了（Not Valid Before/After）

• シリアル番号（Serial Number）

• 証明書フィンガープリント（Certificate Fingerprint）

• 公開キー フィンガープリント（Public Key Fingerprint）

SSL 失敗理由（SSL Failure Reason）（検索のみ）

システムが暗号化されたトラフィックの復号に失敗した理由：

• 不明

• 不一致（No Match）

• Success

• キャッシュされていないセッション（Uncached Session）

• 不明な暗号スイート（Unknown Cipher Suite）

• サポートされていない暗号スイート（Unsupported Cipher Suite）

• サポートされていない SSL バージョン（Unsupported SSL Version）

• SSL 圧縮の使用（SSL Compression Used）

• パッシブ モードで復号できないセッション（Session Undecryptable in Passive Mode）

• ハンドシェイク エラー（Handshake Error）

• 復号エラー（Decryption Error）

• 保留サーバ名カテゴリ ルックアップ（Pending Server Name Category Lookup）

• 保留共通名カテゴリ ルックアップ（Pending Common Name Category Lookup）

• 内部エラー（Internal Error）

• ネットワーク パラメータを使用できません（Network Parameters Unavailable）

• 無効なサーバ証明書の処理（Invalid Server Certificate Handle）

• サーバ証明書フィンガープリントを使用できません（Server Certificate Fingerprint Unavailable）

• サブジェクト DN をキャッシュできません（Cannot Cache Subject DN）

• 発行元 DN をキャッシュできません（Cannot Cache Issuer DN）

• 不明の SSL バージョン（Unknown SSL Version）

• 外部証明書リストを使用できません（External Certificate List Unavailable）

• 外部証明書フィンガープリントを使用できません（External Certificate Fingerprint Unavailable）

• 内部証明書リストが無効です（Internal Certificate List Invalid）

• 内部証明書リストを使用できません（Internal Certificate List Unavailable）

• 内部証明書を使用できません（Internal Certificate Unavailable）

• 内部証明書フィンガープリントを使用できません（Internal Certificate Fingerprint Unavailable）

• サーバ証明書検証を使用できません（Server Certificate Fingerprint Unavailable）

• サーバ証明書検証エラー（Server Certificate Validation Failure）

• 無効なアクション（Invalid Action）

フィールド値は、検索ワークフロー ページの [SSL ステータス（SSL Status）] フィールドに表示されます。

SSL ステータス（SSL Status）

暗号化接続をログに記録した [SSL の実際のアクション（SSL Actual Action）]（SSL ルール、デフォルトのアクション、または復号化できないトラフィック アクション）に関連付けられているアクション。

システムが暗号化された接続の復号化に失敗した場合、実行された [SSL の実際のアクション（SSL Actual Action）]（復号化できないトラフィック アクション）と [SSL 障害の理由（SSL Failure Reason）] が表示されます。たとえば、不明な暗号スイートによって暗号化されたトラフィックをシステムが検出し、それ以上のインスペクションをせずにこれを許可した場合、このフィールドには [復号しない（不明な暗号スイート）（Do Not Decrypt (Unknown Cipher Suite)）] が表示されます。

証明書の詳細を表示するにはロック アイコン（）をクリックします。

このフィールドを検索するときは、[SSL の実際のアクション（SSL Actual Action）] および [SSL 障害の理由（SSL Failure Reason）] の値を 1 つ以上を入力して、システムが処理した暗号化されたトラフィック、または復号化に失敗したトラフィックを表示します。

SSL 件名/発行元国（SSL Subject/Issuer Country）（検索のみ）

暗号化証明書に関連付けられている件名または発行者の国に関する 2 文字の ISO 3166-1 アルファ 2 国コード。

時刻（Time）

イベントの日付と時刻。このフィールドは検索できません。

VLAN ID（Admin. VLAN ID）

侵入イベントをトリガーとして使用したパケットと関連付けられた最内部 VLAN ID。

Web アプリケーション（Web Application）

侵入イベントをトリガーとして使用したトラフィックで検出された HTTP トラフィックの内容または要求された URL を表す、Web アプリケーション。

システムが HTTP のアプリケーション プロトコルを検出し、特定の Web アプリケーションを検出できなかった場合、システムはここで一般的な Web ブラウジング指定を提供します。

