安骑士日志报表页面为您集中展示安全、主机两部分日志列表仪表盘的相关数据。
安骑士日志分析功能开通后,系统为您自动创建以下6个默认的报表仪表盘页面:
- 主机日志报表仪表盘:
- 安全日志报表仪表盘:
主机日志:登录中心
安骑士可展示主机登录中心仪表盘,为您提供主机上登录信息的全局视图,包括登录源和目标地址地理分布、趋势、登录端口和类型分布等。
登录中心仪表盘信息说明参见下表:
| 图表名称 | 数据类型 | 默认时间范围 | 描述 | 样例 |
|---|---|---|---|---|
| 登录次数 | 单值比较 | 1小时/同比昨日 | 总的登录总数,以及与昨日同时段比的一个百分比增加减少状况。 | 10个,增加10% |
| 被登录设备 | 单值比较 | 今日(整点)/同比昨日 | 被登录的独立主机设备的个数,以及与昨日同时段比的一个百分比增加减少状况。 | 10个,增加10% |
| 独立登录源IP | 单值比较 | 今日(整点)/同比昨日 | 登录设备的独立源个数,以及与昨日同时段比的一个百分比增加减少状况。 | 10个,增加10% |
| 独立登录用户名 | 单值比较 | 今日(整点)/同比昨日 | 登录设备的独立用户名的个数,以及与昨日同时段比的一个百分比增加减少状况。 | 10个,增加10% |
| 终端登录监控趋势 | 柱状图与线图 | 今日(整点) | 每小时的发生登录事件的设备以及登录次数的趋势图。 | - |
| 登录方式趋势 | 流图 | 今日(整点) | 每小时的登录方式(RDP、SSH等)的趋势图,单位为次/每小时。 | - |
| 登录方式分布 | 饼图 | 今日(整点) | 登录方式(RDP、SSH等)的趋势图的分布。 | - |
| 设备分布 | 地图(全球) | 今日(整点) | 发生登录事件有外网地址的设备数的地理分布 | - |
| 登录来源分布 | 地图(全球) | 今日(整点) | 发生有外网地址的设备上登录来源的登录数地理分布 | - |
| 独立登录源分布 | 地图(全球) | 今日(整点) | 发生有外网地址的设备上独立登录来源数的地理分布。 | - |
| 登录最多的10个用户 | 饼图 | 今日(整点) | 登录次数最多的10个用户名。 | - |
| 登录最多的10个端口 | 饼图 | 今日(整点) | 登录次数最多的10个目标端口。 | - |
| 激活用户列表 | 表格 | 今日(整点) | 在设备上可用的前30个账户。 | - |
| 登录机器最多30个用户和来源信息 | 表格 | 今日(整点) | 登录机器最多30个用户和来源,包括来源网络、登录IP、用户名、登录方式、登录的独立设备数以及次数等。 | - |
主机日志:进程中心
安骑士可展示主机进程中心仪表盘,为您提供主机上进程启动相关的全局视图,包括进程启动趋势、分布、进程类型以及特定bash、java程序的启动分布等。
进程中心仪表盘信息说明参见下表:
| 图表名称 | 数据类型 | 默认时间范围 | 描述 | 样例 |
|---|---|---|---|---|
| 进程启动次数 | 单值比较 | 1小时/同比昨日 | 进程启动事件总数,以及与昨日同时段比的一个百分比增加减少状况。 | 10个,增加10% |
| 相关设备数 | 单值比较 | 今日(整点)/同比昨日 | 发生进程启动事件的独立主机设备的个数,以及与昨日同时段比的一个百分比增加减少状况。 | 10个,增加10% |
| 独立启动进程名称 | 单值比较 | 今日(整点)/同比昨日 | 启动的独立进程名的个数,以及与昨日同时段比的一个百分比增加减少状况。 | 10个,增加10% |
| 终端设备数 | 柱状图与线图 | 今日(整点) | 每小时的发生进程启动的设备以及独立进程名个数的趋势图,单位为个/小时。 | - |
| 进程启动趋势 | 线图 | 今日(整点) | 每小时的每台设备平均启动进程数,单位为个/小时。 | - |
| 外网设备分布 | 地图(全球) | 今日(整点) | 发生进程启动的有外网地址的设备数的地理分布。 | - |
| 外网设备上进程启动次数分布 | 地图(全球) | 今日(整点) | 发生有外网地址的设备上进程事件数的地理分布。 | - |
| 启动次数最多的20个进程 | 表格 | 今日(整点) | 启动次数最多的20个进程,包括进程名、进程路径、启动次数等。 | - |
| 触发Bash最多的前20个进程 | 表格 | 今日(整点) | 触发Bash最多的前20个进程,包括父进程名、触发总数等。 | - |
| 启动进程最多的前30个客户端 | 表格 | 今日(整点) | 启动进程最多的前30个客户端,包括客户端、总的启动次数、这个客户端上启动次数最多的命令行、对应进程名/次数和占比等。 | - |
主机日志:网络连接中心
安骑士可展示主机网络连接中心仪表盘,为您提供主机上网络链接变化的全局视图,包括连接趋势、分布、链接目标以及接入的分布与趋势等。
网络中心仪表盘信息说明参见下表:
| 图表名称 | 数据类型 | 默认时间范围 | 描述 | 样例 |
|---|---|---|---|---|
| 连接事件 | 单值比较 | 1小时/同比昨日 | 设备上网络连接的变化事件总数,以及与昨日同时段比的一个百分比增加减少状况。 | 10个,增加10% |
| 相关设备 | 单值比较 | 今日(整点)/同比昨日 | 发生连接变化事件的独立主机设备的个数,以及与昨日同时段比的一个百分比增加减少状况。 | 10个,增加10% |
| 独立进程 | 单值比较 | 今日(整点)/同比昨日 | 发生网络连接的变化事件独立进程名数,以及与昨日同时段比的一个百分比增加减少状况。 | 10个,增加10% |
| 独立源IP | 单值比较 | 今日(整点)/同比昨日 | 发生网络连接的变化事件的独立连接源IP的个数,以及与昨日同时段比的一个百分比增加减少状况。 | 10个,增加10% |
| 独立目标IP | 单值比较 | 今日(整点)/同步昨日 | 发生网络连接的变化事件的独立连接目标IP的个数,以及与昨日同时段比的一个百分比增加减少状况。 | 10个,增加10% |
| 网络连接趋势 | 双线图 | 今日(整点) | 每小时发生网络连接的设备数以及事件数的趋势图,单位为个/每小时。 | - |
| 连接类型趋势 | 双线图 | 今日(整点) | 每小时发生网络连接变化事件的连接类型(对外、接收)分布的趋势图,单位为个/每小时。 | - |
| 连接类型分布 | 饼图 | 今日(整点) | 网络连接变化事件的连接类型(对外、接收)的分布。 | - |
| 协议类型分布 | 饼图 | 今日(整点) | 网络连接变化事件的连接协议(tcp、udp等)的分布。 | - |
| 外网设备分布 | 地图(全球) | 今日(整点) | 发生网络连接变化事件的设备数的地理分布。 | - |
| 外网设备事件分布 | 地图(全球) | 今日(整点) | 发生有外网地址的设备上网络连接变化事件数的地理分布。 | - |
| 对外连接目标分布 | 地图(全球) | 今日(整点) | 网络连接变化事件的对外连接的目标的地理分布。 | - |
| 接收连接源分布 | 地图(全球) | 今日(整点) | 网络连接变化事件的接收连接的源目标的地理分布。 | - |
| 对外连接最多的30个设备 | 表格 | 今日(整点) | 发生对外连接类型的网络连接变化事件最多的30个设备,包括设备、对外连接事件数、独立的连接目标数、以及样例。 | - |
| 接收连接最多的30个设备 | 表格 | 今日(整点) | 发生接收连接类型的网络连接变化事件最多的30个设备,包括设备、侦听IP、接收连接事件数、侦听端口数,以及样例。 | - |
