更新时间:2024-06-13 GMT+08:00
ALM-303046936 当系统检测某个用户发生攻击事件时,会发出该告警
告警解释
SECE/4/STRACKUSER: OID=[OID] Attack occurred.(Interface=[STRING], SourceMAC=[STRING], CVLAN=[ULONG], PVLAN=[ULONG], EndTime=[STRING], TotalPackets=[ULONG])
当系统检测某个用户发生攻击事件时,会发出该告警。
告警属性
| 告警ID | 告警级别 | 告警类型 |
|---|---|---|
| 303046936 | 提示 | securityServiceOrMechanismViolation |
告警参数
| 参数名称 | 参数含义 |
|---|---|
| OID | 该告警所对应的MIB节点号 |
| Interface | 攻击用户接入的接口 |
| SourceMAC | 攻击用户的源MAC地址 |
| BCVLAN | 广播报文高水位线 |
| PVLAN | 攻击用户的内层VLAN |
| EndTime | 攻击的最后时间 |
| TotalPackets | 收到攻击用户的报文数目 |
对系统的影响
该告警表示CPU可能会由于忙于处理攻击报文,占用率过高,导致一些正常的业务报文无法得到及时的处理,甚至被丢弃。
可能原因
某一用户(MAC+VLAN)上送CPU的报文超过了告警阈值。
处理步骤
- 如确定该用户异常攻击,请配置对攻击报文的处理动作为deny、或者配置流策略丢弃攻击报文。
- 若不确定,请收集该设备的配置信息、告警信息和日志信息,并联系技术支持人员。
- 结束。
参考信息
无
父主题: WAC&AP告警
