Служба EtherSensor PCAP работает со специальным виртуальным устройством, предназначенным для обработки трафика, предварительно сохраненного в PCAP-файлах.
Настройки EtherSensor PCAP немного отличаются от настроек службы EtherSensor EtherCAP:
Рис.7. Настройки службы EtherSensor PCAP.
Для обработки PCAP-файлов скопируйте их в директорию PCAP-профиля, и затем разрешите обработку PCAP-файлов в каталоге, указанном в Путь. Для этого установите статус данного PCAP-профиля Активен в состояние Да.
PCAP-файлы "прослушиваются" в порядке FIFO: файл, помещенный в директорию PCAP-профиля первым (т.е., имеющий более раннюю дату модификации с точки зрения файловой системы), будет "прослушан" первым, помещенный туда вторым будет "прослушан" вторым и т.д.
Если флаг профиля службы Активен находился в состоянии Да, директория PCAP-профиля была пуста, и в неё был помещен PCAP-файл, то этот файл немедленно начнет "прослушиваться".
Если флаг профиля службы Активен находился в состоянии Нет, в директории PCAP-профиля имелись PCAP-файлы, то "прослушивание" файлов начнется немедленно после перевода данного профиля службы в активное состояние.
Все обработанные таким образом PCAP-файлы помещаются в поддиректорию .\processed директории PCAP-профиля без каких-либо изменений. Это позволяет при отладке фильтров и детекторов повторять процесс анализа PCAP-файлов сколько угодно раз, используя кнопку Обработать заново. |
|---|
Объекты, извлечённые службой EtherSensor PCAP из PCAP-файлов, далее обрабатываются обычным образом: анализируются службой EtherSensor Analyser, которая их передаёт в службу EtherSensor Transfer для доставки результатов анализа системам -потребителям.
Совет: если вам нужно просто проверить или отладить детекторы или фильтры, наиболее удобным типом системы-потребителя является локальная файловая система (профиль доставки FILEDROP). |
|---|
Конфигурация службы EtherSensor PCAP содержится в XML-файле pcap.xml, расположенном в общей директории конфигураций Microolap EtherSensor [INSTALLDIR]\config.