Decoder: (Optional) Konfigurieren eines Decoders zur Datenerfassung für alle Arten von Netzwerkschnittstellen

Document created by RSA Information Design and Development on May 9, 2018Last modified by RSA Information Design and Development on Apr 28, 2019
Version 2Show Document
  • Comment0
  • View in full screen mode
 

Mit dem Adapter packet_mmap_,ALL können Daten über alle Arten von Netzwerkschnittstellen gleichzeitig erfasst werden. Dazu gehören beispielsweise physikalische Netzwerkschnittstellen über verschiedene Medientypen und Tunnelschnittstellen.

Das Standardverhalten des Adapters ALL ist es, Daten von allen Schnittstellen aus dem System zu erfassen, mit Ausnahme der hartcodierten Standards von lo, eth0 und em1.

Sie können jede Teilmenge der Erfassungsschnittstellen auswählen, indem Sie den Decoder-Konfigurations-Node /decoder/config/capture.device.params so bearbeiten, dass er einen interfaces=-Parameter einschließt. Der Parameter interfaces enthält eine kommagetrennte Liste von Schnittstellen, die für die Erfassung verwendet werden. Es werden nicht alle Schnittstellen für die Erfassung verwendet, sondern nur die angegebenen Schnittstellen.

Wenn Sie zum Beispiel erzwingen möchten, dass Daten auf Schnittstellen em1, em2 und em4 erfasst werden und em3 ignoriert wird, können Sie den Adapter packet_mmap_,ALL auswählen und dann diese Zeile capture.device.params hinzufügen:interfaces=em1,em2,em4

Hinweis: Wenn Sie den Parameter interfaces verwenden, um eth0, lo oder em1 auszuwählen, wird das Standardverhalten außer Kraft gesetzt, das darin besteht, den Datenverkehr von diesen Ports zu ignorieren.

So konfigurieren Sie den Adapter packet_mmap_,ALL zur Erfassung von angegebenen Schnittstellen anstatt von allen Schnittstellen:

  1. Navigieren Sie zu ADMIN > Services, wählen Sie den Decoder-Service und The actions menu > Ansicht > Konfiguration aus.
  2. Legen Sie in der Ansicht „Service-Konfiguration“ die Option Ausgewählte Erfassungsschnittstelle auf den Adapter packet_mmap_,ALL fest.
    This is an example of a Config Value drop-down.
  3. Wechseln Sie zur Ansicht zum Durchsuchen zu einem Service, indem Sie auf Konfigurieren in der Symbolleiste klicken, und wählen Sie Durchsuchen in der Drop-down-Liste aus.
  4. Wählen Sie in der Ansicht zum Durchsuchen zu einem Service die Option Decoder > Konfigurieren aus.
    Decoder Configuration view
  5. Klicken Sie in die Spalte „Werte“ neben capture.device.params, geben Sie interfaces=em1,em2,em4 ein und drücken Sie die Eingabetaste.
    Decoder Configuration view values update
    Die Änderung tritt sofort in Kraft; nur der Datenverkehr auf den Schnittstellen em1, em2 und em4 wird erfasst.
You are here
Table of Contents > Konfigurieren von allgemeinen Einstellungen auf einem Decoder > Konfigurieren von Erfassungseinstellungen > (Optional) Konfigurieren eines Decoders zur Datenerfassung für alle Arten von Netzwerkschnittstellen

Attachments

    Outcomes

      Visibility: RSA NetWitness Logs & Network 11.x Documentation (German)4 Views
      Last modified on Apr 28, 2019 9:54 AM
      Ratings: