Pakete

Ein Netzwerkpaket ist eine kleine Datenmenge, die über TCP/IP-Netzwerke (Transmission Control Protocol/Internet Protocol) gesendet wird. Das ExtraHop-System ermöglicht es Ihnen, diese Pakete kontinuierlich mit einer Trace-Appliance zu sammeln, zu durchsuchen und herunterzuladen. Dies kann nützlich sein, um Netzwerkeinbrüche und andere verdächtige Aktivitäten zu erkennen.

Sie können auf der Seite Pakete im ExtraHop-System nach Paketen suchen und diese herunterladen und über Paketsuche Ressource in der ExtraHop REST-API. Heruntergeladene Pakete können dann mit einem Drittanbieter-Tool wie Wireshark analysiert werden.

Hinweis:Wenn Sie keine Trace-Appliance haben, können Sie Pakete trotzdem über löst aus. siehe Initiieren Sie präzise Paketerfassungen, um Bedingungen ohne Fenster zu analysieren für ein Beispiel.
Video:Sehen Sie sich die entsprechende Schulung an: Pakete

In Paketen navigieren

Klicken Sie Pakete aus dem oberen Menü, um eine neue Paketabfrage zu erstellen. Auf der Seite Neue Paketabfrage können Sie einen Filter angeben.



Die Ergebnisse erscheinen auf der Hauptseite Pakete Seite. Starten Sie eine weitere Paketabfrage, indem Sie auf Pakete wieder aus dem Hauptmenü.

Wenn Sie das Zeitintervall ändern, beginnt die Abfrage erneut. An beiden Enden des grauen Balkens wird ein Zeitstempel angezeigt, der durch das aktuelle Zeitintervall bestimmt wird. Die Uhrzeit auf der rechten Seite zeigt den Startpunkt der Abfrage an und die Uhrzeit auf der linken Seite zeigt den Endpunkt der Abfrage an. Der blaue Balken gibt den Zeitraum an, in dem das System Pakete gefunden hat. Sie können einen Zeitraum in der blauen Leiste durch Ziehen vergrößern, um eine Abfrage für das ausgewählte Zeitintervall erneut auszuführen.

Hinweis: Pakete mit der Berkeley-Paketfilter-Syntax filtern.

Es gibt mehrere Stellen im ExtraHop-System, von denen aus Sie eine Paketabfrage starten können:

  • Geben Sie eine IP-Adresse in das globale Suchfeld ein und wählen Sie dann das Symbol Pakete durchsuchen aus. .

  • Klicken Sie Pakete auf einer Geräteseite.

  • Klicken Sie auf das Paketsymbol neben einem beliebigen Datensatz auf der Ergebnisseite einer Datensatzabfrage.

  • Klicken Sie in einem Diagramm mit Metriken für Netzwerkbytes oder Pakete nach IP-Adresse auf eine IP-Adresse oder einen Hostnamen, um ein Kontextmenü aufzurufen. Klicken Sie dann auf das Paketsymbol um das Gerät und das Zeitintervall abzufragen.

Last modified 2024-04-10