Cuando el Sensor y el Manager no se comunican, los datos de registro de alertas y paquetes se mueven del búfer a un archivo de la memoria Flash de forma local en la Sensor.
Puede utilizar el
show savedalertinfo comando de la CLI de sensor para mostrar el número de eventos guardados y su tamaño.
Los modelos de Sensor tienen la capacidad de almacenamiento de la memoria flash como sigue:
Serie de modelos |
Memoria
Para registros de alertas |
Memoria
Para registros de paquetes |
Serie M |
16 MB |
16 MB |
Serie NS |
128 MB |
128 MB |
Serie de máquinas virtuales |
128 MB |
128 MB |
Cuando se llena la capacidad Flash, el Sensor comienza a almacenar alertas en el búfer. El Sensor elimina nuevas alertas si el búfer se llena antes de que se restaure la conectividad. El Sensor sigue bloqueando los ataques con independencia de la conectividad de Sensor con la Manager si está activado el bloqueo.
Cuando se restablece la conexión entre la Sensor y la Manager, las alertas almacenadas o en cola se reenvían a la Manager desde Flash, seguida por el búfer de alerta en la memoria.
El búfer tiene subbúferes para cada tipo de alerta. Según su tipo de alerta, las alertas se almacenan en un subbúfer específico.
La siguiente tabla muestra el número de cada tipo de alerta que se puede almacenar en el búfer del Sensor según el tipo de modelo:
Tipo de alerta
|
Número de alertas
(Serie M) |
Número de alertas
(Serie NS) |
Número de alertas
(Serie de máquinas virtuales) |
Alertas basadas en firmas
(sin datos de Layer7)
|
100.000 * |
400,000 |
50.000 |
Alertas basadas en firmas
(con datos de Layer7)
|
50.000 * |
200,000 |
25,000 |
Alertas reguladas
(con dirección IP de origen y destino)
|
2,500 |
2.500 |
2.500 |
Alertas limitadas comprimidas
(Alertas sin origen y destino
Información de dirección IP)
|
2.500 |
2.500 |
2.500 |
DoS estadística o anomalía
|
2.500 |
2.500 |
2.500 |
Alertas de DoS de umbral
|
2.500 |
2.500 |
2.500 |
Alertas de rastreo de host
|
1.000 |
1.000 |
1.000 |
Alertas de análisis de puertos
|
1.000 |
1.000 |
1.000 |
* El número de alertas basadas en firmas para M-1250 y M-1450 es 25.000. El número de alertas basadas en firmas para M-2750 es 50.000.
Nota: Estas cifras no son absolutas y se proporcionan únicamente como directriz general. El número real de alertas que se pueden almacenar en el búfer puede variar en función del tamaño de las alertas. Si el tamaño medio de las alertas es mayor de lo habitual, el búfer se llena con un número menor de alertas. De forma similar, si el tamaño medio de las alertas que se generan es inferior a lo habitual, se almacena un mayor número de alertas.