运行手动扫描

在任何给定的时间运行非预定扫描在不同的情况下可能很有必要，例如当您想要访问您的网络，确定是否有新的零天漏洞时，或者当您想要验证补丁是否存在相同的漏洞时。本部分提供了有关开始手动扫描及在运行扫描时您可以采取的有用操作方面的指导：

开始站点手动扫描
开始单项资产手动扫描
更改手动扫描的设置
监控扫描的进程和状态
了解不同的扫描状态
暂停、继续和停止扫描
查看扫描结果
查看扫描日志
在日志中追踪扫描事件
查看全部扫描的历史记录

开始站点手动扫描

如需立即在主页页面开始手动扫描某站点，请在主页页面的站点列表表格中点击对应于既定站点的扫描图标。或者点击显示在标记为正在扫描的全部站点的表格下方的扫描按钮。

开始手动扫描

或者，您可以在站点页面或针对特定站点的页面上点击扫描按钮。

开始单项资产手动扫描

在任何给定的时间进行单项资产扫描会十分有用。例如，某给定的资产可能包含敏感数据，您可能会想要马上查明它是否会以零天漏洞的形式暴露出来。

若要扫描单项资产，请从站点页面、资产组页面或任何其他相关位置的任何资产表格中连接至该单项资产，进入该资产的页面。点击显示在资产信息窗格下方的现在扫描资产按钮。

开始单项资产扫描

如何通过资产连接扫描单项资产

若启用了资产连接，则位于多个站点的某资产会被视为单个实体。若需更多信息，请参见连接不同站点之间的资产。如果您的 Nexpose 部署中已启用了资产连接，请注意其对单项资产扫描的影响。

资产连接和站点权限

若启用了资产连接，资产将随着每个站点中的扫描数据而进行更新，即使运行该扫描的用户没有资产所属的至少其中一个站点的访问权。例如：某用户想要扫描属于洛杉矶和贝尔法斯特这两个站点的单项资产。该用户拥有洛杉矶站点的访问权，但没有贝尔法斯特站点的访问权。但是该扫描会更新贝尔法斯特站点中的该资产。

资产连接和封锁

封锁是指在预定的时间段内禁止运行扫描。启用了资产连接后，如果您试图扫描属于当前正处于封锁期的任何站点的资产，安全控制台将显示一条警告并阻止您开始扫描。如果您是全局管理员，则可以覆写该封锁。

更改手动扫描的设置

开始手动扫描时，安全控制台会显示开始新扫描对话框。

在手动扫描目标区，请选择扫描站点范围内全部资产的选项，或者选择指定某些目标资产的选项。如果您希望尽快扫描某个特定资产，那么，指定后者十分有用，例如，检查高危漏洞或验证补丁安装。

注意: 您仅可以手动扫描被指定为地址或者在某范围内的资产。

如果您选择扫描特定资产的选项，请在文本框中输入相应资产的 IP 地址或主机名称。请参见已包含资产和已排除资产列表，查看 IP 地址和主机名称。您可以复制并粘贴这些地址。

注意: 如果您正在扫描亚马逊网络服务 (Amazon Web Services, AWS) 实例，且如果您的安全控制台和扫描引擎位于 AWS 网络外，则您不可以选择手动指定要扫描的资产。查看 AWS 网络内部或外部？。

有几项配置设置可扩展您的扫描选项：

如果您要扫描属于多个站点的单项资产，可以选择一个特定站点，在其中进行扫描。这样可对 Windows 资产周二补丁日更新的验证等情况有帮助。
您可以使用为选定站点分配的扫描模板之外的其他模板。例如，如果您解决了一个导致资产 PCI 扫描失败的问题，可以应用该适用的 PCI 模板，并确认该问题已得到更正。
如果您要扫描某站点，可以使用为该站点分配的扫描引擎之外的其他引擎。如果您知道当前分配的引擎正在使用中，则可以切换至空闲引擎。或者，您可以更改角度，让您可以“看到”该资产。例如，如果当前分配的引擎是 Rapid7 托管式引擎，该引擎提供了您网络的“外部”视图，您可以切换至位于防火墙后面的分布式引擎，以查看内部视图。

