下载网络会话流量

查看网络会话表时，您可以下载与所选网络会话相关的流量。流量以 PCAP 文件形式下载。为了仅下载您需要的数据，您可以配置网络包过滤。

应用程序从流量转储文件存储中下载网络会话的流量。可以从 Sensor 安装过程中自动创建的内部存储以及已连接的外部存储下载流量。

下载网络会话流量时，请考虑以下事项：

• 仅可下载在分析到达监控点的流量时注册的网络会话的流量。如果网络会话是根据从 Endpoint Agent 组件收到的信息注册的，则您无法下载此类会话的流量。
• 流量转储文件临时存储在存储中，并随着新流量的到来自动删除（轮换周期取决于流量量和应用程序存储配置）。如果相应的流量转储文件已从存储中删除，则您无法下载网络会话的流量。

要下载网络会话流量：

1. 在应用程序 Web 界面窗口中选择“网络地图”部分。
2. 转到“网络会话”选项卡。
3. 选中您想要下载其流量的网络会话旁边的复选框。

   您最多可以选择 100 个网络会话。

4. 单击“下载流量”。

   详细信息区域显示在 Web 界面窗口的右侧。

5. 执行以下操作：
   • 如果您想要下载特定时间段内的流量，请使用“流量下载期限”设置来设置界限。

     默认情况下，选择最长可能的期限，从建立最早网络会话的日期和时间开始，到选择的最新会话结束的日期和时间结束。如有必要，您可以在此期限内移动边界，或者为其中一个边界设置一个空值（例如，为右边界设置空值以下载尚未结束的会话的新流量）。

   • 在“下载量限制”下，设置最大下载流量。

     如果下载的流量超过指定的限制，则会丢弃最新的流量。

   • 如有必要，请在“按监控点过滤”下启用过滤，并指定获得所需流量的监控点。

     默认情况下，指定获取选定网络会话的流量的监控点。

   • 如有必要，请在“按地址空间过滤”部分中启用过滤，并指定所选网络会话的网络数据包中的地址所属的地址空间（如果向应用程序添加其他地址空间，则会显示此部分）。

     默认情况下，指定在应用程序中创建的所有地址空间。

   • 如有必要，请在“使用 BPF 过滤”下启用过滤，并输入使用 BPF (Berkley Packet Filter) 技术通过所选网络会话的网络数据包中的地址参数进行过滤的表达式。

     过滤表达式的示例：
     tcp port 102 or tcp port 502

   • 如有必要，请在“使用正则表达式过滤”下启用过滤，并输入正则表达式，以便根据所选网络会话的网络数据包的有效负载数据进行过滤。

     过滤表达式示例：
     ^test.+xABxCD

6. 单击下载。
7. 如果文件生成需要很长时间（超过 15 秒），则文件生成操作将成为后台操作。在这种情况下，请按照以下步骤下载文件：
   1. 点击应用程序 Web 界面菜单中的 按钮。

      这将打开后台操作列表。

   2. 等待文件生成操作完成。
   3. 单击“下载文件”按钮。

您的浏览器保存了下载的文件。根据您的浏览器的设置，屏幕上可能会显示一个窗口，您可以在其中指定下载文件的路径和名称。

页面顶部