Web アプリケーション カテゴリおよびタグ（Web Application Category and Tag）

アプリケーションの機能を理解するのに役立つ、アプリケーションの特性を示す基準。

システムは、侵入イベントが検出された接続を記録できます。このロギングは、アクセス コントロール ルールに関連付けられている侵入ポリシーに対して自動的に行われますが、デフォルト アクションに関連する接続データを参照するには、接続ロギングを手動で有効にする必要があります。

関連データの表示は、イベントのテーブル ビュー間を移動する場合に非常に役立ちます。

マルチドメイン展開環境では、現在のドメインと子孫ドメインのデータを表示することができます。上位レベルのドメインまたは兄弟ドメインのデータを表示することはできません。

侵入イベントが悪意のあるものではないことがわかったら、そのイベントを確認済みとしてマークできます。

侵入イベントを調べて、そのイベントがネットワーク セキュリティに対して脅威ではないことがわかったら（たとえば、ネットワーク上のどのホストも検出されたエクスプロイトに対して脆弱でないことがわかっているなど）、そのイベントを確認済みとしてマークできます。確認済みのイベントはイベント データベースに保存され、イベント要約統計に含まれますが、デフォルトの侵入イベント ページには表示されなくなります。自分の名前がレビューアとして表示されます。

マルチドメイン展開では、イベントに確認済みのマークを付けると、そのイベントを表示可能なすべてのドメインでシステムによってイベントに確認済みのマークが付けられます。

バックアップを実行してから確認済みの侵入イベントビューを削除した場合、バックアップを復元すると、削除された侵入イベント ビューは復元されますが、確認済みのステータスは復元されません。こうして復元された侵入イベントは、[確認済みイベント（Reviewed Events）] の下ではなく [侵入イベント（Intrusion Events）] の下に表示されます。

マルチドメイン展開では、イベントに確認済みのマークを付けると、そのイベントを表示可能なすべてのドメインでシステムによってイベントに確認済みのマークが付けられます。

イベントに未確認のマークを付けることで、確認済みイベントをデフォルトの侵入イベント ビューに戻すことができます。

マルチドメイン展開では、イベントに確認済みのマークを付けると、そのイベントを表示可能なすべてのドメインでシステムによってイベントに確認済みのマークが付けられます。

イベントのドリルダウン ビューとテーブル ビューは、イベントのリストを絞り込み、関連するイベントのグループに分析を集中するために使用できる共通機能を共有します。

別のワークフロー ページで同じ侵入イベントを表示しないようにするため、ページの下部にあるリンクをクリックして別のページのイベントを表示すると時間範囲は一時停止し、クリックして後続のページでその他のアクションを実行すると再開します。

ヒント	プロセスの任意の時点で、制約を検索条件のセットとして保存できます。たとえば、ネットワークが数日にわたり単一の IP アドレスから攻撃者によって探られていることに気付いた場合、調査中に制約をいったん保存し、後で使用することができます。ただし、複合制約を検索条件のセットとして保存することはできません。

次の表では、ドリルダウン ページの使用方法について説明します。

次の表では、テーブル ビューの使用方法について説明します。

パケット ビューは、侵入イベントを生成したルールをトリガーとして使用したパケットに関する情報を表示します。

ヒント	イベントを検出するデバイスで [パケットの転送（Transfer Packet）] オプションが無効になっている場合、Firepower Management Center でのパケット ビューにはパケット情報は含まれません。

パケット ビューは、パケットがトリガーとして使用した侵入イベントに関する情報を提供することによって、イベントのタイム スタンプ、メッセージ、分類、優先度、イベントを生成したルール（イベントが標準テキスト ルールによって生成された場合）など、特定のパケットがキャプチャされた理由を示します。パケット ビューは、パケットのサイズなど、パケットに関する一般情報も表示します。

さらに、パケット ビューにはパケット内の各層（データ リンク、ネットワーク、およびトランスポート）について説明したセクションと、パケットを構成するバイトについて説明したセクションがあります。システムがパケットを復号化した場合は、復号化されたバイトを表示できます。折りたたまれたセクションを展開すると、詳細情報を参照できます。