开始新扫描窗口

点击现在开始按钮可以立即开始扫描。

注意: 您可以根据自己的需要开始多次手动扫描。不过，如果您已经开始扫描某个站点中的全部资产，或者，如果调度程序已经自动开始执行全站点扫描，那么，应用程序将不允许您运行另一场全站点扫描。

在扫描开始时，安全控制台会显示扫描的状态页面，随着扫描的继续进行，页面上会显示更多的信息。

新开始扫描的状态页面

监控扫描的进程和状态

查看扫描进程

在扫描开始时，您可以追踪扫描已经运行的时间以及完成扫描的预估剩余时间。您甚至还可以看见完成单个资产扫描所需的时间。这些度量指标十分有用，它们能够帮助您预测分配窗口中的扫描是否即将完成。

如果您使用下列任一配置进行扫描，那么，您还可以查看正在进行的扫描所发现的资产和漏洞。

分布式扫描引擎（如果安全控制台被配置为检索增量扫描结果）
本地扫描引擎（与安全控制台捆绑在一起）

如果您的扫描包括资产组，并且使用了不止一个扫描引擎，则该表格将列示所使用的扫描引擎的数量。

用多个扫描引擎进行的扫描进程表

查看这些发现结果有助于监控关键资产的安全性或者判断（例如）某个资产是否具有零天漏洞。

查看扫描进程：

在主页页面，查找站点列表表格。
在表格中，查找正在被扫描的站点。
在状态栏，点击正在进行扫描链接。

或者

在主页页面，查找所有站点当前扫描列表表格。
在表格中，查找正在被扫描的站点。
在进展栏，点击正在进行链接。

当前正在运行的扫描进程链接

在站点页面的站点列表表格或正在被扫描的站点页面的当前扫描列表表格中，您也会看到进程链接。

当您在上述任何位置点击进程链接时，安全控制台都会显示扫描进程页面。

在页面顶部，扫描进程表格显示了扫描的当前状态、开始日期和时间、运行时间、完成扫描的预估剩余时间以及已发现漏洞的总数。它列出了已被发现的资产数量以及下列资产信息：

活动资产是指那些当前正在接受漏洞扫描的资产。
已完成资产是指那些已经完成漏洞扫描的资产。
待定资产是指那些已被发现，但尚未接受漏洞扫描的资产。

这些数值会出现在指示已完成资产百分比的进度条下方。此进度条有助于大致追踪进度以及预估扫描的剩余时间。

您可以点击扫描日志图标，以查看关于扫描事件的详细信息。如需了解更多信息，请参见查看扫描日志 。

已完成资产表格列出了成功完成扫描的资产、因出错而扫描失败的资产或者用户停止扫描的资产。

未完成资产表格列出了等待扫描的资产、正在进行扫描的资产或者用户暂停扫描的资产。此外，当整个扫描工作完成时，因在扫描期间离线而未被完全扫描的任何资产均会被标记为 未完成。

这些表格列出了每个资产的经识别操作系统（如适用）、在资产上已发现的漏洞数量以及扫描持续时间和状态。您可以点击任何资产的地址或名称链接，以查看更多详细信息，如在资产上发现的全部特定漏洞。

随着状态的每一次变化，此表格在扫描过程中都会进行刷新。您点击表格底部图标，即可禁用自动刷新功能。此做法在扫描大的环境时可能会满足您的需要，因为不断的刷新会对您造成干扰。

使用单个扫描引擎进行的扫描进程页面

使用多个扫描引擎进行的扫描进程页面

了解不同的扫描引擎状态

扫描进程页面还报告了该站点所使用的扫描引擎的状态。

如果您正在扫描某资产组，该资产组的配置可使用最近使用的扫描引擎对每项资产进行扫描，则您可以查看所报告的一个以上扫描引擎的状态。如需更多信息，请参见确定如何在扫描资产组时扫描每项资产。

