Quando il Sensor e Manager non riescono a comunicare, i dati relativi a avvisi e registri di pacchetti vengono spostati da buffer a un file nella memoria flash in locale sul Sensor.
È possibile utilizzare il
show savedalertinfo comando nella CLI Sensor per visualizzare il numero di eventi salvati e le relative dimensioni.
I Sensor modelli hanno la capacità di memorizzazione della memoria flash come segue:
Serie di modelli |
Memoria
Per i registri degli avvisi |
Memoria
Per i registri di pacchetti |
Serie M |
16 MB |
16 MB |
Serie NS |
128 MB |
128 MB |
Serie VM |
128 MB |
128 MB |
Quando la capacità flash è piena, il Sensor inizia a memorizzare gli avvisi nel buffer. Il Sensor elimina i nuovi avvisi se il buffer si riempie prima del ripristino della connettività. Il Sensor continua a bloccare gli attacchi indipendentemente dalla Sensor connettività con Manager se il blocco è attivato.
Quando la connessione tra Sensor e Manager viene ri-stabilita, gli avvisi memorizzati o in coda vengono inoltrati a Manager da flash, seguiti dal buffer di avviso in memoria.
Il buffer presenta sottobuffer per ogni tipo di avviso. In base al tipo di avviso, gli avvisi vengono memorizzati in un buffer secondario specifico.
Nella seguente tabella è indicato il numero di ciascun tipo di avviso che è possibile memorizzare nel buffer nel Sensor in base al tipo di modello:
Tipo di avviso
|
Numero di avvisi
(serie M) |
Numero di avvisi
(serie NS) |
Numero di avvisi
(serie VM) |
Avvisi basati sulle firme
(senza dati layer7)
|
100,000* |
400,000 |
50,000 |
Avvisi basati sulle firme
(con dati Layer7)
|
50,000* |
200,000 |
25,000 |
Avvisi limitato
(con indirizzo IP di origine e di destinazione)
|
2,500 |
2,500 |
2,500 |
Avvisi compressi
(Avvisi senza origine e destinazione
informazioni sull'indirizzo IP)
|
2,500 |
2,500 |
2,500 |
Statistiche o anomalie DoS
|
2,500 |
2,500 |
2,500 |
Avvisi di DoS soglia
|
2,500 |
2,500 |
2,500 |
Avvisi Host Sweep
|
1,000 |
1,000 |
1,000 |
Avvisi di scansione delle porte
|
1,000 |
1,000 |
1,000 |
*Il numero di avvisi basati sulle firme per M-1250 e M-1450 è di 25.000. Il numero di avvisi basati su firma per M-2750 è di 50.000.
NOTA: Queste cifre non sono assolute e sono fornite solo come linee guida generali. Il numero effettivo di avvisi che è possibile memorizzare nel buffer può variare in base alle dimensioni degli avvisi. Se la dimensione media degli avvisi è superiore al normale, il buffer viene compilato con un numero inferiore di avvisi. Analogamente, se le dimensioni medie degli avvisi generati sono inferiori al normale, viene memorizzato un numero maggiore di avvisi.