Decoder: Configurar ajustes de captura

Document created by RSA Information Design and Development on Apr 23, 2018
Version 1Show Document
  • View in full screen mode
 

Cuando se configura inicialmente el Decoder, es necesario configurar la interfaz del adaptador de red. Se dispone de ajustes de captura opcionales adicionales; dos que se usan con frecuencia son el filtro de paquetes Berkeley y el inicio automático de captura.

Flujo de trabajo de configuración del Decoder con el primer paso, configurar ajustes de captura, resaltado.

Además de la configuración básica de la interfaz del adaptador de red, puede optar por usar una de las configuraciones de fines especiales que se describe en (Opcional) Conservar las etiquetas de VLAN cuando se usa la interfaz de captura de MMAP de paquetes o (Opcional) Configurar un Decoder para capturar los datos en todos los tipos de interfaces de red

El resto de la configuración de captura tiene valores predeterminados elegidos para que sea eficaz en la mayoría de los casos (consulte una lista detallada en Vista Configuración de servicios: Pestaña General). Puede ajustarla en algunas circunstancias, por ejemplo, si el servicio al cliente aconseja un cambio. Puede editar la configuración de captura en cualquier momento.

Seleccionar un adaptador de red

La siguiente tabla describe la configuración del adaptador de red de un Decoder. El administrador del sistema configura los adaptadores de red predeterminados cuando está instalado el Decoder. Consulte al administrador del sistema para obtener más información.

                       
Parámetro de adaptadorDescripción
Filtro de paquetes Berkeley Los Berkeley Packet Filters (BPF) se aplican al flujo de paquetes antes de que los paquetes se copien al adaptador de Decoder para el análisis. Esto permite que el tráfico no deseado se elimine de manera eficiente. Sin embargo, los paquetes descartados no se toman en cuenta en ninguna estadística del Decoder (velocidad de captura, paquetes descartados, paquetes filtrados y total de paquetes).
Interfaz de captura seleccionada Seleccione un adaptador a través del cual el Decoder captura paquetes. Para la interfaz de captura interna de menor velocidad, utilice el adaptador packet_mmap_,7,eth1 , que corresponde al puerto de monitoreo ubicado en la placa madre. Existen seis puertos de captura adicionales:
  • packet_mmap_,1,lo (bpf)
  • packet_mmap_,2,eth2 (bpf)
  • packet_mmap_,3,eth3 (bpf)
  • packet_mmap_,4,eth4 (bpf)
  • packet_mmap_,5,eth5 (bpf)
  • packet_mmap_,8,ALL (bpf)
Existen tres servicios de captura inalámbricos disponibles:
  • packet_netmon_ (Microsoft Netmon)
  • packet_mac80211_ (Linux mac80211)
  • packet_airport_ (Mac OS X AirPort)

Interfaz de captura seleccionada para Log Decoder

El siguiente servicio de captura está disponible:

  • log_events,Log Events

Para configurar el adaptador de red en un Decoder:

  1. Vaya a ADMIN > Servicios.
  2. En la Vista Servicios de Administration, seleccione el Decoder y El menú Acciones > Ver > Configuración.
    La Vista Configuración de servicios se muestra con la pestaña General abierta.
    Mitad superior de la sección Configuración de Decoder en la pestaña General.
  3. En el campo Interfaz de captura seleccionada, seleccione el adaptador de red que mejor se adapte al Decoder.
  4. Para guardar los cambios, haga clic en Aplicar.

  5. Si es necesario aplicar los cambios, regrese a la Vista Servicios de Administration, seleccione el Decoder y elija El menú Acciones > Reiniciar.

Configurar un Decoder para que comience a capturar datos automáticamente

  1. Vaya a ADMIN > Servicios.
  2. En la Vista Servicios de Administration, seleccione el Decoder y El menú Acciones > Ver > Configuración.
    La Vista Configuración de servicios se muestra con la pestaña General abierta
    Mitad superior de la sección Configuración de Decoder en la pestaña General.
  3. En Configuración de captura, seleccione la casilla de verificación Inicio automático de captura.
  4. Para guardar los cambios, haga clic en Aplicar.

  5. Si es necesario aplicar los cambios, regrese a la Vista Servicios de Administration, seleccione el Decoder y elija El menú Acciones > Reiniciar.

Configurar ajustes de captura opcionales

  1. Vaya a ADMIN > Servicios.

  2. En la Vista Servicios de Administration, seleccione el Decoder y El menú Acciones > Ver > Configuración.
    La Vista Configuración de servicios se muestra con la pestaña General abierta.
    Mitad superior de la sección Configuración de Decoder en la pestaña General.
    Mitad inferior de la sección Configuración de Decoder en la pestaña General
  3. Si desea aplicar un filtro de nivel de sistema al flujo de paquetes antes de que los paquetes se copien en el adaptador de Decoder para el análisis, configure el filtro de paquetes Berkeley como se describe en (Opcional) Configurar filtrado de paquetes a nivel del sistema (BPF).
  4. En las secciones Configuración de captura, revise los valores predeterminados. Cuando un servicio se agrega por primera vez, los valores predeterminados están vigentes y deben cambiarse solo en circunstancias especiales, por ejemplo, si el servicio al cliente aconseja un cambio. Consulte Vista Configuración de servicios: Pestaña General para obtener una explicación de estos ajustes.
  5. En la sección Tamaños máximos de archivo de base de datos, revise los valores predeterminados. Cuando un servicio se agrega por primera vez, los valores predeterminados están vigentes y deben cambiarse solo en circunstancias especiales, por ejemplo, si el servicio al cliente aconseja un cambio. Consulte Vista Configuración de servicios: Pestaña General para obtener una explicación de estos ajustes.
  6. En la sección Hash, defina un directorio para los archivos hash si está usando esta función. Consulte Vista Configuración de servicios: Pestaña General para obtener una explicación de estos ajustes.
You are here
Table of Contents > Configurar ajustes comunes en un Decoder > Configurar ajustes de captura

Attachments

    Outcomes