Вы здесь

57. Фильтры сбора данных

 

Фильтры сбора данных

Функции фильтра сбора данных подобны функциям запросов к базе данных. Их можно использовать для определения типа отслеживаемой информации о сети. Например, чтобы видеть только заданное подмножество компьютеров или протоколов, можно создать базу данных адресов, добавить адреса из базы данных в фильтр, а затем сохранить фильтр в файле. Фильтрация кадров экономит ресурсы буфера сбора данных и время. Позже, при необходимости, можно загрузить файл фильтра сбора данных и использовать фильтр снова.

Проектирование фильтров сбора данных

Для разработки фильтра сбора данных надо задать инструкции принятия решения в диалоговом окне Фильтр записи (Capture Filter). В диалоговом окне Фильтр записи отображается дерево принятия реше-

ния фильтра, графически представляющее логику фильтра. При включении или исключении информации из определения фильтра сбора данных дерево принятия решения отражает такого рода изменения.




Фильтрация в соответствии с протоколом

Чтобы перехватывать кадры, посланные с использованием специфического протокола, надо задать этот протокол в фильтре SAP/ETYPE = "хххх". Например, чтобы собирать только IP-пакеты, нужно отключить все протоколы и затем разрешить перехват IP ETYPE 0x800 и SAP IP 0x6. По умолчанию разрешены все протоколы, поддерживаемые сетевым монитором.

Фильтрация по адресу

Чтобы сохранять кадры, полученные (переданные) с (на) заданных компьютеров в сети, нужно определить одну или более пар адресов в фильтре сбора данных, при этом можно задать до четырех пар адресов одновременно.

Фильтрация по образцу данных

Задавая соответствие образцу в фильтре сбора данных, можно:

  • Ограничить сбор данных только теми кадрами, которые содержат образец данных, заданный кодом ASCII или в шестнадцатеричном виде.
  • Задать число байтов в кадре (смещение), которые должны быть просмотрены на соответствие образцу.

Когда выполняется фильтрация трафика в соответствии с образцом, необходимо задать положение образца в кадре (количество байтов с начала или с конца).

Триггер сбора данных

Триггер— это набор условий, при выполнении которых инициируется некоторое действие. Например, перед использованием сетевого монитора при сборе данных в сети можно установить триггер, который остановит процесс сбора данных или запустит некоторую программу, или выполнит командный файл.

 


Top.Mail.Ru