如果您从“企业范围内关联异常”视图深入查看异常群集,将会打开“异常深入查看”表。 对于每个异常,该表都列出了概率、值、发起路由器和接口,以及发生异常的时间。 您可以使用“日期”链接深入查看趋势图,该图显示了值和概率随着时间推移的变化情况。
“异常深入查看”视图提供了有关每个异常的以下信息:
异常行为的类型。 有关可以启用以进行监视的每种异常类型的说明,请参阅“传感器概览”。
在其上检测到异常行为的主机的名称或 IP 地址。 主机可能是客户端系统、服务器、路由器或接口。 程序尝试解析任何 IP 地址的主机名,并在此字段中显示该名称。
单击“主机”链接可查看发生异常的设备的详细信息。 单击“主机”链接可能是对异常进行故障排除的第一步。
“主机”链接目标基于传感器类型。 对于许多 CA Network Flow Analysis 传感器,“主机”链接将打开用于在 NFA 控制台中定义具有预填充报告筛选的“数据流取证”报告的页面。
根据计算得出的已标记数据包流是真正异常的可能性。
概率可以百分比形式表示。 例如,如果某种异常类型的概率为 91%,则根据计算触发报告的异常行为的数据包流真正异常的概率为 91%。 在这种情况下,通常在此网络上发生数据包流的概率较低。
有关概率算法的详细信息,请参阅“概率阈值”。
触发报告的异常行为的值,以“单位”列中显示的度量单位来表示。 例如,值可能是异常数据流中数据的千兆字节数。
用于表示“值”的度量单位,如数据包、数据流或目标主机(dest 主机)。
检测到异常数据的路由器、接口或数据源。
单击“发现者”链接可查看详细信息。 链接目标由异常的类型确定:
检测到异常行为的日期和时间。 该时间在从数据流实际发生的时间到此后的最多 15 分钟内变化。 数据来自 Harvester,其按 15 分钟的轮询间隔进行分析。
单击“日期”链接可转到“异常趋势”视图。 此视图显示随着时间推移异常的值和概率如何发生变化。
您可以编辑下列视图设置:
注意:如果您的部署包括 CA Performance Center,则可以使用缩放功能以交互方式限制时间范围。
|
版权所有 © 2015 CA Technologies。
保留所有权利。
|
|