深入监控调试——报文详解

edr报文解读随着信息技术的不断发展，我们生活中产生的数据越来越多。

为了处理这些数据，并从中获取有用的信息，企业和组织采用了各种数据管理和分析工具。

其中，EDR（Endpoint Detection and Response）系统扮演着重要的角色。

本文将对EDR报文进行解读，介绍其基本概念、组成结构以及主要功能。

一、EDR报文基本概念EDR报文是指在EDR系统中，用于记录和传输事件信息的一种数据格式。

它包含了各种关于终端设备上发生的事件的详细信息，如进程启动、文件修改、网络连接等。

EDR报文的生成和传输是EDR系统实现事件监测和响应的基础。

通过解读EDR报文，可以追踪威胁行为、发现安全漏洞，并作出相应的应对措施。

二、EDR报文组成结构1. 报文头部：报文头部包含了一些基本的元数据信息，如报文的版本、时间戳、报文类型等。

这些信息可以帮助我们更好地理解和分类报文。

2. 事件信息部分：事件信息部分是EDR报文的核心，它记录了具体事件的详细信息。

包括事件类型、事件发生的终端设备、事件发生的时间、事件产生的原因等。

这些信息对于了解事件的背景和原因非常重要。

3. 受影响的对象：在EDR报文中，会记录受影响的对象信息，如被修改的文件、被感染的进程等。

通过分析这些信息，可以确定受到威胁的范围和程度。

4. 请求和响应：如果事件涉及到网络通信，EDR报文还会记录请求和响应的信息。

这些信息可以帮助我们了解事件发生的过程和行为特征。

三、EDR报文的主要功能1. 威胁检测和分析：通过分析EDR报文中的事件信息，可以发现可能存在的威胁行为。

比如，可以检测到恶意文件的下载、异常的网络连接等。

通过对这些事件的分析，可以找到威胁行为的特征，并采取相应的防御措施。

2. 安全事件响应：当发生安全事件时，EDR系统可以及时生成相应的报文，并将其传输到中央管理平台。

通过解读EDR报文，安全团队可以快速了解事件的发生情况，采取相应的应对措施，减少损失和影响。

104规约详细介绍及报文解析-回复规约（Protocol）是计算机网络通信中的一种协议，用于定义数据交换的格式、顺序以及错误检测和纠正等内容。

104规约（IEC 60870-5-104）是国际电工委员会（International Electrotechnical Commission）制定的一种规约，主要用于监控与控制系统之间的通信。

本文将详细介绍104规约及其报文解析。

一、104规约简介104规约是一种基于TCP/IP网络通信的规约，主要用于工业自动化领域中的远程监控与控制系统。

它提供了一种可靠、高效的通信方式，能够满足实时性、灵活性和可靠性等要求。

104规约采用了面向报文和面向连接的通信方式，能够支持点对点、点对多点和多点对点的通信模式。

二、104规约报文结构104规约的报文结构包括报文头（Header）、ASDU（Application Service Data Unit）和报文尾（Footer）。

报文头包含了报文的控制信息，用于表示报文类型、优先级和传输原因等。

ASDU是实际传输的数据部分，负责携带各种监控与控制的信息。

报文尾用于检测报文的完整性和一致性。

三、104规约报文解析1. 报文头解析：首先读取报文头，根据报文头的信息可以确定报文的类型、传输原因和发送序号等。

报文类型表示了报文的目的和功能，如启动报文、确认报文或者监控与控制的报文。

传输原因表示了触发发送该报文的原因，如周期定时发送、事件触发发送等。

2. ASDU解析：根据ASDU的类型可以确定ASDU的功能和数据的含义。

不同类型的ASDU用于传输不同种类的监控与控制的数据，如单点信息、双点信息、测量值和参数等。

根据ASDU的结构和定义，可以提取出数据的具体内容。

3. 报文尾解析：最后检查报文尾以验证报文的完整性和一致性。

报文尾通常包括一个校验和，用于检测报文是否被修改或丢失。

四、104规约报文的应用104规约广泛应用于电力、水利、交通、石油等行业中的远程监控与控制系统。

报文解析深瑞版HUA system office room 【HUA16H-TTMS2A-HUAS8Q8-HUAH1688】61850报文解析说明编写：陈林兴日期：2013年10月10日本文档只涉及mms报文。

