Lorsque le Sensor et le Manager ne parviennent pas à communiquer, les données du journal des alertes et des paquets sont déplacées de la mémoire tampon vers un fichier en mémoire flash localement sur le Sensor.
Vous pouvez utiliser la
show savedalertinfo commande de l’interface de ligne de commande Sensor pour afficher le nombre d’événements enregistrés et leur taille.
Les modèles Sensor présentent la capacité de stockage de la mémoire flash comme suit:
Série de modèles |
Mémoire
Pour les journaux d’alerte |
Mémoire
Pour les journaux d’informations sur les paquets |
Série M |
16 Mo |
16 Mo |
Série NS |
128 Mo |
128 Mo |
Série VM |
128 Mo |
128 Mo |
Une fois la capacité flash remplie, le Sensor commence à stocker les alertes dans la mémoire tampon. Le Sensor rejette les nouvelles alertes si la mémoire tampon se remplit avant la restauration de la connectivité. Le Sensor continue de bloquer les attaques, indépendamment de la connectivité Sensor avec le Manager si le blocage est activé.
Lorsque la connexion entre le Sensor et le Manager est rétablie, les alertes stockées ou mises en file d’attente sont transmises au Manager à partir du flash, suivies par la mémoire tampon d’alerte en mémoire.
La mémoire tampon contient des sous-onglets pour chaque type d’alerte. En fonction de leur type d’alerte, les alertes sont stockées dans un sous-dossier spécifique.
Le tableau suivant indique le nombre de chaque type d’alerte pouvant être stocké dans la mémoire tampon du Sensor en fonction du type de modèle:
Type d’alerte
|
Nombre d’alertes
(Série M) |
Nombre d’alertes
(Série NS) |
Nombre d’alertes
(série VM) |
Alertes basées sur la signature
(sans données de couche 7)
|
100,000* |
400,000 |
50,000 |
Alertes basées sur la signature
(avec les données de couche 7)
|
50,000* |
200,000 |
25,000 |
Alertes limitées
(avec l’adresse IP source et de destination)
|
2,500 |
2,500 |
2,500 |
Alertes limitées compressées
(Alertes sans source et destination
informations sur l’adresse IP)
|
2,500 |
2,500 |
2,500 |
Déni de service statistiques ou d’anomalies
|
2,500 |
2,500 |
2,500 |
Alertes de déni de service de seuil
|
2,500 |
2,500 |
2,500 |
Alertes de balayage d’hôte
|
1 000 |
1 000 |
1 000 |
Alertes d’analyse des ports
|
1 000 |
1 000 |
1 000 |
*Le nombre d’alertes basées sur la signature pour M-1250 et M-1450 est de 25 000. Le nombre d’alertes basées sur la signature pour M-2750 est de 50 000.
NOTE: Ces chiffres ne sont pas absolus et ne sont fournis qu’à titre indicatif général. Le nombre réel d’alertes pouvant être stockées dans la mémoire tampon peut différer en fonction de la taille des alertes. Si la taille moyenne des alertes est supérieure à la taille habituelle, la mémoire tampon est remplie avec un nombre moindre d’alertes. De même, si la taille moyenne des alertes générées est inférieure à la taille habituelle, un plus grand nombre d’alertes est stocké.