При просмотре таблицы сетевых сеансов вы можете скачивать трафик, относящийся к выбранным сетевым сеансам. Скачивание трафика выполняется в файл формата PCAP. Для скачивания нужных данных вы можете настраивать фильтрацию сетевых пакетов.
Приложение скачивает трафик сетевых сеансов из хранилищ с файлами дампа трафика. Для скачивания может использоваться как внутреннее хранилище, созданное автоматически при установке Sensor, так и внешнее хранилище, если оно подключено.
При скачивании трафика сетевых сеансов вам нужно учитывать следующие особенности:
Скачивание трафика возможно только для тех сетевых сеансов, которые были зарегистрированы при анализе трафика, поступившего на точки мониторинга. Если сетевой сеанс был зарегистрирован по данным, полученным от компонента Endpoint Agent, загрузить трафик этого сеанса нельзя.
Файлы дампа трафика хранятся в хранилищах временно и автоматически удаляются по мере поступления нового трафика (периодичность удаления файлов зависит от интенсивности поступающего трафика и от заданных параметров хранения данных приложения). Скачивание трафика сетевого сеанса невозможна, если соответствующие ему файлы дампа трафика уже удалены из хранилищ.
Чтобы скачать трафик сетевых сеансов:
В окне веб-интерфейса приложения выберите раздел Карта сети.
Перейдите на вкладку Сетевые сессии.
Установите флажки рядом с теми сетевыми сеансами, трафик которых вы хотите скачать.
Вы можете выбрать не более 100 сетевых сеансов.
Нажмите на кнопку Скачать трафик.
В правой части окна веб-интерфейса появится область деталей.
Выполните следующие действия:
Если вы хотите скачать трафик за определенный период времени, задайте нужные границы с помощью параметра Период трафика для скачивания.
По умолчанию задан максимально возможный период, начиная от даты и времени начала самого раннего сетевого сеанса и заканчивая датой и временем завершения самого позднего сеанса из числа выбранных сеансов. При необходимости вы можете задать границы внутри этого периода или задать пустое значение для одной из границ (например, для правой границы, чтобы скачать новый трафик еще не завершенных сеансов).
Задайте ограничение максимального объема для скачивания трафика в блоке Ограничение объема скачивания.
Если объем скачиваемого трафика превысит заданное ограничение, будет отброшен более поздний трафик.
При необходимости включите фильтрацию в блоке Фильтрация по точкам мониторинга и укажите точки мониторинга, на которые поступал нужный трафик.
По умолчанию заданы те точки мониторинга, на которые поступал трафик выбранных сетевых сеансов.
При необходимости включите фильтрацию в блоке Фильтрация по адресным пространствам и укажите адресные пространства, к которым относятся адреса в сетевых пакетах выбранных сетевых сеансов (блок отображается, если в приложение добавлены дополнительные адресные пространства).
По умолчанию заданы все адресные пространства, созданные в приложении.
При необходимости включите фильтрацию в блоке Фильтрация с использованием BPF и введите выражение для фильтрации с использованием технологии BPF (Berkley Packet Filter) по адресным параметрам в сетевых пакетах выбранных сетевых сеансов.
Пример выражения для фильтрации: tcp port 102 or tcp port 502
При необходимости включите фильтрацию в блоке Фильтрация с использованием регулярных выражений и введите выражение для фильтрации по данным, составляющим полезную нагрузку в сетевых пакетах выбранных сетевых сеансов.
Пример выражения для фильтрации: ^test.+xABxCD
Нажмите на кнопку Скачать.
Браузер сохранит скачанный файл. В зависимости от параметров, заданных в браузере, на экране может появиться окно для изменения пути и имени сохраняемого файла.