1.相关术语简介IED：智能电子设备；icd：智能电子设备配置描述；SCD：变电站配置描述；cid：从SCD文件中导出与各自IED相关的内容形成文件，即实例化后的icd模型文件；SCL：变电站配置描述语言；AccessPoint：访问点；PHD：物理设备LD：逻辑设备；LN：逻辑节点；FC：功能约束；FCD：功能约束数据；FCDA：功能约束数据属性；GOCB：GOOSE控制块；LLN0：逻辑节点0；SGCB：定值控制块；DO：数据对象；DA：数据属性。

2.icd/cid模型文件简介2.1.模型文件结构61850模型文件为树状层次：PHD（物理设备）→LD（逻辑设备）→LN（逻辑节点）→DO（数据对象）→DA（数据属性）。

图2-1-1 61850模型文件树状结构…图2-1-2 icd配置文件结构图2-1-3 icd配置文件结构示例其中AccessPoint下面包含S1（mms服务）、G1（GOOSE服务）、M1（SV服务）访问点。

以前的程序导入icd时，需删除G1和M1访问点，目前PRS7000后台130801以后的程序，可过滤G1和M1访问点，无需删除。

2.2.icd模型文件内容与数据库信号的对应2.2.1.遥测信号图2-2-1-1 7741导入icd后遥测信号遥测UC，其mms引用路径为：PRS7741/MEAS/MMXU1$MX$U$phsC$cVal$mag$f PRS7741：IEDName；MEAS：LDName，MEAS表示测量LD；MMXU1：逻辑节点类LNClass+序号Inst，MMXU表示测量量数据；MX：功能约束MX；U$phsC： DOName，表示C相电压；cVal$mag$f：DAName表示C相电压幅值。

onvif协议示例报文-回复ONVIF协议示例报文解析：窥探智能安防行业的未来随着技术的飞速发展，安防行业也在迎来前所未有的变革。

ONVIF（开放网络视频接口论坛）协议正是在这一背景下应运而生，被广泛应用于视频监控领域。

本文将以ONVIF协议示例报文为主题，一步一步解析其结构和功能，探讨ONVIF协议对智能安防行业的影响。

第一步：理解ONVIF协议ONVIF协议是一个开放的行业标准，旨在提供跨厂商、跨产品的互操作性，以便不同品牌、不同厂商的安防设备可以进行无缝集成和互相通信。

该协议定义了一套统一的接口和规范，使得不同厂商生产的网络摄像机、视频管理系统和其他安防设备可以进行互联互通。

第二步：解析ONVIF协议示例报文格式ONVIF协议示例报文的格式通常采用XML（可扩展标记语言）结构。

XML是一种用于描述结构化信息的标记语言，非常适合用来传输复杂的数据和参数。

ONVIF协议示例报文通常包含以下几个关键部分：1. Envelope（信封）：报文的最外层，包含了一些基本的元信息，如命名空间和编码方式。

2. Header（头部）：包含一些元数据，如消息ID、时间戳和安全认证信息等。

3. Body（主体）：报文的主要内容，包括请求和响应的数据。

第三步：解析ONVIF协议示例报文功能ONVIF协议示例报文的功能主要分为两类：请求和响应。

请求指的是客户端向服务器发送的命令或操作，而响应则是服务器对于客户端请求的回应。

以下是一些常见的ONVIF协议示例报文功能：1. 获取设备信息：通过发送GetDeviceInformation请求，可以获取设备的制造商、型号、硬件版本、软件版本等信息。

2. 获取视频流：通过发送GetStreamURI请求，可以获取设备的视频流地址，进而实现实时视频监控。

3. 控制设备：通过发送相应的命令，如PTZ（云台控制）指令，可以实现对设备的远程控制，如调整摄像头的方向、焦距和光圈。

4. 设置设备参数：通过发送相应的命令，如SetSystemDateAndTime 请求，可以设置设备的系统时间和日期。

监控系统调试记录监控系统调试记录1：介绍1.1 文档目的本文档旨在记录监控系统的调试过程，包括问题描述、解决方案、测试结果等。

1.2 参与人员- 调试人员1：姓名- 调试人员2：姓名2：硬件配置2.1 监控系统硬件设备描述监控系统所使用的硬件设备，包括：- 监控摄像头型号及数量- 视频录像机型号- 网络设备信息2.2 连接布局描述监控系统的网络拓扑结构、设备布局等信息。