| 对外连接目标最多的30个设备 | 表格 | 今日(整点) | 发生对外连接类型的网络连接变化事件中目标最多的30个设备,包括设备、对外连接事件数、独立的连接目标数、以及样例。 | - |
| 接收连接最多的30个侦听端口 | 表格 | 今日(整点) | 发生接收连接类型的网络连接变化事件中最多的30个侦听端口,包括侦听端口、接收连接事件数、以及样例。 | - |
| 对外连接最多的30个进程 | 表格 | 今日(整点) | 发生对外连接类型的网络连接变化事件的最多的30个进程名,包括进程名、对外连接事件数、相关设备数、以及路径样例。 | - |
| 接收连接最多的30个进程连接最多的30个设备 | 表格 | 今日(整点) | 发生接收连接类型的网络连接变化事件的最多的30个进程名,包括进程名、对外连接事件数、相关设备数、以及路径样例。 | - |
安全日志:漏洞中心
提供漏洞相关的全局视图,包括漏洞分布、新增/严重/修复的趋势、状态等。
| 图表 | 类型 | 默认时间范围 | 描述 | 样例 |
|---|---|---|---|---|
| 相关客户端 | 单值比较 | 今日(整点)/同比昨日 | 发生漏洞问题的独立主机设备的个数,以及与昨日同时段比的一个百分比增加减少状况。 | 10个,增加10% |
| 新增漏洞 | 单值比较 | 今日(整点)/同比昨日 | 新增安全漏洞事件数,以及与昨日同时段比的一个百分比增加减少状况。 | 10个,增加10% |
| 验证漏洞 | 单值比较 | 今日(整点)/同比昨日 | 验证安全漏洞事件数,以及与昨日同时段比的一个百分比增加减少状况。 | 10个,增加10% |
| 修复漏洞 | 单值比较 | 今日(整点)/同比昨日 | 修复安全漏洞事件数,以及与昨日同时段比的一个百分比增加减少状况。 | 10个,增加10% |
| 漏洞操作趋势 | 流图 | 今日(整点) | 每小时的各种漏洞操作(新增、验证等)的趋势图,单位为个。 | - |
| 漏洞类型趋势 | 流图 | 今日(整点) | 每小时的各种漏洞类型(windows漏洞、Linux漏洞、Web漏洞等)的趋势图,单位为个。 | - |
| 漏洞状态趋势 | 流图 | 今日(整点) | 每小时的各种漏洞状态(未修复、已修复)的趋势图,单位为个。 | - |
| 漏洞操作方式分布 | 环图 | 今日(整点) | 各种漏洞操作(新增、验证等)的分布。 | - |
| 漏洞类型分布 | 环图 | 今日(整点) | 各种漏洞级别(windows漏洞、Linux漏洞、Web漏洞等)的分布。 | - |
| 漏洞状态分布 | 环图 | 今日(整点) | 各种漏洞最新状态(未修复、已修复、修复失败等)的分布。
注意 如果一台机器的一个漏洞有多个状态变化,取最新的状态归类。
|
- |
| 新增漏洞Top10 | 环图 | 今日(整点) | 在各个设备上新增最多的10个漏洞。 | - |
| 验证漏洞Top10 | 环图 | 今日(整点) | 在各个设备上验证最多的10个漏洞。 | - |
| 修复漏洞Top10 | 环图 | 今日(整点) | 在各个设备上修复最多的10个漏洞。 | - |
| 漏洞事件客户端Top20 | 表格 | 今日(整点) | 前20个发生漏洞事件的设备,包括客户端、漏洞事件数、新增/验证/修复数、各种类别数等。 | - |
安全日志:基线中心
提供基线检查相关的全局视图,包括检查问题分布、新增/处理的趋势、状态等。
| 图表 | 类型 | 默认时间范围 | 描述 | 样例 |
|---|---|---|---|---|
| 相关客户端 | 单值比较 | 今日(整点)/同比昨日 | 发生基线问题的独立主机设备的个数,以及与昨日同时段比的一个百分比增加减少状况。 | 10个,增加10% |
| 新增基线 | 单值比较 | 今日(整点)/同比昨日 | 新增基线事件数,以及与昨日同时段比的一个百分比增加减少状况。 | 10个,增加10% |
