排查端点和检查问题
使用集合让一切井井有条根据您的偏好保存内容并对其进行分类。

验证 IDS 端点是否正常运行

如需确认 IDS 端点是否正常运行，请执行以下操作：

验证 IDS 端点是否显示在 Cloud IDS Google Cloud 控制台中，以及 Attached Policies 列中是否存在数据包镜像政策。
点击政策名称，确保 Policy Enforcement 已设置为已启用，进而确保已启用关联的政策。
如需验证是否正在镜像流量，请在受监控的 VPC 中选择一个虚拟机实例，前往可观测性标签页，并确保 Mirrored Bytes 信息中心显示流量正在镜像到 IDS 端点。
确保同一流量（或虚拟机）不会受到多项数据包镜像政策的影响，因为每个数据包只能镜像到一个目的地。检查 Attached Policies 列，确保每个虚拟机只有一项政策。
使用 SSH 连接到受监控网络中的虚拟机，然后运行以下命令，以生成测试提醒：
```
curl http://example.com/cgi-bin/../../../..//bin/cat%%20/etc/passwd
```
如果平台上没有 curl，您可以使用类似的工具来执行 HTTP 请求。

几秒钟后，Cloud IDS 界面和 Cloud Logging（威胁日志）中都应显示一条提醒。

解密流量以进行检查

为了检查流量，Cloud IDS 使用数据包镜像将配置的流量的数据包级副本发送到 IDS 虚拟机。即使收集器目标接收所有镜像数据包，Cloud IDS 也无法解密使用安全协议（如 TLS、HTTPS 或 HTTP2）加密的任何数据包。

例如，如果您使用 HTTPS 或 HTTP2 作为外部应用负载均衡器的后端服务协议，则发送到负载均衡器后端的数据包可以镜像到 Cloud IDS；不过，Cloud IDS 无法检查这些请求，因为数据包携带的是加密数据。如需启用 Cloud IDS 检查，您必须将后端服务协议更改为 HTTP。或者，您也可以使用 Google Cloud Armor 防范入侵行为，并启用应用负载均衡器日志以检查请求。如需详细了解应用负载均衡器请求日志记录，请参阅全球外部应用负载均衡器日志记录和监控，以及区域级外部应用负载均衡器日志记录和监控。

仅检查少量流量

Cloud IDS 会检查镜像子网中资源（包括 Google Cloud 虚拟机、GKE 节点和 Pod）发送或接收的流量。

如果镜像子网不包含任何虚拟机，Cloud IDS 就没有流量可检查。

使用 Cloud NGFW L7 检查政策时，系统会忽略端点政策

当您将 Cloud Next Generation Firewall L7 检查政策（包含 apply_security_profile_group 操作的规则）与 Cloud IDS 结合使用时，系统会评估防火墙政策规则，并且不会镜像流量来进行 Cloud IDS 检查。要避免出现这种情况，请确保 Cloud NGFW L7 检查政策不会应用于您需要使用 Cloud IDS 检查的数据包。