Decoder: (Optional) Konfigurieren eines Decoders zur Datenerfassung für alle Arten von Netzwerkschnittstellen

Document created by RSA Information Design and Development on May 9, 2018
Version 1Show Document
  • Comment0
  • View in full screen mode
 

Mit dem Adapter packet_mmap_,ALL können Daten über alle Arten von Netzwerkschnittstellen gleichzeitig erfasst werden. Dazu gehören beispielsweise physikalische Netzwerkschnittstellen über verschiedene Medientypen und Tunnelschnittstellen.

Das Standardverhalten des Adapters ALL ist es, Daten von allen Schnittstellen aus dem System zu erfassen, mit Ausnahme der hartcodierten Standards von lo, eth0 und em1.

In NetWitness Suite 11.0 können Sie jede Teilmenge der Erfassungsschnittstellen auswählen, indem Sie den Decoder-Konfigurations-Node /decoder/config/capture.device.params so bearbeiten, dass er einen Parameter interfaces= einschließt. Der Parameter interfaces enthält eine kommagetrennte Liste von Schnittstellen, die für die Erfassung verwendet werden. Es werden nicht alle Schnittstellen für die Erfassung verwendet, sondern nur die angegebenen Schnittstellen.

Wenn Sie zum Beispiel erzwingen möchten, dass Daten auf Schnittstellen em1, em2 und em4 erfasst werden und dass em3 ignoriert wird, können Sie den Adapter packet_mmap_,ALL auswählen und dann diese Zeile zu capture.device.params hinzufügen:interfaces=em1,em2,em4

Hinweis: Wenn Sie den Parameter interfaces verwenden, um eth0, lo oder em1 auszuwählen, wird das Standardverhalten außer Kraft gesetzt, das darin besteht, den Datenverkehr von diesen Ports zu ignorieren.

Konfigurieren des Adapters packet_mmap_,ALL zur Erfassung von angegebenen Schnittstellen anstatt von allen Schnittstellen:

  1. Wählen Sie in der Ansicht „Administration Services“ den Decoder-Service und The actions menu > Ansicht > Konfiguration aus.
  2. Legen Sie in der Ansicht „Service-Konfiguration“ die Option Ausgewählte Erfassungsschnittstelle auf den Adapter packet_mmap_,ALL fest.
    This is an example of a Config Value drop-down.
  3. Wechseln Sie zur Ansicht zum Durchsuchen zu einem Service, indem Sie auf Konfigurieren in der Symbolleiste klicken, und wählen Sie Durchsuchen in der Drop-down-Liste aus.
  4. Wählen Sie in der Ansicht zum Durchsuchen zu einem Service die Option Decoder > Konfigurieren aus.
    This is an example of the Explore view with decoder > config selected.
  5. Klicken Sie in die Spalte „Werte“ neben capture.device.params, geben Sie interfaces=em1,em2,em4 ein und drücken Sie die EINGABETASTE.
    This is an example of the Explore view after changes.
    Die Änderung tritt sofort in Kraft; nur der Datenverkehr auf den Schnittstellen em1, em2 und em4 wird erfasst.
You are here
Table of Contents > Konfigurieren von allgemeinen Einstellungen auf einem Decoder > Konfigurieren von Erfassungseinstellungen > (Optional) Konfigurieren eines Decoders zur Datenerfassung für alle Arten von Netzwerkschnittstellen

Attachments

    Outcomes