数据包捕获
OT Security 会存储包含网络中活动的网络数据包捕获的文件。将数据存储为可使用网络协议分析工具(例如 Wireshark 等)分析的 PCAP(数据包捕获)文件。这支持对关键事件进行深入取证分析。当系统存储容量超过 1.8 TB 时,系统会删除较早的文件。
“数据包捕获”页面会显示系统中的所有 PCAP 文件。“已完成”部分会显示可供下载的所有已完成文件的列表。“正在进行”部分会显示有关当前正在进行的数据包捕获的详细信息。
标题栏会显示仍然可用的最旧的捕获文件。标题栏还包含用于下载文件和手动关闭当前数据包捕获的选项。
在数据包捕获表格中,您可以显示或隐藏列、对列表进行排序和筛选,同时搜索关键字。有关自定义表格的更多信息,请参阅“自定义表格”。
数据包捕获参数
数据包捕获列表显示以下详细信息:
| 参数 | 描述 |
|---|---|
| 开始时间 | 数据包捕获开始的日期和时间。 |
| 结束时间 | 数据包捕获结束的日期和时间。 |
| 状态 | 捕获的状态:“已完成”或“正在进行中”。 |
| 传感器 | 捕获数据包的 OT Security 传感器。对于 OT Security 设备直接捕获的数据包,其值显示为“local”。 |
| 文件名 | 文件的名称。 |
| 文件大小 | 文件的大小,以 KB/MB 为单位。 |
筛选数据包捕获显示
通过输入开始时间和/或结束时间的参数,您可以筛选数据包捕获显示以查找特定 PCAP。
若要筛选数据包捕获,请执行以下操作:
转至“网络”>“数据包捕获”。
若要按开始时间筛选,请将鼠标悬停在“开始时间”上,然后单击
图标。此时会出现一个下拉菜单。
若要设置筛选条件,请执行以下操作:
从下拉菜单中选择所需的筛选条件:“任何时间”(默认)、“开始时间早于”或“开始时间晚于”。
如果选择了“开始时间早于”或“开始时间晚于”,则将出现一个包含“日期”和“时间”框的窗口,以便您选择日期和时间。
单击“应用”。
若要按结束时间筛选,请将鼠标悬停在“结束时间”上,然后单击
图标。此时会出现一个下拉菜单。
若要设置筛选条件,请执行以下操作:
选择所需的筛选条件:“任何时间”(默认)、“结束时间早于”或“结束时间晚于”。
如果选择了“结束时间早于”或“结束时间晚于”,则将出现一个包含“日期”和“时间”框的窗口,以便您选择日期和时间。
单击“应用”。
OT Security 会应用筛选条件,并且仅显示在指定时间范围内生成的文件。
激活或停用数据包捕获
您可在“本地设置”>“系统配置”>“设备”中激活或停用数据包捕获功能。
如果“数据包捕获”功能已关闭,则“数据包捕获”屏幕会显示该功能已关闭的消息通知。
若要激活数据包捕获,请执行以下操作:
转至“网络”>“数据包捕获”。
在“标题”栏中单击“打开”。
OT Security 会打开数据包捕获。
下载文件
可以将任何“已完成”的 PCAP 文件下载到本地计算机。然后,您可以使用 Wireshark 等网络协议分析工具进行分析。
仍在进行中的文件捕获尚不可下载。您可以手动关闭正在进行的捕获,以便关闭当前文件并开始捕获新文件的信息。
若要下载已完成的文件,请执行以下操作:
转至“网络”>“数据包捕获”。
从数据包捕获列表中选择所需文件。
在“标题”栏中单击“下载”。
OT Security 将 zip 格式的 PCAP 文件下载到本地计算机。
若要手动关闭当前的数据包捕获,请执行以下操作:
转至“网络”>“数据包捕获”。
在“标题”栏中,单击“关闭正在进行的捕获”。
OT Security 会停止当前捕获,文件随即可供下载。OT Security 会自动启动新的数据包捕获。