在执行网络故障排除时,存在一些问题,不过,在今天的文章中,我们将集中讨论两个主要问题。首先是,完全忽略错误或安全漏洞事件;其次是,捕获的文件太大,无法进行分析。
EXA8在这两种情况下都能提供帮助。由于具有高达1TB的固态硬盘存储空间,滚动捕获可以实现24/7连续捕获,。如果存储空间被完全占用,系统将自动覆盖旧数据。对于一个具有10-50Mbit广域网连接的典型办公室,EXA8保留了足够的历史数据,以供数天甚至数周的流量使用。如果您在特定的时间窗口中找到了事件,则可以在图形显示中选择时间窗口并将其导出到PCAP文件。与手动捕获相比,这是一个相当大的优势。
完整捕获视图
但是,如果您选择的时间范围过大,则导出的PCAP的文件大小可能会很大。因此EXA8提供了第二个新的选项来帮助减小导出文件的大小:“索引功能”。此功能在捕获期间生成有关流量的元信息,并存储在EXA8上。此元数据包含IP、端口和协议以及数据包在原始捕获文件中的位置。
选择时间范围+所选时间范围的元数据
现在可以组合这两个功能,选择相关的时间范围,然后EXA8生成包含在这个特定时间框架中的第3层信息的表格元数据视图。这样就可以将导出的PCAP减小到合理的大小。
此表显示了在选定时间范围内捕获的所有L3元数据
索引过滤器还可以用于显示所有当前写入磁盘的L3信息。导出仍然会非常快,因为我们的原始文件中也包含了数据包信息。
缩小流量的第三个功能是在导出过程中使用tcpdump筛选器。
工作流程为:时间范围->L3索引->tcpdump过滤器。
