Фильтрация просматриваемых данных

В окне просмотра данных, захваченных " Сетевым монитором " можно установить фильтры, ограничивающих множество просматриваемых пакетов. Фильтры просмотра используются для отбора кадров по следующим критериям:

• по адресу отправителя или получателя;
• по протоколу передачи кадров;
• по свойствам и значениям, которые содержит кадр.

Включить фильтр просмотра можно через меню " Отображение " — " Фильтр " или кнопкой " Изменить фильтр отображения " на панели инструментов ( ). Панель редактирования фильтра изображена на рис. 16.45:

Рис. 16.45.

Нажатие кнопок логических операторов AND ( И ), OR ( ИЛИ ), NOT ( НЕ ) и значений выражений можно накладывать условия на тип протокола или адреса компьютеров. По умолчанию выбираются все протоколы (" Protocol == Any ") и все сетевые адреса с передачей пакетов в обоих направлениях (" ANY <-> ANY ").

Фильтрация захватываемых данных

Чтобы уменьшить количество захватываемых фреймов, можно установить фильтр захвата до начала процесса захвата фреймов (меню " Запись " — " Фильтр "). Нарис. 16.46 изображена панель редактирования фильтра захвата (записи):

Рис. 16.46.

Резюме

Данный раздел посвящен вопросам мониторинга сетевых узлов и состоит из четырех частей:

• просмотр событий, регистрируемых системой;
• аудит, т.е. целенаправленное отслеживание определенных видов событий;
• мониторинг производительности;
• мониторинг сетевой активности.

Консоль " Просмотр событий " позволяет просматривать события, регистрируемые системой и относящиеся к функционированию различных системных компонент:

• самой операционной системы (журнал " Система ");
• подсистемы безопасности (журнал " Безопасность ");
• подсистемы исполнения приложений (журнал " Приложения ");
• службы каталогов (для контроллеров доменов, журнал " Служба каталогов ");
• службы DNS (если на сервере установлена служба DNS, журнал " DNS-сервер ");
• службы репликации файлов (для контроллеров доменов, журнал " Служба репликации файлов ").

Задача сетевого администратора — регулярный просмотр системных журналов с целью своевременного обнаружения уже возникших или предупреждения потенциальных неисправностей или атак злоумышленников. Для более удобного просмотра событий можно создать отдельную консоль, в которой будут отображаться события группы серверов и, возможно, отдельных рабочих станций.

Аудит различных событий заключается в разработке и реализации в системе политик аудита. Набор категорий событий, подлежащих аудиту, необходимо формировать на основе требований безопасности компании/организации и потенциальных угроз системе безопасности.

После определения и настройки политик аудита задача администратора снова сводится к регулярному просмотру журналов событий (в первую очередь — журнала " Безопасность ").

Третья часть раздела посвящена описанию мониторинга производительности системы Windows. Рассмотрены два основных инструмента — " Диспетчер задач " и консоль " Производительность ". " Диспетчер задач " предназначен для наблюдения и оценки параметров производительности в реальном времени. Консоль "Производительность " позволяет как просматривать параметры производительности в реальном времени, так и накапливать статистику загруженности компонент системы в фоновом режиме с последующим детальным анализом, причем статистика может собираться с нескольких систем одновременно. Работа в режиме оповещений позволяет настроить отправку оповещений администратору в случае отклонения каких-либо параметров от допустимых значений.

Задача сетевого администратора — оценка функционирования системы с точки зрения производительности с целью обнаружения узких мест и принятия решения о перераспределении нагрузки между серверами или приобретении более мощных серверов.

В четвертой части рассказано о мониторинге сетевой активности не сточки зрения производительности и пропускной способности сети, а с точки зрения содержимого передаваемых по сети пакетов (фреймов). Изучение содержимого сетевых пакетов позволяет определить и ликвидировать некоторые сложныесетевые проблемы.

Задача сетевого администратора при анализе сетевой активности — поиск сетевых проблем на основе данных, содержащихся в сетевых фреймах.