|
|
|
|
1
|
此行的前两个字节表示标准报头值
1
。接下来的两个字节表示该消息为数据消息(也就是消息类型 4)。
|
|
2
|
此行表示后面的消息长度为
716
个字节。
|
|
3
|
这里的第一位是一个标志,表示该报头是一个含有存档时间戳的扩展报头。接下来的 15 位是一个可选字段,包含在其上检测到事件的域的 Netmap ID。该行的其余部分表示记录类型值
71
,说明这是连接统计记录。
|
|
4
|
此行表示后面的事件记录长度为
700
个字节。
|
|
5
|
此行是保存事件的时间戳。在本例中,其保存时间为 2016 年 10 月 10 日(星期一)08:48:52(上午)。
|
|
6
|
此行留作未来使用,用 0 填充。
|
|
7
|
此行提供生成发现事件的设备的 ID 号码。设备 ID 为
1。
|
|
8
|
此行用作旧版 (IPv4) IP 地址。此行的值全部为 0,因为尚未填充,而 IPv4 地址存储在 IPv6 字段中。
|
|
9
|
此行包含事件所涉及主机的 MAC 地址。MAC 地址为
00:00:00:00:00:00
。
|
|
10
|
此行的前 16 位包含 MAC 地址的其余部分。接下来的 8 位是一个标志,用于指示主机是否具有 IPv6 地址。最后 8 位为空,保留以供将来使用。
|
|
11
|
此行包含事件发生时的 Unix 时间戳。
|
|
12
|
此行包含事件微秒。在本例中,此值为
0
。
|
|
13
|
此行包含事件类型。此处的类型为
1003
。
|
|
14
|
此行包含事件子类型。在本例中,事件子类型为
1,
与事件类型
1003
一致,
这意味着它是连接统计事件。
|
|
15
|
此行用于文件编号。仅供内部使用。
|
|
16
|
此行用于文件位置。仅供内部使用。
|
|
17
|
此行包含 IPv6 地址。若设置了 Has IPv6 标志,则此字段存在且可使用。在本例中,它包含 IPv6 地址
0:3eb:0:1:d184:fb57:8ba:c00
。
|
|
18
|
此行包含块类型。值为
163
,表示连接统计数据块类型。
|
|
19
|
此行包含数据块的长度,表示它包含
644
字节的数据。
|
|
20
|
此行提供生成发现事件的设备的 ID 号码。设备 ID 为
1。
|
|
21
|
这包含入口安全区域。此区域为
59e4505c-4493-11e6-a62d-f1dff731a85
。
|
|
22
|
这包含出口安全区域。区域为
60d50c80-4493-11e6-9843-84d8d6a3e008
。
|
|
23
|
这包含入口接口。此接口为
599126de-4493-11e6-a62d-f1dff731a85e
。
|
|
24
|
这包含出口接口。此接口为
608d6cf4-4493-11e6-9843-84d8d6a3e008
。
|
|
25
|
此行包含发起连接事件中描述的会话的主机的 IP 地址。此 IP 地址为
172.16.3.5
。
|
|
26
|
此行包含对发起主机作出响应的主机的 IP 地址。此 IP 地址为
72.48.149.244
。
|
|
27
|
位于发起请求的代理后面的主机的 IP 地址。此地址在本例中为空。
|
|
28
|
此行包含与触发的关联事件相关的规则版本号。此版本号为
00000000-0000-0000-0000-000057e9c39d
。
|
|
29
|
这包含触发事件的规则的内部标识符。此规则为
268439603
。
|
|
30
|
此行包含触发事件的隧道规则的内部标识符。由于此事件并非由隧道规则触发,
因此该值为
0
。
|
|
31
|
此行的前两个字节包含规则指定的操作。在本例中,此值为
4
,表示该操作为
阻止
。
最后两个字节包含规则原因,在本例中为
64
,表示
入侵阻止
。
|
|
32
|
前两个字节包含规则原因的其余部分。后两个字节包含发起方主机使用的端口
43786
。
|
|
33
|
此行的前两个字节包含响应方端口
443
。其余两个字节包含 TCP 标志。
|
|
34
|
此行的第一个字节包含协议
6
,这表示此事件通过
TCP
