Home
Contents

Мониторинг Сетевого Контента - NetResident

Prev Page Next Page
 
Введение
Краткий обзор
Системные требования
Какой сетевой трафик может анализировать NetResident
Что нового в NetResident 3.0
Архитектура NetResident
Установка NetResident
Перед началом работы: «прозрачность вашей сети»
Шаг 1: Установка сервиса и консоли NetResident
Шаг 2: Установка агентов NetResident
Обеспечение взаимодействия между компонентами системы
Полезные советы
Настройка базы данных
Шаг 1: Создание новой базы данных и файла настроек
Шаг 2. Выбор SQL-сервера
Шаг 3. Выбор расположения и имени для базы данных
Шаг 4. Установка ключа доступа для базы данных
Шаг 5. Сводный отчет
Работа с программой
События
Подключения
Предупреждения
О программе
Фильтр отображения и фильтр перехвата. В чем разница?
Удаленные подключения к сервису NetResident
Псевдонимы
Рабочая область
Добавление исключений для агентов NetResident
Установка SQL-сервера вручную
Анализ импортированных файлов перехвата
Часто задаваемые вопросы
Покупка и поддержка

События

Страница События является основным окном, в котором отображается список обнаруженных событий, и который позволяет просматривать детальную информацию о каждом событии и его содержимое. Работать с этой страницей очень просто: вы можете выбрать из списка любое событие (например, веб-страницу), и содержимое страницы будет сразу же показано в окне детальной информации. Представление данных можно настроить на вкладке События.

Список События получает информацию из всех доступных точек сбора данных, установленных пользователем; это может быть как сервис NetResident, так и агенты NetResident. Захваченные данные автоматически поступают в консоль, в свою очередь, консоль обновляет список событий каждые 30 секунд. Список можно обновить вручную, нажав кнопку Обновить.

Так как число захваченных событий в загруженной сети может достигать огромных величин, неотфильтрованный список событий может содержать тысячи и даже миллионы записей. Изучение такого списка было бы проблематичным, если бы вы не использовали вкладку Фильтр, которая позволяет выбрать определенные протоколы, даты или компьютеры.

Проводник – это еще один инструмент, который может кардинально упростить просмотр событий. Проводник, расположенный в левой части вкладки События, группирует события по протоколу и дате. Когда вы выбираете определенный узел, список отображает только те события, которые соответствуют выбранному протоколу и дате. В список также автоматически добавляются несколько дополнительных колонок с данными, уникальными для этого прокола. Проводник создает список динамически, не обращаясь к серверу базы данных, поэтому список узлов содержит только те элементы, которые прошли через фильтр перехвата и через фильтр отображения.

Меню на странице События имеет две вкладки: События и Фильтр.

Вкладка "События"

events tab

С помощью пунктов меню, размещенных на вкладке События, вы можете настроить представление данных, которые показывает программа. Пункты меню описаны ниже.

События

·Импорт – импортирует данные из файлов перехвата, созданных продуктами TamoSoft, а также другими приложениями. Подробную информацию об этом вы можете найти в главе Анализ импортированных файлов перехвата.

·Обновить – обновляет список событий, полученный с помощью сервиса NetResident, применяя выбранный фильтр.

·Удалить все – удаляет все события из базы данных; это действие нельзя отменить.

·Найти – показывает или скрывает панель поиска, которая позволяет искать соответствия в списке событий, например, по дате, источнику, адресу и т.д.

·Сохранить список – экспортирует и сохраняет список событий в такие форматы, как HTML, CSV, TXT и RTF.

Просмотр

·Проводник – показывает/скрывает окно проводника.

·Детали – показывает/скрывает окно детальной информации о событии.

·Справа, слева, снизу – управляет местоположением окна, отображающего детальную информацию о событии.

Сервер БД

·Выбрать БД – позволяет выбрать базу данных, из которой будут отображаться события.

Режим адресов

·IP-адрес – показывать в колонках «Сторона А» и «Сторона В» их IP-адреса.

·MAC-адрес – показывать в колонках «Сторона А» и «Сторона В» их MAC-адреса.

·Псевдоним – показывать в колонках «Сторона А» и «Сторона В» псевдонимы, которые пользователь присвоил сторонам вместо их IP-адресов и MAC-адресов.

