Home
Contents

CommView - Мониторинг и анализ сети
Prev Page Next Page
 
Введение
О программе CommView
Что нового
Работа с программой
Краткий обзор
Выбор сетевого адаптера для работы
Текущие IP-соединения
Пакеты
Log-файлы
Просмотр Log-файлов
Правила
Универсальные правила
Предупреждения
Реконструкция TCP-сессий
Реконструкция UDP-потоков
Поиск пакетов
Статистика и отчёты
Использование псевдонимов (алиасов)
Генератор пакетов
Визуальный конструктор пакетов
Определение изготовителя NIC
Захват по расписанию
Удаленный мониторинг (Remote Agent)
Использование RPCAP
Сбор расшифрованного SSL-трафика
Сбор трафика на логическом адаптере обратной связи (loopback)
Информация о портах
Установка опций
Часто задаваемые вопросы (FAQ)
Анализ VoIP
Введение
Работа с анализатором VoIP
Сессии SIP and H.323
Потоки RTP
Регистрации
Станции
Ошибки
Log-файлы звонков
Отчет
Воспроизведение звонка
Просмотр VoIP log-файлов
Работа со списками в анализаторе VoIP
Файлы NVF
Дополнительные возможности
Перехват больших объемов трафика
Запуск нескольких копий программы
Невидимый режим
Параметры командной строки
Обмен данными с вашим приложением
Пользовательский модуль декодирования
Формат Log-файлов CommView
Покупка и поддержка

Предупреждения

В этой закладке можно создавать систему предупреждений о существенных событиях в сети, таких как появление подозрительных пакетов, повышение сетевой нагрузки, нештатные адреса и так далее. Предупреждения могут очень помочь, если вам надо отслеживать такие события в сети, как сканирование портов, появление определённой последовательности байтов в пакетах, неожиданное подключение новых устройств.

Управление предупреждениями осуществляется с помощью показанного ниже списка:

alarm

В каждой строке показано отдельное предупреждение, а флажок рядом с названием предупреждения показывает, активно оно или нет. При срабатывании предупреждения флажок сбрасывается. Чтобы повторно активизировать ожидание сработавшего предупреждения, установите флажок возле его имени. Для отключения всех предупреждений – сбросьте флажок Включить предупреждения. Чтобы добавить новое, отредактировать или удалить какое-либо предупреждение, воспользуйтесь кнопками справа от списка. Если вы хотите использовать оповещение по E-mail, то посредством опции Настройка E-mail введите настройки вашего SMTP-сервера (см. ниже).

Ниже показано окно настройки предупреждений:

alarm

В поле Имя описывается назначение текущей функции предупреждения. Установите флажок Включено, если требуется активировать предупреждение, которое вы в данный момент редактируете. Этот флажок совпадает со значением соответствующей колонки в списке предупреждений. В поле Тип события можно выбрать один из семи типов событий:

·Обнаружение пакета: Это предупреждение сработает при обнаружении пакета, соответствующего указанной формуле. Синтаксис формул совпадает с синтаксисом составных правил и подробно описан в главе Универсальные правила.

·Байты в секунду: Это предупреждение сработает при превышении указанного уровня загрузки сети. Значение следует указывать в байтах. Например, если требуется срабатывание при превышении уровня трафика в 1Mbyte/сек, укажите порог, равный 1000000.

·Пакеты в секунду: Это предупреждение сработает при превышении заданного уровня частоты передачи пакетов.

·Бродкасты в секунду: Это предупреждение сработает при превышении указанного уровня частоты передачи широковещательных пакетов.

·Мультикасты в секунду: Это предупреждение сработает при превышении указанного уровня частоты передачи многоадресных пакетов.

·Неизвестный MAC-адрес: Это предупреждение сработает при перехвате программой пакетов с неизвестными MAC-адресами отправителя либо получателя. Опция Настройка позволяет задать список известных адресов. Это предупреждение можно использовать для обнаружения подключений нового или несанкционированного оборудования в сеть.

·Неизвестный IP-адрес: Это предупреждение сработает при перехвате  программой пакетов с неизвестными IP- или IPv6-адресами отправителя либо получателя. Опция Настройка позволяет задать список известных адресов. Это предупреждение можно использовать для обнаружения несанкционированных подключений через корпоративный брандмауэр. Для работы с адресами IPv6 требуется версия Windows XP или выше, а также установленный протокол IPv6.

