此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。
思科可能会在某些地方提供本内容的当地语言翻译版本。请注意,翻译版本仅供参考,如有任何不一致之处,以本内容的英文版本为准。
本附录包含之前版本的 Firepower 系统产品中受 eStreamer 支持的数据结构的相关信息。
如果您的客户端使用事件流请求并对比特位进行设置,以请求采用较旧版本格式的数据,您可以使用此附录中的信息识别您收到的数据消息的数据结构。
请注意,在版本 5.0 之前的版本中,ID 分配给单独的检测引擎。对于版本 5.0,ID 分配给设备。根据版本,数据结构可反映这一点。
下图中的阴影部分表示入侵事件 (IPv4) 记录中的字段。记录类型为 207。
通过在请求消息中设置入侵事件标志或扩展请求标志可请求入侵事件记录。请参阅请求标志和提交扩展请求。
对于版本 5.0.x - 5.1 入侵事件,事件 ID、受管设备 ID 以及事件秒构成唯一标识符。
eStreamer 服务器时间戳 (eStreamer Server Timestamp) |
||||||||||||||||||||||||||||||||
包含检测受管设备的标识号。您可以通过请求版本 3 或 4 元数据获取受管设备名称。有关详细信息,请参阅受管设备记录元数据。 |
||
|
||
下图中的阴影部分表示入侵事件 (IPv6) 记录中的字段。记录类型为 208。
通过在请求消息中设置入侵事件标志或扩展请求标志可请求入侵事件记录。请参阅请求标志和提交扩展请求。
对于版本 5.0.x - 5.1 入侵事件,事件 ID、受管设备 ID 以及事件秒构成唯一标识符。
eStreamer 服务器时间戳 (eStreamer Server Timestamp) |
||||||||||||||||||||||||||||||||
包含检测设备的标识号。您可以通过请求版本 3 或 4 元数据获取受管设备名称。有关详细信息,请参阅受管设备记录元数据。 |
||
|
||
下图中的阴影部分表示入侵事件记录中的字段。在系列 2 数据块组中,记录类型为 400,块类型为 34。
您可以通过扩展请求,仅从 eStreamer 请求 5.2.x 入侵事件,为此,您需要在流请求消息中请求事件类型代码 12 和版本代码 5(有关提交扩展请求的信息,请参阅提交扩展请求)。
对于版本 5.2.x 入侵事件,事件 ID、受管设备 ID 以及事件秒构成唯一标识符。连接秒、连接实例以及连接计数器在一起构成与入侵事件相关的连接事件的唯一标识符。
eStreamer 服务器时间戳 (eStreamer Server Timestamp) |
||||||||||||||||||||||||||||||||
源 IP 地址 (Source IP Address)(续) |
||||||||||||||||||||||||||||||||
目标 IP 地址 (Destination IP Address) 目标 IP 地址 (Destination IP Address)(续) |
||||||||||||||||||||||||||||||||
包含检测受管设备的标识号。您可以通过请求版本 3 或 4 元数据获取受管设备名称。有关详细信息,请参阅受管设备记录元数据。 |
||
|
||
下图中的阴影部分表示入侵事件记录中的字段。在系列 2 数据块组中,记录类型为 400,块类型为 41。
您可以通过扩展请求,仅从 eStreamer 请求 5.3 入侵事件,为此,您需要在流请求消息中请求事件类型代码 12 和版本代码 6(有关提交扩展请求的信息,请参阅提交扩展请求)。
对于版本 5.3 入侵事件,事件 ID、受管设备 ID 以及事件秒构成唯一标识符。连接秒、连接实例以及连接计数器在一起构成与入侵事件相关的连接事件的唯一标识符。
eStreamer 服务器时间戳 (eStreamer Server Timestamp) |
||||||||||||||||||||||||||||||||