（注）	それぞれのポートスキャン イベントは複数のパケットによってトリガーとして使用されるため、ポートスキャン イベントは特別なバージョンのパケット ビューを使用します。

マルチドメイン展開環境では、現在のドメインと子孫ドメインのデータを表示することができます。上位レベルのドメインまたは兄弟ドメインのデータを表示することはできません。

任意のイベント ビューで行うのと同じように、クリップボードのイベントに関するレポートを生成できます。

インシデントに追加したくない侵入イベントがクリップボード上にある場合は、そのイベントを削除できます。

（注）	クリップボードからイベントを削除しても、イベント データベースからイベントは削除されません。ただし、イベント データベースからイベントを削除すると、イベントはクリップボードから削除されます。

[侵入イベント統計情報（Intrusion Event Statistics）] ページの [ホスト統計情報（Host Statistics）] セクションは、アプライアンス自体に関する情報を提供します。Firepower Management Center では、このセクションはすべての管理対象デバイスに関する情報も提供します。

この情報には、次の内容が含まれます。

時刻（Time）

アプライアンスの現在の時刻。

アップタイム（Uptime）

アプライアンス自体が再起動してから経過した日数、時間、および分数。Firepower Management Center では、[アップタイム（Uptime）] に各管理対象デバイスの最終起動時刻、ログインしたユーザの数、および負荷平均も示されます。

ディスク使用率（Disk Usage）

使用中のディスクの割合。

メモリ使用率（Memory Usage）

使用中のシステム メモリの割合。

負荷平均（Load Average）

直前の 1 分間、5 分間、15 分間の CPU キュー内の平均プロセス数。

[侵入イベント統計（Intrusion Event Statistics）] ページの [イベントの概要（Event Overview）] セクションは、侵入イベント データベースにある情報の概要を示します。

これらの統計には、次の情報が含まれています。

イベント

侵入イベント データベースのイベントの数。

時間範囲内のイベント（Events in Time Range）

現在選択されている時間範囲と、時間範囲内に収まるデータベースのイベントの割合。

最初のイベント（First Event）

イベント データベース内の最初のイベントのイベント メッセージ。

最後のイベント（Last Event）

イベント データベース内の最後のイベントのイベント メッセージ。

（注）	Firepower Management Center で侵入イベント データを表示中に管理対象デバイスを選択した場合は、そのデバイスの [イベントの概要（Event Overview）] セクションが代わりに表示されます。

[侵入イベント統計（Intrusion Event Statistics）] ページの [イベント統計（Event Statistics）] セクションでは、侵入イベント データベース内の情報に関する具体的な情報が表示されます。

この情報には、次に関する詳細が含まれます。

• 上位 10 個のイベント タイプ

• 上位 10 個の送信元 IP アドレス

• 上位 10 個の宛先 IP アドレス

• 上位 10 個の宛先ポート

• イベント数が最大であるプロトコル、イングレスとイーグレスのセキュリティ ゾーン、およびデバイス

（注）	マルチドメイン展開では、システムは、各リーフ ドメインに個別のネットワーク マップを作成します。その結果、リーフ ドメインには、ネットワーク内で一意である IP アドレスを含めることができますが、別のリーフ ドメイン内の IP アドレスと同じにすることができます。先祖ドメインでイベントの統計情報を表示すると、システムで、その IP アドレスの複数のインスタンスが繰り返し表示される場合があります。一見すると、エントリが重複しているように見えることがあります。ただし、各 IP アドレスのホスト プロファイル情報までドリル ダウンすると、それらが異なるリーフ ドメインに属していることがわかります。

次の表に、表示可能なグラフの種類を示します。ネットワーク分析ポリシーの [インライン モード（Inline Mode）] 設定の影響を受けるデータを含むグラフ タイプでは、表示が異なるので注意してください。[インライン モード（Inline Mode）] が無効になっている場合、Web インターフェイスでアスタリスク（*）が付いているグラフ タイプ（下記の表では列に [はい（yes）] と記載）には、[インライン モード（Inline Mode）] が有効になっている場合に変更またはドロップされるトラフィックに関するデータが含まれています。