状态一栏报告了扫描引擎的状态。这些状态与扫描状态相对应。请参见了解不同的扫描状态。其他可能出现的扫描引擎状态为：

未知：无法连接扫描引擎。您可以检查该扫描引擎是否正在运行，并且是否可达。

了解不同的扫描状态

了解扫描进程表格状态栏中所列的各种扫描状态，是十分有帮助的。虽然部分状态非常普通，但是，其他状态可能会指出一些问题，您需要对这些问题进行故障排除，才能确保在未来扫描中获得更佳的性能和结果。了解某些状态对扫描数据整合或恢复扫描的能力的影响，也是十分有帮助的。在状态栏中，扫描可能会显示下列任意一种状态：

正在进行：扫描正在收集有关目标资产的信息。安全控制台正在从扫描引擎导入数据并执行数据整合操作，如关联资产或应用漏洞例外情况。在某些实例中，如果扫描状态在异常长的时间内仍然保持正在进行，则可能表明出现问题。请参见判断正常状态的扫描是否出现问题。

成功完成：扫描引擎已经完成对站点中资产的扫描，并且安全控制台已经完成对扫描结果的处理。如果扫描显示为这种状态，但却没有显示扫描结果，请参见判断正常状态的扫描是否出现问题来诊断此问题。

停止：在安全控制台完成从扫描引擎导入数据之前，用户已经手动停止扫描。无论针对单个资产的扫描是否完成，安全控制台在停止扫描之前已经导入的数据均会被整合加入扫描数据库。您无法恢复已停止的扫描。您需要运行新的扫描。

暂停：出现下方事件之一：

用户手动暂停扫描。
扫描已经超过预定的持续时间窗口。如果为循环扫描，系统将会在暂停处恢复扫描，而不是在下一个开始日期/时间重新开始。
在安全控制台完成扫描引擎导入数据之前，扫描已经超过了安全控制台的内存阈值。

在所有情况下，安全控制台都会为在扫描暂停时已获得 成功完成状态的目标处理结果。您可以手动恢复已暂停的扫描。

注意: 当您恢复已暂停的扫描时，应用程序会针对该站点中在您暂停扫描时未获得成功完成状态的任何资产进行扫描。由于应用程序不会为未达到完成状态的资产保留部分数据，所以，它会在重新开始时再次从这些资产上收集信息。

已失败：由于突发事件的缘故，扫描已被中断。无法恢复扫描。应用程序将会显示已失败状态和解释性消息。您可以使用此信息让技术支持部门对问题进行故障排除。一个失败的原因可能是安全控制台或扫描引擎丧失服务功能。在这种情况下，安全控制台无法重新获得中断之前的扫描数据。

另一个原因可能是安全控制台和扫描引擎之间的通讯问题。安全控制台通常可以重新获得中断之前的扫描数据。使用下列任一方法，您可以判断是否出现这种问题：

使用 ICMP (ping) 请求，检查您的安全控制台和扫描引擎之间的连接。
点击管理标签，然后进入扫描引擎页面。针对与失败扫描相关的扫描引擎，点击刷新图标。如果存在通讯问题，您会看到一条错误消息。
打开位于安全控制台 \nsc目录下的 nsc.log 文件，并寻找针对与失败相关的扫描引擎的错误级别消息。

已中止：由于死机或其他突发事件的缘故，扫描已被中断。安全控制台在扫描中止之前已经导入的数据会被整合加入扫描数据库。您无法恢复已中止的扫描。您需要运行新的扫描。

判断正常状态的扫描是否出现问题

如果扫描在异常长的时间内处于正在进行状态，这可能表明安全控制台因与扫描引擎通讯失败而无法判断扫描的真实状态。如需测试是否为这种情况，请尝试停止扫描。如果发生通讯失败，那么，安全控制台将会显示一条消息，表示不存在带有既定 ID 的扫描。

如果扫描处于成功完成状态，但没有显示此次扫描的数据，这可能表明扫描引擎已经停止与扫描工作的联系。如需测试是否为这种情况，请尝试再次手动开始扫描。如果出现此问题，安全控制台将会显示一条消息，表示扫描已经使用既定 ID 运行。

