- •Iris™ The Network Traffic Analyzer
- •Возможности Iris
- •Быстрый старт
- •Поиск определенного текста
- •Левая панель выбора модулей
- •Строка состояния
- •Окно Декодирования
- •Активность хостов
- •Просмотр сессий
- •Данные сессии
- •Распространение протоколов
- •Статистика размеров
- •Статистика хостов
- •Пропускная способность
- •Отчеты по трафику
- •Настройки Настройка сбора данных (Capture)
- •Настройка декодирования (Decode)
- •Расписание (Schedules)
- •Устройства (Adapters)
- •Настройка защитной блокировки (Guard)
- •Разное (Miscellaneous)
- •Фильтры аппаратного обеспечения
- •Уровень 2,3
- •Mac адреса
- •Ip адреса
- •Фильтр портов
- •Дополнительные фильтры
- •Лог сбора данных
- •Лог декодера
- •Параметры командной строки
Фильтр портов
Фильтр позволяет отслеживать пакеты с определенных TCP портов.
Список портов можно сортировать по назначению и номеру.
Задание портов
Список портов может быть задан в файле proto.dat. Для TCP портов редактируйте раздел [TCP PORTS] .
Могут быть добавлены новые порты, а существующие - изменены.
Примечние: Номера портов нужно вводить в десятичном формате.
Дополнительные фильтры
Size Используйте этот фильтр чтобы пропускать пакеты размером большим, меньшим, совпадающим или не совпадающим с заданным значением в байтах.
Hex data Это правило обрабатывает пакеты которые не могут быть обработаны другими фильтрами и содержащие заданный шаблон (в HEX-формате) в заданной позиции.
Примечание:
данные в HEX-формате на подобие "FF A0 xx 11 23" будут рассмотрены как буфер 2 байт: FF A0)
чтобы найти заданный шаблон не указывая конкретной его позиции поле позиции задайте 0xFFFF.
Логи
Лог сбора данных
Enable Capture logging - Включить/выключить лог сбора данных Create capture logs (.cap) Если выбрана эта опция, то Iris будет записывать полные логи в бинарном формате (с возможностью их последующего декодирования). Имя файла лога содержит дату и время и имеет расширение .cap.
Create report files (.csv) Iris создает csv-файл с содержанием похожим на это:
|
No |
Timestamp |
Type |
Protocol |
IP src |
IP dest |
Size |
|
0 |
3:0:0:000 |
IP |
TCP->POP3 |
xxx.xxx.xxx.xxx |
xxx.xxx.xxx.xxx |
62 |
|
1 |
3:0:0:000 |
IP |
TCP->POP3 |
xxx.xxx.xxx.xxx |
xxx.xxx.xxx.xxx |
1514 |
Select report fields Указывает поля которые должны быть записаны в лог (в режиме Create report files).
Make daily folders Iris будет создавать новую поддиректорию каждый день для хранения логов.
Folder Папка для хранения логов.
Keep Only Last X days Iris будет хранить логи только за указанные X дней, а старые удалять (полезно для экономии дискового пространства).
Лог декодера
Типы логов Iris может хранить серверную, клиентскую или обе части сессий.
Сесии можно писать в один файл или в множество (в последнем случае задается ограничение на размер каждого файла).
Save No more than # lines задает ограничение на кол-во сохраняемых строк данных из каждого пакета.
Entire session сохраняет все данные.
Параметры запуска
Параметры командной строки
|
/autostart |
-сворачивает программу в системный трей и запускает сбор данных |
|
/f: <filter filename> |
-загружает файл фильтров |
|
/? |
-отображает возможные параметры командной строки |
|
/quiet |
-Iris не будет отбражать иконку в системном трее. Эту опцию можно использовать вместе с параметром /autostart. Чтобы вызвать Iris запустите программу снова. |