关于连接事件
系统可以生成其受管设备检测到的连接的日志。这些日志称为连接事件。连接事件包括 安全相关连接事件 (被基于信誉的安全情报功能被阻止的连接。)
连接事件通常包括由以下项检测到的事务:
-
访问控制策略
-
解密策略
-
预过滤器策略(由预过滤器或隧道规则捕获)
-
DNS 阻止列表
-
URL 阻止列表
-
网络(IP 地址)阻止列表
规则和策略中的设置可供您精细控制记录的连接、记录连接的时间以及存储数据的位置。
有关详细信息,请参阅连接日志记录。
连接 vs. 安全相关连接事件
安全相关连接事件 是一个当会话被阻止或被基于信誉的安全情报功能监控时生成的连接事件。
但是,对于每个 安全相关连接事件,都有相同的连接事件。您可以单独查看和分析 安全相关连接事件 。系统还会单独地存储和删除 安全相关连接事件 。
请注意,在进行更多资源密集型评估之前,系统会强制实施安全智能。当连接被安全智能阻止时,生成的事件不包含系统从后续评估(例如用户身份)收集的信息。
注 |
在本指南中,除非另行说明,否则有关连接事件的也与 安全相关连接事件有关。 |
NetFlow 连接
要补充受管设备收集到的连接数据,可以使用 NetFlow 导出器广播的记录来生成连接事件。这在 NetFlow 导出器监控的网络不同于受管设备监控的网络时尤为有用。
系统会将 NetFlow 记录记录为 Cisco Secure Firewall Management Center数据库中的单向连接结束事件。这些连接的可用信息与访问控制策略检测到的连接略有不同;请参阅NetFlow 和受管设备数据之间的差异。
连接摘要(图形的汇聚数据)
系统会将在五分钟间隔内收集到的数据汇聚为连接摘要,供系统用于生成连接图形和流量量变曲线。或者,您可以基于连接摘要数据创建自定义工作流程,并以与基于单个连接事件的工作流程相同的方式来使用此类工作流程。
请注意,尽管相应的连接结束事件可以汇总到连接摘要数据中,但 安全相关连接事件无任何特定的连接摘要。
多个连接必须满足以下条件才能汇总到连接摘要:
-
代表连接结束
-
具有相同的源 IP 地址和目标 IP 地址,并在响应方(目标)主机上使用相同的端口
-
使用相同的协议(TCP 或 UDP)
-
使用相同的应用协议
-
由同一受管设备或由同一 NetFlow 导出器检测
每份连接摘要都包括总流量统计信息,以及摘要中连接的数量。由于 NetFlow 导出器生成单向连接,因此对于基于 NetFlow 数据的每个连接而言,摘要的连接计数按 2 递增。
请注意,连接摘要中并未包含与摘要中汇总的连接相关联的所有信息。例如,在汇总连接以形成连接摘要时没有使用客户端信息,因此摘要中不包含客户端信息。
长期运行连接
如果汇总连接数据的受控会话跨越两个或多个 5 分钟时间间隔,那么该连接可视为长期运行连接。当计算连接摘要中的连接数时,系统仅累加启动长期运行连接的 5 分钟间隔内的连接数。
此外,当计算由长期运行连接中的发起方和响应方传输的数据包和字节数时,系统并不会报告每 5 分钟间隔中实际传输的数据包和字节数。相反,系统会假定一个固定传输比率,并基于传输的数据包和字节总数、连接长度及每 5 分钟间隔内发生的连接部分计算预估数字。
源于外部响应方的组合连接摘要
要减少存储连接数据所需的空间并加快连接图的绘制,系统将在下列情况下合并连接摘要:
-
连接中涉及的其中一台主机并不在监控网络中
-
除外部主机的 IP 地址以外,摘要中的连接还满足摘要汇聚条件
当在“分析”>“连接”子菜单页面中查看连接摘要并使用连接图时,系统将显示 external
,而非未监控主机的 IP 地址。
由于执行汇总的缘故,如果您尝试从涉及外部响应方的连接摘要或连接图深入了解连接数据的表视图(即,访问单个连接的数据),该表视图将不包含任何信息。