|
|
|
1 |
この行の最初の 2 バイトは、標準ヘッダー値 1 を示しています。2 番目の 2 バイトは、メッセージがデータ メッセージ(つまり、メッセージ タイプ 4)であることを示しています。 |
2 |
この行は、後続のメッセージの長さが 294 バイトであることを示しています。 |
3 |
この先頭ビットは、ヘッダーがアーカイブのタイムスタンプを含む拡張ヘッダーであることを示すフラグです。後続の 15 ビットは、イベントが検出されたドメインの Netmap ID を含むオプション フィールドです。行の残りの部分は、レコード タイプの値 400 を示し、侵入イベント レコードを表しています。 |
4 |
この行は、後続のイベント レコードの長さが 278 バイトであることを示しています。 |
5 |
この行は、イベントの保存時のタイムスタンプです。この場合、2014 年 7 月 2 日(水)の 16 時 11 分 27 秒に保存されています。 |
6 |
この行は、将来使用するために予約されており、ゼロが入っています。 |
7 |
この行は、ブロック タイプが 45 であることを示しています。これは、バージョン 5.4+ の侵入イベント レコードのブロック タイプです。 |
8 |
この行は、データ ブロックの長さが 278 バイトであることを示しています。 |
9 |
この行は、イベントがセンサー番号 5 から収集されることを示しています。 |
10 |
この行は、イベント ID 番号が 65580 であることを示しています。 |
11 |
この行は、イベントが 1404317489 秒で発生したことを示しています。 |
12 |
この行は、イベントが 46542 マイクロ秒で発生したことを示しています。 |
13 |
この行は、ルール ID 番号が 4 であることを示しています。 |
14 |
この行は、イベントがジェネレータ ID 番号 119 (ルール エンジン)で検出されたことを示しています。 |
15 |
この行は、ルールのリビジョン番号が 1 であることを示しています。 |
16 |
この行は、分類 ID 番号が 1 であることを示しています。 |
17 |
この行は、優先度 ID 番号が 3 であることを示しています。 |
18 |
この行は、送信元 IP アドレスが 10.5.61.220 であることを示しています。このフィールドには IPv4 アドレスと IPv6 アドレスのいずれかが含まれる可能性があることに注意してください。 |
19 |
この行は、宛先 IP アドレスが 10.5.56.133 であることを示しています。このフィールドには IPv4 アドレスと IPv6 アドレスのいずれかが含まれる可能性があることに注意してください。 |
20 |
この行の最初の 2 バイトは送信元ポート番号が 33018 であることを示し、2 番目の 2 バイトは宛先ポート番号が 8080 であることを示しています。 |
21 |
この行の最初のバイトは、TCP( 6 )がイベントで使用されているプロトコルであることを示しています。2 番目のバイトは影響フラグであり、2 番目のビットが 1 であるため、イベントがレッド(脆弱)であることを示します。また、送信元または宛先ホストはシステムによってモニタされているネットワーク内にあること、送信元または宛先ホストがネットワーク マップにあること、送信元または宛先ホストがイベント発生ポートでサーバを実行していることを示します。さらに、2 番目と 3 番目のフラグが 1 であるため、これがオレンジ(脆弱の可能性あり)のイベントであることを示しています。この行の 3 番目のバイトは影響フラグです。2 であるため、イベントがオレンジ(脆弱の可能性あり)であることを示しています。最後のバイトはイベントがブロックされなかったことを示しています。 |
22 |
この行には、MPLS ラベルが含まれます(存在する場合)。 |
23 |
この行の最初の 2 バイトは VLAN ID が 0 であることを示しています。最後の 2 バイトは、予約されており、 0 に設定されています。 |
24 |
この行には、侵入ポリシーの一意の ID 番号が含まれます。 |
25 |
この行には、ユーザの内部 ID 番号が含まれます。該当のユーザが存在しないため、すべてゼロになっています。 |
26 |
この行には Web アプリケーションの内部 ID 番号が含まれ、この場合は 847 となっています。 |
27 |
この行にはクライアント アプリケーションの内部 ID 番号が含まれ、この場合は 2000000676 となっています。 |
28 |
この行にはアプリケーション プロトコルの内部 ID 番号が含まれ、この場合は 676 となっています。 |
29 |
この行には、アクセス制御ルールの一意の ID が含まれ、この場合は 1 となっています。 |
30 |
この行には、アクセス制御ポリシーの一意の ID が含まれます。 |
31 |
この行には、入力インターフェイスの一意の ID が含まれます。 |
32 |
この行には、出力インターフェイスの一意の ID が含まれます。このイベントはブロックされています。 |
33 |
この行には、入力セキュリティ ゾーンの一意の ID が含まれます。 |
34 |
この行には、出力セキュリティ ゾーンの一意の ID が含まれます。 |
35 |
この行には、侵入イベントに関連付けられている接続イベントの UNIX タイムスタンプが含まれます。 |
36 |
この行の最初の 2 バイトは、接続イベントが生成された管理対象デバイスの Snort インスタンスの数値 ID を示します。残りの 2 バイトは、同じ秒の間に発生する接続イベントを区別するために使用される値を示します。 |
37 |
この行の最初の 2 バイトは、送信元ホストの国のコードを示します。残りの 2 バイトは、宛先ホストの国のコードを示します。 |
38 |
この行の最初の 2 バイトには、このイベントに関連付けられている侵害の ID 番号が含まれます。残りの 2 バイトには、トラフィックが通過したセキュリティ コンテキスト(仮想ファイアウォール)の ID 番号の最初の部分が含まれます。 |
39 |
この行には、トラフィックが通過したセキュリティ コンテキスト(仮想ファイアウォール)の ID 番号の残りの部分が含まれます。 |
40 |
この行の最初の 2 バイトには、トラフィックが通過したセキュリティ コンテキスト(仮想ファイアウォール)の最後の 2 バイトが含まれます。SSL が使用された場合、2 番目の 2 バイトには、SSL サーバ証明書の SHA1 ハッシュの最初の部分が含まれます。 |
41 |
SSL が使用された場合、この行には、SSL サーバ証明書の SHA1 ハッシュの残りの部分が含まれます。 |
42 |
この行の最初の 2 バイトには、SSL サーバ証明書の SHA1 ハッシュの最後の 2 バイトが含まれます。2 番目の 2 バイトには、実際に実行された SSL アクションが含まれます。この接続では SSL が使用されなかったため、 0 になっています。 |
43 |
この行の最初の 2 バイトには、SSL フロー ステータスが含まれます。この接続では SSL が使用されなかったため、 0 になっています。2 番目の 2 バイトには、このイベントに関連付けられているネットワーク分析ポリシーの UUID の最初の 2 バイトが含まれます。 |
44 |
この行には、このイベントに関連付けられているネットワーク分析ポリシーの UUID の残りの部分が含まれます。 |