数据包捕获

系统会存储包含网络中活动的完整网络数据包捕获的文件。将数据存储为可使用网络协议分析工具(例如 Wireshark 等)分析的 PCAP 文件。这支持对关键事件进行深入取证分析。当系统存储容量超过 1.8 TB 时,系统会删除较早的文件。

数据包捕获”屏幕显示系统中的所有数据包捕获文件。“已完成”选项卡显示可供下载的每个已完成文件的列表。“正在进行”选项卡显示有关系统中当前正在进行的数据包捕获的详细信息。

“标题栏”显示系统中仍然可用的最旧的捕获文件。它还包含用于下载文件和手动关闭当前数据包捕获的选项。

在文件列表表格中,您可以显示/隐藏列,并对列表进行排序和筛选,同时搜索关键字。有关自定义功能的说明,请参阅“管理控制台用户界面元素”。

注意:您也可以从“事件”屏幕下载单个事件的 PCAP 文件,详情请参阅“下载文件”。

数据包捕获参数

数据包捕获列表显示以下详细信息:

参数 说明
开始时间 数据包捕获开始的日期和时间。
结束时间 数据包捕获结束的日期和时间。
状态 捕获的状态。可能的值为“已完成”或“正在进行中”。
传感器 捕获数据包的 OT 安全 传感器。对于 OT 安全 设备直接捕获的数据包,其值为“local”。
文件名 文件的名称。
文件大小 文件的大小,以 KB/MB 为单位。

筛选数据包捕获显示

通过输入开始时间和/或结束时间的参数,您可以筛选数据包捕获显示以查找特定 PCAP。

若要筛选数据包捕获,请执行以下操作:

  1. 转至“网络”>“数据包捕获”。

  2. 如要按开始时间筛选,请将鼠标悬停在“开始时间” 上,然后单击出现的 图标。

    此时将打开一个下拉菜单。

    按如下所示设置筛选条件:

    1. 选择所需的筛选条件。选项包括“任何时间”(默认)、“开始时间早于”或“开始时间晚于”。

    2. 如果选择了“开始时间早于”或“开始时间晚于”,则将打开一个包含“日期”和“时间”字段的窗口,以便选择所需的日期和时间。

    3. 单击“应用”。

  3. 若要按结束时间筛选,请单击“结束时间”旁的 图标。

    此时将打开一个下拉菜单。按如下所示设置筛选条件:

    1. 选择所需的筛选条件。选项包括“任何时间”(默认)、“开始时间早于”或“开始时间晚于”。

    2. 如果选择了“开始时间早于”或“开始时间晚于”,则将打开一个包含“日期”和“时间”字段的窗口,以便选择所需的日期和时间。

    3. 单击“应用

      OT 安全 会应用筛选条件,并且仅显示在所选时间范围内生成的文件。

激活/停用数据包捕获

可在“本地设置”>“系统配置”>“设备”中激活或停用数据包捕获,详情请参阅“数据包捕获”。

如果“数据包捕获”功能已关闭,则“数据包捕获”屏幕会显示该功能已关闭的消息通知。

您可以通过“网络”>“数据包捕获”激活(但不能停用)数据包捕获。

若要从“数据包捕获”屏幕激活数据包捕获,请执行以下操作:

  1. 转至“网络”>“数据包捕获”。

  2. 在“标题”栏中单击“打开”。

    系统开始数据包捕获。

下载文件

可以将任何“已完成”的 PCAP 文件下载到本地计算机。随后您可使用网络协议分析工具(例如 Wireshark 等)分析 PCAP 文件。

仍在进行中的文件捕获尚不可下载。您可以手动关闭正在进行的捕获,以便关闭当前文件并开始捕获新文件的信息。

若要下载已完成的文件,请执行以下操作:

  1. 转至“网络”>“数据包捕获”。

  2. 从数据包捕获列表中选择所需文件。

  3. 在“标题”栏中单击“下载”。

    OT 安全 将压缩的 PCAP 文件下载到本地计算机。

若要手动关闭当前的数据包捕获,请执行以下操作:

  1. 转至“网络”>“数据包捕获”。

  2. 在“标题”栏中单击“关闭正在进行的捕获”。

    OT 安全 会停止当前捕获,且文件可供下载。系统会自动启动新的数据包捕获。