(Opcional) Configurar un Decoder para escribir archivos con formato pcap estándar

Document created by RSA Information Design and Development on Apr 28, 2019
Version 1Show Document
  • View in full screen mode
 

Nota: La información de este tema se aplica a RSA NetWitness® Platform versión 11.2 y superior.

Para proporcionar un formato de base de datos más abierto, Network Decoder ahora puede escribir archivos con formato pcap estándar. Puede habilitar archivos de base de datos con formato pcapng con el nuevo nodo de configuración:
/database/config/packet.file.type = 'netwitness' or 'pcapng'

Nota: Esta funcionalidad está habilitada de manera predeterminada si 11.2 se instala directamente. Si actualiza desde una versión anterior a 11.2, debe habilitar manualmente los archivos de base de datos con formato pcapng, lo que puede dar lugar a una disminución aproximada del 4 % en el espacio en disco (ya que los archivos pcapng requieren más espacio que los archivos nwdb). También puede utilizar el formato pcapng con captura de 10 Gbps, lo que no reduce considerablemente el rendimiento (<1 %).

Para habilitar la escritura de archivos con formato pcap estándar:

  1. Vaya a ADMINISTRAR > Servicios, seleccione un servicio Network Decoder y elija The actions menuVer > Explorar.
  2. Vaya a database > config.
  3. En packet.file.type, el valor predeterminado es netwitness.
  4. Para cambiar el tipo de archivo de paquete al formato pcap estándar, escriba pcapng. Este cambio surtirá efecto de inmediato cuando se cree el siguiente archivo de paquete.

Nota: En el formato de archivo de base de datos pcapng, los datos están en texto no cifrado y nuestro formato de propiedad no los oculta, lo que puede mejorar la seguridad.

Precaución: No toque ninguno de los archivos de los directorios de la base de datos de paquetes. No debe leer ni editar ningún archivo pcapng de los directorios de la base de datos de paquetes, ya que siempre están en uso mientras Decoder está en ejecución. Decoder siempre espera acceso completo y exclusivo a esos archivos, y otros procesos que los leen impiden su operación normal. La manera correcta de acceder a los archivos pcapng es configurar un directorio de almacenamiento inactivo. Esto permite que Decoder copie los archivos pcapng al directorio de almacenamiento inactivo antes de su eliminación. En ese momento, usted es responsable de administrar los archivos pcapng, incluida la tarea de asegurarse de que el volumen de almacenamiento inactivo nunca se llene. Tenga en cuenta que la copia de los archivos pcapng al almacenamiento inactivo requiere una cantidad no menor de I/O y podría interferir con la captura de paquetes. El almacenamiento inactivo para pcapng no es compatible a velocidades de 10G.

You are here
Table of Contents > Configurar ajustes comunes en un Decoder > Configurar ajustes de captura > (Opcional) Configurar un Decoder para escribir archivos con formato pcap estándar

Attachments

    Outcomes