交通日志时间戳

创建安全策略时, 可以选择在会话开始或会话结束时记录会话信息, 并相应地生成日志。

在下面的示例日志中, 安全策略被配置为在会话结束时登录。此会话始于开始时间 2015/06/22 04:27:41。生成的时间是在会话结束时记录器在 2015/06/22 04:32:00 收到记录的会话信息。

接收时间是记录时间戳 2015/06/21 23:27:12。这一次是基于什么被视为本地全景时间。

具体的计时器被资料如下：

• 生成时间: 这是首次生成日志时. 对于通信开始日志, 它将在会话开始时进行。交通结束日志，它是开始时间 + 经过的时间。对于威胁日志, 它是当我们检测到威胁 (DP)。
• 开始时间: 会话开始时间 (DP)
• 接收时间: 管理服务器为日志转发 (MP) 接收日志的时间. 如果将日志转发到全景图, 全景将将接收时间更新为本地时间。
• 经过的时间 (秒): 这是自开始时间 (由 DP 测量) 以来的会话持续期 (以秒为单位).

此外, 由于缺少活动而超时的会话 (与鳍/RST 相反) 将使会话超时添加到已运行的时间值。

下面是超时会话的一个示例日志条目, 它具有3600秒空闲超时值集:

会话启动: 22:12:04
生成时间: 00:56:40
运行时间: 6276

会话开始生成的时间 = 2 小时、44分钟、36秒 (9876 秒) 在
经过的时间和实际时间之间的差异: 3600 秒

基于此示例日志, 会话在3600秒后空闲并超时。所以当会话处于活动状态的时间是 6276 秒。当会话超时，生成日志。

所有者: ekampling