源 IP 地址 (Source IP Address)(续) |
||||||||||||||||||||||||||||||||
目标 IP 地址 (Destination IP Address) 目标 IP 地址 (Destination IP Address)(续) |
||||||||||||||||||||||||||||||||
包含检测受管设备的标识号。您可以通过请求版本 3 或 4 元数据获取受管设备名称。有关详细信息,请参阅受管设备记录元数据。 |
||
|
||
下图中的阴影部分表示入侵事件记录中的字段。记录类型为 400,块类型为 25。
您可以通过扩展请求,仅从 eStreamer 请求 5.1.1.x 入侵事件,为此,您需要在流请求消息中请求事件类型代码 12 和版本代码 4(有关提交扩展请求的信息,请参阅提交扩展请求)。
对于版本 5.1.1.x 入侵事件,事件 ID、受管设备 ID 以及事件秒构成唯一标识符。连接秒、连接实例以及连接计数器在一起构成与入侵事件相关的连接事件的唯一标识符。
eStreamer 服务器时间戳 (eStreamer Server Timestamp) |
||||||||||||||||||||||||||||||||
源 IP 地址 (Source IP Address)(续) |
||||||||||||||||||||||||||||||||
目标 IP 地址 (Destination IP Address) 目标 IP 地址 (Destination IP Address)(续) |
||||||||||||||||||||||||||||||||
包含检测受管设备的标识号。您可以通过请求版本 3 或 4 元数据获取受管设备名称。有关详细信息,请参阅受管设备记录元数据。 |
||
|
||
下图中的阴影部分表示入侵事件记录中的字段。在系列 2 数据块组中,记录类型为 400,
块类型为 42。
您可以通过扩展请求,仅从 eStreamer 请求 5.3.1 入侵事件,为此,您需要在流请求消息中请求事件类型代码 12 和版本代码 7(有关提交扩展请求的信息,请参阅提交扩展请求)。
对于版本 5.3.1 入侵事件,事件 ID、受管设备 ID 以及事件秒构成唯一标识符。连接秒、连接实例以及连接计数器在一起构成与入侵事件相关的连接事件的唯一标识符。
eStreamer 服务器时间戳 (eStreamer Server Timestamp) |
||||||||||||||||||||||||||||||||
源 IP 地址 (Source IP Address)(续) |
||||||||||||||||||||||||||||||||
目标 IP 地址 (Destination IP Address) 目标 IP 地址 (Destination IP Address)(续) |
||||||||||||||||||||||||||||||||
包含检测受管设备的标识号。您可以通过请求版本 3 或 4 元数据获取受管设备名称。有关详细信息,请参阅受管设备记录元数据。 |
||
|
||
流量通过的安全情景(虚拟防火墙)的 ID 号码。请注意, |
下图中的阴影部分表示入侵事件记录中的字段。在系列 2 数据块组中,记录类型为 400,
块类型为 45。它替代了块类型 42,然后被块类型 60 替代。已添加用于 SSL 支持和网络分
析策略的字段。
您可以通过扩展请求,仅从 eStreamer 请求 5.4.x 入侵事件,为此,您需要在流请求消息中请求事件类型代码 12 和版本代码 8(有关提交扩展请求的信息,请参阅提交扩展请求)。
eStreamer 服务器时间戳 (eStreamer Server Timestamp) |
||||||||||||||||||||||||||||||||
源 IP 地址 (Source IP Address)(续) |
||||||||||||||||||||||||||||||||
