网络入侵检测系统 (NIDS) 记录 NIDS 攻击日志
FortiGate-300 安装和配置指南
221
减少 NIDS 攻击日志消息和报警邮件的数量
入侵企图可能产生大量的攻击消息。为了帮助您从无关的警报中找到真正有用的信
息,FortiGate 设备提供了减少没必要的消息的数量的方法。根据消息生成的频率,
FortiGate 设备能自动删除重复的 消息。如果您还收 到大量的虚假警报,您可以手工禁
用有关的特征组的消息生成。
自动减少消息
NIDS 生成的攻击日志和报警邮件消息中的内容包括被检测到的攻击的 ID 编号和名
称。消息中的攻击 ID 编号和名称对应于 NIDS 特征组成员列表中的 ID 编号和名称。
FortiGate 设备有一个报警邮件队 列,它将每个新生成的消息与队列中已有的消息
比对。如果新的消息没有重复,FortiGate 设备将立刻发送这个消息,并 将消息的一个
副本放进队列。如果新消息是重复的,FortiGate 设备会删除它并将队列中对应的消息
内部的计数器加一。
FortiGate 设备将报警邮件消息的 副本保存 60 秒。如果一个消息副本在队列中的
时间超过了 60 秒,FortiGate 设备删除这个消息并将副本 计数器加一。如果副本数大
于一,FortiGate 设备将发送一个标题为 “重复 x 次”的统计信息邮件,邮件内容为
“以下邮件在过去的 y 秒中重复了 x 次”和原始信息。
手工减少信息
如果您希望减少 NIDS 生成的警报的数量,您可以查看以下攻击日志消息的内容和
报警邮件的内容。如果有大量的无效警报 (例如,网页攻击警报,而您根本没有运行
网页服务器), 您 可 以 禁用攻击列表中对应的那些类型的攻击。使用攻击日志和报警邮
件中消息所显示的攻击 ID 编号可以很容易地在特征列表中找到对应的项目。见 第
216 页 “ 启用和禁用 NIDS 攻击特征” 。