如下图所示,上方展示异常登录事件的统计情况,下方展示异常登录事件列表。
1.统计情况包括异常登录事件数、爆破登录事件数、存在风险的服务器数,都默认统计最近一周的时间,还可以统计最近一月和最近三月的时间维度。异常登录事件:统计事件列表中的异常登录事件数,爆破登录事件:统计事件列表中的爆破登录事件数,存在风险的服务器:有异常登录和爆破登录事件的服务器数量,如果同一台服务器有不同的事件需要进行去重。
2.事件列表包括告警类型、服务器、登录源IP、登录地区、登录账号、最后登录时间、状态和操作,默认按照最后登录时间进行排序,最新的事件排在最上方,并默认展示一周内的事件列表。事件列表可按照告警类型、时间、状态、登录源IP、登录账号、服务器名称、服务器IP进行搜索。
3.操作为标记为已处理,当该事件为“未处理”状态时,可进行点击,点击后弹出如下对话框,在对话框中点击“确认”后,事件列表中该事件状态变更为已处理。
4.若您需要将某些登录IP、登录用户名、登录时间和登录地区设置为正常登录,请您点击异常登录页面上的“白名单管理”进行设置,设置后将不再进行异常登录告警。
5.白名单管理中可对异常登录的白名单规则进行设置,包括白名单规则的新增、编辑和删除,如下图所示。白名单规则列表可根据服务器名称和服务器IP进行搜索,若该规则中包含该台服务器,即进行显示。
6.点击“新增白名单”时,弹出如下对话框,可填写登录IP、登录用户名、登录时间、登录地区、描述,并选择服务器。登录IP支持单个IP(示例:1.1.1.1)、IP范围(示例:1.1.1.1-1.1.1.10)和IP段(示例:172.168.34.1/20)。多个IP之间用英文, 隔开。登录地可选择多个登录地。登录账号支持输入多个用户名,用英文,隔开。登录时间可选择开始时间和结束时间。服务器可选择全部服务器和部分服务器。以上字段,除去服务器外,均为非必填,但登录IP、登录用户名、登录时间、登录地区至少需要填写一项,可填写多项。
7.当所有字段都选择完成后,会生成白名单规则,显示在白名单列表中,如下图所示:
8.可在操作中,对该白名单规则进行编辑和删除。当点击“编辑”时,弹出如下对话框,可编辑登录IP、登录用户名、登录时间、登录地区、描述,并点击“确定”后即可完成白名单规则的编辑。
9.当点击操作中的“删除”时,弹出如下对话框,点击确定后,该白名单规则将被删除。