目标 IP 地址 (Destination IP Address) 目标 IP 地址 (Destination IP Address)(续) |
||||||||||||||||||||||||||||||||
包含检测受管设备的标识号。您可以通过请求版本 3 或 4 元数据获取受管设备名称。有关详细信息,请参阅受管设备记录元数据。 |
||
|
||
流量通过的安全情景(虚拟防火墙)的 ID 号码。请注意, |
||
SSL 流量的状态。这些值说明所执行的操作或所显示的错误消息背后的原因。可能的值包括:
|
||
入侵影响警报事件包含影响事件的相关信息。当将入侵事件与系统网络映射数据进行比较且影响已确定时,系统传输入侵影响警报数据。该记录使用记录类型为 9 的标准记录报头,后面跟着数据块类型为系列 1 数据块组中的 20 的入侵影响警报数据块。(影响警报数据块是系列 1 类型的数据块。有关系列 1 数据块的详细信息,请参阅了解发现(系列 1)块。)
您可以通过在请求消息的标志字段中设置位 5 来请求 eStreamer 只传输入侵影响事件。有关请求消息的详细信息,请参阅事件流请求消息格式。这些警报的版本 1 只处理 IPv4。5.3 中引入的版本 2 除了处理 IPv4 之外,还处理 IPv6 事件。
表示后面是入侵影响警报数据块。此字段的值始终为 |
||
|
||
与影响事件相关的目标 IP 地址的 IP 地址(如适用),采用 IP 地址八位组。如果无目标 IP 地址,则此值为 |
||
启动包含影响名称的字符串数据块。此值始终设置为 |
||
eStreamer 服务使用恶意软件事件数据块存储有关恶意软件事件的信息。这些事件包含关于在云内检测到或被隔离的恶意软件、检测方法以及受恶意软件影响的主机和用户的信息。恶意软件事件数据块的块类型为系列 2 数据块组中的 16。您可以通过在事件版本为 1 且事件代码为 101 的请求消息中设置恶意软件事件标志(“请求标志”(Request Flags) 字段中的位 30),将该事件作为恶意软件事件记录的一部分进行请求。
eStreamer 服务使用恶意软件事件数据块存储有关恶意软件事件的信息。这些事件包含关于在云内检测到或被隔离的恶意软件、检测方法以及受恶意软件影响的主机和用户的信息。恶意软件事件数据块的块类型为系列 2 数据块组中的 24。您可以通过在事件版本为 2 且事件代码为 101 的请求消息中设置恶意软件事件标志(“请求标志”(Request Flags) 字段中的位 30),将该事件作为恶意软件事件记录的一部分进行请求。
eStreamer 服务使用恶意软件事件数据块存储有关恶意软件事件的信息。这些事件包含关于在云内检测到或被隔离的恶意软件、检测方法以及受恶意软件影响的主机和用户的信息。恶意软件事件数据块的块类型为系列 2 数据块组中的 33。您可以通过在事件版本为 3 且事件代码为 101 的请求消息中设置恶意软件事件标志(“请求标志”(Request Flags) 字段中的位 30),将该事件作为恶意软件事件记录的一部分进行请求。
eStreamer 服务使用恶意软件事件数据块存储有关恶意软件事件的信息。这些事件包含关于在云内检测到或被隔离的恶意软件、检测方法以及受恶意软件影响的主机和用户的信息。恶意软件事件数据块的块类型为系列 2 数据块组中的 35。您可以通过在事件版本为 4 且事件代码为 101 的请求消息中设置恶意软件事件标志(“请求标志”(Request Flags) 字段中的位 30),将该事件作为恶意软件事件记录的一部分进行请求。
检测名称字符串数据块中的字节数,包括块类型和报头字段的八个字节,加上“检测名称”(Detection Name) 字段中的字节数。 |
||
文件路径字符串数据块中的字节数,包括块类型和报头字段的八个字节,加上“文件路径”(File Path) 字段中的字节数。 |
||
文件 SHA 散列字符串数据块中的字节数,包括块类型和报头字段的八个字节,加上“文件 SHA 散列”(File SHA Hash) 字段中的字节数。 |
||
