(Facultatif) Configurer un Decoder pour écrire des fichiers au format pcap standard

Document created by RSA Information Design and Development Employee on Apr 28, 2019
Version 1Show Document
  • View in full screen mode
 

Remarque : Les informations de cette rubrique s'appliquent à RSA NetWitness® Platform version 11.2 ou ultérieure.

Pour fournir un format de base de données plus ouvert, le Network Decoder peut maintenant écrire des fichiers au format pcap standard. Vous pouvez activer des fichiers de base de données au format pcapng avec le nouveau nœud de configuration :
/database/config/packet.file.type = 'netwitness' or 'pcapng'

Remarque : Cette fonctionnalité est activée par défaut si vous installez directement la version 11.2. Si vous effectuez une mise à niveau d'une version précédente vers la version 11.2, vous devez activer manuellement les fichiers de base de données au format pcapng, ce qui peut entraîner une diminution approximative de 4 % de l'espace disque (car les fichiers pcapng requièrent plus d'espace que les fichiers nwdb). Vous pouvez également utiliser le format pcapng avec une capture de 10 Gbps, ce qui ne diminue pas significativement les performances (< 1 %).

Pour activer l'écriture de fichiers au format pcap standard :

  1. Accédez à ADMIN > Services, sélectionnez un service Network Decoder, puis The actions menuVue > Explorer.
  2. Accédez à Base de données > config.
  3. Dans packet.file.type, la valeur par défaut est netwitness.
  4. Pour modifier le type de fichier de paquet au format standard pcap, saisissez pcapng. Cette modification prendra effet immédiatement sur le prochain fichier de paquet créé.

Remarque : Dans le format de fichier de base de données pcapng, les données sont en texte clair et ne sont pas brouillées par notre format propriétaire, ce qui peut améliorer la sécurité.

Attention : Ne modifiez pas les fichiers dans les répertoires de base de données de paquets ! Vous ne devez pas lire ou modifier pcapng un fichier dans les répertoires de la base de données de paquets, car ils sont toujours utilisés pendant que Decoder est en cours d'exécution. Decoder attend toujours un accès complet et exclusif à ces fichiers, et d'autres processus lisant ces fichiers empêchent le fonctionnement normal de Decoder. La bonne façon d'accéder aux pcapng fichiers est de configurer un répertoire de stockage à froid. Cela permet à Decoder de copier des pcapng fichiers dans le répertoire de stockage à froid avant la suppression. À ce stade, vous êtes responsable de la gestion pcapng des fichiers, y compris en vous assurant que le volume de stockage à froid ne soit jamais saturé. Gardez à l'esprit que la copie des pcapng fichiers dans le stockage à froid nécessite une quantité non négligeable d'I/O et pourrait interférer avec la capture de paquets. Le stockage à froid de pcapng n'est pas supporté à des vitesses de 10G.

You are here
Table of Contents > Configurer les paramètres communs sur un Decoder > Configurer les paramètres de capture > (Facultatif) Configurer un Decoder pour écrire des fichiers au format pcap standard

Attachments

    Outcomes