3. Statistiques du moteur de détection
Avec les trois types de profils utilisateur du GCap, les comptes SETUP, GVIEW et GVIEWADM ont accès aux statistiques de capture du moteur de détection SIGFLOW.
Au niveau de l'interface graphique, le menu 'Inspect' est le menu avec lequel l'administrateur pourra vérifier les statistiques de capture.
↓
'Watch eve statistics' montre en temps réel toutes les informations correspondant aux paramètres de capture et compteurs associés au moteur de détection SIGFLOW de la sonde GCap.
Ces informations sont accessibles depuis l'invite de commande CLI :
show eve-stats
Ces badges informatifs apparaissent également sur l'interface WEB du GCenter au niveau des détails du GCap dans le menu 'Pairing/Status'
Des informations pratiques comme l'usage des règles, le nombre de sessions ou d'alertes apparaissent dans ce menu. La commande donne accès à des statistiques tirées des journaux (eve-log) de SIGFLOW.
Les statistiques affichées par eve_stats retournent les nombres d'alertes, de flux (DNS, HTTP, SMTP, TLS, etc.), des fichiers identifiés (stored ou non), des statistiques remontées, des paquets reçus et perdus par le noyau sur toutes les interfaces de capture.
| Types d'évènements | Description |
|---|---|
| Total Events | Nombre total des évènements (somme des compteurs ci-dessous) |
| Alerts | Nombre d'alerte détectée par minute |
| Stats Events | Nombre d'événements de type statistiques par minute |
| Observed Files | Nombre de fichiers observés par minute |
| Extracted Files | Nombre de fichiers extraits par minute |
| Uploaded-to-GCenter Files | Nombre de fichiers envoyés au GCenter par minute |
| Lost files | Nombre de fichiers perdus par minute |
| DHCP Events | Nombre d'événements DHCP par minute |
| DNS Events | Nombre d'événements DNS par minute |
| DNP3 Events | Nombre d'événements DNP3 par minute |
| FTP Events | Nombre d'événements FTP par minute |
| HTTP Events | Nombre d'événements HTTP par minute |
| IKEV2 Events | Nombre d'événements IKEV2 par minute |
| KRB5 Events | Nombre d'événements KRB5 par minute |
| NETFLOW Events | Nombre d'événements NETFLOW par minute |
| NFS Events | Nombre d'événements NFS par minute |
| SMB Events | Nombre d'événements SMB par minute |
| SMTP Events | Nombre d'événements SMTP par minute |
| SSH Events | Nombre d'événements SSH par minute |
| TFTP Events | Nombre d'événements TFTP par minute |
| TLS Events | Nombre d'événements TLS par minute |
| Tunnel Events | Nombre d'événements liés au tunnel IPsec par minute |
| Received Packets | Nombre de paquets reçus par minute |
| Dropped Packets | Nombre de paquets abandonnés par minute |
| Rules loaded | Nombre total de règles chargées sur le GCap |
| Invalid rules | Nombre de règles non valides ou en erreur |
| TCP SYN | Nombre d'établissement de connexion TCP |
| TCP SYN/ACK | Nombre d'établissement de connexion TCP avec accusé de réception par minute |
| TCP Sessions | Nombre de sessions TCP par minute |
| Flow TCP | Nombre de flux TCP par minute |
| Flow UDP | Nombre de flux UDP par minute |
| Flow SCTP | Nombre de flux SCTP par minute |
| Flow ICMPv4 | Nombre de flux ICMPv4 par minute |
| Flow ICMPv6 | Nombre de flux ICMPv6 par minute |
| Flow Timeout on New Sessions | Nombre de flux en timeout sur les nouvelles sessions |
| Flow Timeout on Established Sessions | Nombre de flux en timeout sur les sessions établies |
| Flow Timeout on Closed Sessions | Nombre de flux en timeout sur les sessions fermées |
| Flow Timeout on Bypassed Sessions | Nombre de flux en timeout sur les sessions contournées |