3：软件配置3.1 监控系统软件版本记录监控系统的软件版本号及其他相关信息。

3.2 配置参数列出监控系统的配置参数，包括但不限于：- 视频分辨率- 视频帧率- 存储设置- 报警设置- 用户权限设置3.3 系统日志记录系统日志的位置、格式、记录内容等信息。

4：调试过程4.1 问题描述详细描述调试过程中遇到的问题及现象。

4.2 解决方案记录针对每个问题所采取的解决方案，并解释如何实施。

4.3 测试过程记录对解决方案进行的测试过程，包括测试环境、测试步骤、测试数据等。

4.4 测试结果总结测试结果，包括问题是否解决、系统运行情况是否正常等。

5：总结与建议5.1 总结对整个调试过程进行总结，包括问题的根本原因、解决方案的有效性等方面的评价。

5.2 建议提出对监控系统的进一步改进或增强的建议，以提高系统的性能和稳定性。

6：附件列出本文档所涉及的附件及其名称，如配置文件、测试报告等。

7：法律名词及注释列出本文档中所涉及的法律名词及其注释，以便读者理解。

（完整word版）104报文分析1. 104规约框架分析1.1 原始报文的组成报文组成（1字节启动字符0x68，1字节报文长度，4字节控制域，不定长用户数据）第1个字节是启动字符0x68;第2个字节是报文长度；第3~6共4个字节是控制域；第7个字节是报文类型；第8个字节是可变结构限定词；第9~10共2个字节是传送原因；第11~12共2个字节是应用服务数据单元公共地址；第13~15共3个字节是信息对象地址；。