在上述这些情况中，请联络技术支持部门。

暂停、继续和停止扫描

如果您是一名具备适当站点权限的用户，您可以暂停、继续或停止手动扫描以及由应用程序调度程序自动开始的各种扫描。

您可以在多个区域中暂停、继续或停止扫描：

主页页面
站点页面
被扫描站点的页面
实际扫描的页面

如需暂停扫描，请点击主页、站点或特定站点页面的扫描暂停图标；或者点击特定扫描页面的暂停扫描按钮。

系统显示的消息会询问您是否确定希望暂停扫描。点击确定。

如需继续暂停的扫描，请点击主页、站点或特定站点页面的扫描继续图标；或者点击特定扫描页面的恢复扫描按钮。控制台显示的消息会询问您是否确定希望继续扫描。点击确定。

如需停止扫描，请点击主页、站点或特定站点页面的扫描停止图标；或者点击特定扫描页面的停止扫描按钮。控制台显示的消息会询问您是否确定希望停止扫描。点击确定。

停止操作可能需要 30 秒或更长时间才能让任何进行中的扫描活动完全进入待定状态。

查看扫描结果

根据您的分类偏好，安全控制台会针对任何类别按照升序或降序列出扫描结果。在资产列表表格中，点击所需的类别栏标题（如地址或漏洞）可按照该类别分类结果。

资产列表表格中的两栏显示了每项资产中已知曝光的数量。带有™ 图示的栏枚举了每项资产中已知存在的漏洞利用程序的数量。此数量可能包括在 Metasploit 和/或利用数据库中的有效利用。带有图示的栏枚举了可用于利用在每项资产上检测到的漏洞的恶意软件包的数量。

点击资产名称或地址的链接，可以查看与扫描相关的信息以及其他有关资产的信息。记住，应用程序会扫描站点（而不是资产组），但资产组可能含有站点所包含的资产。

如需查看扫描结果，请在主页页面上点击站点名称的链接。点击站点名称链接，可查看站点中的资产以及关于扫描结果的信息。在此页面上，点击资产名称或地址，您还可以查看站点内任何资产的信息。

如需对扫描相关问题进行故障排除或监控某些扫描事件，您可以下载并查看任何正在进行或已经完成的扫描的日志。

了解扫描日志文件名称

扫描日志文件带有一个 .log 扩展名，在任何文本编辑程序中都可以打开它。扫描日志的文件名称含有以连字符分隔的三个字段：各自的站点名称、扫描的开始日期以及军用格式的扫描开始时间。例如：localsite-20111122-1514.log。

如果站点名称含有空格或文件名称格式不支持的字符，那么，这些字符将被转换成十六进制等值物。例如，在扫描日志文件名称中，站点名称my site 将会被表达为 my_20site。

下面是扫描日志文件格式所支持的字符：

数字
字母
连字符 (-)
下划线 (_)

文件名称格式可支持最高 64 个字符的站点名称字段。如果站点名称中含有超过 64 个字符，那么，文件名称仅会收录前 64 个字符。

在下载日志文件后，您可以更改日志文件名称。或者，如果您的浏览器被配置为提示您指定下载文件的名称和位置，您可以在硬盘驱动器上保存文件的时候更改文件名称。

查找扫描日志

无论您在哪里看到网页界面上关于扫描的信息，您都可以查找并下载扫描日志。您仅可以将扫描日志下载到您具有访问权限的站点。

在主页页面的站点列表表格中，点击扫描状态栏中任何正在进行或最近的任何站点扫描的链接。这样可以打开该扫描的摘要页面。在扫描进程表格中，查找扫描日志栏。
在任何页面上，点击站点摘要表格中的查看扫描历史记录按钮。这样可以打开该站点的扫描页面。在扫描历史记录表格中，查找扫描日志栏。
扫描历史记录页面列出了已在您的部署中运行的全部扫描。在网页界面的任何页面上，点击管理标签。在管理页面上，点击扫描历史记录的查看链接。在扫描历史记录表格中，查找扫描日志栏。

