回答1：
在实际工作中，可能会遇到服务器被攻击成功而没有触发其他设备的告警。在没有告警数据包留存的情况下，往往需要下载被攻击时间之前15分钟全部流量进行分析，这样下载来的数据包中会包含大量的http会话。

如何快速定位到关键攻击会话？

使用日志视图查看HTTP协议交互日志，这里的日志全部都是基于捕获到的流量生成的，每行代表一次HTTP交互。

日志中有请求的方法、路径、referer等容易携带攻击指令的字段，还可以看到服务器的返回状态码，也可以基于字符进行搜索和排序。

如果发现某个会话可疑，就通过右键点击定位到会话视图，查看TCP会话。

通过分析数据流进一步研判攻击。

通过这些功能可以快速定位攻击会话。