Demo Starten

Stellen Sie einen ExtraHop-Sensor mit Hyper-V bereit

In den folgenden Verfahren wird erklärt, wie der virtuelle ExtraHop EDA 1100v bereitgestellt wird. Sensoren auf der Microsoft Hyper-V-Plattform. Sie müssen Erfahrung mit der Verwaltung Ihres Hypervisor-Produkts haben, um diese Verfahren durchführen zu können.

Anforderungen an virtuelle Maschinen

Ihr Hypervisor muss in der Lage sein, die folgenden Spezifikationen für den virtuellen Sensor.

  • Hyper-V unter Windows Server 2012 (oder höher), das den virtuellen Sensor hosten kann
  • Hyper-V Manager zur Verwaltung der virtuellen Maschine
  • (Optional) Wenn Sie Paketerfassungen aktivieren möchten, konfigurieren Sie während der Bereitstellung ein zusätzliches Speicherlaufwerk. Informationen zum Hinzufügen einer Festplatte finden Sie in der Dokumentation Ihres Anbieters.
  • Die folgende Tabelle enthält die Serverhardwareanforderungen für jedes Sensormodell:
Sensor CPU RAM Festplatte
Zeige (x) EDA 1100v 4 Prozessorkerne mit Hyper-Threading-Unterstützung, VT-x- oder AMD-V-Technologie und 64-Bit-Architektur. Unterstützung für Streaming SIMD Extensions 4.2 (SSE4.2) und POPCNT-Anweisungen. 8 GB Festplatte mit 46 GB oder mehr (Thick-Provisioning)

250 GB oder weniger Festplatte für Paketerfassungen (Thick-Provisioning)
Um die einwandfreie Funktionalität des Virtuellen sicherzustellen Sensor:
  • Ändern Sie bei der Erstinstallation nicht die Standardfestplattengröße. Die Beibehaltung der Standard-Festplattengröße gewährleistet das korrekte Lookback für ExtraHop-Metriken und die korrekte Systemfunktionalität. Wenn Ihre Konfiguration eine andere Festplattengröße erfordert, wenden Sie sich vor der Änderung an Ihren ExtraHop-Vertreter.
  • Migrieren Sie die VM nicht. Obwohl eine Migration möglich ist, wenn sich der Datenspeicher auf einem Remote-SAN befindet, empfiehlt ExtraHop diese Konfiguration nicht.
Wichtig:Wenn Sie mehr als einen virtuellen ExtraHop-Sensor bereitstellen möchten, erstellen Sie die neue Instanz mit dem ursprünglichen Bereitstellungspaket oder klonen Sie eine vorhandene Instanz, die noch nie gestartet wurde.

Netzwerkanforderungen

Sie können den virtuellen oder externen Datenverkehr überwachen.

Intra-VM: Ein 1-GbE-Netzwerkanschluss ist erforderlich (für die Verwaltung). Der Management-Port muss über Port 443 zugänglich sein.

Extern: Zwei 1-GbE-Netzwerkanschlüsse sind erforderlich. Eine für den physischen Port-Mirror und eine für die Verwaltung. Die physische Portspiegelschnittstelle muss mit dem Port-Mirror des Switches verbunden sein. Es ist zwar möglich, einen 10-GbE-Netzwerkanschluss für die Port-Mirror-Schnittstelle zu konfigurieren, dies wird jedoch nicht empfohlen, da der virtuelle Sensor nicht mehr als 1 Gbit/s an Datenverkehr verarbeiten kann.

Hinweis:Alle virtuellen NICs sind standardmäßig im Trunk-Modus konfiguriert. Wenn Sie Ihrer Verwaltungsschnittstelle ein bestimmtes VLAN zuweisen müssen, müssen Sie die Schnittstelle über PowerShell ändern, um die Verwaltungsschnittstelle in den Zugriffsmodus zu ändern.
Wichtig:Um die beste Leistung bei der ersten Gerätesynchronisierung zu gewährleisten, schließen Sie alle Sensoren an die Konsole an und konfigurieren Sie dann die Weiterleitung des Netzwerkverkehrs zu den Sensoren.
Für Registrierungszwecke benötigt der virtuelle Sensor Outbound DNS Konnektivität auf UDP-Port 53, sofern sie nicht von einer ExtraHop-Konsole verwaltet wird.

