IM (侵入モニター) ジャーナル項目
以下の表に、IM (侵入モニター) ジャーナル項目の様式をリストします。
オフセット | フィールド | フォーマット | 説明 | ||
---|---|---|---|---|---|
JE | J4 | J5 | |||
1 | すべての項目タイプに共通する見出しフィールド。 | ||||
610 | 項目タイプ | Char(1) | 項目のタイプ。
|
||
611 | イベントの時刻 | TIMESTAMP | イベントが検出された時刻 (SAA タイム・スタンプ形式)。 | ||
637 | 検出点 ID | Char(4) | 侵入イベントを検出した場所を処理するための固有 ID。 このフィールドは、サービス担当員が使用します。 | ||
641 | ローカル・アドレス・ファミリー | Char(1) | 検出されたイベントに関連付けられているローカル IP アドレス・ファミリー。 | ||
642 | ローカル・ポート番号 | Zone(5, 0) | 検出されたイベントに関連付けられているローカル・ポート番号。 | ||
647 | ローカル IP アドレス | Char(46) | 検出されたイベントに関連付けられているローカル IP アドレス。 | ||
693 | リモート・アドレス・ファミリー | Char(1) | 検出されたイベントに関連付けられているリモート・アドレス・ファミリー。 | ||
694 | リモート・ポート番号 | Zoned(5, 0) | 検出されたイベントに関連付けられているリモート・ポート番号。 | ||
699 | リモート IP アドレス | Char(46) | 検出されたイベントに関連付けられているリモート IP アドレス。 | ||
745 | プローブ・タイプ ID | Char(6) | 潜在的な侵入を検出する場合に使用するプローブのタイプを識別する。
有効な値は次のとおりです。
|
||
751 | イベント相関関係子 | Char(4) | この特定の侵入イベントに対する固有 ID。 この ID は、監査レコードと、その他の侵入検出情報を関連付ける場合に使用できます。 | ||
755 | イベント・タイプ | Char(8) | 検出された潜在的な侵入のタイプを識別する。
可能な値は次のとおりです。
|
||
763 | プロトコル | Char(3) | プロトコル番号 | ||
766 | 条件 | Char(4) | IDS ポリシー・ファイルの条件番号 | ||
770 | スロットル | Char(1) |
|
||
771 | 廃棄パケット | Zoned(5,0) | スロットル処理時の廃棄パケットの数 | ||
776 | ターゲット TCP/IP スタック | Char(1) |
|
||
777 | 予約済み | Char(6) | 将来の使用に予約済み | ||
783 | 疑いがあるパケット | Char(1002)1 | 検出されたイベントに関連付けられている IP パケットの最初の 1000 バイトまでを含むことが可能な 可変長フィールド。 このフィールドはバイナリー・データを含んでいるので、65535 という CCSID を含んでいる場合と同様に処理する必要があります。 プローブ・タイプ ID (オフセット 745) が「TR-SSL」のときは、失敗ハンドシェークのエラー情報を示す、ブランクが埋め込まれた文字ストリングがこのフィールドに含まれます。このフィールドの最初の 2 バイトにはエラー情報の長さが入ります。 長さの後には、失敗ハンドシェークを検出した処理の場所を表す 6 バイトの文字ストリングが続きます。6 バイトのストリングの後には、失敗ハンドシェークで返されるエラー・コードを示す 40 バイトの文字ストリングが続きます。 |
||
|