·Псевдонимы – показать окно, в котором можно создать или отредактировать псевдонимы.

·IP -> хост – когда эта опция включена, программа будет пытаться преобразовать IP-адреса в их символьное представление.

Рабочая область

Вид

·Загрузить вид – загрузить рабочую область из файла.

·Сохранить вид – сохранить текущую рабочую область в файл.

·Меню может дополнительно содержать список недавно использованных рабочих областей.

Окна

·Новое окно – открыть другую консоль. Вы можете работать с несколькими окнами одновременно. Например, можно просмотреть список вчерашних событий в одном окне, а список событий, произошедших сегодня, открыть в другом окне.

·Упорядочить все, В ряд – вы можете расположить открытые окна консолей в желаемом порядке.

Вкладка "Фильтр"

events_filter tab

С помощью пунктов меню, расположенных на вкладке Фильтр, вы можете отсортировать события, представляющие для вас интерес, а также отсеять те события, которые не важны. После того как вы сконфигурируете параметры фильтра(ов), нажмите кнопку Применить, чтобы применить действие новых фильтров.

Источники

·Добавить – указать источники сетевых событий. Такими источниками могут быть сервис NetResident, агенты NetResident или вручную импортированные файлы перехвата. По умолчанию, если не добавлены источники событий, NetResident показывает события из всех источников. При добавлении источника(ов) и нажатии кнопки Применить (расположена в правой части меню на вкладке Фильтр), будут показаны события только из указанных источников.

Дата и время

·Добавить – указать временные рамки для отбора сетевых событий. По умолчанию, если временные рамки не установлены, NetResident показывает все события. При указании временных рамок и нажатии кнопки Применить (расположена в правой части меню на вкладке Фильтр), будут показаны только те события, которые произошли в указанный период времени. Щелкните кнопкой мыши на стрелку, чтобы применить один из фильтров: Сегодня, Вчера или Эта неделя.

Протоколы

·Web, FTP и т.д. – поставить/удалить флажки рядом с названиями протоколов, чтобы добавить/исключить события на основе этих протоколов. Чтобы получить доступ к дополнительным настройкам фильтра, нажмите на иконку шестерёнки, которая расположена рядом с названиями некоторых протоколов. Например, вы можете добавить/удалить события, отфильтровав их по веб-ссылке. Нажмите кнопку Применить, чтобы настройки фильтра вступили в силу. Обратите внимание, что этот фильтр является фильтром отображения; подробнее об этом можно прочитать в разделе Фильтр отображения и фильтр перехвата. В чем разница?

Содержимое

·Введите текст или выражение – поиск произвольного текста. Поисковый запрос может содержать отдельные слова или фразы естественного языка. Фразы, содержащие такие слова как И и ИЛИ, игнорируются. Используйте кавычки, чтобы обозначить запрос как фразу; поставьте знак «+», чтобы показать, что слово должно присутствовать во фразе, а знак «-» будет указывать на отсутствие слова в ней. Введите поисковый запрос и нажмите кнопку Применить, чтобы NetResident показал только те события, которые содержат этот текст. Обратите внимание, что поиск по базе занимает определенное время, поэтому результаты поиска отображаются не сразу.

·По звучанию – если вы активируете эту опцию, то поиск будет учитывать другие грамматические формы слов в вашем запросе. Например, если активирована эта опция, то помимо слова «apply» в результатах поиска будет присутствовать и слово «applies». Эта опция применима только к запросам на английском языке.

·Формы слова – если вы активируете эту опцию, то поисковые результаты будут включать слова, созвучные тем, что были указаны в запросе, например, “Smith” и “Smythe”. Эта опция применима только к запросам на английском языке.

Фильтр

·Применить – применить текущий фильтр и обновить список событий.

·Загрузить – загрузить настройки фильтра, которые вы сохранили ранее. При нажатии на стрелку отобразится список недавно сохраненных настроек фильтров.

·Сохранить – сохранить текущие настройки фильтра в файл.

·Очистить – сбросить все фильтры, включая дополнительные настройки, и обновить список событий.

Настройки фильтра сохраняются автоматически при закрытии программы и запускаются снова, когда вы повторно открываете NetResident.