6.2.1.9. eve-stats

6.2.1.9.1. Introduction

La commande eve-stats du sous-groupe show permet d’afficher les statistiques de Sigflow (monitoring-engine).

6.2.1.9.2. Prérequis

  • Utilisateurs : setup, gviewadm, gview

  • Dépendances : N/A

6.2.1.9.3. Commande

show eve-stats

6.2.1.9.4. Exemple

  • Entrer la commande suivante.

(gcap-cli) show eve-stats

  • Valider.

Le système affiche les informations suivantes :

  • le compteur Alerts - Nombre d’alertes Sigflow trouvées

  • les compteurs Files - Fichiers extraits par Sigflow

  • les compteurs Codebreaker samples - Fichiers analysés par Codebreaker

  • les compteurs Protocols - Listes des protocoles vus par Sigflow

  • les compteurs Detection Engine Stats - Statistiques de Sigflow (monitoring-engine)

6.2.1.9.4.1. Détail du compteur Alerts - Nombre d’alertes Sigflow trouvées

Exemple:

...
  Alerts: 0
...

6.2.1.9.4.2. Détail des compteurs Files - Fichiers extraits par Sigflow

  • Observed - Nombre de fichiers observés par Sigflow.

  • Extracted - Nombre de fichiers extraits par Sigflow.

  • Uploaded - Données des envois sur le GCenter.

    • Metadata - Nombre de métadonnées envoyées sur le GCenter.

    • File - Nombre de fichiers envoyés sur le GCenter.

Exemple :

   ...
    Files:
     Observed:           6011816
     Extracted:          0
     Uploaded:
        Metadata:        0
        File:            0
   ...

6.2.1.9.4.3. Détail des compteurs Codebreaker samples - Fichiers analysés par Codebreaker

  • Extracted - Nombre de fichiers extraits reçus par Codebreaker.

  • Uploaded - Données sur les fichiers reçus par Codebreaker sur le GCenter.

    • Shellcodes - Données sur les shellcodes.

      • Plain - Shellcodes détectés sans encodage.

      • Encoded - Shellcodes détectés avec encodage.

    • Powershell - Nombre de scripts Powershell malicieux détectés.

Exemple :

 ...
  Codebreaker samples:
    Extracted:          0
    Uploaded:
        Shellcodes:
            Plain:      0
            Encoded:    0
        Powershell:     0
 ...

6.2.1.9.4.4. Détail des compteurs Protocols - Listes des protocoles vus par Sigflow

  • <protocole> Nombre d’événements observés par Sigflow à propos du protocole (e.g HTTP, SMB, etc).

    Exemple :

    Protocols:
      DHCP:     0
      DNP3:     0
      DNS:      0
      FTP:      0
      HTTP:     6537929
      HTTP2:    0
      IKEv2:    0
      KRB5:     0
      MQTT:     0
      NETFLOW:  0
      NFS:      0
      RDP:      0
      RFB:      0
      SIP:      0
      SMB:      0
      SMTP:     0
      SNMP:     0
      SSH:      0
      TFTP:     0
      TLS:      0
      Tunnels:  0

6.2.1.9.4.5. Détail des compteurs Detection Engine Stats - Statistique de Sigflow (monitoring-engine)

  • Events - Données sur les événements observés par Sigflow

    • Total - Nombre total d’événements observés

    • Stats - Nombre de statistiques générées

  • Capture

    • Received - Nombre de paquets capturés

    • Dropped - Nombre de paquets ignorés

  • Rules - Données sur les règles Sigflow

    • Loaded - Nombre de règles chargées et validées

    • Invalid - Nombre de règles qui n’ont pas pu être chargées

  • TCP

    • SYN - Nombre de SYN observés par Sigflow.

    • SYN/ACK - Nombre de SYN/ACK observés par Sigflow.

    • Sessions - Nombre de sessions TCP observées par Sigflow.

  • Flow

    • TCP - Nombre de sessions TCP observées

    • UDP - Nombre de sessions UDP observées

    • SCTP - Nombre de sessions SCTP observées

    • ICMPv4 - Nombre de messages ICMPv4 observés

    • ICMPv6 - Nombre de messages ICMPv6 observés

    • Timeouts - Statistiques sur les expirations des sessions TCP

      • New - Nombre de nouvelles fenêtres TCP

      • Established - Nombre de fenêtres établies

      • Closed - Nombre de fenêtres fermées

      • Bypassed - Nombre de fenêtres ignorées

    Exemple :

    Detection Engine Stats:
      Events:
        Total:     12551855
        Stats:     2110

      Capture:
        Received:  153439718
        Dropped:   60964966

      Rules:
        Loaded:    78
        Invalid:   28

      TCP:
        SYN:       10274277
        SYN/ACK:   10274629
        Sessions:  10273062

      Flows:
        TCP:       12067611
        UDP:       0
        SCTP:      0
        ICMPv4:    0
        ICMPv6:    0

        Timeouts:
            New:          0
            Established:  0
            Closed:       0
            Bypassed:     0

Note

Le compteur TCP sessions comptabilise le nombre de sessions une fois l'établissement de la connexion faite (phase three-way handshake).

Le compteur Flows TCP comptabilise le nombre de sessions commencées (donc y compris les sessions dont l'établissement de la connexion est en cours).