数据包捕获
系统会存储包含网络中活动的完整网络数据包捕获的文件。将数据存储为可使用网络协议分析工具(例如 Wireshark 等)分析的 PCAP 文件。这支持对关键事件进行深入取证分析。当系统存储容量超过 1.8 TB 时,系统会删除较早的文件。
“数据包捕获”屏幕显示系统中的所有数据包捕获文件。“已完成”选项卡显示可供下载的每个已完成文件的列表。“正在进行”选项卡显示有关系统中当前正在进行的数据包捕获的详细信息。
“标题栏”显示系统中仍然可用的最旧的捕获文件。它还包含用于下载文件和手动关闭当前数据包捕获的选项。
在文件列表表格中,您可以显示/隐藏列,并对列表进行排序和筛选,同时搜索关键字。有关自定义功能的说明,请参阅“管理控制台用户界面元素”。
数据包捕获参数
数据包捕获列表显示以下详细信息:
| 参数 | 描述 |
|---|---|
| 开始时间 | 数据包捕获开始的日期和时间。 |
| 结束时间 | 数据包捕获结束的日期和时间。 |
| 状态 | 捕获的状态。可能的值为“已完成”或“正在进行中”。 |
| 传感器 | 捕获数据包的 OT 安全 传感器。对于 OT 安全 设备直接捕获的数据包,其值为“local”。 |
| 文件名 | 文件的名称。 |
| 文件大小 | 文件的大小,以 KB/MB 为单位。 |
筛选数据包捕获显示
通过输入开始时间和/或结束时间的参数,您可以筛选数据包捕获显示以查找特定 PCAP。
若要筛选数据包捕获,请执行以下操作:
-
转至“网络”>“数据包捕获”。
-
如要按开始时间筛选,请将鼠标悬停在“开始时间” 上,然后单击出现的
图标。此时将打开一个下拉菜单。
按如下所示设置筛选条件:
-
选择所需的筛选条件。选项包括“任何时间”(默认)、“开始时间早于”或“开始时间晚于”。
-
如果选择了“开始时间早于”或“开始时间晚于”,则将打开一个包含“日期”和“时间”字段的窗口,以便选择所需的日期和时间。
-
单击“应用”。
-
-
若要按结束时间筛选,请单击“结束时间”旁的
图标。此时将打开一个下拉菜单。按如下所示设置筛选条件:
-
选择所需的筛选条件。选项包括“任何时间”(默认)、“开始时间早于”或“开始时间晚于”。
-
如果选择了“开始时间早于”或“开始时间晚于”,则将打开一个包含“日期”和“时间”字段的窗口,以便选择所需的日期和时间。
-
单击“应用”
OT 安全 会应用筛选条件,并且仅显示在所选时间范围内生成的文件。
-
激活/停用数据包捕获
可在“本地设置”>“系统配置”>“设备”中激活或停用数据包捕获,详情请参阅“数据包捕获”。
如果“数据包捕获”功能已关闭,则“数据包捕获”屏幕会显示该功能已关闭的消息通知。
您可以通过“网络”>“数据包捕获”激活(但不能停用)数据包捕获。
若要从“数据包捕获”屏幕激活数据包捕获,请执行以下操作:
-
转至“网络”>“数据包捕获”。
-
在“标题”栏中单击“打开”。
系统开始数据包捕获。
下载文件
可以将任何“已完成”的 PCAP 文件下载到本地计算机。随后您可使用网络协议分析工具(例如 Wireshark 等)分析 PCAP 文件。
仍在进行中的文件捕获尚不可下载。您可以手动关闭正在进行的捕获,以便关闭当前文件并开始捕获新文件的信息。
若要下载已完成的文件,请执行以下操作:
-
转至“网络”>“数据包捕获”。
-
从数据包捕获列表中选择所需文件。
-
在“标题”栏中单击“下载”。
OT 安全 将压缩的 PCAP 文件下载到本地计算机。
若要手动关闭当前的数据包捕获,请执行以下操作:
-
转至“网络”>“数据包捕获”。
-
在“标题”栏中单击“关闭正在进行的捕获”。
OT 安全 会停止当前捕获,且文件可供下载。系统会自动启动新的数据包捕获。