被检测或隔离文件的文件类型。此字段的含义在随此事件提供的元数据中传输。有关详细信息,请参阅面向终端的 AMP 文件类型元数据。 |
||
父文件名字符串数据块中的字节数,包括块类型和报头字段的八个字节,加上“父文件名”(Parent File Name) 字段中的字节数。 |
||
父文件 SHA 散列字符串数据块中的字节数,包括块类型和报头字段的八个字节,加上“父文件 SHA 散列” |
||
事件说明字符串数据块中的字节数,包括块类型和报头字段的八个字节,加上“事件说明”(Event Description) 字段中的字节数。 |
||
处置情况更新后的处置情况。如果处置情况未更新,则此字段包含的值与“处置情况”(Disposition) 字段包含的值相同。可能值与“处置情况”(Disposition) 字段包含的值相同。 |
||
eStreamer 服务使用恶意软件事件数据块存储有关恶意软件事件的信息。这些事件包含关于在云内检测到或被隔离的恶意软件、检测方法以及受恶意软件影响的主机和用户的信息。恶意软件事件数据块的块类型为系列 2 数据块组中的 44。它替代了块 35。您可以通过在事件版本为 5 且事件代码为 101 的请求消息中设置恶意软件事件标志(“请求标志”(Request Flags) 字段中的位 30),将该事件作为恶意软件事件记录的一部分进行请求。
检测名称字符串数据块中的字节数,包括块类型和报头字段的八个字节,加上“检测名称”(Detection Name) 字段中的字节数。 |
||
文件路径字符串数据块中的字节数,包括块类型和报头字段的八个字节,加上“文件路径”(File Path) 字段中的字节数。 |
||
文件 SHA 散列字符串数据块中的字节数,包括块类型和报头字段的八个字节,加上“文件 SHA 散列”(File SHA Hash) 字段中的字节数。 |
||
被检测或隔离文件的文件类型。此字段的含义在随此事件提供的元数据中传输。有关详细信息,请参阅面向终端的 AMP 文件类型元数据。 |
||
父文件名字符串数据块中的字节数,包括块类型和报头字段的八个字节,加上“父文件名”(Parent File Name) 字段中的字节数。 |
||
父文件 SHA 散列字符串数据块中的字节数,包括块类型和报头字段的八个字节,加上“父文件 SHA 散列” |
||
事件说明字符串数据块中的字节数,包括块类型和报头字段的八个字节,加上“事件说明”(Event Description) 字段中的字节数。 |
||
处置情况更新后的处置情况。如果处置情况未更新,则此字段包含的值与“处置情况”(Disposition) 字段包含的值相同。可能值与“处置情况”(Disposition) 字段包含的值相同。 |
||
流量通过的安全情景(虚拟防火墙)的 ID 号码。请注意,系统仅对多情景模式下的 ASA FirePOWER 设备填充此字段。 |
eStreamer 服务使用恶意软件事件数据块存储有关恶意软件事件的信息。这些事件包含关于在云内检测到或被隔离的恶意软件、检测方法以及受恶意软件影响的主机和用户的信息。恶意软件事件数据块的块类型为系列 2 数据块组中的 47。它替代了块 44,然后被块替代。已添加用于 SSL 和文件存档支持的字段。
您可以通过在事件版本为 6 且事件代码为 101 的请求消息中设置恶意软件事件标志(“请求
标志”(Request Flags) 字段中的位 30),将该事件作为恶意软件事件记录的一部分进行请求。
检测名称字符串数据块中的字节数,包括块类型和报头字段的八个字节,加上“检测名称”(Detection Name) 字段中的字节数。 |
||
文件路径字符串数据块中的字节数,包括块类型和报头字段的八个字节,加上“文件路径”(File Path) 字段中的字节数。 |
||
文件 SHA 散列字符串数据块中的字节数,包括块类型和报头字段的八个字节,加上“文件 SHA 散列”(File SHA Hash) 字段中的字节数。 |
||
被检测或隔离文件的文件类型。此字段的含义在随此事件提供的元数据中传输。有关详细信息,请参阅面向终端的 AMP 文件类型元数据。 |
