使用 Web 界面配置 SPAN 端口镜像流量的记录
您可以在 Kaspersky Anti Targeted Attack Platform Web 界面或 Sensor 组件的管理员菜单中启用记录来自 SPAN 端口的镜像流量。
如果您使用分布式解决方案和多租户模式,请在 Sensor 组件连接到的 PCN 或 SCN 服务器的 Web 界面中执行配置操作。
要在 Kaspersky Anti Targeted Attack Platform Web 界面中启用对来自 SPAN 端口的镜像流量的记录,请执行以下操作:
- 连接并配置外部存储。
- 在应用程序 Web 界面窗口中选择Sensor 服务器部分。
- 单击相关 Sensor 组件的卡片。
这将打开一个窗口,其中包含有关组件的信息。
- 单击“编辑”。
- 转到“外部存储”选项卡。
如果未连接外部存储,则不会显示此选项卡。
在“外部存储”部分,“最旧的数据包”字段显示外部存储中第一次保存的转储的日期和时间。“最新数据包”字段显示最后一次转储保存到外部存储的日期和时间。
- 如果要使用外部存储,请将“记录流量”切换开关设置为“已启用”。
默认情况下,切换开关位于已禁用位置。
- 在“保存流量的路径”字段中,指定您希望应用程序保存流量转储的目录的路径。
- 执行以下操作:
- 在“最大存储大小”下 , 指定将存储在存储中的流量转储的最大大小。
如果存储中的转储大小超过指定值,最早的转储将被删除,其总大小等于新转储的大小。
如果您减小最大转储存储大小,则最早的转储将被删除,其总大小等于设置的更改。
- 如果要限制流量中的数据捕获,请在“捕获时的流量过滤”下,将“BPF 过滤”切换开关设置为“已启用”。流量筛选可以减少转储存储中的转储大小并有利于流量分析。
在“BPF过滤规则”中,过滤规则。BPF 筛选规则的写入格式为 libpcap。有关语法的更多详细信息,请参阅 pcap-filter 手册页。
筛选表达式示例:
TCP 端口 102 或 TCP 端口 502 - 如需配置流量转储存储时长,请在“存储时长”下,将“启用存储时长”切换开关设置为“已启用”。在“存储时间(天)”字段中,输入您要存储流量转储的天数。存储时间超过指定持续时间的流量转储将被从存储中删除。
- 单击“保存”。
- 在“最大存储大小”下 , 指定将存储在存储中的流量转储的最大大小。
将配置记录从 SPAN 端口接收的镜像流量。
要在 Sensor 组件的管理员菜单中启用镜像 SPAN 流量的记录,请执行以下操作:
- 连接并配置外部存储。
- 通过 SSH 协议或终端进入 Sensor 服务器的管理控制台。
- 系统提示时,请输入管理员用户名和安装应用程序期间设置的密码。
这将打开 Sensor 组件的设置菜单。如果菜单未打开,请输入
kata-admin-menu命令然后按Enter。 - 转到程序设置 → 配置流量捕获部分。
要选择一行,您可以使用 ↑、↓ 和 Enter 键。所选行以红色突出显示。
- 这将打开一个窗口,在该窗口中,选择启用流量存储行并按 Enter 键。
[x]显示在该行标题的右侧。
在带有 Sensor 组件的独立服务器上的原始网络流量记录将被启用。
- 如有必要,编辑原始网络流量记录设置:
- 选择流量存储大小行然后按 Enter 键。这会打开一个窗口;在该窗口中,指定存储的原始流量转储的最大总大小(以 TB 为单位)。
默认情况下,最小值设置为 100 GB。最大值为 1000000 TB。为了应用程序正确运行,连接的驱动器必须至少具有指定量的可用磁盘空间。如果在此字段中输入的数字超过连接的驱动器上的可用空间,则会显示错误。
- 选择确定按钮然后按 Enter 键。
- 选择流量捕获 BPF 筛选行然后按 Enter 键。这会打开一个窗口;在该窗口中输入筛选规则。BPF 筛选规则以 libpcap 格式编写。有关语法的更多详细信息,请参阅 pcap-filter 手册页。
筛选表达式示例:
TCP 端口 102 或 TCP 端口 502。 - 选择确定按钮然后按 Enter 键。
- 选择流量存储持续时间(以天为单位)行然后按 Enter 键。这会打开一个窗口;在该窗口中,输入原始网络流量转储在存储中的存储持续时间(以天为单位)。
- 选择确定按钮然后按 Enter 键。
- 选择流量存储大小行然后按 Enter 键。这会打开一个窗口;在该窗口中,指定存储的原始流量转储的最大总大小(以 TB 为单位)。
已配置对镜像 SPAN 流量的记录。
页面顶部