数据包捕获

OT Security 会存储包含网络中活动的网络数据包捕获的文件。将数据存储为可使用网络协议分析工具(例如 Wireshark 等)分析的 PCAP(数据包捕获)文件。这支持对关键事件进行深入取证分析。当系统存储容量超过 1.8 TB 时,系统会删除较早的文件。

数据包捕获”页面会显示系统中的所有 PCAP 文件。“已完成”部分会显示可供下载的所有已完成文件的列表。“正在进行”部分会显示有关当前正在进行的数据包捕获的详细信息。

标题栏会显示仍然可用的最旧的捕获文件。标题栏还包含用于下载文件和手动关闭当前数据包捕获的选项。

在数据包捕获表格中,您可以显示或隐藏列、对列表进行排序和筛选,同时搜索关键字。有关自定义表格的更多信息,请参阅“自定义表格”。

注意:您也可以从“事件”页面下载单个事件的 PCAP 文件,详情请参阅“下载文件”。

数据包捕获参数

数据包捕获列表显示以下详细信息:

参数描述
开始时间数据包捕获开始的日期和时间。
结束时间数据包捕获结束的日期和时间。
状态捕获的状态:“已完成”或“正在进行中”。
传感器捕获数据包的 OT Security 传感器。对于 OT Security 设备直接捕获的数据包,其值显示为“local”。
文件名文件的名称。
文件大小文件的大小,以 KB/MB 为单位。

筛选数据包捕获显示

通过输入开始时间和/或结束时间的参数,您可以筛选数据包捕获显示以查找特定 PCAP。

若要筛选数据包捕获,请执行以下操作:

  1. 转至“网络”>“数据包捕获”。

  2. 若要按开始时间筛选,请将鼠标悬停在“开始时间”上,然后单击 图标。

    此时会出现一个下拉菜单。

    1. 若要设置筛选条件,请执行以下操作:

      1. 从下拉菜单中选择所需的筛选条件:“任何时间”(默认)、“开始时间早于”或“开始时间晚于”。

      2. 如果选择了“开始时间早于”或“开始时间晚于”,则将出现一个包含“日期”和“时间”框的窗口,以便您选择日期和时间。

      3. 单击“应用”。

  3. 若要按结束时间筛选,请将鼠标悬停在“结束时间”上,然后单击 图标。

    此时会出现一个下拉菜单。

    1. 若要设置筛选条件,请执行以下操作:

      1. 选择所需的筛选条件:“任何时间”(默认)、“结束时间早于”或“结束时间晚于”。

      2. 如果选择了“结束时间早于”或“结束时间晚于”,则将出现一个包含“日期”和“时间”框的窗口,以便您选择日期和时间。

      3. 单击“应用”。

        OT Security 会应用筛选条件,并且仅显示在指定时间范围内生成的文件。

激活或停用数据包捕获

您可在“本地设置”>“系统配置”>“设备”中激活或停用数据包捕获功能。

如果“数据包捕获”功能已关闭,则“数据包捕获”屏幕会显示该功能已关闭的消息通知。

重要说明:您可以通过“网络”>“数据包捕获”激活数据包捕获功能,但不能通过此路径停用该功能。

若要激活数据包捕获,请执行以下操作:

  1. 转至“网络”>“数据包捕获”。

  2. 在“标题”栏中单击“打开”。

    OT Security 会打开数据包捕获。

下载文件

可以将任何“已完成”的 PCAP 文件下载到本地计算机。然后,您可以使用 Wireshark 等网络协议分析工具进行分析。

仍在进行中的文件捕获尚不可下载。您可以手动关闭正在进行的捕获,以便关闭当前文件并开始捕获新文件的信息。

若要下载已完成的文件,请执行以下操作:

  1. 转至“网络”>“数据包捕获”。

  2. 从数据包捕获列表中选择所需文件。

  3. 在“标题”栏中单击“下载”。

    OT Security 将 zip 格式的 PCAP 文件下载到本地计算机。

若要手动关闭当前的数据包捕获,请执行以下操作:

  1. 转至“网络”>“数据包捕获”。

  2. 在“标题”栏中,单击“关闭正在进行的捕获”。

    OT Security 会停止当前捕获,文件随即可供下载。OT Security 会自动启动新的数据包捕获。