||
父文件名字符串数据块中的字节数,包括块类型和报头字段的八个字节,加上“父文件名”(Parent File Name) 字段中的字节数。 |
||
父文件 SHA 散列字符串数据块中的字节数,包括块类型和报头字段的八个字节,加上“父文件 SHA 散列” |
||
事件说明字符串数据块中的字节数,包括块类型和报头字段的八个字节,加上“事件说明”(Event Description) 字段中的字节数。 |
||
处置情况更新后的处置情况。如果处置情况未更新,则此字段包含的值与“处置情况”(Disposition) 字段包含的值相同。可能值与“处置情况”(Disposition) 字段包含的值相同。 |
||
流量通过的安全情景(虚拟防火墙)的 ID 号码。请注意,系统仅对多情景模式下的 ASA FirePOWER 设备填充此字段。 |
||
SSL 流量的状态。这些值说明所执行的操作或所显示的错误消息背后的原因。可能的值包括:
|
||
发现和连接事件消息包含发现事件报头。它传送事件的类型和子类型、事件发生的时间、出现该事件的设备以及消息中事件数据的结构。报头后面是实际主机发现、用户或连接事件数据。按事件类型划分的主机发现结构中介绍了与不同事件类型/子类型值相关的结构。
发现事件报头的事件类型和事件子类型字段用于识别传输的事件消息的结构。一旦确定事件数据块的结构,您的程序即可对消息进行适当解析。
eStreamer 服务器时间戳 (eStreamer Server Timestamp) |
||||||||||||||||||||||||||||||||
生成发现事件的设备的 ID 号码。您可以通过请求版本 3 和版本 4 元数据获取设备的元数据。有关详细信息,请参阅受管设备记录元数据。 |
||
事件类型(新事件为 |
||
事件子类型。有关可用事件子类型列表,请参阅按事件类型划分的主机发现结构。 |
||
用户客户端应用数据块包含客户端应用数据来源、添加数据的用户的标识号以及 IP 地址范围数据块列表的相关信息。用户客户端应用数据块的块类型为 59。
包含用于用户输入的 IP 地址范围相关信息的 IP 范围规格数据块。有关此数据块的说明,请参阅用户服务器数据块字段。 |
||
扫描结果数据块对漏洞进行说明,在添加扫描结果事件(事件类型 1002,子类型 11)中使用。扫描结果数据块的块类型为 102。
包含主机输入数据的用户产品数据块。有关此数据块的说明, |
用户产品数据块传输从第三方应用导入的主机输入数据,包括第三方应用字符串映射。此数据块在连接统计信息数据块 6.0.x和用户服务器和操作系统消息中使用。在版本 4.10.x 中,用户产品数据块的块类型为 65,在版本 5.0 - 5.0.x 中,其块类型为 118。这两种块类型的结构相同。
用户产品数据块类型 (65 | 118) (User Product Data Block Type (65 | 118)) |
||||||||||||||||||||||||||||||||
包含用于用户输入的 IP 地址范围相关信息的 IP 范围规格数据块。有关此数据块的说明,请参阅用于 5.2+ 的 IP 地址范围数据块。 |
||
启动一个字符串数据块,此数据块包含用户输入中第三方操作系统字符串映射到的Cisco 3D 操作系统定义的主版本号。值始终为 |
||
启动一个字符串数据块,此数据块包含第三方操作系统字符串映射到的Cisco 3D 操作系统定义的次版本号。值始终为 |
||
启动一个字符串数据块,此数据块包含第三方操作系统字符串映射到的Cisco 3D 操作系统定义的最新修订号。值始终为 |
||
启动由传送有关应用到特定 IP 地址范围中指定主机的修复的用户输入数据的修复列表数据块组成的通用列表数据块。值始终为 |
||
包含应用到主机的修复的相关信息的修复列表数据块。有关此数据块的说明,请参阅修复列表数据块。 |
用户登录信息数据块在用户信息更新消息中使用,传送检测到的用户的登录信息变更。有关详细信息,请参阅用户信息更新消息块.
