Настройка автоматического сохранения трафика для системных типов событий

02 февраля 2024

ID 152739

При изменении типов событий вы можете включать и выключать автоматическое сохранение трафика для событий при их регистрации. Если сохранение трафика включено, в базе данных сохраняется сетевой пакет, вызвавший регистрацию события, а также пакеты до и после регистрации события, обнаруженные в рамках сетевого сеанса, в котором было зарегистрировано событие. Параметры сохранения трафика определяют количество сохраняемых сетевых пакетов и ограничения по времени.

Если автоматическое сохранение трафика выключено для типа события (и для этого типа события не заданы пользовательские параметры, включающие автоматическое сохранение трафика), возможность загрузки трафика будет доступна только в течение некоторого времени после регистрации события этого типа. В этом случае для загрузки трафика программа использует файлы дампа трафика (эти файлы хранятся временно и автоматически удаляются по мере поступления трафика). При загрузке трафика из этих файлов в базе данных сохраняются сетевые пакеты в том объеме, который задан по умолчанию при включении сохранения трафика для типов событий.

Программа сохраняет трафик в базе данных только при регистрации события. Если в течение времени разрешения повтора события повторяются условия для регистрации этого события, трафик на этот момент времени не сохраняется в базе данных.

Вы можете включить и настроить сохранение трафика для любых типов событий, кроме системного типа события, которому присвоен код 4000002700. Событие с кодом 4000002700 регистрируется при отсутствии трафика на точке мониторинга, поэтому для этого типа события наличие трафика не предполагается.

Если включено сохранение трафика для инцидентов (то есть для системного типа события, которому присвоен код 8000000001), то при регистрации инцидента программа сохраняет трафик для всех вложенных событий инцидента. Для сохранения трафика вложенных событий применяются параметры, заданные для инцидента. При этом параметры сохранения трафика, заданные непосредственно для типов событий, вложенных в инцидент, имеют приоритет перед параметрами, заданными для инцидента. То есть трафик для вложенных событий инцидента будет сохранен в соответствии с параметрами, заданными для типов этих событий, а при отсутствии таких параметров – в соответствии с параметрами, заданными для инцидента.

Чтобы включить и настроить параметры сохранения трафика для типа события:

  1. Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс под учетной записью Администратора.
  2. Выберите раздел Параметры → Типы событий.
  3. В таблице типов событий выберите тип события, который вы хотите изменить.

    В правой части окна веб-интерфейса появится область деталей.

  4. Нажмите на кнопку Изменить.
  5. Установите переключатель Сохранять трафик в положение Включено.
  6. Настройте сохранение трафика до момента регистрации события. Для этого укажите нужные значения в полях Пакетов до события и/или Время до события. При нулевом значении параметр не применяется. Если значения заданы в обоих этих полях, программа будет сохранять минимальное количество пакетов, которое соответствует одному из заданных значений.
  7. Настройте сохранение трафика после момента регистрации события. Для этого укажите нужные значения в полях Пакетов после события и/или Время после события. При нулевом значении параметр не применяется. Если значения заданы в обоих этих полях, программа будет сохранять минимальное количество пакетов, которое соответствует одному из заданных значений.

    Для некоторых технологий (в частности, Контроль технологического процесса) в событиях может сохраняться меньше пакетов после момента регистрации, чем задано параметрами сохранения трафика. Это связано с технологическими особенностями отслеживания трафика.

  8. Нажмите на кнопку Сохранить.

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!