Фильтры сбора данных
Функции фильтра сбора данных подобны функциям запросов к базе данных. Их можно использовать для определения типа отслеживаемой информации о сети. Например, чтобы видеть только заданное подмножество компьютеров или протоколов, можно создать базу данных адресов, добавить адреса из базы данных в фильтр, а затем сохранить фильтр в файле. Фильтрация кадров экономит ресурсы буфера сбора данных и время. Позже, при необходимости, можно загрузить файл фильтра сбора данных и использовать фильтр снова.
- Проектирование фильтров сбора данных. Для разработки фильтра сбора данных нужно определить инструкции принятия решения в диалоговом окне Capture Filter (Фильтр записи) (рис. 12.39). В диалоговом окне Capture Filter (Фильтр записи) отображается дерево принятия решения фильтра, графически представляющее логику фильтра. При включении или исключении информации из определения фильтра сбора данных дерево принятия решения отражает такого рода изменения.
- Фильтрация в соответствии с протоколом. Чтобы перехватывать кадры, посланные с использованием специфического протокола, надо задать этот протокол в фильтре SAP/ETYPE = "хххх". Например, чтобы собирать только IP-пакеты, нужно запретить все протоколы и затем разрешить перехват IP ETYPE 0x800 и SAP IP 0x6. По умолчанию разрешены все протоколы, поддерживаемые сетевым монитором.
- Фильтрация по адресу. Чтобы сохранять кадры, переданные между заданными компьютерами сети, нужно определить одну или более пар адресов в фильтре сбора данных, при этом можно задать до четырех пар адресов одновременно.
- Фильтрация по образцу данных. Когда выполняется фильтрация трафика в соответствии с образцом, необходимо задать положение образца в кадре (количество байтов с начала или с конца). Задавая соответствие образцу в фильтре сбора данных, можно:
- ограничить сбор данных только теми кадрами, которые содержат образец данных, заданный кодом ASCII или в шестнадцатеричном виде;
- задать число байтов в кадре (смещение), которые должны быть просмотрены на соответствие образцу.
- Триггер сбора данных. Под триггером понимается набор условий, при выполнении которых инициируется некоторое действие. Например, перед использованием сетевого монитора при сборе данных в сети можно установить триггер, который остановит процесс сбора данных или запустит некоторую программу, или выполнит командный файл.
Рис. 12.39. Диалоговое окно фильтра записи