在版本 5.0 - 5.0.2 中,用户登录信息数据块的块类型为 121。
用户登录信息数据块在用户信息更新消息中使用,传送检测到的用户的登录信息变更。有关详细信息,请参阅用户帐户更新消息数据块。
在版本 4.7 - 4.10.x 中,用户登录信息数据块的块类型为 73,在版本 5.0 - 5.0.2 中,块类型为系列 1 数据块组中的 121,在版本 5.1-5.4.x 中,块类型为系列 1 数据块组中的 127。
保留此字段,但不再填充。IPv4 地址存储在 IPv6 地址字段中。有关详细信息,请参阅IP 地址。 |
||
报告者字符串数据块中的字节数,包括块类型和长度字段的八个字节,加上“报告者”(Reported By) 字段中的字节数。 |
||
用户登录信息数据块在用户信息更新消息中使用,传送检测到的用户的登录信息变更。有关详细信息,请参阅用户帐户更新消息数据块。
在版本 6.0.x 中,用户登录信息数据块的块类型为 159。它具有新 ISE 集成终端配置文件、安全情报字段。
在版本 4.7 - 4.10.x 中,用户登录信息数据块的块类型为 73。在版本 5.0 - 5.0.2 中,块类型为系列 1 数据块组中的 121。在版本 5.1+ 中,块类型为系列 1 数据块组中的 127。有关详细信息,请参阅用户登录信息数据块 5.1 - 5.4.x。
保留此字段,但不再填充。IPv4 地址存储在 IPv6 地址字段中。有关详细信息,请参阅IP 地址。 |
||
报告者字符串数据块中的字节数,包括块类型和长度字段的八个字节,加上“报告者”(Reported By) 字段中的字节数。 |
||
在版本 6.1+ 中,用户登录信息数据块的块类型为系列 1 数据块组中的 165。它具有新的端口和隧道字段。它替代块类型 159。有关详细信息,请参阅用户登录信息数据块 6.0.x。它被块类型 167 替代。
保留此字段,但不再填充。IPv4 地址存储在 IPv6 地址字段中。有关详细信息,请参阅IP 地址。 |
||
报告者字符串数据块中的字节数,包括块类型和长度字段的八个字节,加上“报告者”(Reported By) 字段中的字节数。 |
||
用户登录信息数据块在用户信息更新消息中使用,传送检测到的用户的登录信息变更。有关详细信息,请参阅用户信息更新消息块。
在版本 6.1x 中,用户登录信息数据块的块类型为系列 1 数据块组中的 165。它具有新的端口和隧道字段。它替代块类型 159。它被块类型 167 替代。用户登录信息数据块 6.0.x有关详细信息,请参阅。
保留此字段,但不再填充。IPv4 地址存储在 IPv6 地址字段中。有关详细信息,请参阅IP 地址。 |
||
报告者字符串数据块中的字节数,包括块类型和长度字段的八个字节,加上“报告者”(Reported By) 字段中的字节数。 |
||
用户信息数据块在用户修改消息中使用,传送检测到、删除或丢弃的用户的信息。有关详细信息,请参阅用户修改消息
在版本 4.7 - 4.10.x 中,用户信息数据块的块类型为系列 1 数据块组中的 75,在版本 5.x 中,块类型为系列 1 数据块组中的 120。块类型 75 与块类型 120 的结构相同。
下图显示版本 5.0 至 5.0.2 中主机配置文件数据块的格式。主机配置文件数据块也不包含主机临界值,但包含 VLAN 在线状态指示器。此外,主机配置文件数据块可以传输主机的 NetBIOS 名称。此主机配置文件数据块的块类型为 91。
下表对由版本 4.9 返回到版本 5.0.2 的主机配置文件数据块的字段进行了说明。
操作系统指纹(服务器指纹)数据块 (Operating System Fingerprint (Server Fingerprint) Data Blocks) * |
包含用服务器指纹识别的主机上的操作系统相关信息的操作系统指纹数据块。有关此数据块的说明,请参阅用于 5.0 - 5.0.2 的操作系统指纹数据块。 |
|