发生。其余 24 位包含 Netflow 源 IP 地址的第一部分,即
00000000-0000-0000-0000-000000000000
|
|
35
|
此行的第一个字节包含 Netflow 源的最后 8 位。接下来的两个字节包含生成事件的 Snort 实例的标识符
7
。剩余字节包含连接计数器。
|
|
36
|
此行的第一个字节包含连接计数器的剩余部分。最后 24 位包含会话中交换的第一个数据包的 Unix 时间戳开头。此时间戳为 1476103731,表示时间为 2016 年 10 月 10 日星期一上午 8:48:51。
|
|
37
|
第一个字节包含第一个数据包时间戳的其余部分。剩余的三个字节包含会话中要交换的最后一个数据包的时间戳,此时间戳给出的时间为 2016 年 10 月 10 日星期一上午 8:48:51,表示会话持续时间不到一秒。
|
|
38
|
此行的第一个字节包含最后一个数据包时间戳的最后 8 位。剩余的 24 位包含发起主机传输的数据包数量,本例中为
13
。
|
|
39
|
此行中的第一个字节是发起方传输的数据包的其余部分。接下来的 24 位包含响应方传输的数据包数量
0
。
|
|
40
|
此行中的第一个字节是响应方传输的数据包的其余部分。接下来的 24 位包含发起方传输的字节数
1743
。
|
|
41
|
第一个字节是发起方传输字节的末尾,其余 24 位是响应方传输字节
0
的开头。
|
|
42
|
第一个字节是响应方传输字节的末尾,其余 24 位是发起方丢弃的数据包
0
的开头。
|
|
43
|
第一个字节是发起方丢弃的数据包的末尾,其余 24 位是响应方丢弃的数据包
0
的开头。
|
|
44
|
第一个字节是响应方丢弃的数据包的末尾,其余 24 位是发起方丢弃的字节 0
的开头。
|
|
45
|
第一个字节是发起方丢弃的字节的末尾,其余 24 位是响应方丢弃的字节
0
的开头。
|
|
46
|
第一个字节是响应方丢弃的字节的末尾,其余 24 位是应用了速率限制的接口名称
00000000-0000-0000-0000-000000000000
的开头。
|
|
47
|
此行的第一个字节是 QOS 应用接口的其余部分。其余部分是应用于连接的 QOS
规则;因为没有应用于此接口的 QoS 规则,所以 ID 为
0
。
|
|
48
|
此行的第一个字节是 QoS 规则 ID 的其余部分。其余部分为登录生成流量的主机的最后一个用户的 ID 编号
16466
。
|
|
49
|
此行的第一个字节是用户 ID 的其余部分。其余部分是连接中使用的应用协议的 ID 1122,此值表示连接是 HTTPS 连接。
|
|
50
|
此行的第一个字节是应用协议 ID 的其余部分。其余部分为 URL 类别。
|
|
51
|
此行的第一个字节是 URL 类别的其余部分。其余部分为 URL 信誉,即
0
,
表示“
未知风险
”。
|
|
52
|
此行的第一个字节是 URL 信誉的其余部分。其余部分为客户端应用 ID,即
1296
,
表示“
SSL客户端
”。
|
|
53
|
此行的第一个字节是客户端应用 ID 的其余部分。其余部分为 Web 应用 ID,即
0
,
表示“
未知
”。
|
|
54
|
此行的第一个字节是 Web 应用 ID 的其余部分。此行的其余部分是块类型
0
的开头,表示字符串块类型的开头。
|
|
55
|
此行的第一个字节是字符串块类型的其余部分。其余部分为块长度,表明客户端应用 URL 包含 8 个字节(包括报头和长度),这意味着客户端应用 URL 中没有数据。
|
|
56
|
此行的第一个字节是字符串块长度的其余部分。由于客户端应用 URL 中没有数据,因此,此行的其余部分为块类型
0
的开头,表示 NetBIOS 名称字符串块类型的开头。
|
|
57
|
此行的第一个字节是字符串块类型的其余部分。其余部分为块长度,表明 NetBIOS 名称包含 8 个字节(包括报头和长度),这意味着 NetBIOS 名称中没有数据。
|
|
58
|
此行的第一个字节是字符串块长度的其余部分。由于 NetBIOS 名称中没有数据,
因此,此行的其余部分为块类型
0
的开头,表示客户端应用版本的字符串块类型
