packet_mmap_,ALLアダプタは、すべてのタイプのネットワーク インタフェースで同時に収集できます。たとえば、異なるメディア タイプとトンネルのインタフェースの物理ネットワーク インタフェースなどを含めることができます。
ALLアダプタのデフォルトの動作は、lo、 eth0、em1のハード コードされたデフォルトを除いて、システムからすべてのインタフェースから収集します。
NetWitness Suite 11.0では、 interfaces=パラメータを含むようにDecoder構成ノード/decoder/config/capture.device.params を編集して、収集インタフェースのサブセットを選択できます。 interfacesパラメータには、収集のために使用されるインタフェースのコンマ区切りのリストが含まれています。すべてのインタフェースを収集に使用するのではなく、指定したインタフェースのみが使用されます。
たとえば、インタフェースem1、em2、em4上で収集を強制し、em3を無視する場合、packet_mmap_,ALLアダプタを選択し、さらにこの行をcapture.device.params: interfaces=em1,em2,em4に追加できます。
注: interfacesパラメータを使用して eth0、lo、em1を選択すると、デフォルトの動作が上書きされ、これらのポートからトラフィックがドロップされます。
packet_mmap_,ALLアダプタを構成して、すべてのインタフェースではなく特定のインタフェースから収集するには、次の手順に従います。
- [管理]の[サービス]ビューで、Decoderサービスを選択し、
>[表示]>[構成]を選択します。 - サービスの[構成]ビューで、[収集インタフェースの選択]をpacket_mmap_,ALLアダプタに設定します。
- サービスの[エクスプローラ]ビューに移動するには、ツールバーで[構成]をクリックし、ドロップダウン リストで[探索]を選択します。
- サービスの[エクスプローラ]ビューで、[Decoder]>[構成]を選択します。
- capture.device.paramsの横にある値の列をクリックし、interfaces=em1,em2,em4を入力して、Enterキーを押します。
変更は即座に有効になります。em1、em2、em4インタフェース上のトラフィックのみが収集されます。
Previous Topic:(オプション)システムレベル(BPF)のパケット フィルタリングの構成
You are here
Table of Contents > Decoderでの一般的な設定の構成 > 収集設定の構成 > (オプション)すべてのタイプのネットワーク インターフェイスでデータを収集するDecoderの構成