В текущей версии Microolap EtherSensor (6.1) на сенсоре функционируют следующие службы, предназначенные для работы с источниками данных: EtherSensor PCAP, EtherSensor EtherCAP, EtherSensor ICAP и EtherSensor LotusTXN.
Кроме того, EtherSensor включает в себя службу EtherSensor Identity, которая отвечает за получение метаданных, позволяющих привязать перехваченные объекты к пользователю или хосту.
Общая схема работы служб выглядит следующим образом:
Рис.3. Схема работы служб EtherSensor PCAP, EtherSensor EtherCAP, EtherSensor ICAP, EtherSensor LotusTXN.
Служба EtherSensor PCAP отвечает за обработку трафика из PCAP-файлов в форматах tcpdump/libpcap/pcapng.
Служба EtherSensor EtherCAP отвечает за пассивный захват трафика на сетевых адаптерах и реконструкцию сессий протоколов уровня приложения.
Служба EtherSensor ICAP отвечает за получение трафика по протоколу ICAP от любых ICAP-клиентов и дальнейшую передачу полученных объектов в службу EtherSensor Analyser.
Служба EtherSensor LotusTXN отвечает за извлечение сообщений из файлов Lotus Notes Transaction Log, используется только в случае отсутствия доступа к нешифрованному трафику Lotus Notes.
Результатом работы этих служб являются реконструированные объекты, переданные в службу анализа результатов EtherSensor Analyser.
Для запуска и остановки служб можно использовать как штатную оснастку Службы ОС Windows, так и Консоль управления EtherSensor (утилита sensor_console.exe) из директории установки EtherSensor:
Рис.4. Запуск и остановка служб-источников данных.
Между службой подсистемы логирования EtherSensor Watcher и другими службами EtherSensor установлены зависимости. Поскольку ни одно событие работы EtherSensor не должно остаться незамеченным подсистемой логирования, ни одна служба EtherSensor не может быть запущена до запуска службы логирования EtherSensor Watcher. И наоборот: чтобы остановить все службы EtherSensor, достаточно остановить только службу логирования EtherSensor Watcher. |
|---|