| 验证基线 | 单值比较 | 今日(整点)/同比昨日 | 验证基线事件数,以及与昨日同时段比的一个百分比增加减少状况。 | 10个,增加10% |
| 高优先级基线 | 单值比较 | 今日(整点)/同比昨日 | 发生的高优先级的基线事件的个数,以及与昨日同时段比的一个百分比增加减少状况。 | 10个,增加10% |
| 基线操作趋势 | 流图 | 今日(整点) | 每小时的各种基线操作(新增、验证等)的趋势图,单位为个。 | - |
| 基线子类型趋势 | 流图 | 今日(整点) | 每小时的各种基线子类型(系统账户安全、注册表等)的趋势图,单位为个。 | - |
| 基线状态趋势 | 流图 | 今日(整点) | 每小时的各种基线状态(未修复、已修复)的趋势图,单位为个。 | - |
| 基线操作方式分布 | 环图 | 今日(整点) | 各种基线操作(新增、验证等)的分布。 | - |
| 基线子类型分布 | 环图 | 今日(整点) | 各种基线子类型(系统账户安全、注册表等)的分布。 | - |
| 基线状态分布 | 环图 | 今日(整点) | 各种基线最新状态(未修复、已修复、修复失败等)的分布。
注意 如果一台机器的一个基线有多个状态变化,取最新的状态归类。
|
- |
| 新增基线Top10 | 环图 | 今日(整点) | 在各个设备上新增最多的10个基线。 | - |
| 验证基线Top10 | 环图 | 今日(整点) | 在各个设备上验证最多的10个基线。 | - |
| 基线事件客户端Top20 | 表格 | 今日(整点) | 前20个存在基线事件的设备,包括客户端、基线事件数、新增/处理、高中优先级数等。 | - |
安全日志:主机异常中心
提供主机异常事件相关的全局视图,包括检查问题分布、新增/处理的趋势、状态等。
| 图表 | 类型 | 默认时间范围 | 描述 | 样例 |
|---|---|---|---|---|
| 相关客户端 | 单值比较 | 今日(整点)/同比昨日 | 发生主机异常问题的独立主机设备的个数,以及与昨日同一时间相比的百分比增加/减少状况。 | 10个,增加10% |
| 新增告警 | 单值比较 | 今日(整点)/同比昨日 | 新增主机异常事件数,以及与昨日同一时间相比的百分比增加/减少状况。 | 10个,增加10% |
| 处理告警 | 单值比较 | 今日(整点)/同比昨日 | 处理的主机异常事件数,以及与昨日同一时间相比的百分比增加/减少状况。 | 10个,增加10% |
| 高优先级告警 | 单值比较 | 今日(整点)/同比昨日 | 发生的严重的主机异常事件数,以及与昨日同时段比的百分比增加/减少状况。 | 10个,增加10% |
| 告警操作趋势 | 线图 | 今日(整点) | 每小时各种主机异常操作(新增、处理等)的趋势图,单位为个。 | - |
| 告警操作方式分布 | 环图 | 今日(整点) | 主机异常操作(新增、处理等)的分布。 | - |
| 告警级别趋势 | 流图 | 今日(整点) | 每小时各种主机异常(验证、可疑、提醒等)趋势图,单位为个。 | - |
| 告警级别分布 | 环图 | 今日(整点) | 各种主机异常级别(验证、可疑、提醒等)的分布。 | - |
| 告警状态趋势 | 流图 | 今日(整点) | 每小时各种主机异常状态(未修复、已修复)趋势图,单位为个。 | - |
| 告警状态分布 | 环图 | 今日(整点) | 每小时各种告警最新状态(未修复、已修复、修复失败等)的分布。如果一台主机的一个异常事件有多个状态变化,取最新的状态。 | - |
| 新增告警Top10 | 环图 | 今日(整点) | 新增最多的10个主机异常事件。 | - |
| 处理告警Top10 | 环图 | 今日(整点) | 处理最多的10个主机异常事件。 | - |
| 告警事件客户端Top20 | 环图 | 今日(整点) | 存在主机异常事件数量排名前20的设备。 | - |