Вопросы по обслуживанию сенсора

<< Кликните, чтобы показать Содержание >>

Руководство Администратора | CHM EPUB PDF A4/Letter   

Вопросы по обслуживанию сенсора

- Как удалить сервисы Microolap EtherSensor вручную?

1. В командной строке выполнить следующие команды:

sc delete "EtherSensorEtherCAP"

sc delete "EtherSensorICAP"

sc delete "EtherSensorLotusTXN"

sc delete "EtherSensorAnalyser"

sc delete "EtherSensorTransfer"

sc delete "EtherSensorWatcher"

2. Запустить утилиту regedit и удалить ветки реестра:

HKLM/System/CurrentControlSet/EtherSensorAnalyser

HKLM/System/CurrentControlSet/EtherSensorEtherCAP

HKLM/System/CurrentControlSet/EtherSensorICAP

HKLM/System/CurrentControlSet/EtherSensorLotusTXN

HKLM/System/CurrentControlSet/EtherSensorTransfer

HKLM/System/CurrentControlSet/EtherSensorWatcher

3. Удалить файлы старой версии.

4. Перезагрузить сервер.

- Почему много дубликатов в сообщениях?

1. Веб сервисы могут отправлять формы более одного раза, например при сохранении черновиков или добавлении аттачментов.

2. В некоторых сложных сетевых условиях (например, при использовании цепочки прокси-серверов или балансировщиков нагрузки) возможна ситуация, когда сенсор видит одно и тоже соединение несколькими интерфейсами одновременно. В таком случае следует использовать фильтр check-md5, это позволит принять решение – обрабатывать или не обрабатывать данное сообщение еще раз.

- Я вижу трафик из mirror порта другим сниффером, а ваш сенсор ничего не ловит.

- Счетчики трафика увеличиваются, но сенсор ничего не перехватывает.

- В записи перехвата не видно обратных пакетов от HTTP-сервисов, т.е. пакеты от клиентского IP на удаленный сервер/порт видны, а ответы от удаленного сервера/порта – нет. От клиента при этом летят пакеты ACK, FIN/ACK, т.е. это означает, что это рабочие сессии с реальным трафиком, который доходит до клиента.

Проверка производится в следующем порядке:

1. Убедиться, что службы запущены и работают.

2. Проверить правила IP-фильтрации, помня о том, что для применения правил необходимо перезапустить службы.

3. Проверить счетчики трафика. Не должно быть количество Получено равно количеству Отклонено.

4. Проверить наличие перехваченных данных в поддиректории data директории установки EtherSensor. Если используются фильтры, проверить также содержимое [INSTALLDIR]\data\filter.

5. Проверить директорию [INSTALLDIR]\data\result – есть ли перехваченные сообщения, которые не отправлены?

6. Проверить журналы и счетчики на предмет ошибок. Если их нет, то службы работают нормально.

7. Проверить настройки mirror-порта. Например, на устройствах компании Cisco по умолчанию зеркалируются пакеты либо RX, либо TX. Нужно указать в настройке ключевое слово "both":

monitor session 1 source interface <interface-id> both

8. Проверить, настроен ли профиль в настройках службы транспорта, правильный ли профиль указан в качестве профиля по умолчанию.

9. В случае если выяснить причину самостоятельно не удается, обратиться в техническую поддержку.