下载节点监控点收到的流量
您可以通过节点上的监控点下载应用程序接收到的流量。流量被下载到 PCAP 文件中。您可以配置网络包过滤来下载相关数据。
应用程序从流量转储文件存储下载流量。每个节点的内部存储(在节点上安装应用程序组件时自动创建)和外部存储(如果连接在节点上)都可以用于下载流量。
下载流量时,请考虑以下因素:
- 流量转储文件临时存储在存储中,并在收到新流量时自动删除。文件删除的频率取决于收到的流量以及指定的应用程序数据存储设置。如果从存储库中删除相应的流量转储文件,则无法下载流量。
- 只有具有管理员角色的用户才能下载节点监控点接收到的流量。
要下载节点监控点收到的流量:
- 使用管理员账户通过 Web 界面连接到 Kaspersky Industrial CyberSecurity for Networks 服务器。
- 选择“设置” → “部署”。
- 执行以下操作之一:
- 要下载某个节点的监控点接收到的流量,请选择该节点的图块。
- 要下载特定监控点接收到的流量,请选择该监控点的网卡。
详细信息区域显示在 Web 界面窗口的右侧部分。
- 单击“下载流量”。如果工具栏上未显示该按钮,请单击
按钮并在打开的菜单中选择所需的项目。 - 在打开的窗口中执行以下操作:
- 要下载特定时间段内的流量,请使用“要下载的流量周期”设置定义所需的边界。
默认期限为一小时。
- 在“下载量限制”部分设置用于下载流量的最大量的限制。
如果下载的流量超过指定的限制,则稍后到达的流量将被跳过。
- 选择节点图块时,如有必要,请在“按监控点过滤”部分中启用过滤,并指定接收流量的节点的监控点(如果选择节点图块,则会显示此部分)。
默认情况下,指定所选节点上所有可用的监控点。
- 如有必要,请在“按地址空间过滤”部分中启用过滤,并指定网络数据包中的地址所属的地址空间(如果向应用程序添加了其他地址空间,则会显示此部分)。
默认情况下,指定应用程序中创建的所有地址空间。
- 如有必要,请在“使用 BPF 进行过滤”部分启用过滤,并根据网络数据包的地址设置使用 Berkeley Packet Filter (BPF) 技术输入过滤表达式。
过滤表达式示例:
tcp port 102 or tcp port 502 - 如有必要,请在“使用正则表达式进行过滤”部分中启用过滤,并输入根据网络数据包中的负载数据进行过滤的表达式。
过滤表达式示例:
^ test. + xABxCD
- 要下载特定时间段内的流量,请使用“要下载的流量周期”设置定义所需的边界。
- 单击“下载”。
- 如果文件生成耗时较长(超过 15 秒),则操作将移至后台。如果是这种情况,请按照以下步骤下载文件:
- 单击应用程序 Web 界面菜单中的
。后台操作列表打开。
- 等待文件生成操作完成。
- 单击“下载文件”。
- 单击应用程序 Web 界面菜单中的
您的浏览器将保存下载的文件。根据您的浏览器设置,屏幕可能会显示一个窗口,您可以在其中更改已保存文件的路径和名称。