检测主机上的异常登录行为并告警,告警类型包括“异常登录”、“爆破登录”。如果发生异常登录,则说明您的主机可能已被黑客入侵成功。
查看异常登录事件
-
登录服务器安全卫士(原生版)控制台。
-
在左侧导航栏,选择“入侵检测 > 异常登录”,进入异常登录页面。
-
查看异常登录告警。
-
查看统计数据
页面上方展示异常登录告警的统计情况,包括异常登录事件数、爆破登录事件数、存在风险的服务器数。可以快速查看最近一周、最近一个月、最近三个月的数据,默认展示最近一周的数据。- 异常登录事件:统计事件列表中的异常登录事件数。
- 爆破登录事件:统计事件列表中的爆破登录事件数。
- 存在风险的服务器:统计存在异常登录和爆破登录事件的服务器数量。同一服务器不重复统计,当同一台服务器有多个告警时,仅统计一次。
-
查看告警列表
页面下方展示异常登录告警列表,告警列表包括告警类型、服务器、登录源IP、登录地区、登录账号、最后登录时间、状态。
默认按照最后登录时间进行排序,最新的告警排在最上方。可以快速查看最近一周、最近一个月、最近三个月的告警,默认展示最近一周的告警。
告警列表可按照告警类型、时间、状态、登录源IP、登录账号、服务器名称、服务器IP进行搜索。
-
处理异常登录事件
标记为已处理
若您已手动处理异常登录事件,可将其“标记为已处理”,标记后,事件的状态将从“未处理”变为“已处理”。
具体操作步骤如下:
-
在异常登录事件列表中,找到目标异常登录事件,单击操作列的“标记为已处理”。
-
在弹出的对话框中单击“确定”。
加入白名单
若您确认异常登录事件是误报,可以将其加入白名单。加入白名单后,将不再进行异常登录告警。
可以通过登录IP、登录用户名、登录时间和登录地区设置白名单,具体操作步骤如下:
-
登录服务器安全卫士(原生版)控制台。
-
在左侧导航栏,选择“入侵检测 > 异常登录”,进入异常登录页面。
-
单击页面右上角的“白名单管理”,进入白名单管理页面。
-
单击“新增白名单”,弹出如下对话框。
参数说明:
参数 说明 是否必选 登录IP 支持单个IP、IP范围和IP段。多个IP之间用英文逗号(,)隔开。 示例:
单个IP:1.1.1.1
IP范围:1.1.1.1-1.1.1.10
IP段:172.168.34.1/20
登录IP、登录用户名、登录时间、登录地区,这几个参数至少需要填写一项,可填写多项。 登录用户名 支持输入多个用户名,用英文逗号(,)隔开。 登录地区 可选择多个登录地。 登录时间 可选择开始时间和结束时间。 服务器分类 可选择全部服务器或部分服务器。 必选 描述 白名单的描述信息。 可选 -
当所有字段都选择完成后,单击“确定”,会生成白名单规则,显示在白名单列表中。
白名单列表可根据服务器名称和服务器IP进行搜索,若该规则中包含该台服务器,即进行显示。
相关操作:
- 编辑白名单
若您需要对已有的白名单规则进行编辑,点击该白名单操作列中的“编辑”,可以修改白名单规则的所有信息,包括登录IP、登录用户名、登录地区、登录时间、服务器数量和描述信息,修改完成后点击“确定”即可完成白名单规则的编辑。 - 移除白名单
若您需要移除白名单,点击该白名单操作列中的“移除”,在提示框中点击“确定”,该白名单规则将被删除。
