В процессе детектирования сообщений EtherSensor позволяет накапливать различную статистику соединений: MAC-адрес интерфейса, на котором было перехвачено соединение, время создания, время завершения соединения, IP-адреса и порты соединения, объём переданных данных от клиента к серверу и обратно, используемый протокол уровня приложений (HTTP, ICQ, SMTP, POP3...) и т.д.
Рис.59. Настройка параметров сохранения статистики.
Полученная статистика накапливается либо в предназначенных для этого локальных директориях, либо может быть отправлена на syslog-сервер.
1. Общие
Длительность, дни
Количество дней, в течение которых должна накапливаться статистика: от 0 до 62 дней. Значение 0 означает, что накопление статистики приостановлено.
2. Результаты детектирования
TCP-соединения
Накапливается в формате CSV в директориях data\statistics\YYYY-MM-DD\sessions и включает в себя следущие параметры отслеживаемых соединений:"- MAC-адрес интерфейса, на котором было обнаружено соединение;"- Время создания, время завершения соединения;"- IP-адреса и порты соединения;"- Количество данных, переданных от клиента к серверу и обратно;"- Протокол, используемый поверх TCP/IP (HTTP, ICQ, SMTP, POP3...);"- Другие параметры (см. документацию).
Накапливать в файл
Включает/отключает накопление статистики EtherSensor.
Использовать SYSLOG-сервер
Включить/выключить использование SYSLOG-сервера для журналирования событий работы EtherSensor.
Адрес SYSLOG-сервера
Адрес и порт SYSLOG-сервера. Пример: "192.168.0.1:514".
Имя источника
Используется для разбора сообщений на стороне SYSLOG-сервера (только латинские буквы и цифры). Пример: sensor_syslog_sessions
HTTP-соединения
Накапливается в формате CSV в директориях data\statistics\YYYY-MM-DD\hosts и включает в себя следущие параметры отслеживаемых соединений:"- MAC-адрес интерфейса, на котором было обнаружено соединение;"- IP-адреса и порты соединения;"- DNS-имя сервера, к которому было выполнено соединение.
Накапливать в файл
Включает/отключает накопление статистики EtherSensor.
Использовать SYSLOG-сервер
Включить/выключить использование SYSLOG-сервера для журналирования событий работы EtherSensor.
Адрес SYSLOG-сервера
Адрес и порт SYSLOG-сервера. Пример: "192.168.0.1:514".
Имя источника
Используется для разбора сообщений на стороне SYSLOG-сервера (только латинские буквы и цифры). Пример: sensor_syslog_sessions
Далее однотипные настройки получателей статистики опущены. |
|---|
Результативность детекторов сообщений
Накапливается в формате CSV в директориях data\statistics\YYYY-MM-DD\detectors и включает в себя следущие параметры:"- Временная метка события;"- Имя детектора;"- Статус детектирования;"- Количество детектированных сообщений.
Метаданные сообщений
Накапливается в формате XML в директориях data\statistics\YYYY-MM-DD\messages и включает в себя метаданные реконструированных сообщений:"- Служебные заголовки протокола, по которому передано сообщение;"- Метаданные, сформированные EtherSensor при обработке сообщений (заголовки X-Sensor-...);"- Заголовки From, To, Cc, Bcc, Subject.
Поисковые запросы
Накапливается в формате CSV в директориях data\statistics\YYYY-MM-DD\squeries и включает в себя следущие параметры:"- Временная метка события;"- IP-адрес и порт отправителя поискового запроса;"- DNS-имя поискового сервиса;"- Фраза поискового запроса.
Результативность профилей доставки
Накапливается в формате CSV в директориях data\statistics\YYYY-MM-DD\transports и включает в себя следущие параметры:"- Временная метка события;"- Имя транспортного профиля;"- Используемый протокол для отправки сообщения;"- Статус отправки сообщения.
TCP-соединения, обработанные агентами EtherSensor
Накапливается в формате CSV в директориях data\statistics\YYYY-MM-DD\agents и включает в себя следущие параметры отслеживаемых соединений:"- MAC-адрес интерфейса, на котором было обнаружено соединение;"- Время создания;"- IP-адреса и порты соединения;"- Имя процесса, создавшего соединение;"- Имя пользователя, с правами которого был запущен процесс, создавший соединение;"- Другие параметры (см. документацию).
3. Значения счётчиков
Счётчики использования ресурсов
Накапливается в формате CSV в директориях data\statistics\YYYY-MM-DD\performance и включает в себя следущие параметры:" - Временная метка события;" - Использование CPU (текущее, среднее, пиковое);" - Использование памяти (текущее, среднее, пиковое);" - Использование системных потоков;" - Использование дескрипторов системных объектов (файлы, события и т.д.);" - Общие показания загрузки ОС (CPU, RAM).
Счётчики ICAP-сервера
Накапливается в формате CSV в директориях data\statistics\YYYY-MM-DD\icap и включает в себя показания счётчиков ICAP-службы:"- Временная метка события;"- Количество соединений с ICAP-сервером;"- Количество обрабатываемых запросов (GET, POST, PUT).
Счётчики обработки трафика на интерфейсах
Накапливается в формате CSV в директориях data\statistics\YYYY-MM-DD\interfaces и включает в себя следущие параметры:"- Временная метка события;"- Счётчики обработанных пакетов;"- Счётчики обрабатываемых TCP-соединений.
Счётчики детектирования соединений по протоколам
Накапливается в формате CSV в директориях data\statistics\YYYY-MM-DD\parsers и включает в себя следущие параметры:"- Временная метка события;"- Счётчики обрабатываемых TCP-соединений по протоколам (SMTP, POP3, HTTP, FTP...).
Счётчики кэша службы анализа
Накапливается в формате CSV в директориях data\statistics\YYYY-MM-DD\cache и включает в себя следущие параметры:"- Временная метка события;"- Счётчики обрабатываемых объектов кэша службы анализа.
Счётчики детектирования сообщений
Накапливается в формате CSV в директориях data\statistics\YYYY-MM-DD\analysers и включает в себя следущие параметры:"- Временная метка события;"- Счётчики детектирования сообщений службой анализа.
Счётчики фильтров
Накапливается в формате CSV в директориях data\statistics\YYYY-MM-DD\filter и включает в себя следущие параметры:"- Временная метка события;"- Счётчики фильтров службы анализа (RAW-фильтр HTTP-запросов, фильтр сообщений).
Счётчики дисковых квот
Накапливается в формате CSV в директориях data\statistics\YYYY-MM-DD\quotas и включает в себя следущие параметры:"- Временная метка события;"- Счётчики использования дисковых квот.
Счётчики доставки сообщений
Накапливается в формате CSV в директориях data\statistics\YYYY-MM-DD\quotas и включает в себя следущие параметры:"- Временная метка события;"- Счётчики использования дисковых квот.