Installieren Sie die Dateien für Hyper-V

Before you begin

Falls Sie dies noch nicht getan haben, laden Sie die ExtraHop-Sensor-Firmware-Datei für Hyper-V von der ExtraHop Kundenportal und extrahiere den Inhalt aus dem .zip Datei auf Ihren Windows Server-Computer.
  1. Gehen Sie auf Ihrem Windows Server-Computer zu Start Menü und öffnen Sie den Hyper-V-Manager.
  2. Klicken Sie im rechten Bereich des Hyper-V-Managers auf Neu und wähle Virtuelle Maschine importieren....
  3. Wenn der Bevor du anfängst Bildschirm erscheint, klicken Weiter. Fahren Sie andernfalls mit dem nächsten Schritt fort.
  4. Suchen Sie nach dem Ordner mit den entpackten Dateien und klicken Sie auf Weiter.
  5. Wählen Sie die zu importierende virtuelle Maschine aus und klicken Sie auf Weiter.
  6. Wählen Kopieren Sie die virtuelle Maschine und klicken Weiter.
  7. Auf Ordner für Dateien virtueller Maschinen auswählen, wählen Sie den Speicherort für die Konfiguration der VM aus und klicken Sie auf Weiter.
  8. Auf Wählen Sie Speicherordner zum Speichern virtueller Festplatten, wählen Sie einen Speicherort für die virtuellen Festplatten aus und klicken Sie auf Weiter.
  9. Überprüfen Sie auf dem Übersichtsbildschirm Ihre Auswahl und klicken Sie dann auf Fertig stellen.
  10. Warten Sie einige Minuten, bis die Dateien kopiert sind.
  11. Klicken Sie in der Liste Virtuelle Maschinen mit der rechten Maustaste auf die virtuelle Maschine und wählen Sie Start.
  12. Klicken Sie erneut mit der rechten Maustaste auf die virtuelle Maschine und wählen Sie Verbinde.
  13. Klicken Sie oben auf dem Bildschirm auf die grüne Startschaltfläche und warten Sie auf die Anmeldeaufforderung.
  14. Geben Sie an der Anmeldeaufforderung Folgendes ein Schale und drücken Sie dann die EINGABETASTE.
  15. Geben Sie an der Passworteingabeaufforderung Folgendes ein Standard, und drücken Sie dann die EINGABETASTE.
  16. Führen Sie das aus ipaddr anzeigen Befehl zur Anzeige der IP-Adresse und Netzmaske des Sensor. Sie benötigen die IP-Adresse, um die ExtraHop-Lizenz im nächsten Verfahren anzuwenden.
    Hinweis:Wenn Ihr Netzwerk dies nicht unterstützt DHCP, siehe Eine statische IP-Adresse konfigurieren um eine statische IP-Adresse festzulegen.

Konfigurieren Sie eine statische IP-Adresse über die CLI

Das ExtraHop-System ist standardmäßig konfiguriert mit DHCP aktiviert. Wenn Ihr Netzwerk DHCP nicht unterstützt, wird keine IP-Adresse abgerufen, und Sie müssen eine statische Adresse manuell konfigurieren.

Sie können eine statische IP-Adresse für das ExtraHop-System manuell über die CLI konfigurieren.
Wichtig:Wir empfehlen dringend Konfiguration eines eindeutigen Hostnamens. Wenn sich die System-IP-Adresse ändert, kann die ExtraHop-Konsole die Verbindung zum System einfach über den Hostnamen wiederherstellen.
  1. Greifen Sie über eine SSH-Verbindung auf die CLI zu, indem Sie eine USB-Tastatur und einen SVGA-Monitor an die physische ExtraHop-Appliance anschließen, oder über ein serielles RS-232-Kabel ( Nullmodem) und ein Terminalemulatorprogramm. Stellen Sie den Terminalemulator auf 115200 Baud mit 8 Datenbits, ohne Parität, 1 Stoppbit (8N1) und deaktivierter Hardware-Flusskontrolle ein.
  2. Geben Sie an der Anmeldeaufforderung ein Schale und drücken Sie dann die EINGABETASTE.
  3. Geben Sie an der Passwortaufforderung Folgendes ein Standard, und drücken Sie dann die EINGABETASTE.
  4. Führen Sie die folgenden Befehle aus, um die statische IP-Adresse zu konfigurieren:
    1. Aktiviere privilegierte Befehle: 
      enable
    2. Geben Sie an der Passwortaufforderung Folgendes ein Standard, und drücken Sie dann die EINGABETASTE.
    3. Rufen Sie den Konfigurationsmodus auf: 
      configure
    4. Rufen Sie den Schnittstellenkonfigurationsmodus auf: 
      interface
    5. Geben Sie die IP-Adresse und die DNS-Einstellungen im folgenden Format an:
      ip ipaddr <ip_address> <netmask> <gateway> <dns_server>
      Zum Beispiel: 
      ip ipaddr 10.10.2.14 255.255.0.0 10.10.1.253 10.10.1.254
    6. Verlassen Sie den Schnittstellenkonfigurationsmodus: 
      exit
    7. Speichern Sie die laufende Konfigurationsdatei: 
      running_config save
    8. Typ y und drücken Sie dann ENTER.

