TamoSoft: Network Analysis Tools & Security Software
Contents

CommView Help Documentation


    Return to the main product page
 
Introduction
À propos de CommView
Quoi de neuf
Licence d’utilisation
Utilisation de CommView
Aperçu
Sélectionner un périphérique réseau à surveiller
Dernières Connexions IP
Paquets
Journalisation
Affichage des fichiers journaux
Règles
Règles avancées
Alarmes
Reconstruction de sessions TCP
Statistiques et rapports
Utilisation d’alias
Générateur de paquets
Identificateur de fournisseur NIC
Planificateur
Utilisation de Remote Agent
Capture de trafic par boucle
Configuration des Options
Rechercher un paquet
Reference de port
Foire aux questions
Utilisation avancée
Capture d’un trafic de grand volume
Travailler avec Plusieurs Instances
Opérer CommView en Mode Invisible
Paramètres de lignes de commande
Échanger des Données avec Votre Application
Décodage personnalisé
Format des fichiers journaux de CommView
Information
Comment se Procurer CommView
Contactez-Nous
Autres Produits par TamoSoft
Alarmes


Cet onglet vous permet de créer des alarmes pour vous notifier à propos d'importants événements, tels que des paquets suspects, une utilisant élevée de la bande passante, des adresses inconnues, et ainsi de suite. Les alarmes sont très utiles dans une situation où vous avez besoin de surveiller le réseau pour des événements suspects, par exemple des modèles d'octet distinct dans les paquets capturés, des scans de ports ou des connexions périphériques matérielles inattendues.

Les alarmes sont gérées au moyen de la liste d'alarmes illustrée ci-dessous :

alarm1

Chaque ligne représente une alarme individuelle, et le crochet situé à côté du nom d'alarme indique que l'alarme est actuellement active. Lorsqu'une alarme est déclenchée, le crochet disparaît. Pour réactiver une alarme désactivée, cochez la case située à côté de son nom. Pour désactiver toutes les alarmes, décochez la case Activer les alarmes. Pour ajouter une nouvelle alarme ou pour modifier une alarme existante, utilisez les boutons situés à la droite de la liste d'alarmes. Le bouton Configuration email devrait être utilisé pour entrer les informations à propos de votre serveur SMTP, si vous planifiez utiliser les options de notification par email (voyez ci-dessous).

La fenêtre de configuration d'email est illustrée ci-dessous :

alarm2

Le champ Nom devrait être utilisé pour la description de la fonction de l'alarme. Cochez la case Activé si vous souhaitez que l'alarme que vous ajoutez/modifiez soit activée, une fois que vous en avez terminé avec sa configuration. Cette case à cocher équivaut à celle affichée dans la liste d'alarmes. Le cadre Type d'alarme vous permet de sélectionner un des sept types d'alarme :

·Occurrence de paquet : L'alarme sera déclenchée une fois que CommView aura capturé un paquet correspondant à la formule donnée. La syntaxe de la formule est pareille à la syntaxe utilisée pour les Règles avancées, décrite en détails dans le chapitre Règles avancées.  

·Octets par seconde : L'alarme sera déclenchée une fois que le nombre d'octets par seconde aura excédé la valeur spécifiée. Notez que vous devriez entrer la valeur en octets, ainsi, si vous désirez que l'alarme soit déclenchée lorsque le taux de transfert de données aura excédé 1MOctet par seconde, la valeur entrée devrait être 1000000.  

·Paquets par seconde : L'alarme sera déclenchée une fois que le nombre de paquets par seconde aura excédé la valeur spécifiée.  

·Diffusés par seconde: L'alarme sera déclenchée dès que le nombre de paquets diffusés aura dépassé la valeur spécifiée.  

·Multipoints par seconde: L'alarme sera déclenchée dès que le nombre de paquets multipoints aura dépassé la valeur spécifiée.  

·Adresse MAC inconnue : L'alarme sera déclenchée une fois que CommView aura capturé un paquet avec une adresse MAC source ou destination inconnue. Utilisez le bouton Configurer pour entrer les adresses MAC connues. Ce type d'alarme est utile pour la détection de nouveaux périphériques matériels non autorisés connectés à votre LAN.  

·Adresse IP inconnue : L'alarme sera déclenchée une fois que CommView aura capturé un paquet avec une adresse IP source ou destination inconnue. Utilisez le bouton Configurer pour entrer les adresses IP connues. Ce type d'alarme est utile pour la détection de connexions IP non autorisées derrière une pare-feu corporatif.  