下载扫描日志

如需下载扫描日志，点击扫描日志的下载图标。

弹出窗口会显示打开文件或将其保存至您的硬盘驱动器的选项。您可以选择任一选项。

如果您没有看到打开文件的选项，请更改您的浏览器配置，加入打开 .log 文件的默认程序。任何文本编辑程序（如 Notepad 或 gedit）都可以打开 .log 文件。请参考您的浏览器文档，以查找如何选择默认程序。

为了确保您可以获得扫描日志的永久副本，请选择保存文件的选项。我们如此建议，以防您从扫描数据库删除扫描信息。

下载扫描日志

在日志中追踪扫描事件

虽然网页界面可以提供有关扫描进程的有用信息，但是，您也可以利用扫描日志来了解更多扫描细节并至追踪单个扫描事件。例如，如果某个扫描阶段占用过长时间，这种做法特别有用。您可能想要核实延长时间的扫描在正常运行，没有"搁置"。您可能还想要使用某些日志信息对扫描进行故障排除。

本部分介绍了常见的扫描日志条目并解释了它们的含义。每个条目均以时间和日期戳、严重性级别（DEBUG、INFO、WARN、ERROR）以及能够识别扫描线程和站点的信息作为开始。

扫描阶段的开始和完成

2013-06-26T15:02:59 [INFO] [Thread: Scan default:1] [Site: Chicago_servers] Nmap phase started.
扫描的 Nmap（网络映射器）阶段包括资产发现和对于这些资产的端口扫描。此外，如果在扫描模板中启用，这些阶段还包括 IP 堆栈指纹识别。

2013-06-26T15:25:32 [INFO] [Thread: Scan default:1] [Site: Chicago_servers] Nmap phase complete.
Nmap 阶段已经完成，这表示扫描将会继续进行漏洞或政策检查。

关于扫描线程的信息

2013-06-26T15:02:59 [INFO] [Thread: Scan default:1] [Site: Chicago_servers] Nmap will scan 1024 IP addresses at a time.
此条目展示了每个 Nmap 过程在其结束及新的 Namp 过程开始之前将会扫描的 IP 地址的最多数量。这些是被指定给每个 Nmap 过程的工作单元。每次扫描仅存在 1 个 Nmap 过程。

2013-06-26T15:04:12 [INFO] [Thread: Scan default:1] [Site: Chicago_servers] Nmap scan of 1024 IP addresses starting.
此条目展示了针对此次扫描的当前 Nmap 过程正在扫描的 IP 地址的数量。此数字最高可等于在上一个条目中列出的最大数量。如果此数字小于在上一个条目中列出的最大数量，这表示站点中待扫描的 IP 地址的数量小于最大数量。因此，此条目所反映的过程是扫描中使用的最后过程。

在扫描阶段中关于扫描任务的信息

2013-06-26T15:04:13 [INFO] [Thread: Scan default:1:nmap:stdin] [Site: Chicago_servers] Nmap task Ping Scan started.
Nmap 扫描阶段中的特定任务已经开始。部分常见任务包括下列内容：

Ping Scan： 资产发现
SYN Stealth Scan： 使用 SYN 隐藏扫描方法的 TCP 端口扫描（如在扫描模板中的配置）
Connect Scan：使用连接扫描方法的 TCP 端口扫描（如在扫描模板中的配置）
UDP Scan： UDP 端口扫描

2013-06-26T15:04:44 [INFO] [Thread: Scan default:1:nmap:stdin] [Site: Chicago_servers] Nmap task Ping Scan is an estimated 25.06% complete with an estimated 93 second(s) remaining.
这是针对 Nmap 任务的示例进程条目。

发现和端口扫描状态

2013-06-26T15:06:04 [INFO] [Thread: Scan default:1:nmap:stdin] [Site: Chicago_servers] [10.0.0.1] DEAD (reason=no-response)
扫描将目标 IP 地址报告为失效，因为主机没有对 ping 作出响应。