的开头。
|
|
59
|
此行的第一个字节是字符串块类型的其余部分。其余部分为块长度,表明客户端应用版本包含 8 个字节(包括报头和长度),这意味着客户端应用版本中没有数据。
|
|
60
|
此行包含客户端应用版本块长度的剩余字节。最后三个字节是与连接事件关联的第一个监控规则的 ID
268439553
。
|
|
61
|
此行包含第一个监控规则的 ID 的最后一个字节。其余三个字节是第二个监控规则的 ID,即
0
。
|
|
62
|
此行包含第二个监控规则的 ID 的最后一个字节。其余三个字节是第三个监控规则的 ID,即
0
。
|
|
63
|
此行包含第三个监控规则的 ID 的最后一个字节。其余三个字节是第四个监控规则的 ID,即
0
。
|
|
64
|
此行包含第四个监控规则的 ID 的最后一个字节。其余三个字节是第五个监控规则的 ID,即
0
。
|
|
65
|
此行包含第六个监控规则的 ID 的最后一个字节。其余三个字节是第七个监控规则的 ID,即
0
。
|
|
66
|
此行包含第七个监控规则的 ID 的最后一个字节。其余三个字节是第八个监控规则的 ID,即
0
。
|
|
67
|
此行包含第八个监控规则的 ID 的最后一个字节。此行中的第二个字节指明源或目标 IP 地址是否与 IP 阻止列表匹配。此行中的第三个字节是与 IP 阻止列表匹配的 IP 层。最后一个字节为文件事件计数
0 的开头。
|
|
68
|
此行的第一个字节是剩余文件事件计数。接下来的两个字节包含入侵事件计数。
最后一个字节包含发起方所在国家/地区,在本例中为
0
,表示“
未知
”。
|
|
69
|
此行的第一个字节是发起方所在国家/地区的第二个字节。接下来的两个字节是响应方所在国家/地区
840
。最后一个字节是原始客户端所在国家/地区的开头,在本例中为
0
,表示“
未知
”。
|
|
70
|
此行的第一个字节是原始客户端所在国家/地区的结尾。接下来的两个字节是 IOC 编号
0
。最后一个字节是源自治系统的第一个字节,即
0
。
|
|
71
|
此行的前三个字节是源自治系统。最后一个字节是目标自治系统的第一个字节,
即
0。
|
|
72
|
此行的前三个字节是目标自治系统。最后一个字节是输入接口的 SNMP 索引,即
0。
|
|
73
|
此行的第一个字节是输入接口的 SNMP 索引。接下来的两个字节是输出接口的 SNMP 索引,即
0
。此行中的最后一个字节是传入接口的服务类型设置
0。
|
|
74
|
此行的第一个字节是传出接口的服务类型设置
0
。第二个字节是源掩码
0
。第三个字节是目标掩码
0
。最后一个字节是流量通过的安全背景的 ID 号码的开头。在本例中,安全背景为
00000000-0000-0000-0000-000000000000。
|
|
75
|
此行的前三个字节是安全背景的其余部分。最后一个字节是 VLAN ID,即
0
。
|
|
76
|
第一个字节是 VLAN ID。最后三个字节以
0
值作为一个字符串块的开头。此字符串块包含引用的主机的名称。
|
|
77
|
第一个字节是字符串块类型的其余部分。最后三个字节提供字符串块的总长度,
包括块类型和长度,此总长度为
8
个字节,这意味着字符串块中没有数据,因为
没有引用的主机。
|
|
78
|
第一个字节是字符串块长度的其余部分。最后三个字节以
0
值作为一个字符串块的开头。此字符串块包含用户代理。
|
|
79
|
第一个字节是字符串块类型的其余部分。最后三个字节提供字符串块的总长度,
包括块类型和长度,此总长度为
8
个字节,这意味着字符串块中没有数据,因为
没有用户代理。
|
|
80
|
第一个字节是字符串块长度的其余部分。最后三个字节以
0
值作为一个字符串块的开头。此字符串块包含 HTTP 引用站点。
|
|
81
|
第一个字节是字符串块类型的其余部分。最后三个字节提供字符串块的总长度,
包括块类型和长度,此总长度为
8
个字节,这意味着字符串块中没有数据,因为
没有 HTTP 引用站点。
|
|
82
|
此行的第一个字节包含字符串块长度的最后部分。最后三个字节包含 SSL 证书指纹,即
00000000000000000000