Den Sensor konfigurieren

  1. Loggen Sie sich in die Administrationseinstellungen des ExtraHop-Systems ein über https://<extrahop-hostname-or-IP-address>/admin.
    Der Standard-Anmeldename ist setup und das Passwort ist die VM-Instanz-ID. Der Standard-Anmeldename ist setup und das Passwort ist default.
  2. Akzeptieren Sie die Lizenzvereinbarung und melden Sie sich dann an.
  3. Folgen Sie den Anweisungen, um den Produktschlüssel einzugeben, das Standard-Setup und die Passwörter für das Shell-Benutzerkonto zu ändern, eine Verbindung zu den ExtraHop Cloud Services herzustellen und eine Verbindung zu einer ExtraHop-Konsole herzustellen.

Nächste Maßnahme

Nachdem das System lizenziert ist und Sie sich vergewissert haben, dass Datenverkehr erkannt wird, führen Sie die empfohlenen Verfahren in der Checkliste nach der Bereitstellung .

Mirror Wire-Daten

Dieser Abschnitt enthält Verfahren zum Spiegeln von Daten auf Ihre virtuelle ExtraHop-Appliance.

Spiegelung von internem und externem Verkehr

Der virtuelle ExtraHop-Sensor kann in den folgenden Netzwerkkonfigurationsbeispielen für die Überwachung des Netzwerkverkehrs konfiguriert werden. Jedes Beispiel erfordert eine Änderung der Netzwerkkonfiguration seines Hypervisor-Hosts und gibt Netzwerkadapter 1 als Verwaltungsschnittstelle an.

Hinweis:Für die Überwachung des externen Netzwerkdatenverkehrs mit Spiegelung sind eine externe Netzwerkkarte und ein zugehöriger virtueller Switch erforderlich.

Überwachung des VM-internen Datenverkehrs

Die Sensor kann so konfiguriert werden, dass der Netzwerkverkehr einer anderen VM auf demselben Host überwacht wird, indem Sie wählen Port-Spiegelung Modus im Hyper-V-Manager. Eine virtuelle ExtraHop-Maschine, die im Port-Mirroring-Modus ausgeführt wird, kann nur eine andere virtuelle Maschine überwachen, die auf demselben virtuellen Switch läuft.

Aktivieren Sie den Port-Spiegelungsmodus im Hyper-V-Manager

  1. Klicke mit der rechten Maustaste auf ExtraHop Sensor VM und wählen Einstellungen.
  2. expandieren Netzwerkadapter und klicken Erweiterte Funktionen.
  3. In der Port-Spiegelung Klicken Sie im Abschnitt auf die Dropdownliste Spiegelungsmodus und wählen Sie Quelle.
  4. Notieren Sie sich das Quellnetzwerk und stellen Sie sicher, dass sich die Capture-Schnittstelle auf der ExtraHop-VM im selben Netzwerk befindet.
  5. klicken Bewerben.
  6. klicken OK.
  7. Wiederholen Sie diese Schritte für alle VMs, die Sie überwachen möchten, mit Ausnahme der ersten VM, die Sie in diesem Verfahren erstellt haben.

Überwachung des externen gespiegelten Datenverkehrs zur VM

Dieses Szenario erfordert eine zweite physische Netzwerkschnittstelle und die Erstellung eines zweiten vSwitches, der dieser NIC zugeordnet ist. Diese NIC stellt dann eine Verbindung zu einem Mirror, Tap oder Aggregator her, der den Datenverkehr von einem Switch kopiert. Dieses Setup ist nützlich für die Überwachung des Intranets eines Büros.

  1. Klicken Sie mit der rechten Maustaste auf die ExtraHop-Sensor-VM und wählen Sie Einstellungen.
  2. expandieren Netzwerkadapter und klicken Fortgeschrittene Funktionen.
  3. Klicken Sie im Abschnitt Port-Mirroring auf Spiegelungsmodus Drop-down-Liste und wählen Reiseziel.
  4. klicken Bewerben.
  5. klicken OK.
  6. Erweitern Sie den virtuellen Switch, der dem externen Datenfeed zugeordnet ist, und aktivieren Sie den Microsoft NDIS-Erfassung Schalter. Sie können die Warnung ignorieren, dass die ausgewählte Erweiterung nicht ordnungsgemäß funktioniert.
  7. klicken Bewerben, und klicken Sie dann OK.
  8. Starten Sie Windows PowerShell mit Administratorrechte.
  9. Konfigurieren Sie den externen Port des virtuellen Switches, indem Sie die folgenden Befehle ausführen:
    1. Speichern Sie die FeatureName Parameter in einer Variablen: 
      $portFeature=Get-VMSystemSwitchExtensionPortFeature -FeatureName "Ethernet Switch Port Security Settings"
    2. Ändern Sie den Monitormodus des virtuellen Switches auf Quelle: 
      $portFeature.SettingData.MonitorMode = 2
    3. Fügen Sie dem virtuellen Switch einen externen Port hinzu, der den FeatureName in Schritt 9a spezifizierter Parameter: 
      add-VMSwitchExtensionPortFeature -ExternalPort -SwitchName <name_of_switch> -VMSwitchExtensionFeature $portFeature

