前提條件

資產流量已接入至NDR。具體操作，請參見接入管理。

未接入流量或停止流量采集會影響NDR針對該資產報文留存。

報文留存檢索

NDR具備全流量報文自動留存的優勢，考慮到無限制留存所有原始報文，會對您造成極大的成本消耗。NDR為您提供自動和手動兩種報文留存方式，以便更加高效合理地留存需要繼續深入分析的報文數據。

• 自動留存方式：基于威脅告警產生的全流量報文自動留存。

• 手動留存方式：基于您自定義的留存過濾規則產生的全流量報文留存。

1. 登錄全流量威脅檢測與響應控制臺。

2. 在左側導航欄，選擇檢測響應 > 報文留存。

3. 在報文留存檢索頁簽，查看報文留存的IP TOP10 、IP協議、端口TOP10排行情況。

4. 在自動留存和手動留存頁簽，查看不同留存方式下報文數分布統計圖以及報文留存詳細信息列表。

   

5. 單擊操作列生成PCAP，會自動為您創建一個PCAP生成任務，也可以單擊報文分布圖右側的生成PCAP生成所有報文，或者選擇多條報文數據單擊表格左下方的批量生成PCAP進行批量數據操作。

   您可以在PCAP生成任務頁簽，查看創建的PCAP的任務以及下載PCAP數據。具體操作，請參見PCAP生成任務管理。

PCAP生成任務管理

1. 登錄全流量威脅檢測與響應控制臺。

2. 在左側導航欄，選擇檢測響應 > 報文留存。

3. 在PCAP生成任務頁簽，查看已創建PCAP生成的任務。

4. 單擊操作列下載，將數據包下載到本地進一步分析數據。

   

配置報文留存過濾規則

根據業務中重點關注的核心資產，您可以對報文留存設置過濾規則。

1. 登錄全流量威脅檢測與響應控制臺。

2. 在左側導航欄，選擇檢測響應 > 報文留存。

3. 在報文留存過濾規則頁簽，單擊新增規則。

4. 在報文留存過濾規則面板，配置相關字段。

   • 過濾邏輯：

     白名單：匹配規則的流量將留存。黑名單：匹配規則的流量不留存，剩余流量留存。

     

   • 五元組：配置源IP和目的IP（0.0.0.0/0表示無限制），單擊選擇單向或者雙向過濾規則。

   • 目的端口：配置單個端口或端口范圍（例如80、100-200），根據左側下拉列表內容配置端口過濾規則。

   • 四層協議：配置協議過濾規則，默認選擇所有協議，根據左側下拉列表內容配置協議過濾規則。

   • 留存最大字節數：默認無字節數限制，您也可以選擇自定義配置單條流字節數，默認1MB，最小1KB，最大500MB。

   • 留存時間：默認不限制，也可選擇固定時長，單次時間段，重復周期等。

5. 配置完成后，單擊確定。

   配置后的規則即時生效。

您可以在報文留存過濾規則頁簽列表右側區域，單擊全局配置，可以影響手動留存報文的存儲生命周期，從而為您節約成本。

如果您有其他需求，可以在報文留存過濾規則頁簽，對已增加的規則進行檢索，編輯、停止與刪除操作。

單擊檢索，會跳轉到報文留存檢索 > 手動留存頁面，查看該規則下的報文留存詳細信息。