6.2.1.8. eve-stats

6.2.1.8.1. Introduction

La commande eve-stats du sous-groupe show permet d’afficher les statistiques de Sigflow (monitoring-engine).

6.2.1.8.2. Prérequis

  • Utilisateurs : setup, gviewadm, gview

  • Dépendances : N/A

6.2.1.8.3. Commande

show eve-stats

6.2.1.8.4. Exemple

  • Entrer la commande suivante.

    (gcap-cli) show eve-stats

  • Valider.
    Le système affiche les informations suivantes :

  • le compteur Alerts - Nombre d’alertes Sigflow trouvées

  • les compteurs Files - Fichiers extraits par Sigflow

  • les compteurs Codebreaker samples - Fichiers analysés par Codebreaker

  • les compteurs Protocols - Listes des protocoles vus par Sigflow

  • les compteurs Detection Engine Stats - Statistiques de Sigflow (monitoring-engine)

6.2.1.8.4.1. Détail du compteur Alerts - Nombre d’alertes Sigflow trouvées

Exemple:

Alerts: 0

6.2.1.8.4.2. Détail des compteurs Files - Fichiers extraits par Sigflow

  • Observed - Nombre de fichiers observés par Sigflow.

  • Extracted - Nombre de fichiers extraits par Sigflow.

  • Uploaded - Données des envois sur le GCenter.

    • Metadata - Nombre de métadonnées envoyées sur le GCenter.

    • File - Nombre de fichiers envoyés sur le GCenter.

Exemple :

    Files:
     Observed:           6011816
     Extracted:          0
     Uploaded:
        Metadata:        0
        File:            0

6.2.1.8.4.3. Détail des compteurs Codebreaker samples - Fichiers analysés par Codebreaker

  • Extracted - Nombre de fichiers extraits reçus par Codebreaker.

  • Uploaded - Données sur les fichiers reçus par Codebreaker sur le GCenter.

    • Shellcodes - Données sur les shellcodes.

      • Plain - Shellcodes détectés sans encodage.

      • Encoded - Shellcodes détectés avec encodage.

    • Powershell - Nombre de scripts Powershell malicieux détectés.

Exemple :

 Codebreaker samples:
   Extracted:          0
   Uploaded:
       Shellcodes:
           Plain:      0
           Encoded:    0
       Powershell:     0

Note

Dans la version GCenter V102, ce moteur s'appelle Codebreaker
Dans la version GCenter V103, le moteur qui détecte les shellcodes est appelé Shellcode detect engine
Dans la version GCenter V103, le moteur qui détecte les powershells malveillants est appelé Malicious Powershell detect engine.

6.2.1.8.4.4. Détail des compteurs Protocols - Listes des protocoles vus par Sigflow

  • <protocole> Nombre d’événements observés par Sigflow à propos du protocole (par ex. : HTTP, SMB, etc).

    Exemple :

   Protocols:
     DHCP:     0
     DNP3:     0
     DNS:      0
     FTP:      0
     HTTP:     6537929
     HTTP2:    0
     IKEv2:    0
     KRB5:     0
     MQTT:     0
     NETFLOW:  0
     NFS:      0
     RDP:      0
     RFB:      0
     SIP:      0
     SMB:      0
     SMTP:     0
     SNMP:     0
     SSH:      0
     TFTP:     0
     TLS:      0
     Tunnels:  0

6.2.1.8.4.5. Détail des compteurs Detection Engine Stats - Statistiques de Sigflow (monitoring-engine)

  • Events - Données sur les événements observés par Sigflow

    • Total - Nombre total d’événements observés

    • Stats - Nombre de statistiques générées

  • Capture

    • Received - Nombre de paquets capturés

    • Dropped - Nombre de paquets ignorés

  • Rules - Données sur les règles Sigflow

    • Loaded - Nombre de règles chargées et validées

    • Invalid - Nombre de règles qui n’ont pas pu être chargées

  • TCP

    • SYN - Nombre de SYN observés par Sigflow.

    • SYN/ACK - Nombre de SYN/ACK observés par Sigflow.

    • Sessions - Nombre de sessions TCP observées par Sigflow.

  • Flow

    • TCP - Nombre de sessions TCP observées

    • UDP - Nombre de sessions UDP observées

    • SCTP - Nombre de sessions SCTP observées

    • ICMPv4 - Nombre de messages ICMPv4 observés

    • ICMPv6 - Nombre de messages ICMPv6 observés

    • Timeouts - Statistiques sur les expirations des sessions TCP

      • New - Nombre de nouvelles fenêtres TCP

      • Established - Nombre de fenêtres établies

      • Closed - Nombre de fenêtres fermées

      • Bypassed - Nombre de fenêtres ignorées

    Exemple :

   Detection Engine Stats:
     Events:
       Total:     12551855
       Stats:     2110

     Capture:
       Received:  153439718
       Dropped:   60964966

     Rules:
       Loaded:    78
       Invalid:   28

     TCP:
       SYN:       10274277
       SYN/ACK:   10274629
       Sessions:  10273062

     Flows:
       TCP:       12067611
       UDP:       0
       SCTP:      0
       ICMPv4:    0
       ICMPv6:    0

       Timeouts:
           New:          0
           Established:  0
           Closed:       0
           Bypassed:     0

Note

Le compteur TCP sessions comptabilise le nombre de sessions une fois l'établissement de la connexion faite (phase three-way handshake).
Le compteur Flows TCP comptabilise le nombre de sessions commencées (y compris les sessions dont l'établissement de la connexion est en cours).