      Wo <name_of_switch> ist der Name des virtuellen Switches.

  10. Optional: Um gespiegelten Datenverkehr von mehreren VLANs zu empfangen, setzen Sie die VM-NIC in den Trunk-Modus und geben Sie eine Liste der zulässigen VLAN-IDs an, indem Sie den folgenden Befehl ausführen: 
    Set-VMNetworkAdapterVlan -VMName <destination_vm> -Trunk -AllowedVlanIdList <id_list> -NativeVlanId <vlan_id>

    Wo <destination_vm> ist der Name der ExtraHop VM, <id_list> ist die Liste der erlaubten VLAN-IDs und <vlan_id> ist die ID des Standard-VLAN.

    Zum Beispiel:
    Set-VMNetworkAdapterVlan -VMName EDA1100v -Trunk -AllowedVlanIdList 1-100 -NativeVlanId 10

Paketweiterleitung

Ein Paket Forwarder leitet den Verkehr von einem beliebigen Host an das ExtraHop-System weiter. Ein Paket Forwarder ähnelt konzeptionell einem physischen Netzwerk-Tap, ist jedoch in Software implementiert. In diesen Themen und in der Branche wird diese Software abwechselnd als Software Tap oder manchmal als RPCAP bezeichnet, was für Remote Packet Capture steht.

Um den Paket Forwarder zu implementieren, stellen Sie Folgendes sicher:

  • Sie haben administrativer Zugriff Server, die Sie überwachen möchten.
  • Sie verwenden ein 64-Bit-Linux- oder Windows-Betriebssystem (Windows Server 2008 R2 oder 2012).

Gehen Sie wie folgt vor, um die korrekte Funktionalität der virtuellen ExtraHop-Appliance sicherzustellen:

  • Stellen Sie sicher, dass RPCAP auf der virtuellen ExtraHop-Appliance aktiviert ist. Sehen Sie die Konfiguration zusätzlicher RPCAP-Einstellungen Abschnitt für optionale Einstellungen.
  • Installieren Sie den Paket Forwarder auf den Servern, die Datenverkehr senden.
  • Analysieren Sie den Verkehr im ExtraHop-System.

Installieren Sie den Paket Forwarder auf einem Linux-Server

Sie müssen die Paketweiterleitungssoftware auf jedem Server installieren, der überwacht werden soll, um Pakete an das ExtraHop-System weiterzuleiten.

RPCAP-Installationsdateien und Anweisungen finden Sie unter ExtraHop Downloads und Ressourcen Webseite.
Downloaden und auf Debian-basierten Systemen installieren

Um den Paket Forwarder auf Debian-basierten Systemen herunterzuladen und zu installieren:

  1. Laden Sie die RPCAP-Installationsdatei vom ExtraHop herunter Downloads und Ressourcen Webseite.
  2. Installieren Sie die Software auf dem Server, indem Sie den folgenden Befehl ausführen: 
    sudo dpkg -i rpcapd_<extrahop_firmware_version>_amd64.deb
  3. Geben Sie an der Eingabeaufforderung die IP-Adresse des ExtraHop-Systems ein, bestätigen Sie die Standardverbindung zu Port 2003 und drücken Sie die EINGABETASTE.
  4. Optional: Stellen Sie sicher, dass das ExtraHop-System Datenverkehr empfängt, indem Sie die folgenden Befehle ausführen: 
    sudo dpkg --get-selections | grep rpcapd

    sudo service rpcapd status
  5. Optional: Führen Sie den folgenden Befehl aus, um die IP-Adresse, die Portnummer oder die Argumente des ExtraHop-Systems für den Dienst zu ändern. 
    sudo dpkg-reconfigure rpcapd
Herunterladen und Installieren auf RPM-basierten Systemen
  1. Laden Sie die RPCAP-Installationsdatei vom ExtraHop herunter Downloads und Ressourcen Webseite.
  2. Installieren Sie die Software auf dem Server, indem Sie den folgenden Befehl ausführen: 
    sudo rpm -i rpcapd-<extrahop_firmware_version>.x86_64.rpm
  3. Öffne und bearbeite den rpcapd.ini Datei in einem Texteditor, indem Sie einen der folgenden Befehle ausführen: 
    vim /opt/extrahop/etc/rpcapd.ini
    nano /opt/extrahop/etc/rpcapd.ini
    Beispiel für eine Ausgabe:
    #ActiveClient = <TARGETIP>,<TARGETPORT>
NullAuthPermit = YES
UserName = rpcapd

