下载网络会话流量

查看网络会话表时，您​​可以下载与所选网络会话相关的流量。流量被下载到 PCAP 文件中。您可以配置网络包过滤来下载相关数据。

应用程序从流量转储文件存储下载网络会话流量。节点的内部存储（在节点上安装应用程序组件时自动创建）和外部存储（如果连接在节点上）都可以用于下载流量。

下载网络会话流量时，请考虑以下注意事项：

• 仅对于在分析监控点接收到的流量期间注册的网络会话才可以下载流量。如果网络会话是基于从 EPP 应用程序接收到的数据注册的，则应用程序无法下载该会话的流量。
• 流量转储文件临时存储在存储中，并在收到新流量时自动删除。文件删除的频率取决于收到的流量以及指定的应用程序数据存储设置。如果从存储库中删除相应的流量转储文件，则无法下载网络会话流量。
• 只有具有管理员角色的用户才能下载网络会话流量。

要下载网络会话流量：

1. 使用管理员账户通过 Web 界面连接到 Kaspersky Industrial CyberSecurity for Networks 服务器。
2. 在“网络地图”部分的“网络会话”选项卡上，选择要下载流量的网络会话。

   您可以选择不超过 100 个网络会话。

3. 单击“下载流量”。

   详细信息区域显示在 Web 界面窗口的右侧部分。

4. 执行以下操作：
   • 要下载特定时间段内的流量，请使用“要下载的流量周期”设置定义所需的边界。

     默认情况下，指定最大可能的时间段，从最早网络会话的开始日期和时间到所选会话中最新会话的结束日期和时间。如果需要，您可以在该时间段内设置边界，或者将其中一个边界设置为空值（例如，让右侧边界下载尚未完成的会话的新流量）。

   • 在“下载量限制”部分设置用于下载流量的最大量的限制。

     如果下载的流量超过指定的限制，则稍后到达的流量将被跳过。

   • 如有必要，在“按监控点过滤”部分中启用过滤，并指定接收所需流量的监控点。

     默认情况下，指定接收所选网络会话流量的监控点。

   • 如有必要，请在“按地址空间过滤”部分中启用过滤，并指定所选网络会话的网络数据包中的地址所属的地址空间（如果向应用程序添加其他地址空间，则会显示此部分）。

     默认情况下，指定应用程序中创建的所有地址空间。

   • 如有必要，在“使用 BPF 进行过滤”部分启用过滤，并根据所选网络会话的网络数据包的地址设置，使用 Berkeley Packet Filter (BPF) 技术输入过滤表达式。

     过滤表达式示例：
     tcp port 102 or tcp port 502

   • 如有必要，请在“使用正则表达式进行过滤”部分中启用过滤，并输入用于根据所选网络会话的网络数据包中的负载数据进行过滤的表达式。

     过滤表达式示例：
     ^ test. + xABxCD

5. 单击“下载”。
6. 如果文件生成耗时较长（超过 15 秒），则操作将移至后台。如果是这种情况，请按照以下步骤下载文件：
   1. 单击应用程序 Web 界面菜单中的 。

      后台操作列表打开。

   2. 等待文件生成操作完成。
   3. 单击“下载文件”。

您的浏览器将保存下载的文件。根据您的浏览器设置，屏幕可能会显示一个窗口，您可以在其中更改已保存文件的路径和名称。

页首