Le champ Nbre événements avant déclenchement vous permet de spécifier le nombre de fois que l'événement attendu doit survenir avant que l'alarme ne soit déclenchée. Par exemple, si vous spécifier la valeur de 3, l'alarme ne sera pas déclenchée jusqu'à ce que l'événement survienne trois fois. Si vous modifiez une alarme existante, le compteur d'événements interne sera réinitialisé.

Le champ Nbre de déclenchements de cette alarme vous permet de spécifier le nombre de fois que votre alarme peut être déclenchée avant sa désactivation. Par défaut, cette valeur équivaut à 1, ainsi l'alarme sera désactivée après la première occurrence de l'événement. En augmentant cette valeur, vous ferez en sorte que CommView déclenche l'alarme plusieurs fois. Si vous modifiez une alarme existante, le compteur de déclenchements interne sera réinitialisé.

La cadre Action vous permet de sélectionner les actions à prendre lorsque l'événement d'alarme survient. Les actions suivantes sont disponibles :

·Afficher le message : Affiche une boîte de message non modale avec le texte spécifié. Cette action permet l'utilisation de variables qui doivent être remplacés par les paramètres correspondants du paquet contenant l'alarme déclenchée. Ces variables sont ci-dessous répertoriées :  
%SMAC% -- adresse MAC source.  
%DMAC% -- adresse Mac de destination.  
%SIP% -- adresse IP source.  
%DIP% -- adresse IP de destination.  
%SPORT% -- port source.  
%DPORT% -- port de destination.  
%ETHERPROTO% -- protocole Ethernet.  
%IPPROTO% -- protocole IP.  
%SIZE% -- taille de paquet.  
%FILE% -- le chemin d'accès vers un fichier temporaire contenant le paquet capturé.  
 
Par exemple, si votre message est « Paquet SYN reçu de %SIP% », dans la fenêtre contextuelle actuelle, le texte %SIP% sera remplacé par l'adresse IP source du paquet ayant déclenché l'alarme. Si vous utilisez la variable %FILE%, un fichier .CCF sera créé dans le dossier temporaire. Il en va de votre responsabilité de supprimer le fichier après qu'il ait été procédé ; CommView ne le supprimer en aucun cas. Vous ne devriez pas utiliser de variables su l'alarme est déclenchée par les valeurs Octets par seconde ou Paquets par seconde, puisque ces types d'alarme ne sont pas déclenchés par des paquets individuels.  

·Émettre le son : Joue le fichier WAV spécifié.  

·Lancer l'application : Exécute le fichier EXE ou COM spécifié. Utilisez le champ optionnel Paramètres pour entrer les paramètres de ligne de commande. Vous pouvez utiliser les variables décrites dans la section Afficher le message précédente comme paramètres de ligne de commande si vous souhaitez que votre application reçoive et procède les informations à propos du paquet ayant déclenché l'alarme.  

·Envoyer email à : Envoie un email à l'adresse email spécifiée. Vous DEVEZ configurer CommView pour qu'il utilise votre serveur SMTP avant l'envoi d'un email. Utilisez le bouton Configuration d'email situé à côté de la liste d'alarme pour entrer les paramètres de votre serveur SMTP et envoyer un message email d'essai. Habituellement, un message email peut aussi être utilisé pour envoyer des alertes à votre application de messagerie instantanée, votre cellulaire ou votre téléavertisseur. Par exemple, pour envoyer un message à un utilisateur ICQ, vous devriez entrer son adresse email ainsi : ICQ_USER_UIN@pager.icq.com, où ICQ_USER_UIN est le numéro d'identification ICQ unique de l'utilisateur, qui permet les messages EmailExpress dans les options de ICQ. Veuillez vous reporter à la documentation de votre messager instantanée ou de votre téléphone cellulaire pour de plus amples informations.  

·Activer la capture de règles : Active les Règles avancées; vous devriez entrer le(s) nom(s) de règle. Si plusieurs règles doivent être activées, séparez-les avec une virgule ou un point-virgule.  

·Désactiver autres alarmes : Désactive les autres alarmes; vous devriez entrer le(s) nom(s) d'alarme. Si plusieurs alarmes doivent être activées, séparez-les avec une virgule ou un point-virgule.  

·Démarrer l'enreg. Au fich. Journal : Active l'enregistrement automatique (consultez le chapitre Journalisation) CommView commencera à déverser les paquets vers le disque dur.  

·Arrêter l'enreg. Au fich. Journal : Désactive l'enregistrement automatique.  


Cliquez sur OK pour enregistrer vos paramètres et fermer la boîte de dialogue de configuration d'alarme.

Tous les événements et actions reliés aux alarmes seront listés dans la fenêtre Fichier journal d'événements située en dessous de le liste d'alarmes.