Quando o Sensor e o Manager não conseguem se comunicar, os dados do registro de alertas e pacotes são movidos do buffer para um arquivo na memória flash localmente no Sensor.
Você pode usar o
show savedalertinfo comando no Sensor CLI para mostrar o número de eventos salvos e seu tamanho.
Os Sensor têm a capacidade de armazenamento de memória flash da seguinte forma:
Série do modelo |
Memória
Para registros de alerta |
Memória
Para registros de pacotes |
Série M |
16 MB |
16 MB |
Série NS |
128 MB |
128 MB |
Série da VM |
128 MB |
128 MB |
Quando a capacidade flash é preenchida, Sensor começa a armazenar alertas na buffer. O Sensor alertas novos se a buffer for preenchida antes que a conectividade seja restaurada. O Sensor continua a bloquear ataques, independentemente da conectividade Sensor com o Manager se o bloqueio estiver ativado.
Quando a conexão entre o Sensor e o Manager é re-estabelecida, os alertas ou armazenados na fila são encaminhados para o Manager a partir do flash, seguidos pelo Buffer de alerta na memória.
O buffer possui sub-cofres para cada tipo de alerta. De acordo com seu tipo de alerta, os alertas são armazenados em um sub-cofre específico.
A tabela a seguir mostra o número de cada tipo de alerta que pode ser armazenado no buffer no Sensor com base no Tipo de modelo:
Tipo de alerta
|
Número de alertas
(Série M) |
Número de alertas
(Série NS) |
Número de alertas
(Série VM) |
Alertas baseados em assinatura
(sem dados da Layer7)
|
100,000* |
400,000 |
50,000 |
Alertas baseados em assinatura
(com dados da Layer7)
|
50,000* |
200,000 |
25,000 |
Alertas reguladores
(com endereço IP de origem e destino)
|
2,500 |
2,500 |
2,500 |
Alertas comprimidos e comprimidos
(Alertas sem origem e destino
informações de endereço IP)
|
2,500 |
2,500 |
2,500 |
Estatísticas ou de anomalias DoS
|
2,500 |
2,500 |
2,500 |
Alertas DoS limite
|
2,500 |
2,500 |
2,500 |
Alertas de varredura de host
|
1.000 |
1.000 |
1.000 |
Alertas de varredura de portas
|
1.000 |
1.000 |
1.000 |
*O número de alertas baseados em assinatura para M-1250 e M-1450 é 25.000. O número de Alertas baseados em assinatura do M-2750 é 50.000.
OBSERVAÇÃO:: Essas figuras não são absolutas e são fornecidas apenas como diretrizes gerais. O número real de alertas que podem ser armazenados no buffer pode ser diferente com base no tamanho dos alertas. Se o tamanho médio dos alertas for maior do que o normal, a buffer será preenchida com um menor número de alertas. Da mesma forma, se o tamanho médio dos alertas gerados for menor do que o normal, um número maior de alertas será armazenado.