操作系统指纹(客户端指纹)数据块 (Operating System Fingerprint (Client Fingerprint) Data Blocks) * |
包含用客户端指纹识别的主机上的操作系统相关信息的操作系统指纹数据块。有关此数据块的说明,请参阅用于 5.0 - 5.0.2 的操作系统指纹数据块。 |
|
操作系统指纹(SMB 指纹)数据块 (Operating System Fingerprint (SMB Fingerprint) Data Blocks) * |
包含用 SMB 指纹识别的主机上的操作系统相关信息的操作系统指纹数据块。有关此数据块的说明,请参阅用于 5.0 - 5.0.2 的操作系统指纹数据块。 |
|
操作系统指纹(DHCP 指纹)数据块 (Operating System Fingerprint (DHCP Fingerprint) Data Blocks) * |
包含用 DHCP 指纹识别的主机上的操作系统相关信息的操作系统指纹数据块。有关此数据块的说明,请参阅用于 5.0 - 5.0.2 的操作系统指纹数据块。 |
|
包含网络协议号的数据字段,如协议数据块 |
||
包含传输协议号的数据字段,如协议数据块 |
||
主机 MAC 地址数据块中的字节数,包括主机 MAC 地址块类型和长度字段的八个字节,加上随后的主机 MAC 地址数据中的字节数。 |
||
主机 MAC 地址 4.9+中描述的主机 MAC 地址数据字段。 |
||
描述客户端应用的客户端应用数据字段,如用于 5.0+ 的主机客户端应用数据块中所记录。 |
||
表示 NetBIOS 名称字符串数据块中的字节数,包括字符串块类型和长度字段的八个字节,加上 NetBIOS 名称的字节数。 |
||
操作系统指纹数据块的块类型为 87。块包括指纹通用唯一标识符 (UUID) 以及指纹类型、指纹源类型和指纹源 ID。下图显示用于版本 5.0 至版本 5.0.2 的操作系统指纹数据块的格式。
操作系统指纹块类型 (87) (Operating System Fingerprint Block Type (87)) |
|||||||||||||||||||||||||||||||||
操作系统指纹数据块中的字节数。此值应始终为 |
||
采用八位组的指纹识别号,用作操作系统的唯一标识符。指纹 UUID 映射到漏洞数据库 (VDB) 中的操作系统名称、供应商和版本。 |
||
连接统计信息数据块在连接数据消息中使用。用于版本 5.0 - 5.0.2 的连接统计信息数据块的块类型为 115。
有关连接统计信息数据消息的详细信息,请参阅连接统计信息数据消息。
下图显示用于 5.0 - 5.0.2 的连接统计信息数据块的格式:
下表对用于 5.0 - 5.0.2 的连接统计信息数据块的字段进行了说明。
客户端应用 URL 字符串数据块中的字节数,包括字符串块类型和长度字段的八个字节,加上客户端应用 URL 字符串中的字节数。 |
||
连接统计信息数据块在连接数据消息中使用。5.0.2 到 5.1 的连接数据块变更包括添加了具有 5.1 中引入的配置参数的新字段(规则操作原因、监控器规则、安全情报源/目标、安全情报层)。用于版本 5.1 的连接统计信息数据块的块类型为 126。
有关连接统计信息数据消息的详细信息,请参阅连接统计信息数据消息。
客户端应用 URL 字符串数据块中的字节数,包括字符串块类型和长度字段的八个字节,加上客户端应用 URL 字符串中的字节数。 |
||
连接统计信息数据块在连接数据消息中使用。版本 5.1.1 到版本 5.2 的连接数据块变更包括添加了用于支持地理位置的新字段。用于版本 5.2.x 的连接统计信息数据块的块类型为系列 1 数据块组中的 144。它否决了块类型 137,连接统计信息数据块 5.1.1.x。
有关连接统计信息数据消息的详细信息,请参阅连接统计信息数据消息。
下表对用于 5.2.x 的连接统计信息数据块的字段进行了说明:
客户端应用 URL 字符串数据块中的字节数,包括字符串块类型和长度字段的八个字节,加上客户端应用 URL 字符串中的字节数。 |
||