(Optional) Konfigurieren Sie einen Decoder, um Standarddateien im PCAP-Format zu schreiben

Document created by RSA Information Design and Development Employee on Apr 28, 2019
Version 1Show Document
  • View in full screen mode
 

Hinweis: Die Informationen in diesem Thema gelten für RSA NetWitness® Platform Version 11.2 und höher.

Um ein offeneres Datenbankformat bereitzustellen, kann der Network Decoder nun Standarddateien im PCAP-Format schreiben. Mit dem neuen Konfigurations-Node können Sie Standarddateien im PCAP-Format aktivieren:
/database/config/packet.file.type = 'netwitness' or 'pcapng'

Hinweis: Diese Funktion ist standardmäßig aktiviert, wenn Sie 11.2 direkt installieren. Beim Upgrade von einer früheren Version auf 11.2 müssen Sie Datenbankdateien im PCAPNG-Format manuell aktivieren, was in einer Reduzierung des Speicherplatzes von ca. 4 % resultieren kann (da die PCAPNG-Dateien mehr Platz benötigen als die NWDB-Dateien). Sie können PCAPNG-Format auch mit 10 Gbit/s-Erfassung verwenden, wodurch die Leistung nicht signifikant verringert wird (< 1 %).

So aktivieren Sie das Schreiben von Standarddateien im PCAP-Format:

  1. Navigieren Sie zu ADMIN > Services, wählen Sie einen Network Decoder-Service und dann The actions menuAnsicht > Durchsuchen aus.
  2. Navigieren Sie zu Datenbank > Konfiguration.
  3. In packet.file.type lautet die Standardeinstellung netwitness.
  4. Um den Paketdateityp in die Standard-PCAP-Formatierung zu ändern , geben Sie pcapng ein. Diese Änderung wird sofort für die nächste erstellte Paketdatei wirksam.

Hinweis: Im PCAPNG-Datenbankdateiformat liegen die Daten im Klartext vor und werden nicht durch unser proprietäres Format verschleiert, was die Sicherheit verbessern kann.

Achtung: Ändern Sie bitte keine Dateien in den Paketdatenbankverzeichnissen! Sie dürfen keine pcapng-Datei in den Paketdatenbankverzeichnissen lesen oder bearbeiten, da sie während der Ausführung von Decoder immer verwendet werden. Decoder erwartet immer einen vollständigen und exklusiven Zugriff auf diese Dateien, und andere Prozesse, die diese Dateien lesen, verhindern den normalen Decoder-Betrieb. Die richtige Methode des Zugriffs auf die pcapng-Dateien besteht darin ein Cold-Speicherverzeichnis einzurichten. Dies ermöglicht es Decoder, pcapng-Dateien vor dem Löschen in das Cold-Speicherverzeichnis zu kopieren. Sie sind dann für die Verwaltung der pcapng-Dateien verantwortlich und müssen sicherstellen, dass sich das Cold-Speichervolume nicht voll wird. Beachten Sie, dass zum Kopieren der pcapng-Dateien in den Cold-Speicher eine nicht unerhebliche Anzahl von I/O erforderlich ist und die Erfassung von Paketen beeinträchtigt werden kann. Der Cold-Speicher für pcapng wird bei 10G-Geschwindigkeiten nicht unterstützt.

You are here
Table of Contents > Konfigurieren von allgemeinen Einstellungen auf einem Decoder > Konfigurieren von Erfassungseinstellungen > (Optional) Konfigurieren Sie einen Decoder, um Standarddateien im PCAP-Format zu schreiben

Attachments

    Outcomes