当编辑事件类型时,您可以启用或禁用注册事件时自动保存流量的功能。如果启用了流量保存,则导致事件注册的网络数据包、以及在事件注册之前和之后接收的数据包以及在注册事件的网络会话中检测到的数据包将被保存到数据库中。流量保存设置决定了保存的网络数据包数量和时间限制。
如果某种事件类型的流量自动保存功能被禁用(并且该事件类型未定义启用流量自动保存的用户定义设置),则您只有在注册该类型的事件后等待一段时间才能手动加载流量。在这种情况下,应用程序使用流量转储文件来加载流量(这些文件临时保存,随着收到越来越多的流量会被自动删除)。从这些文件加载流量时,数据库会保存在启用事件类型的流量保存时默认定义的特定数量的网络数据包。
仅当注册事件时,应用程序才会在数据库中保存流量。如果在事件重新生成超时期间重复注册此事件的条件,则此时间点的流量不会保存在数据库中。
您可以启用和配置任何事件类型的流量保存,除了被分配代码 4000002700 的系统事件类型之外。当监控点没有流量时,会注册代码为 4000002700 的事件。因此,预计此类事件不会有流量。
如果为突发事件启用了流量保存(即对于分配了代码 8000000001 的系统事件类型),则应用程序会在注册突发事件时保存该突发事件的所有嵌入事件的流量。当保存嵌入式事件的流量时,将应用为突发事件定义的设置。不过,直接为突发事件中嵌入的事件类型定义的流量存储设置优先于为突发事件定义的设置。这意味着突发事件的嵌入式事件的流量将根据为这些事件的特定类型定义的设置进行保存。如果未定义这些设置,则嵌入式事件的流量将根据为突发事件定义的设置进行保存。
要启用并配置保存事件类型的流量的设置:
详细信息区域出现在 Web 界面窗口的右侧。
对于某些技术(特别是深度包检测),事件中保存的注册后数据包数量可能会少于保存流量设置所定义的数量。这源于流量监控的技术特性。