Поле Сколько событий нужно для срабатывания позволяет установить количество событий, которое должно произойти, чтобы сработало предупреждение. Например, если установить уровень равный 3, предупреждение не сработает, пока событие не произойдёт трижды. При редактировании уже существующего предупреждения происходит обнуление внутреннего счётчика событий.

Поле Кол-во срабатываний определяет, сколько раз может срабатывать предупреждение, прежде чем станет неактивным. По умолчанию, эта величина равна 1, и предупреждение отключится после первого же срабатывания. Увеличив количество, можно настроить CommView на многократные срабатывания предупреждений. При редактировании уже существующего предупреждения происходит обнуление внутреннего счётчика событий.

В поле Действия можно выбрать действие, которое будет исполнено при срабатывании предупреждения. Список возможных действий имеет следующий вид:

·Показать сообщение: появляется сообщение (в немодальном окне) с предварительно записанным сообщением. Данное действие позволяет использовать переменные, в которые будут записаны данные из пакета, вызвавшего срабатывание предупреждения. Ниже приведён список переменных:

%SMAC% -- MAC-адрес источника.

%DMAC% -- MAC-адрес получателя.

%SIP% -- IP-адрес источника.

%DIP% -- IP-адрес получателя.

%SPORT% -- порт-источник.

%DPORT% -- порт-получатель.

%ETHERPROTO% -- имя Ethernet-протокола.

%IPPROTO% -- имя IP-протокола.

%SIZE% -- размер пакета.

%FILE% -- путь к временному файлу, содержащему захваченный пакет.

Например, в сообщении "SYN-пакет получен от %SIP%", в появившемся окне текст %SIP% будет замещён на IP- адрес источника пакета, вызвавшего срабатывание. Если использовать переменную %FILE, в папке временных файлов будет создан файл .NCF, удаление данного файла – ответственность вашего обработчика данных. Не используйте переменные в предупреждениях, срабатывающих по значению Байт в секунду или Пакетов в секунду, так как они не вызываются каким-либо конкретным пакетом.

·Произнести сообщение: дать Windows команду произнести сообщение вслух с помощью встроенного механизма речевого воспроизведения текста. Если в вашей версии Windows нет этого механизма, то данная опция будет недоступна. По умолчанию в состав Windows включен лишь англоязычный речевой модуль, так что Windows может оказаться не в состоянии корректно воспроизвести сообщения, введенные не на английском языке. В тексте сообщения вы можете использовать переменные, описанные выше для опции Показать сообщение.

·Звуковой сигнал: Проигрывает указанный WAV-файл.

·Запустить программу: Запускает указанный EXE- или COM-файл. В поле Параметры можно задать параметры командной строки, если они требуются для запуска приложения. Можно использовать переменные, описанные в пункте Показать сообщение, чтобы передать программе информацию о пакете, вызвавшем срабатывание предупреждения.

·Послать E-mail по адресу: Отправляет E-mail по указанному адресу. ОБЯЗАТЕЛЬНО укажите SMTP-сервер, которым должен пользоваться CommView при отправке. Для этого нажмите кнопку Настройка E-mail, задайте установки SMTP-сервера и отправьте пробное письмо. Зачастую, оповещения по электронной почте можно использовать для отправки сообщений на пейджер, в виде SMS на мобильный телефон или пейджер. Например, чтобы послать сообщение абоненту ICQ, укажите адрес E-mail в виде ICQ_USER_UIN@pager.icq.com, где ICQ_USER_UIN ваш номер в системе ICQ, а в свойствах ICQ установите "Разрешить EmailExpress messages". Подробнее о настройках службы SMS вы можете узнать у своего сотового оператора. В поле Добавить текст можно ввести произвольное сообщения для E-Mail. Вы можете использовать переменные, описанные в секции Показать сообщение.

·Включить правила захвата: Включает Универсальные правила; укажите названия правил, если требуется несколько правил, перечислите их названия через запятую (или точку с запятой).

·Выключить другие предупреждения: Выключает ненужные предупреждения; укажите название предупреждения. Если требуется отключить несколько предупреждений, перечислите их названия через запятую (или точку с запятой).

·Начать запись пакетов: Включает автосохранение (смотрите главу Ведение Log-файлов); CommView начнёт запись перехваченных пакетов на диск.

·Завершить запись пакетов: Выключает автосохранение.

Нажмите OK, чтобы сохранить настройки и закрыть диалог настройки предупреждений.

Все события, и относящиеся к ним действия, перечисляются в поле Запись Событий, которое находится под списком предупреждений.