    Ersetzen <TARGETIP> mit der IP-Adresse des ExtraHop-Systems und <TARGETPORT> mit 2003. Entkommentieren Sie die Zeile zusätzlich, indem Sie das Nummernzeichen löschen (#) am Anfang der Zeile.

    Zum Beispiel:
    ActiveClient = 10.10.10.10,2003
NullAuthPermit = YES
UserName = rpcapd
  4. Starten Sie das Senden des Datenverkehrs an das ExtraHop-System, indem Sie den folgenden Befehl ausführen: 
    sudo /etc/init.d/rpcapd start
  5. Optional: Stellen Sie sicher, dass das ExtraHop-System Datenverkehr empfängt, indem Sie den folgenden Befehl ausführen: 
    sudo service rpcapd status
Downloaden und auf anderen Linux-Systemen installieren
  1. Laden Sie die RPCAP-Installationsdatei vom ExtraHop herunter Downloads und Ressourcen Webseite.
  2. Installieren Sie die Software auf dem Server, indem Sie die folgenden Befehle ausführen:
    1. Extrahieren Sie die Paket Forwarder-Dateien aus der Archivdatei: 
      tar xf rpcapd-<extrahop_firmware_version>.tar.gz
    2. Wechseln Sie zu rpcapd Verzeichnis: 
      cd rpcapd
    3. Führen Sie das Installationsskript aus: 
      sudo ./install.sh <extrahop_ip> 2003
  3. Optional: Stellen Sie sicher, dass das ExtraHop-System Datenverkehr empfängt, indem Sie den folgenden Befehl ausführen: 
    sudo /etc/init.d/rpcapd status
Informationen zum Ausführen der Software auf Servern mit mehreren Schnittstellen finden Sie unter Überwachung mehrerer Schnittstellen auf einem Linux-Server.

Installieren Sie den Paket Forwarder auf einem Windows-Server

Sie müssen die Paketweiterleitungssoftware auf jedem zu überwachenden Server installieren, um Pakete an das ExtraHop-System weiterzuleiten.

  1. Laden Sie die Installationsdatei für RPCAP Service für Windows vom ExtraHop herunter Downloads und Ressourcen Webseite.
  2. Doppelklicken Sie auf die Datei, um das Installationsprogramm zu starten.
  3. Wählen Sie im Assistenten die zu installierenden Komponenten aus.
  4. Schließe das ab ExtraHop-IP und ExtraHop-Anschluss Felder und Klick Weiter. Der Standardport ist 2003.
  5. Optional: Geben Sie zusätzliche Argumente in das Textfeld ein und klicken Sie auf Weiter.
  6. Suchen Sie den Zielordner für die Installation des RPCAP-Dienstes und wählen Sie ihn aus.
  7. Wenn der RPCAP-Dienst zuvor installiert war, klicken Sie auf Ja um den vorherigen Dienst zu löschen.
  8. Wenn die Installation abgeschlossen ist, klicken Sie Schliessen.

Überwachung mehrerer Schnittstellen auf einem Linux-Server

Für Server mit mehreren Schnittstellen können Sie den Paketweiterleiter so konfigurieren, dass er Pakete von einer bestimmten Schnittstelle oder von mehreren Schnittstellen weiterleitet, indem Sie seine Konfigurationsdatei auf dem Server bearbeiten.

Gehen Sie wie folgt vor, um die Konfigurationsdatei zu bearbeiten.

