連線和配置 Sensor 元件的外部儲存

Kaspersky Anti Targeted Attack Platform 將從網路介面接收的流量儲存為網路流量傾印檔案。如果要確保網路流量傾印檔案的長期儲存,您可以連線並設定外部儲存。您可以使用外部儲存空間中的網路流量傾印檔案將網路流量下載為 PCAP 檔案。我們建議使用 SSD 磁碟機作為外部儲存。

若要在安裝了 Sensor 和 Central Node 元件的伺服器上連線和設定網路流量傾印檔案的外部儲存:

  1. 連線一個您想要用作外部儲存、至少有 100 GB 的磁碟。
  2. 進入技術支援模式
  3. 執行以下命令:

    sudo -i

    fdisk -l

    確保您連線的外部儲存磁碟顯示在主控台中。

  4. 執行以下命令:

    mke2fs -t ext4 -L DATA -m 0 /dev/<連線的磁碟名稱>

    sudo nano /etc/fstab

    這將在文字編輯器中開啟 fstab 檔案。

  5. 在檔案末尾新增以下行:

    /dev/<連線的磁碟名稱> /data/volumes/dumps/ ext4 defaults 0 0

  6. 關閉文字編輯器。
  7. 執行以下命令:

    mount

    rm -r /data/volumes/dumps/*

    這些命令會從連線的磁碟中刪除所有資料。

    連線的磁碟將被配置為用作外部儲存。

  8. 執行以下命令:

    chown kluser:klusers /data/volumes/dumps/

    ls -lah /data/volumes/dumps/

    lsblk

    確保在 MOUNTPOINTS 在列中,/data/volumes/dumps顯示在已連線的磁碟名稱旁。

  9. 執行以下命令:

    docker service update kata_product_main_1_preprocessor_span --force

    docker ps | grep preprocessor_span

    等到主控台中出現 Up 2 seconds

  10. 執行以下命令:

    docker exec -it $(docker ps | grep preprocessor_span | awk '{print $1}') bash

    lsblk

    確保在 MOUNTPOINTS 在列中,/mnt/kaspersky/nta/dumps值顯示在已連線的磁碟名稱旁。

  11. 在應用程式 Web 介面視窗中,選擇“Sensor 伺服器”區域。
  12. 點擊相關 Sensor 元件的卡片。

    這將開啟一個視窗,其中包含有關元件的資訊。

  13. 點擊“編輯”
  14. 選擇“外部儲存”頁簽,然後使用“為流量傾印檔案連線外部儲存”開關啟用外部儲存模式。
  15. “最大大小”下設定儲存流量傾印檔案的空間限制。

    您可以選擇空間限制的計量單位:MBGB

  16. 如果必要,請在“使用 BPF 篩選”部分,啟用篩選並輸入使用 BPF (Berkley Packet Filter) 技術進行篩選的表達式。BPF 篩選表達式的寫入格式為 libpcap。有關語法的更多詳細資訊,請參閱 pcap-filter 手冊頁
  17. 如有必要,在“儲存時間限制”部分中,對檔案的最短儲存時間進行限制,並指定相關的天數。
  18. 點擊“儲存”。

安裝了 Sensor 和 Central Node 的伺服器上用於網路流量傾印檔案的外部儲存已連線並配置。

若要在安裝了 Sensor 元件的獨立伺服器上連線和設定網路流量傾印檔案的外部儲存:

  1. 連接一個您想要用作外部儲存、至少有 100 GB 的磁碟。
  2. 進入技術支援模式
  3. 執行以下命令:

    sudo -i

    fdisk -l

    確保您連線的外部儲存磁碟顯示在主控台中。

  4. 執行以下命令:

    mke2fs -t ext4 -L DATA -m 0 /dev/<連線的磁碟名稱>

    sudo nano /etc/fstab

    這將在文字編輯器中開啟 fstab 檔案。

  5. 在檔案末尾新增以下行:

    /dev/<連線的磁碟名稱> /data/volumes/dumps/ ext4 defaults 0 0

  6. 關閉文字編輯器。
  7. 執行以下命令:

    rm -r /data/volumes/dumps/*

    這些命令會從連線的磁碟中刪除所有資料。

  8. 在應用程式 Web 介面視窗中,選擇“Sensor 伺服器”區域。
  9. 點擊相關 Sensor 元件的卡片。

    這將開啟一個視窗,其中包含有關元件的資訊。

  10. 點擊“編輯”
  11. 選擇“外部儲存”頁簽,然後使用“為流量傾印檔案連線外部儲存”開關啟用外部儲存模式。
  12. “最大大小”下設定儲存流量傾印檔案的空間限制。

    您可以選擇空間限制的計量單位:MBGB

  13. 如果必要,請在“使用 BPF 篩選”部分,啟用篩選並輸入使用 BPF (Berkley Packet Filter) 技術進行篩選的表達式。BPF 篩選表達式的寫入格式為 libpcap。有關語法的更多詳細資訊,請參閱 pcap-filter 手冊頁
  14. 如有必要,在“儲存時間限制”部分中,對檔案的最短儲存時間進行限制,並指定相關的天數。
  15. 點擊“儲存”。

安裝了 Sensor 元件的獨立伺服器上網路流量傾印檔案的外部儲存已連線並設定。

頁面頂部