。
|
|
83
|
此行的第一个字节包含 SSL 证书指纹 ID 的最后部分。此行的其余部分包含 SSL 策略 ID,即
00000000-0000-0000-0000-000000000000
。
|
|
84
|
此行的第一个字节是 SSL 策略 ID 的结尾。其余三个字节是 SSL 规则 ID,即
0
。
|
|
85
|
此行的第一个字节是 SSL 规则 ID 的其余部分。接下来的两个字节是 SSL 密码套件,即
0
,表示
TLS_NULL_WITH_NUL_NULL
。最后一个字节是 SSL 版本,即
0
。
|
|
86
|
此行包含 SSL 服务器证书状态,即
0
,表示
未检查
。
|
|
87
|
此行的前两个字节是 SSL 实际操作,即
0
,表示
未知。接下来的两个字节是 SSL
预期操作,即 0,表示
未知。
|
|
88
|
此行的前两个字节是 SSL 流状态,即
0
,表示
未知。接下来的两个字节是 SSL 流错误,即 0,表示
未知。
|
|
89
|
此行的前两个字节是 SSL 流错误的其余部分。接下来的两个字节是为
0
的 SSL
流消息。
|
|
90
|
此行的前两个字节是 SSL 流消息。接下来的两个字节是 SSL 流标志,即
0
。
|
|
91
|
此行的前两个字节是 SSL 流标志的其余部分。接下来的两个字节是 SSL 服务器名称的类型为
0
的字符串块开头。
|
|
92
|
此行的前两个字节 结束字符串块类型,接下来的两个字节包含字符串块长度。
块长度为
8
,这包括块类型和长度,表示字符串块不包含数据。
|
|
93
|
前两个字节包含字符串块长度的其余部分。接下来的两个字节包含 SSL URL 类别,即
0
,表示
未知
。
|
|
94
|
此行的前两个字节包含 SSL URL 类别的其余部分。接下来的两个字节是 SSL 会话 ID
00000000000000000000000000000000
的开头。
|
|
95
|
此行的第一个字节包含 SSL 会话 ID 的结尾。下一个字节包含 SSL 会话 ID
0
的长度。接下来的两个字节是 SSL 票证 ID
00000000000000000000
的开头。
|
|
96
|
此行的第两个字节包含 SSL 票证 ID 的结尾。第三个字节包含为
0
的 SSL 票证 ID 长度。最后一个字节为网络分析策略修订(即
4e78cb70-7842-11e6-a99b-cdb19cb553fd
)的开头。
|
|
97
|
此行的前三个字节包含网络分析策略修订的结尾。最后一个字节为终端配置文件 ID
0
的开头。
|
|
98
|
此行的前三个字节是终端配置文件 ID。其余字节是安全组 ID
0
的开头。
|
|
99
|
此行的前三个字节是安全组 ID。其余字节为位置 IPv6(即与 ISE 进行的接口通信的 IP 地址,该地址为空)的开头。
|
|
100
|
此行的前三个字节结束位置 IPv6。其余字节为 HTTP 响应(即
0
,表示没有 HTTP 响应)的开头。
|
|
101
|
此行的前三个字节结束 HTTP 响应。其余字节为字符串块(类型为
0
,表示 DNS
查询)的开头。
|
|
102
|
前三个字节完成字符串块类型。其余字节包含字符串块长度,此长度为
8
个字节,
包括块类型和长度,这意味着 DNS 查询中没有数据。
|
|
103
|
前三个字节结束字符串块长度。此行中的其余字节为 DNS 记录类型(即
71
)
的开头。
|
|
104
|
此行中的第一个字节结束 DNS 记录类型。接下来的两个字节是 DNS 响应类型,
即
0
。最后一个字节为 DNS TTL 的开头。
|
|
105
|
此行的前三个字节是 DNS TTL。最后一个字节是 Sinkhole UUID
(即
00000000-0000-0000-0000-000000000000
)的开头。
|
|
106
|
此行的前三个字节为 Sinkhole UUID 的结尾。最后一个字节为第一个安全情报列表(即
0
)的开头。
|
|
107
|
此行中的前三个字节为第一个安全情报列表的结尾。最后一个字节为第二个安全情报列表(即
0
)的开头。
|
反餽