Фильтрация просматриваемых данных
В окне просмотра данных, захваченных " Сетевым монитором " можно установить фильтры, ограничивающих множество просматриваемых пакетов. Фильтры просмотра используются для отбора кадров по следующим критериям:
- по адресу отправителя или получателя;
- по протоколу передачи кадров;
- по свойствам и значениям, которые содержит кадр.
Включить фильтр просмотра можно через меню " Отображение " — " Фильтр " или кнопкой " Изменить фильтр отображения " на панели инструментов ( ). Панель редактирования фильтра изображена на рис. 16.45:
Рис. 16.45.
Нажатие кнопок логических операторов AND ( И ), OR ( ИЛИ ), NOT ( НЕ ) и значений выражений можно накладывать условия на тип протокола или адреса компьютеров. По умолчанию выбираются все протоколы (" Protocol == Any ") и все сетевые адреса с передачей пакетов в обоих направлениях (" ANY <-> ANY ").
Фильтрация захватываемых данных
Чтобы уменьшить количество захватываемых фреймов, можно установить фильтр захвата до начала процесса захвата фреймов (меню " Запись " — " Фильтр "). Нарис. 16.46 изображена панель редактирования фильтра захвата (записи):
Рис. 16.46.
Резюме
Данный раздел посвящен вопросам мониторинга сетевых узлов и состоит из четырех частей:
- просмотр событий, регистрируемых системой;
- аудит, т.е. целенаправленное отслеживание определенных видов событий;
- мониторинг производительности;
- мониторинг сетевой активности.
Консоль " Просмотр событий " позволяет просматривать события, регистрируемые системой и относящиеся к функционированию различных системных компонент:
- самой операционной системы (журнал " Система ");
- подсистемы безопасности (журнал " Безопасность ");
- подсистемы исполнения приложений (журнал " Приложения ");
- службы каталогов (для контроллеров доменов, журнал " Служба каталогов ");
- службы DNS (если на сервере установлена служба DNS, журнал " DNS-сервер ");
- службы репликации файлов (для контроллеров доменов, журнал " Служба репликации файлов ").
Задача сетевого администратора — регулярный просмотр системных журналов с целью своевременного обнаружения уже возникших или предупреждения потенциальных неисправностей или атак злоумышленников. Для более удобного просмотра событий можно создать отдельную консоль, в которой будут отображаться события группы серверов и, возможно, отдельных рабочих станций.
Аудит различных событий заключается в разработке и реализации в системе политик аудита. Набор категорий событий, подлежащих аудиту, необходимо формировать на основе требований безопасности компании/организации и потенциальных угроз системе безопасности.
После определения и настройки политик аудита задача администратора снова сводится к регулярному просмотру журналов событий (в первую очередь — журнала " Безопасность ").
Третья часть раздела посвящена описанию мониторинга производительности системы Windows. Рассмотрены два основных инструмента — " Диспетчер задач " и консоль " Производительность ". " Диспетчер задач " предназначен для наблюдения и оценки параметров производительности в реальном времени. Консоль "Производительность " позволяет как просматривать параметры производительности в реальном времени, так и накапливать статистику загруженности компонент системы в фоновом режиме с последующим детальным анализом, причем статистика может собираться с нескольких систем одновременно. Работа в режиме оповещений позволяет настроить отправку оповещений администратору в случае отклонения каких-либо параметров от допустимых значений.
Задача сетевого администратора — оценка функционирования системы с точки зрения производительности с целью обнаружения узких мест и принятия решения о перераспределении нагрузки между серверами или приобретении более мощных серверов.
В четвертой части рассказано о мониторинге сетевой активности не сточки зрения производительности и пропускной способности сети, а с точки зрения содержимого передаваемых по сети пакетов (фреймов). Изучение содержимого сетевых пакетов позволяет определить и ликвидировать некоторые сложныесетевые проблемы.
Задача сетевого администратора при анализе сетевой активности — поиск сетевых проблем на основе данных, содержащихся в сетевых фреймах.
Дата добавления: 2015-10-13; просмотров: 634;