科来网络分析系统CSNAS是一个集数据包采集、解码、分析、统计、日志、图表等多种功能为一体的网络检测分析工具,它具有流量检测、错误统计、协议分析、数据包解码、重现用户原始操作等功能。系统运行时将对网络通讯进行实时的采集-分析-输出操作,可有效反映网络通讯状况和网络结构。
系统的 “分析选项”设置,可以更灵活地满足分析师对各种不同场景进行分析时调整设置,另分析工作事半功倍。
一、分析设置的位置
1.在CSNAS启动界面中进行“分析设置”,如图1:
图1 初始界面中的“分析设置”位置
2.进入分析界面后,通过“文件”菜单,进入“分析设置”,如图2:
图2 主分析界面中的“分析设置”位置
3.在CSNAS分析界面中,在菜单栏下面有一行独立的“工具栏”,工具栏中包括“分析设置”的按钮,如下图3:
图3 工具栏中的“分析设置”位置
二、分析设置详细介绍
1.常规信息
分析设置由多个不同的分析模块组成,并且不同的分析设置,其针对的分析重点有所不同,在分析设置常规设置中,提供分析设置的模块设置,您可以自定义设置分析设置加载的分析模块,如下图4:
图4 基本设置
说明:分析对象常规设置只有在开始分析任务之前才能设置(即在系统开始页面中编辑分析设置时有效),当已经开始分析任务时,将不会加载里面的设置。
2.分析对象
在分析对象设置对话框中自定义需要统计和分析的网络对象以及网络对象的数量,网络分析对象包括网络协议、IP地址(组)、物理地址(组)、会话等。如下图5:
图5 分析对象设置
说明:数字设置越大,将会更消耗主机性能。但如果实际数据包中的指标数量超过设置的上限,将会出现“分析页面空白”不显示的情况(一般可能出现在分析特别巨大的数据包情况下,此时应增大分析缓存和分析对象的数目)。
3.诊断设置
诊断设置中,本系统支持的所有诊断事件均以树形结构展现给您查看。所有的诊断事件都是以协议层来分类,即:应用层、传输层、网络层、数据链路层。这样我们对于网络出现的故障,我们便能很快判断出是网络的哪一层出了问题。如下图6:
图6 诊断设置
“诊断”的判断阈值用户可自己调整,诊断告警的颜色也可以修改。
4.分析视图显示
不同的分析方案,其分析主视图有所不同。系统默认有多种主视图区用于网络统计、分析及诊断数据的输出显示,用户可以根据使用习惯自定义开启/关闭视图显示或调整视图显示顺序,如下图7:
图7 分析视图
分析视图可以在开始分析后,进入分析主界面,再在视图页面的右上角进行添加、删除。
5.节点分组
节点分组主要是用来帮助您自定义不同的网络节点分组,将您网络中的IP节点和MAC节点按部门或VLAN分别归类,可以更方便快捷的找到您网络中出现问题的主机,帮助您更好的管理您的网络。如下图8:
图8 节点分组
6.数据包显示缓存、过滤和保存
数据包显示缓存设置主要对数据包显示缓存大小、数据包缓存模式进行设置,其界面如下图9:
图9 数据包显示缓存
说明:如果数据包大小大于了设置的显示缓存,多出部分将不会在分析页面中显示出来。
数据包分析过滤器、存储过滤器将在“数据包过滤器介绍”的文章中单独介绍,此处不再解释。
数据包保存,如图10:
图10 数据包保存设置
可对数据包进行分割保存,制定单包大小(切包)等。
7.会话筛选器
一种针对会话的过滤器(分析过滤器),如下图11:
图11 会话筛选器
文件还原设置:自动还原未加密流量中的文件。如下图12:
图12 还原设置
8.日志设置
系统支持多种常见网络应用的日志记录与保存,包括全局日志、诊断日志、DNS日志、Email日志、FTP传输日志、网络登录日志、SSL证书日志、HTTP日志、VoIP事件日志和VoIP呼叫日志。您可以在日志设置对话框中自定义设置每种日志的缓存大小以及是否开启对该日志的保存,日志设置对话框如下图13:
图13 日志设置
说明:缓存日志的大小空间可以调整,分析特大型数据包时,才需要调整。
对于日志的保存,可进行如下设置,如图14:
9.警报
警报对话框中显示了您创建的所有警报信息,可以启用、禁用或者编辑修改警报条件,并可以进行导入/导出操作。此外,可以设置自动保存警报日志,当警报触发时,会根据您的设置自动保存触发警报时的相关信息,如图15:
图15 设置警报
点击右侧的“添加”按钮,可进行具体的警报设置,如图16:
图16 警报设置
触发警报动作:当有警报触发时:可以选择通过发送邮件或声音进行警报提醒,在网络档案配置中,需要预先设置报警邮件参数或报警声音。警报触发动作设置界面如下图16:
图17 警报触发动作
以上为“分析设置”的详细介绍,推荐大家在使用CSNAS进行分析前,提前做好分析设置,这将大大提升你的分析效率。