第页实时保存数据包实现回溯效果众所周知，目前科来产品主要有两款，科来网络分析系统2010和大容量存储的回溯分析系统。那推出了回溯的硬件产品，是否就意外着科来网络分析系统被淘汰或边缘化呢，当然不是，由于回溯产品的费用以及网络的规模决定，一个网络不可能做到任何一个角落的完全监控。对一个网络的进行监控的最佳解决就是回溯分析系统+科来网络分析系统，回溯分析系统对网络中的重点区域进行监控，比如应用服务器区、互联网出口、分支机构介入点以及其他重要部门，2-3套科来网络分析系统用于便携式的解决故障。即使这样，有时也会存在一定问题，比如一个没有部署回溯设备的区域在短时间内出现了间歇性问题，由于便携式在数据提取、数据挖掘上具有一定的局限性，在解决问题上会不太理想。由于已经购买了回溯的分析系统，那我们其实可以借助于回溯分析系统在数据调取、时间定位和深入挖掘的优势来解决这个问题。借助科来分析系统的实时保存功能把科来分析系统2010接入到出现故障的网络中，打开数据包实时保存功能，如下图：注意一定要实时保存到一个单个文件中，可以指定到一个目录，并设置文件名保存类型默认的即可。选择全面分析，可以选择默认的设置：丢弃旧数据包（循环缓存）。不能选择停止捕获数据包，否则在数据抓包过程中会自动停止，并如下信息：这样就可以一直抓下去，直到故障的重现。回溯控制台打开数据包工程在科来回溯分析系统控制台左下方有两个切换按钮，服务器流量用于实时监控回溯分析服务器，数据包库用于打开数据包工程。在添加的路径中找到科来分析系统2010实时保存数据包的目录。接下来，打开需要回溯分析的数据包工程即可，如图：接下来就可以如回溯分析系统一样分析这些数据了。比如我们可以定位到09：48到10:08的数据，并以20分钟为窗口显示选取流量较高的一个时间段，来简单看一下流量。流量最高的IP是192.168.10.119，显示地址位置为本地局域网，并且可以看到一些公网IP的具体地址位置，如123.138.238.64陕西省西安市联通。挖掘下119这个ip的应用统计，如图:存在大量未知TCP应用，继续挖掘下这些TCP应用具体使用的哪些端口下载并分析数据包，并选择安全分析方案对数据进行数据包级分析。整个过程就完成了对科来分析系统2010实时保存的数据包实现回溯分析的效果。