连接和配置 Sensor 组件的外部存储

Kaspersky Anti Targeted Attack Platform 将从网络接口接收的流量保存为网络流量转储文件。如果要确保网络流量转储文件的长期存储,您可以连接并配置外部存储。您可以使用外部存储中的网络流量转储文件将网络流量下载为 PCAP 文件。我们建议使用 SSD 驱动器作为外部存储。

要在安装了 Sensor 和 Central Node 组件的服务器上连接和配置网络流量转储文件的外部存储:

  1. 连接一个您想要用作外部存储、至少有 100 GB 的磁盘。
  2. 进入技术支持模式
  3. 运行以下命令:

    sudo -i

    fdisk -l

    确保您连接的外部存储磁盘显示在控制台中。

  4. 运行以下命令:

    mke2fs -t ext4 -L DATA -m 0 /dev/<连接的磁盘名称>

    sudo nano /etc/fstab

    这将在文本编辑器中打开 fstab 文件。

  5. 在文件末尾添加以下行:

    /dev/<连接的磁盘名称> /data/volumes/dumps/ ext4 defaults 0 0

  6. 关闭文本编辑器。
  7. 运行以下命令:

    mount

    rm -r /data/volumes/dumps/*

    这些命令会从连接的磁盘中删除所有数据。

    连接的磁盘将被配置为用作外部存储。

  8. 运行以下命令:

    chown kluser:klusers /data/volumes/dumps/

    ls -lah /data/volumes/dumps/

    lsblk

    确保在 MOUNTPOINTS 列中,/data/volumes/dumps 显示在已连接的磁盘名称旁边。

  9. 运行以下命令:

    docker service update kata_product_main_1_preprocessor_span --force

    docker ps | grep preprocessor_span

    等到控制台中出现 Up 2 seconds

  10. 运行以下命令:

    docker exec -it $(docker ps | grep preprocessor_span | awk '{print $1}') bash

    lsblk

    确保在 MOUNTPOINTS 列中,/mnt/kaspersky/nta/dumps 值显示在已连接的磁盘名称旁边。

  11. 在应用程序 Web 界面窗口中选择Sensor 服务器部分。
  12. 单击相关 Sensor 组件的卡片。

    这将打开一个窗口,其中包含有关组件的信息。

  13. 单击“编辑”
  14. 选择“外部存储”选项卡,然后使用“为流量转储文件连接外部存储”开关启用外部存储模式。
  15. “最大大小”下设置存储流量转储文件的空间限制。

    您可以选择空间限制的计量单位: MBGB

  16. 如果必要,在“使用 BPF 过滤”部分,启用过滤并输入使用 BPF (Berkley Packet Filter) 技术进行过滤的表达式。BPF 过滤表达式的写入格式为 libpcap。有关语法的更多详细信息,请参阅 pcap-filter 手册页
  17. 如有必要,在“存储时间限制”部分中,对文件的最短存储时间进行限制,并指定相关的天数。
  18. 单击“保存”。

安装了 Sensor 和 Central Node 的服务器上用于网络流量转储文件的外部存储已连接并配置。

要在安装了 Sensor 组件的独立服务器上连接和配置网络流量转储文件的外部存储:

  1. 连接一个您想要用作外部存储、至少有 100 GB 的磁盘。
  2. 进入技术支持模式
  3. 运行以下命令:

    sudo -i

    fdisk -l

    确保您连接的外部存储磁盘显示在控制台中。

  4. 运行以下命令:

    mke2fs -t ext4 -L DATA -m 0 /dev/<连接的磁盘名称>

    sudo nano /etc/fstab

    这将在文本编辑器中打开 fstab 文件。

  5. 在文件末尾添加以下行:

    /dev/<连接的磁盘名称> /data/volumes/dumps/ ext4 defaults 0 0

  6. 关闭文本编辑器。
  7. 运行以下命令:

    rm -r /data/volumes/dumps/*

    这些命令会从连接的磁盘中删除所有数据。

  8. 在应用程序 Web 界面窗口中选择Sensor 服务器部分。
  9. 单击相关 Sensor 组件的卡片。

    这将打开一个窗口,其中包含有关组件的信息。

  10. 单击“编辑”
  11. 选择“外部存储”选项卡,然后使用“为流量转储文件连接外部存储”开关启用外部存储模式。
  12. “最大大小”下设置存储流量转储文件的空间限制。

    您可以选择空间限制的计量单位: MBGB

  13. 如果必要,在“使用 BPF 过滤”部分,启用过滤并输入使用 BPF (Berkley Packet Filter) 技术进行过滤的表达式。BPF 过滤表达式的写入格式为 libpcap。有关语法的更多详细信息,请参阅 pcap-filter 手册页
  14. 如有必要,在“存储时间限制”部分中,对文件的最短存储时间进行限制,并指定相关的天数。
  15. 单击“保存”。

安装了 Sensor 组件的独立服务器上网络流量转储文件的外部存储已连接并配置。

页面顶部