Decoder : Configurer les paramètres de capture

Document created by RSA Information Design and Development Employee on Apr 28, 2019
Version 1Show Document
  • View in full screen mode
 

Lors de la configuration initiale du Decoder, la configuration de l’interface de carte réseau est obligatoire. Des paramètres supplémentaires de capture (facultatifs) sont disponibles. En voici deux fréquemment utilisés : le filtre BPF (Berkley Packet Filter) et le Démarrage automatique de la capture.

Decoder configuration workflow with Configure Capture Settings, the first step, highlighted.

Outre la configuration basique de l’interface de l’adaptateur réseau, vous pouvez décider d’utiliser l’une des configurations spéciales décrites dans (Facultatif) Conserver les balises VLAN lors de l’Interface de Capture de paquet MMAP ou (Facultatif) Configurer un Decoder pour capturer les données sur tous les types d'interfaces réseau

Les autres paramètres de capture présentent des valeurs par défaut choisies pour leur efficacité dans la plupart des cas (voir la liste détaillée dans Vue Configuration des services - onglet Général). Vous pouvez les modifier dans certaines circonstances, par exemple, si le support client le conseille. Vous pouvez modifier les paramètres de capture à tout moment.

Sélectionner une carte réseau

Le tableau ci-dessous décrit les paramètres de carte réseau pour un Decoder. L’administrateur système configure les cartes réseau par défaut lorsque le Decoder est installé. Consultez votre administrateur système pour plus d'informations.

                       
Paramètre d'adaptateurDescription
Berkley Packet Filter Les filtres BPF (Berkeley Packet Filters) sont appliqués au flux des paquets avant que ces derniers ne soient copiés vers l'adaptateur Decoder à des fins d'analyse. Cela permet d'abandonner efficacement le trafic indésirable. Toutefois, les paquets ignorés ne sont pas comptabilisés dans les statistiques de Decoder (taux de capture, paquets abandonnés, paquets filtrés et total des paquets).
Interface de capture sélectionnée Sélectionnez l'adaptateur utilisé par Decoder pour capturer les paquets. Pour l'interface de capture interne à vitesse réduite, utilisez l'adaptateur packet_mmap_,7,eth1 , qui correspond au port du moniteur situé sur la carte mère. Il existe six ports de capture supplémentaires :
  • packet_mmap_,1,lo (bpf)
  • packet_mmap_,2,eth2 (bpf)
  • packet_mmap_,3,eth3 (bpf)
  • packet_mmap_,4,eth4 (bpf)
  • packet_mmap_,5,eth5 (bpf)
  • packet_mmap_,8,ALL (bpf)
Trois services de capture sans fil sont disponibles :
  • packet_netmon_ (Microsoft Netmon)
  • packet_mac80211_ (Linux mac80211)
  • packet_airport_ (Mac OS X AirPort)

Interface de capture sélectionnée pour Log Decoder

Le service de capture suivant est disponible :

  • log_events,Log Events

Pour configurer la carte réseau sur un Decoder :

  1. Accédez à ADMIN > Services.
  2. Dans la Vue Services d'administration, sélectionnez le Decoder et The actions menu > Vue > Config.
    La Vue Configuration des services s'ouvre sur l'onglet Général.
    Top half of the Decoder Configuration section in the General tab.
  3. Dans le champ Interface de capture sélectionnée, sélectionnez la carte réseau qui répond le mieux au Decoder.
  4. Pour enregistrer les modifications, cliquez sur Appliquer.

  5. Si vous devez appliquer les modifications, revenez à la Vue Services d'administration, sélectionnez le Decoder, puis sélectionnez The actions menu > Redémarrer.

Configurer un Decoder pour commencer automatiquement la capture des données

  1. Accédez à ADMIN > Services.
  2. Dans la Vue Services d'administration, sélectionnez le Decoder et The actions menu > Vue > Config.
    La Vue Configuration des services s'ouvre sur l'onglet Général
    Top half of the Decoder Configuration section in the General tab.
  3. Sous Paramètres de capture, sélectionnez la case à cocher Démarrage automatique de la capture.
  4. Pour enregistrer les modifications, cliquez sur Appliquer.

  5. Si vous devez appliquer les modifications, revenez à la Vue Services d'administration, sélectionnez le Decoder, puis sélectionnez The actions menu > Redémarrer.

Configurer les paramètres de capture factultatifs

  1. Accédez à ADMIN > Services.

  2. Dans la Vue Services d'administration, sélectionnez le Decoder et The actions menu > Vue > Config.
    La Vue Configuration des services s'ouvre sur l'onglet Général.
    Top half of the Decoder Configuration section in the General tab.
    Bottom half of the Decoder Settings section in the General tab
  3. Si vous souhaitez appliquer un filtre au niveau du système dans le flux de paquets avant que les paquets ne soient copiés vers la carte du Decoder pour l’analyse, configurez le filtre Berkeley Packet Filter, comme décrit dans la section (Facultatif) Configurer le filtrage de paquets BPF au niveau du système.
  4. Dans les sections Paramètres de capture, vérifiez les valeurs par défaut. Lorsque vous ajoutez un service pour la première fois, les valeurs par défaut sont en vigueur et doivent être modifiées uniquement dans des circonstances particulières, par exemple, si le support client conseille une modification. Reportez-vous à la section Vue Configuration des services - onglet Général pour une description de ces paramètres.
  5. Dans la section Tailles de fichier maximales de la base de données, vérifiez les valeurs par défaut. Lorsque vous ajoutez un service pour la première fois, les valeurs par défaut sont en vigueur et doivent être modifiées uniquement dans des circonstances particulières, par exemple, si le support client conseille une modification. Reportez-vous à la section Vue Configuration des services - onglet Général pour une description de ces paramètres.
  6. Dans la section Hachage, définir un répertoire pour les fichiers de hachage si vous utilisez cette fonction. Reportez-vous à la section Vue Configuration des services - onglet Général pour une description de ces paramètres.
You are here
Table of Contents > Configurer les paramètres communs sur un Decoder > Configurer les paramètres de capture

Attachments

    Outcomes