2013-06-26T15:06:04 [INFO] [Thread: Scan default:1:nmap:stdin] [Site: Chicago_servers] [10.0.0.2] DEAD (reason=host-unreach)
扫描将目标 IP 地址报告为失效，因为它收到一条ICMP 主机不可到达的响应。其他 ICMP 响应包括网络不可到达、协议不可到达、管理上被禁止。请参见 RFC4443 和 RFC 792 规范了解更多信息。

2013-06-26T15:07:45 [INFO] [Thread: Scan default:1:nmap:stdin] [Site: Chicago_servers] [10.0.0.3:3389/TCP] OPEN (reason=syn-ack:TTL=124)
2013-06-26T15:07:45 [INFO] [Thread: Scan default:1:nmap:stdin] [Site: Chicago_servers] [10.0.0.4:137/UDP] OPEN (reason=udp-response:TTL=124)
上述两个条目介绍了已扫描端口的状态以及造成该状态的原因。SYN-ACK 反映了针对 SYN 请求的 SYN-ACK 响应。关于 TTL 参考，如果两个开放端口具有不同的 TTL，这表示位于扫描引擎和扫描目标之间的中间人设备正在影响扫描。

2013-06-26T15:07:45 [INFO] [Thread: Scan default:1:nmap:stdin] [Site: Chicago_servers] [10.0.0.5] ALIVE (reason=echo-reply:latency=85ms:variance=13ms:timeout=138ms)
此条目介绍了下列方面的信息：扫描将主机报告为活跃的原因以及主机所在网络的质量；扫描引擎和主机之间的延迟；这种延迟的变化；以及在等待目标响应时所选择的超时 Nmap。此类条目通常被技术支持部门用于对突发扫描行为的故障排除。例如，主机被报告为活跃，但却没有回应 ping 请求。此条目表示扫描已通过 TCP 响应发现主机。

下方列表指出了扫描报告的发现和端口扫描结果的最常见原因：

conn-refused： 目标拒绝连接请求。
reset： 扫描收到针对 TCP 数据包的 RST（重置）响应。
syn-ack： 扫描收到针对 TCP SYN 数据包的 SYN|ACK 响应。
udp-response： 扫描收到针对 UDP 探测器的 UDP 响应。
perm-denied： 扫描引擎操作系统拒绝了扫描发出的请求。这种情况可能会发生在完全连接的 TCP 扫描中。例如，扫描引擎主机上的防火请被启用，并组织 Nmap 发送请求。
net-unreach： 这是一种 ICMP 响应，表示目标资产的网络不可到达。请参见 RFC4443 和 RFC 792 规范了解更多信息。
host-unreach： 这是一种 ICMP 响应，表示目标资产不可到达。请参见 RFC4443 和 RFC 792 规范了解更多信息。
port-unreach： 这是一种 ICMP 响应，表示目标端口不可到达。请参见 RFC4443 和 RFC 792 规范了解更多信息。
admin-prohibited： 这是一种 ICMP 响应，表示目标资产不允许接受 ICMP 回显请求。请参见 RFC4443 和 RFC 792 规范了解更多信息。
echo-reply： 这是一种针对回显请求的 ICMP 回显响应。这种情况会在资产发现阶段出现。
arp-response： 扫描已收到 ARP 响应。这种情况会在本地网络分段的资产发现阶段出现。
no-response： 扫描没有收到响应，与过滤端口或失效主机的情况一样。
localhost-response： 扫描收到来自本地主机的响应。也就是说，本地主机安装了扫描引擎并对自身进行扫描。
user-set： 如用户在扫描模板配置中设定的那样，主机发现被禁用。在这种情况下，扫描不会验证目标主机处于活跃状态，它会"假定"目标处于活跃状态。

查看全部扫描的历史记录

查看扫描历史记录页面，您就可以快速浏览整个部署的扫描历史记录。

在网页界面的任何页面上，点击管理图标。在管理页面上，点击扫描历史记录的查看链接。

界面显示扫描历史记录页面，上面列出了所有扫描、扫描资产总数、已发现漏洞以及关于每次扫描的其他信息。您可以在已完成栏中点击日期连接，以查看关于任何扫描的详细信息。

您还可以按照我们在上一个主题中讨论的那样下载任何扫描日志。

查看扫描历史记录