  1. Öffnen Sie nach der Installation des Paketweiterleiters die Konfigurationsdatei, /opt/extrahop/etc/rpcapd.ini.
    Die Konfigurationsdatei enthält diesen oder einen ähnlichen Text:
    ActiveClient = 10.0.0.100,2003
NullAuthPermit = YES
UserName = rpcapd
    Hinweis:Ändern Sie nicht die NullAuthPermit oder UserName Felder.
  2. Ändern Sie das Bestehende ActiveClient Linie und erstelle eine ActiveClient Leitung für jede weitere zu überwachende Schnittstelle. Geben Sie jede Schnittstelle anhand ihres Schnittstellennamens oder ihrer IP-Adresse an. 
    ActiveClient = <extrahop_ip>, <extrahop_port>, ifname=<interface_name>

    oder

    ActiveClient = <extrahop_ip>, <extrahop_port>, ifaddr=<interface_address>

    Wo <interface_name> ist der Name der Schnittstelle, von der Sie Pakete weiterleiten möchten, und <interface_address> ist die IP-Adresse der Schnittstelle, von der die Pakete weitergeleitet werden. Das <interface_address> Variable kann entweder die IP-Adresse selbst sein, z. B. 10.10.1.100, oder eine CIDR-Spezifikation ( Netzwerk-IP-Adresse/Subnetzpräfixlänge), die die IP-Adresse enthält, z. B. 10.10.1.0/24.

    Für jeden ActiveClient Leitung, leitet der Paketweiterleiter unabhängig Pakete von der in der Zeile angegebenen Schnittstelle weiter.

    Im Folgenden finden Sie ein Beispiel für die Konfigurationsdatei, in der zwei Schnittstellen anhand des Schnittstellennamens angegeben sind:

    ActiveClient = 10.10.6.45, 2003, ifname=eth0
ActiveClient = 10.10.6.45, 2003, ifname=eth1
NullAuthPermit = YES
UserName = rpcapd

    Im Folgenden finden Sie ein Beispiel für die Konfigurationsdatei, in der zwei Schnittstellen anhand der Schnittstellen-IP-Adresse angegeben werden:

    ActiveClient = 10.10.6.45, 2003, ifaddr=10.10.1.100
ActiveClient = 10.10.6.45, 2003, ifaddr=10.10.2.100
NullAuthPermit = YES
UserName = rpcapd

    Im Folgenden finden Sie ein Beispiel für die Konfigurationsdatei, in der zwei Schnittstellen mithilfe von CIDR-Spezifikationen angegeben werden, die die Schnittstellen-IP-Adresse enthalten:

    ActiveClient = 10.10.6.45, 2003, ifaddr=10.10.1.0/24
ActiveClient = 10.10.6.45, 2003, ifaddr=10.10.2.0/24
NullAuthPermit = YES
UserName = rpcapd
  3. Speichern Sie die Konfigurationsdatei. Stellen Sie sicher, dass Sie die Datei im ASCII-Format speichern, um Fehler zu vermeiden.
  4. Starten Sie den Paketweiterleiter neu, indem Sie den folgenden Befehl ausführen: 
    sudo /etc/init.d/rpcapd restart
    Hinweis:Um den Paketweiterleiter nach dem Ändern der Konfigurationsdatei erneut zu installieren, führen Sie den Installationsbefehl aus und ersetzen Sie <extrahop_ip> und <extrahop_port> mit dem –k Flag, um die geänderte Konfigurationsdatei beizubehalten. Zum Beispiel:
    sudo sh ./install-rpcapd.sh –k

Überwachung mehrerer Schnittstellen auf einem Windows-Server

Für Server mit mehreren Schnittstellen können Sie den Paketweiterleiter so konfigurieren, dass er Pakete von einer bestimmten Schnittstelle oder von mehreren Schnittstellen weiterleitet, indem Sie seine Konfigurationsdatei auf dem Server bearbeiten.

Gehen Sie wie folgt vor, um die Konfigurationsdatei zu bearbeiten.

  1. Öffnen Sie nach der Installation des Paketweiterleiters auf dem Server die Konfigurationsdatei: C:\Program Files\rpcapd\rpcapd.ini
    Die Konfigurationsdatei enthält diesen oder einen ähnlichen Text:
    ActiveClient = 10.0.0.100,2003
NullAuthPermit = YES
UserName = rpcapd
    Hinweis:Ändern Sie nicht die NullAuthPermit oder UserName Felder.
  2. Ändern Sie die vorhandene ActiveClient-Zeile und erstellen Sie eine ActiveClient-Zeile für jede weitere Schnittstelle, die überwacht werden soll. Geben Sie jede Schnittstelle anhand ihres Schnittstellennamens oder ihrer IP-Adresse an. 
    ActiveClient = <extrahop_ip>, <extrahop_port>, ifname=<interface_address>

    Wo <interface_address> ist die IP-Adresse der Schnittstelle, von der die Pakete weitergeleitet werden und <interface_address> kann entweder die IP-Adresse selbst sein, z. B. 10.10.1.100, oder eine CIDR-Spezifikation ( Netzwerk-IP-Adresse/Subnetzpräfixlänge), die die IP-Adresse enthält, z. B. 10.10.1.0/24.

    oder

    ActiveClient = <extrahop_ip>, <extrahop_port>, ifaddr=<interface_name>

    Wo <interface_name> ist der Name der Schnittstelle, von der die Pakete weitergeleitet werden. Der Name ist formatiert als \Device\NPF_{<GUID>}, wo <GUID> ist der Globally Unique Identifier (GUID) der Schnittstelle. Zum Beispiel, wenn die Schnittstellen-GUID 2C2FC212-701D-42E6-9EAE-BEE969FEFB3F, der Schnittstellenname ist \Device\NPF_{2C2FC212-701D-42E6-9EAE-BEE969FEFB3F}.