1.2 三种报文格式的控制域定义（1）I帧编号的信息传输格式（InFormation Transmit Format），简称I －格式I格式控制域标志，控制域：第一个八位位组的第一位比特= 0 第三个八位位组第一位比特= 0（2）S帧编号的监视功能格式（Numbered supervisory Functions），简称S－格式，控制域，第一个八位位组的第一位比特= 1 并且第二位比特= 0，第三个八位位组第一位比特= 0（3）U帧不编号的控制功能格式（Unnumbered control Function），简称U－格式，第一个八位位组的第一位比特= 1 并且第二位比特=1 且第三个八位位组第一位比特= 01.3 报文类型（第7个字节）1.3.1 监视方向的应用功能类型类型标识∶=UI8[1..8]<0..44>M_SP_NA_1(1) 无时标单点遥信M_SP_TA_1(2) 带短时标的单点遥信M_DP_NA_1(3) 无时标双点遥信M_DP_TA_1(4) 带短时标双点遥信M_ST_NA_1(5) 步位置信息M_ST_TA_1(6) 带短时标的步位置信息M_BO_NA_1(7) 32比特串M_BO_TA_1(8) 带短时标的比特串M_ME_NA_1(9) 不带时标的常规遥测(规一化值）M_ME_TA_1(10) 带短时标的常规遥测(规一化值）M_ME_NB_1(11) 不带时标的常规遥测(标度化值）M_ME_TB_1(12) 带短时标的常规遥测(标度化值）M_ME_NC_1(13) 不带时标浮点遥测M_ME_TC_1(14) 带短时标浮点遥测M_IT_NA_1(15) 累计量M_IT_TA_1(16) 带短时标的累计量M_EP_TA_1(17) 带短时标的继电保护装置事件M_EP_TB_1(18) 带短时标的继电保护装置成组事件M_EP_TC_1(19) 带短时标的继电保护装置成组输出电路信息M_PS_NA_1(20) 带变位检出的成组单点信息M_ME_ND_1(21) 不带品质描述的常规遥测（规一化值）M_SP_TB_1(30) 带长时标的单点遥信M_DP_TB_1(31) 带长时标的双点遥信M_ST_TB_1(32) 带长时标的步位置信息M_BO_TB_1(33) 带长时标的32比特串M_ME_TD_1(34) 带长时标的遥测（规一化值）M_ME_TE_1(35) 带长时标的遥测（标度化值）M_ME_TF_1(36) 带长时标的浮点遥测M_IT_TB_1(37) 带长时标的累计量M_EP_TD_1(38) 带长时标的继电保护装置事件M_EP_TE_1(39) 带长时标的继电保护装置成组事件M_EP_TF_1(40) 带长时标的继电保护装置成组输出电路信息1.3.2 控制方向的过程信息类型标识∶= UI8[1..8]<45..69>C_SC_NA_1(45) 单点遥控命令C_DC_NA_1(46) 双点遥控命令C_RC_NA_1(47) 调节步命令C_SE_NA_1(48) 设定值命令，规一化值C_SE_NB_1(49) 设定值命令，标度化值C_SE_NC_1(50) 设定值命令，短浮点数C_BO_NC_1(51) 32比特串1.3.3 在监视方向的系统信息类型标识∶= UI8[1..8]<70..99>M_EI_NA_1(70) 初始化结束<71..99>∶= 保留1.3.4 在控制方向的系统信息类型标识∶= UI8[1..8]<100..109>C_IC_NA_1(100) 总召唤C_CI_NA_1(101) 累计量召唤命令C_RD_NA_1(102) 读取数据命令C_CS_NA_1(103) 时钟同步命令C_TS_NA_1(104) 测试命令C_RP_NA_1(105) 复位进程命令C_CD_NA_1(106) 收集传输延时P_ME_NA_1(110) 测量值参数，规一化值P_ME_NB_1(111) 测量值参数，标度化值P_ME_NC_1(112) 测量值参数，短浮点数P_AC_NA_1(113) 参数激活F_FR_NA_1(120) 文件准备就绪F_SR_NA_1(121) 节准备就绪F_SC_NA_1(122) 召唤目录，选择文件，召唤文件召唤节F_LS_NA_1(123) 最后的节，最后的段F_AF_NA_1(124) 认可文件，认可节F_SG_NA_1(125) 段F_DR_NA_1(126) 目录1.4 可变结构限定词（第8个字节）可变结构限定词，下图所示：第1~7bit第8 bit位是表示，后面信息单元中的数据是否连续，=1时表示是连续，=0时表示是非连续。

485协议报文解析485协议是一种串行通信协议，广泛应用于工业自动化、电力监控、智能家居等领域。

对于初学者来说，理解485协议报文的含义和格式是掌握该协议的基础。

485协议报文包含三个部分：帧头、数据包和帧尾。

帧头和帧尾是标识符，用于标志数据包的开始和结束。

数据包是最重要的部分，包含了具体的数据内容。

帧头通常是一个由连续多个相同数值组成的字节，称为“冒号帧头”。

这个数值通常是0x10，0x3A或0x68，用于区分不同的协议。

帧头后面跟着一个地址码，用于标识通信的设备。

地址码长度可为1或2个字节，根据实际情况而定。

数据包部分是485协议中最重要的部分。

数据包长度可以是1到256个字节，其中第一个字节为功能码，用于标识数据包类型，如读取数据或写入数据。

接下来的数据字节表示具体的数据内容。

数据的格式和含义由功能码决定，需要根据实际情况进行解析。

数据包的最后一部分是校验码。

校验码通常是从地址码到数据内容所有字节值相加，再加上255，取低8位得到的结果。

这个校验码用于检测数据包是否被篡改。

最后是帧尾，通常由一到两个字节组成，用于标志数据包的结束。

帧尾的值通常为0x10或0x16。

在实际的通信过程中，我们需要对485协议报文进行解析。

首先要分析帧头，了解协议类型与地址码，然后通过功能码确定数据类型，再进一步解析具体的数据内容。

最后，通过校验码验证数据包是否正确。

总而言之，理解485协议报文的结构和含义是掌握该协议的基础。

掌握了这些内容后，我们就能更好地应用485协议进行串行通信，保障通信的稳定性和可靠性。