Управление параметрами сохранения файлов дампа трафика
Программа сохраняет трафик, полученный через точки мониторинга, в виде файлов дампа трафика. Эти файлы используются программой для анализа поступающего трафика. Также с помощью этих файлов вы можете выполнять следующие действия в программе:
- загрузка трафика, поступившего на точки мониторинга узлов;
- загрузка трафика при работе с картой сетевых взаимодействий;
- загрузка трафика сетевых сеансов;
- загрузка трафика для событий (файлы дампа трафика позволяют загрузить трафик для событий, даже если в соответствующих типах событий выключено сохранение трафика).
Файлы дампа трафика размещаются в хранилищах на узлах с установленными компонентами программы. На каждом узле может использоваться как внутреннее хранилище узла (созданное автоматически при установке компонента программы), так и внешнее хранилище, если оно подключено на узле.
Программа хранит файлы дампа трафика временно. По мере поступления трафика программа автоматически удаляет из хранилищ самые старые файлы дампа трафика, если общий объем файлов приближается к ограничению, заданному для хранилища.
Для каждого узла вы можете настроить параметры сохранения трафика во внутреннем хранилище. Вы также можете подключить внешнее хранилище на узле и настроить параметры сохранения трафика во внешнем хранилище.
Чтобы настроить параметры сохранения файлов дампа трафика во внутреннем хранилище узла:
- Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс под учетной записью Администратора.
- Выберите раздел Параметры → Развертывание.
- Выберите карточку нужного узла.
В правой части окна веб-интерфейса появится область деталей.
- Нажмите на кнопку Изменить.
В области деталей появятся вкладки для изменения параметров узла.
- На вкладке Общие при необходимости включите фильтрацию в блоке Фильтрация сохраняемого трафика и введите выражение для фильтрации с использованием технологии BPF (Berkley Packet Filter) по адресным параметрам в сетевых пакетах.
Фильтрация позволяет сократить объем сохраняемого трафика за счет отбрасывания сетевых пакетов, не удовлетворяющих фильтру. Однако при использовании фильтрации вам нужно учитывать, что программа может получать в отфильтрованном трафике не все данные, необходимые для качественного анализа трафика. Вам нужно настроить фильтрацию таким образом, чтобы в файлах дампа трафика сохранялись все сетевые пакеты, которые требуются для анализа трафика в соответствии с функциональностью программы.
- Перейдите к блоку параметров Файлы дампа трафика и задайте ограничение занимаемого объема для хранения файлов дампа трафика c помощью параметра Макс. объем.
Вы можете выбрать единицу измерения для ограничения объема: МБ или ГБ.
При изменении значения параметра вам нужно учитывать объем и скорость поступления входящего трафика, а также, что сумма всех ограничений по объему не может превышать заданный максимальный объем хранилища для узла.
- Нажмите на кнопку Сохранить.