Включение и настройка параметров записи сырого сетевого трафика на сервере с установленными компонентами Sensor и Central Node
02 апреля 2024
ID 266034
Если вы используете режим распределенного решения и мультитенантности, выполняйте действия на том сервере PCN или SCN, параметры которого вы хотите настроить.
Чтобы включить и настроить запись сырого сетевого трафика на сервере с установленными компонентами Central Node и Sensor:
- Подключите и настройте внешнее хранилище.
- В окне веб-интерфейса приложения выберите раздел Серверы Sensor.
Отобразится таблица Список серверов.
- Выберите компонент Sensor с именем localhost.
Откроется страница с параметрами компонента Sensor.
- Выберите раздел Обработка SPAN-трафика.
Отобразится таблица Сетевые интерфейсы.
- Откройте вкладку Запись трафика.
- В поле Записывать трафик переведите переключатель в положение Включено.
По умолчанию переключатель находится в положении Выключено.
Запись сырого сетевого трафика на сервере с установленными компонентами Central Node и Sensor будет включена. Отобразятся параметры настройки записи сырого трафика.
По умолчанию сырой сетевой трафик записывается в директорию /mnt/kaspersky/nta/dumps. Вы не можете изменить директорию для записи сырого сетевого трафика. Вы можете просмотреть дампы сырого сетевого трафика в директории /data/volumes/dumps.
- При необходимости настройте параметры записи сырого сетевого трафика:
- В блоке параметров Размер хранилища дампов в поле Максимальный размер хранилища укажите максимальный размер дампов сырого трафика, который будет храниться в хранилище.
Минимальное значение, которое установлено по умолчанию – 100 ГБ. Максимальное значение – 1000000 ТБ. Для корректной работы объем свободного пространства на подключенном диске не должен быть меньше указанного значения.
Если размер дампов, которые хранятся в хранилище, превысит значение, указанное в поле Максимальный размер хранилища, то будут удалены ранние дампы, суммарный размер которых равен размеру новых дампов.
Если вы уменьшите максимальный размер хранилища, то будут удалены ранние дампы, суммарный размер которых равен изменению параметра Максимальный размер хранилища.
- Если вы хотите ограничить захват данных в сыром сетевом трафике, в блоке параметров Фильтрация трафика при сохранении в поле Состояние переведите переключатель в положение Включено. Фильтрация трафика может уменьшить размер дампов, сохраняющихся в хранилище и упростить процесс анализ трафика.
Если вы перевели переключатель в поле Состояние в положение Включено, то введите в поле Правило фильтрации BPF правило фильтрации. Для написания правила фильтрации BPF используется формат libpcap. Подробнее об описании синтаксиса см. в Руководстве pcap-filter.
Пример выражения для фильтрации:
tcp port 102 or tcp port 502 - Если вы хотите назначить срок хранения дампов сырого сетевого трафика, в блоке параметров Срок хранения дампов в поле Состояние переведите переключатель в положение Включено. В поле Хранить введите количество дней хранения дампов сырого сетевого трафика. Если дампы сырого сетевого трафика хранятся больше заданного значения хранения, они будут удалены из хранилища.
- Нажмите на Применить.
- В блоке параметров Размер хранилища дампов в поле Максимальный размер хранилища укажите максимальный размер дампов сырого трафика, который будет храниться в хранилище.
Запись сырого сетевого трафика на сервере с установленными компонентами Sensor и Central Node будет выполняться в соответствии с настроенными параметрами.
В поле Первый сохраняемый дамп отображается дата и время первого сохраненного дампа сырого сетевого трафика, а в поле Последний сохраняемый дамп отображается дата и время последнего сохраненного дампа сырого сетевого трафика.