    Im Folgenden finden Sie ein Beispiel für die Konfigurationsdatei, in der zwei Schnittstellen mit der Schnittstellen-IP-Adresse angegeben sind:

    ActiveClient = 10.10.6.45, 2003, ifaddr=10.10.1.100
ActiveClient = 10.10.6.45, 2003, ifaddr=10.10.2.100
NullAuthPermit = YES
UserName = rpcapd

    Im Folgenden finden Sie ein Beispiel für die Konfigurationsdatei, in der zwei Schnittstellen mit CIDR-Spezifikationen angegeben sind, die die Schnittstellen-IP-Adresse enthalten:

    ActiveClient = 10.10.6.45, 2003, ifaddr=10.10.1.0/24
ActiveClient = 10.10.6.45, 2003, ifaddr=10.10.2.0/24
NullAuthPermit = YES
UserName = rpcapd

    Im Folgenden finden Sie ein Beispiel für die Konfigurationsdatei, in der zwei Schnittstellen mit dem Schnittstellennamen angegeben sind:

    ActiveClient = 10.10.6.45, 2003, ifname=\Device\NPF_{2C2FC212-701D-42E6-9EAE-BEE969FEFB3F}
ActiveClient = 10.10.6.45, 2003, ifname=\Device\NPF_{3C2FC212-701D-42E6-9EAE-BEE969FEFB3F}
NullAuthPermit = YES
UserName = rpcapd
  3. Speichern Sie die Konfigurationsdatei (.ini). Stellen Sie sicher, dass Sie die Datei im ASCII-Format speichern, um Fehler zu vermeiden.
  4. Starten Sie den Paketweiterleiter neu, indem Sie den folgenden Befehl ausführen: 
    restart-service rpcapd
    Hinweis:Um die Paketweiterleitungssoftware nach dem Ändern der Konfigurationsdatei erneut zu installieren, führen Sie den Installationsbefehl aus und ersetzen Sie -RpcapIp und -RpcapPort mit dem -KeepConfig Flag , um die geänderte Konfigurationsdatei beizubehalten. Zum Beispiel:
    .\install-rpcapd.ps1 -MgmtIp <extrahop_ip> -KeepConfig

    oder

    .\install-rpcapd.ps1 –InputDir . -KeepConfig

Konfiguration zusätzlicher RPCAP-Einstellungen

Standardmäßig akzeptiert das ExtraHop-System weitergeleitete Pakete auf Port 2003. Die Server, die den Software-Tap verwenden, werden angewiesen, den gesamten Datenverkehr weiterzuleiten, wie durch den Platzhalter (*) in der Schnittstellenadresse Spalte.

Gehen Sie wie folgt vor, um einen anderen Port anzugeben.

  1. Gehen Sie zum Abschnitt RPCAP-Einstellungen und klicken Sie auf 2003.
  2. Ändern und modifizieren Sie die Einstellungen auf der Seite RPCAP-Portdefinition hinzufügen.
    Hafen
    Gibt den Listening-Port auf dem ExtraHop-System an. Jeder Port muss für jedes Schnittstellensubnetz auf demselben Server eindeutig sein. Serverübergreifend können unterschiedliche Subnetze für denselben Port konfiguriert werden.
    Schnittstellenadresse
    Gibt ein Subnetz auf dem Paketweiterleitungsserver an. Wenn der Server über mehrere Schnittstellen verfügt, die der Schnittstellenadresse entsprechen, sendet die erste Schnittstelle auf dem Server Datenverkehr an das ExtraHop-System, sofern der Schnittstellenname nicht angegeben ist.
    Name der Schnittstelle
    Gibt die Schnittstelle auf dem Paketweiterleitungsserver an, von der Pakete weitergeleitet werden sollen.
    Hinweis:Sie müssen eine Schnittstellenadresse oder einen Schnittstellennamen angeben. Wenn Sie beide angeben, gelten beide Kriterien.
    Filter
    Gibt den Verkehr an, der mithilfe der Berkeley-Paketfilter-Syntax weitergeleitet werden soll. Zum Beispiel TCP port 80 leitet nur TCP-Verkehr auf Port 80 weiter und not TCP port 80 leitet nur Nicht-TCP-Verkehr auf Port 80 weiter.
  3. klicken Speichern.

