使用 Web 介面設定 SPAN 連接埠映像流量的記錄
您可以在 Kaspersky Anti Targeted Attack Platform Web 介面或 Sensor 元件的管理員選單中啟用記錄來自 SPAN 連接埠的映像流量。
如果您使用分佈式解決方案和多租戶模式,請在 Sensor 元件連線的 PCN 或 SCN 伺服器的 Web 介面中執行設定操作。
若要在 Kaspersky Anti Targeted Attack Platform Web 介面中啟用對來自 SPAN 連接埠的映像流量的記錄,請執行下列操作:
- 連接並配置外部儲存。
- 在應用程式 Web 介面視窗中,選擇“Sensor 伺服器”區域。
- 點擊相關 Sensor 元件的卡片。
這將開啟一個視窗,其中包含有關元件的資訊。
- 點擊“編輯”。
- 轉到“外部儲存”頁簽。
如果未連線外部儲存,則不會顯示此頁簽。
在“外部儲存”部分,“最舊的封包”欄位顯示外部儲存中第一次儲存的傾印的日期和時間。“最新封包”欄位顯示最後一次傾印儲存到外部儲存的日期和時間。
- 如果要使用外部儲存,請將“記錄流量”切換開關設為“已啟用”。
預設情況下,切換開關位於已停用位置。
- 在“儲存流量的路徑”欄位中,指定您希望應用程式儲存流量傾印的目錄的路徑。
- 執行以下操作:
- 在“最大儲存大小”下, 指定將儲存在儲存中的流量傾印的最大大小。
如果儲存中的傾印大小超過指定值,最早的傾印將被刪除,其總大小等於新傾印的大小。
如果您減少最大傾印儲存大小,則最早的傾印將被刪除,其總大小等於設定的變更。
- 如果要限制流量中的資料捕獲,請在“捕獲時的流量篩選”下,將“BPF 篩選”切換開關設為“已啟用”。流量篩選可以減少傾印儲存中的傾印大小並有利於流量分析。
在“BPF篩選規則”中,篩選規則。BPF 篩選規則的寫入格式為 libpcap。有關語法的更多詳細資訊,請參閱 pcap-filter 手冊頁。
篩選表達式範例:
TCP 連接埠 102 或 TCP 連接埠 502 - 如需設定流量傾印儲存時長,請在“儲存時間長度”下,將“啟用儲存時間”切換開關設定為“已啟用”。在“儲存時間(天)”欄位中,輸入您要儲存流量傾印的天數。儲存時間超過指定持續時間的流量傾印將被從儲存中刪除。
- 點擊“儲存”。
- 在“最大儲存大小”下, 指定將儲存在儲存中的流量傾印的最大大小。
將設定記錄從 SPAN 連接埠接收的映像流量。
若要在 Sensor 元件的管理員功能表中啟用映像 SPAN 流量的記錄,請執行下列操作:
- 連接並配置外部儲存。
- 透過 SSH 協定或終端機進入 Sensor 伺服器的管理主控台。
- 系統提示時,請輸入管理員使用者名稱和安裝應用程式期間設定的密碼。
這將開啟 Sensor 元件的設定功能表。如果功能表未開啟,請輸
入 kata-admin-menu指令然後按 Enter。 - 前往程式設定→ 設定流量擷取部分。
若要選擇一行,您可以使用 ↑、↓ 和 Enter 鍵。所選行以紅色突出顯示。
- 這將開啟一個視窗,在該視窗中,選擇啟用流量儲存行並按 Enter 鍵。
[x]顯示在該行標題的右側。
在具有 Sensor 元件的獨立伺服器上的原始網路流量記錄將會啟用。
- 如有必要,編輯原始網路流量記錄設定:
- 選擇流量儲存大小行然後按 Enter 鍵。這會開啟一個視窗;在該視窗中,指定儲存的原始流量傾印的最大總大小(以 TB 為單位)。
預設情況下,最小值設定為 100 GB。最大值為 1000000 TB。為了應用程式正確運行,連線的磁碟機必須至少具有指定量的可用磁碟空間。如果在此欄位中輸入的數字超過連線的磁碟機上的可用空間,則會顯示錯誤。
- 選擇確定按鈕然後按 Enter 鍵。
- 選擇流量擷取 BPF 篩選行然後按 Enter 鍵。這會開啟一個視窗;在該視窗中輸入篩選規則。BPF 篩選規則以 libpcap 格式撰寫。有關語法的更多詳細資訊,請參閱 pcap-filter 手冊頁。
篩選表達式範例:
TCP 連接埠 102 或 TCP 連接埠 502。 - 選擇確定按鈕然後按 Enter 鍵。
- 選擇流量儲存持續時間(以天為單位)行然後按 Enter 鍵。這會開啟一個視窗;在該視窗中,輸入原始網路流量傾印在儲存中的儲存持續時間(以天為單位)。
- 選擇確定按鈕然後按 Enter 鍵。
- 選擇流量儲存大小行然後按 Enter 鍵。這會開啟一個視窗;在該視窗中,指定儲存的原始流量傾印的最大總大小(以 TB 為單位)。
已配置對映像 SPAN 流量的記錄。
頁面頂部