9.3.1.4. show eve-stats

A - Introduction

La commande `eve-stats` du sous-groupe `show` permet d’afficher les statistiques de Sigflow (monitoring-engine).

B - Prérequis

  • Utilisateur : setup, gviewadm, gview

  • Dépendances : N/A

C - Commande

`show eve-stats`

D - Procédure

L’invite de commande est affichée.

(gcap-cli)

  1. Saisir la commande

    show eve-stats
  2. Valider
    Le système affiche les informations suivantes

  • le compteur `Alerts` - Nombre d’alertes Sigflow trouvées

  • les compteurs `Files` - Fichiers extraits par Sigflow

  • les compteurs `Codebreaker samples` - Fichiers analysés par Codebreaker

  • les compteurs `Protocols` - Listes des protocoles vus par Sigflow

  • les compteurs `Detection Engine Stats` - Statistiques de Sigflow (monitoring-engine)

E - Détail du compteur `Alerts` - Nombre d’alertes Sigflow trouvées

Exemple :

Alerts: 0

F - Détail des compteurs `Files` - Fichiers extraits par Sigflow

  • `Observed` - Nombre de fichiers observés par Sigflow.

  • `Extracted` - Nombre de fichiers extraits par Sigflow.

  • `Uploaded` - Données des envois sur le GCenter.

    • `Metadata` - Nombre de métadonnées envoyées sur le GCenter.

    • `File` - Nombre de fichiers envoyés sur le GCenter.

Exemple :

Files:
 Observed:           6011816
 Extracted:          0
 Uploaded:
    Metadata:        0
    File:            0

G - Détail des compteurs `Codebreaker samples` - Fichiers analysés par Codebreaker

  • `Extracted` - Nombre de fichiers extraits reçus par Codebreaker.

  • `Uploaded` - Données sur les fichiers reçus par Codebreaker sur le GCenter.

    • `Shellcodes` - Données sur les shellcodes.

      • `Plain` - Shellcodes détectés sans encodage.

      • `Encoded` - Shellcodes détectés avec encodage.

    • `Powershell` - Nombre de scripts Powershell malicieux détectés.

Exemple :
Codebreaker samples:
   Extracted:         0
   Uploaded:
      Shellcodes:
         Plain:       0
         Encoded:     0
      Powershell:     0

Note

Dans la version GCenter V102, ce moteur s'appelle Codebreaker
Dans la version GCenter V103, le moteur qui détecte les shellcodes est appelé Shellcode detect engine
Dans la version GCenter V103, le moteur qui détecte les powershells malveillants est appelé Malicious Powershell detect engine.

H - Détail des compteurs `Protocols` - Listes des protocoles vus par Sigflow

  • `<protocole>` Nombre d’événements observés par Sigflow à propos du protocole (par ex. : HTTP, SMB, etc).

    Exemple :

Protocols:
  DHCP:     0
  DNP3:     0
  DNS:      0
  FTP:      0
  HTTP:     6537929
  HTTP2:    0
  IKEv2:    0
  KRB5:     0
  MQTT:     0
  NETFLOW:  0
  NFS:      0
  RDP:      0
  RFB:      0
  SIP:      0
  SMB:      0
  SMTP:     0
  SNMP:     0
  SSH:      0
  TFTP:     0
  TLS:      0
  Tunnels:  0source/gcap-cli/6-3-show/eve-stats.rst:97: (WARNING/2) Literal block expected; none found.

I - Détail des compteurs `Detection Engine Stats` - Statistiques de Sigflow (monitoring-engine)

  • `Events` - Données sur les événements observés par Sigflow

    • `Total` - Nombre total d’événements observés

    • `Stats` - Nombre de statistiques générées

  • `Capture`

    • `Received` - Nombre de paquets capturés

    • `Dropped` - Nombre de paquets ignorés

  • `Rules` - Données sur les règles Sigflow

    • `Loaded` - Nombre de règles chargées et validées

    • `Invalid` - Nombre de règles qui n’ont pas pu être chargées

  • `TCP`

    • `SYN` - Nombre de SYN observés par Sigflow.

    • `SYN/ACK` - Nombre de SYN/ACK observés par Sigflow.

    • `Sessions` - Nombre de sessions TCP observées par Sigflow.

  • `Flow`

    • `TCP` - Nombre de sessions TCP observées

    • `UDP` - Nombre de sessions UDP observées

    • `SCTP` - Nombre de sessions SCTP observées

    • `ICMPv4` - Nombre de messages ICMPv4 observés

    • `ICMPv6` - Nombre de messages ICMPv6 observés

    • `Timeouts` - Statistiques sur les expirations des sessions TCP

      • `New` - Nombre de nouvelles fenêtres TCP

      • `Established` - Nombre de fenêtres établies

      • `Closed` - Nombre de fenêtres fermées

      • `Bypassed` - Nombre de fenêtres ignorées

Exemple

Detection Engine Stats:
  Events:
    Total:     12551855
    Stats:     2110

  Capture:
    Received:  153439718
    Dropped:   60964966

  Rules:
    Loaded:    78
    Invalid:   28

  TCP:
    SYN:       10274277
    SYN/ACK:   10274629
    Sessions:  10273062

  Flows:
    TCP:       12067611
    UDP:       0
    SCTP:      0
    ICMPv4:    0
    ICMPv6:    0

    Timeouts:
        New:          0
        Established:  0
        Closed:       0
        Bypassed:     0

Note

Le compteur TCP sessions comptabilise le nombre de sessions une fois l'établissement de la connexion faite (phase three-way handshake).
Le compteur Flows TCP comptabilise le nombre de sessions commencées (y compris les sessions dont l'établissement de la connexion est en cours).