Analysieren von wire data von einer Paketweiterleitung

Um herauszufinden, wie viele wire data das ExtraHop-System vom Paket Forwarder empfängt, gehen Sie wie folgt vor:

  1. Loggen Sie sich in das ExtraHop-System ein über https://<extrahop-hostname-or-IP-address> und klicken Sie auf Systemeinstellungen Symbol.
  2. klicken Gesundheit des Systems um mehr Informationen über den weitergeleiteten Verkehr zu erhalten. Auf dieser Seite wird für jeden Software-Tap, der mit dem ExtraHop-System verbunden ist, ein Diagramm mit Paketen und Durchsatz angezeigt.

    Die RPCAP Pakete und Durchsatzdiagramme enthalten vier Metriken:

    Verkapselung
    Die Gesamtzahl der vom ExtraHop-System empfangenen RPCAP-Kapselungspakete.
    Geeignet für Tunnel
    Gesamtzahl der Pakete, die an das ExtraHop-System weitergeleitet werden können.
    Tunnel gesendet
    Gesamtzahl der RPCAP-Tunnelpakete, die an das ExtraHop-System weitergeleitet wurden.
    Tunnel empfangen
    Gesamtzahl der RPCAP-Tunnelpakete, die vom ExtraHop-System empfangen wurden.

    Die Werte Tunnelberechtigt, Tunnel gesendet und Tunnel empfangen sind identisch, wenn das ExtraHop-System alle vom Server gesendeten Pakete empfängt und verarbeitet. Wenn die Werte nicht identisch sind, ziehen Sie die folgenden Optionen zur Fehlerbehebung in Betracht:

    • Wenn Tunnel Sent ist weniger als Tunnel Eligible, der Server ist nicht in der Lage, den gesamten Verkehr weiterzuleiten. Dieses Verhalten kann darauf hindeuten, dass die Paketweiterleitung mehr Verarbeitungs- oder ausgehende Bandbreitenressourcen auf dem Server erfordert. Erwägen Sie, den Weiterleitungsprozess auf eine separate CPU zu trennen oder eine dedizierte Schnittstelle für die Weiterleitung des Datenverkehrs zuzuweisen.
    • Wenn Tunnel Received ist weniger als Tunnel Sent, das ExtraHop-System empfängt nicht den gesamten vom Server weitergeleiteten Datenverkehr. Dieses Verhalten kann auf eine Netzwerküberlastung oder unzureichende Ressourcen auf dem ExtraHop-System zurückzuführen sein. Wenn Sie vermuten, dass es sich um Letzteres handelt, wenden Sie sich an den ExtraHop-Support.
  3. Nachdem Sie sich vergewissert haben, dass das ExtraHop-System Datenverkehr empfängt, beenden Sie den Gesundheit des Systems Seiten- und Anzeigemetriken in der ExtraHop Web UI.

Den Paket Forwarder von einem Linux-Server entfernen

Führen Sie die folgenden Befehle aus:
  • Um die Software zu beenden und von einem Debian-basierten Linux-Server zu entfernen, führen Sie die folgenden Befehle aus: 
    sudo service rpcapd stop
sudo dpkg -r rpcapd
sudo dpkg --get-selections | grep rpcapd

    Sie können auch das einstellen -P markieren, um das Paket vollständig von Ihrem System zu entfernen.

  • Führen Sie die folgenden Befehle aus, um die Software zu beenden und von einem RPM-basierten Linux-Server zu entfernen:
    service rpcapd stop
rpm -e rpcapd-<extrahop_firmware_version>.x86_64
  • Führen Sie die folgenden Befehle aus, um den Software-Tap zu beenden und von einem anderen Linux-Server zu entfernen:
    sudo /etc/init.d/rpcapd stop
sudo update-rc.d -f rpcapd remove
sudo rm -rf /opt/extrahop
sudo rm -f /etc/init.d/rpcapd

Den Paket Forwader von einem Windows-Server entfernen

Um die Software von einem Windows-Server oder Ihrem Windows-Desktop zu entfernen:

  1. Gehe zum Startmenü und wähle Schalttafel.
  2. Wählen Programm deinstallieren.
  3. Wählen RPCAP-Dienst für Windows.
  4. Klicken Sie im Popup-Dialogfeld auf entfernen.
  5. Wenn das Entfernen abgeschlossen ist, klicken Sie auf Schliessen.
Last modified 2024-04-10