Decoder: (Opcional) Configurar un Decoder para capturar los datos en todos los tipos de interfaces de red

Document created by RSA Information Design and Development on Apr 23, 2018
Version 1Show Document
  • View in full screen mode
 

El adaptador de packet_mmap_,ALL es capaz de capturar en todos los tipos de interfaces de red al mismo tiempo. Por ejemplo, esto puede incluir elementos como interfaces de red física en diferentes tipos de medios e interfaces de túnel.

El comportamiento predeterminado del adaptador de ALL es capturar de todas las interfaces del sistema, a excepción de los valores predeterminados codificados de lo, eth0 y em1.

En NetWitness Suite 11.0, puede seleccionar cualquier subconjunto de las interfaces de captura mediante la edición del nodo de configuración /decoder/config/capture.device.params de Decoder para incluir un parámetro interfaces=. El parámetro interfaces contiene una lista separada por comas de las interfaces que se usan para la captura. En lugar de usar todas las interfaces para la captura, solo se usan las interfaces especificadas.

Por ejemplo, si desea forzar la captura en las interfaces em1, em2 y em4, y pasar por alto em3, puede seleccionar el adaptador de packet_mmap_,ALL y, a continuación, agregar esta línea a capture.device.params: interfaces=em1,em2,em4

Nota: El uso del parámetro interfaces para seleccionar eth0, lo o em1 sobrescribe el comportamiento predeterminado, que consiste en descartar el tráfico de esos puertos.

Para configurar el adaptador packet_mmap_,ALL para capturar desde interfaces específicas en lugar de todas las interfaces:

  1. En Vista Servicios de Administration, seleccione el servicio Decoder y The actions menu > Ver > Configuración.
  2. En Vista Configuración de servicios, configure Interfaz de captura seleccionada en el adaptador packet_mmap_,ALL.
    This is an example of a Config Value drop-down.
  3. Para ir a la Vista Explorar de servicios, haga clic en Configuración en la barra de herramientas y seleccione Explorar en la lista desplegable.
  4. En la Vista Explorar de servicios seleccione decoder > configuración.
    This is an example of the Explore view with decoder > config selected.
  5. Haga clic en la columna Valores junto a capture.device.params, escriba interfaces=em1,em2,em4 y presione Intro.
    This is an example of the Explore view after changes.
    El cambio surte efecto de inmediato; solo se captura el tráfico en las interfaces em1, em2 y em4.
You are here
Table of Contents > Configurar ajustes comunes en un Decoder > Configurar ajustes de captura > (Opcional) Configurar un Decoder para capturar los datos en todos los tipos de interfaces de red

Attachments

    Outcomes