管理 Web 界面时,具有高级安全官角色的用户可以从具有传感器组件的服务器下载 PCAP 格式的原始网络流量转储,并进行调查以检测可疑活动。
如果您使用分布式解决方案和多租户模式,请在带有传感器组件的服务器所连接的 PCN 或 SCN 服务器上执行相关步骤。
要下载从网络接口捕获的原始网络流量:
服务器列表表格将会显示。
这将打开传感器组件设置页面。
默认选择所有网络接口。
如果在SPAN 流量扫描列中,网络接口名称右侧的切换开关被设置为已禁用,则您无法从该网络接口下载原始网络流量转储。
这将打开原始网络流量下载设置窗口。
在该窗口中,第一个保存的转储字段将显示第一次保存的原始网络流量转储的日期和时间,最后保存的转储字段显示上次原始网络流量转储的日期和时间。在可用转储存储空间字段中,第一个数字表示转储存储中的可用空间,第二个数字表示转储存储的总大小。
如果您选择的时间段内不存在记录的流量,则当您单击下载时,Kaspersky Anti Targeted Attack Platform 会建议选择从第一次记录的网络流量转储到最后一次记录的时间段。如果根本不存在记录的原始网络流量转储,则会显示一条警告,指示指定时间段内缺少数据。
默认值为 100 MB。最小值为 1 MB,最大值为 1000000 TB。下载的指定大小的原始网络流量转储包含从所选时间段的最后一条记录开始的数据。
默认情况下,切换开关位于已禁用位置。
筛选表达式示例:
TCP 端口 102 或 TCP 端口 502
默认情况下,切换开关位于已禁用位置。
筛选表达式示例:
^test.+xABxCD
原始网络流量转储以 PCAP 格式下载。
页面顶部