在安装了 Sensor 和 Central Node 组件的服务器上启用和配置原始网络流量记录

如果您使用分布式解决方案和多租户模式，请在要配置的 PCN 或 SCN 服务器上执行以下步骤。

Kaspersky Anti Targeted Attack Platform 被用来同时保护多个组织或同一组织分支机构的基础架构的运行模式。

安装有 Central Node 组件的服务器的两层架构。此架构分配主控制服务器 （主 Central Node (PCN)）和从属服务器（从属 Central Node (SCN)）。

要在安装了 Central Node 和 Sensor 组件的服务器上启用和配置原始网络流量记录：

1. 连接并配置外部存储。
2. 在应用程序 Web 界面窗口中选择传感器服务器部分。

   服务器列表表格将会显示。

3. 选择名称为localhost 的 Sensor 组件。

   这将打开 Sensor 组件设置页面。

4. 选择SPAN 流量处理部分。

   显示网络接口表。

5. 前往流量记录标签。
6. 在记录流量字段中，将切换开关设置为已启用。

   默认情况下，切换开关位于已禁用位置。

   在安装了 Central Node 和 Sensor 组件的服务器上启用了原始网络流量记录。原始流量记录设置被显示。

   默认情况下，原始网络流量被保存到 /mnt/kaspersky/nta/dumps 目录。您无法更改原始网络流量记录的目录。您可以在 /data/volumes/dumps 目录中查看原始网络流量转储。

7. 如有必要，编辑原始网络流量记录设置：
   1. 在转储存储大小下面的最大存储大小字段中，指定要存储在转储存储中的原始流量转储的最大大小。

      默认情况下，最小值设置为 100 GB。最大值为 1,000,000 TB。为了应用程序正确运行，连接的驱动器必须至少具有指定量的可用磁盘空间。

      如果转储存储中的转储大小超过最大存储大小值，最早的转储将被删除，其总大小等于新转储的大小。

      如果您减小最大转储存储大小，则最早的转储将被删除，其总大小等于最大存储大小变化。

   2. 如果您想限制原始网络流量中的数据捕获，请在保存时流量过滤下面的状态字段中，将切换开关设置为已启用。流量筛选可以减少转储存储中的转储大小并有利于流量分析。

      如果您已将状态字段中的切换开关设置为已启用，请在BPF 过滤规则字段中输入筛选规则。BPF 筛选规则的写入格式为 libpcap。有关语法的更多详细信息，请参阅pcap-filter 手册页。

      筛选表达式示例：

      TCP 端口 102 或 TCP 端口 502

   3. 如果要设置原始网络流量转储的存储持续时间，请在转储存储持续时间下面的状态字段中，将切换开关设置为已启用。在存储时间字段中，输入原始网络流量转储存储持续时间（以天为单位）。存储时间超过指定持续时间的原始网络流量转储将被从存储中删除。
   4. 单击应用。

在具有 Sensor 和 Central Node 组件的服务器上记录原始网络流量根据指定的设置进行。

第一个保存的转储字段显示第一次保存的原始网络流量转储的日期和时间，最后保存的转储字段显示上次原始网络流量转储的日期和时间。