ネットワーク トラフィック フローの監視 (新しい UI)
最終更新日: 26 年 2024 月 XNUMX 日概要
ネットワーク トラフィック フロー (NetFlow) モニタリングは、IP ネットワーク トラフィックがインターフェイスに出入りするときに収集します。 LogicMonitor コレクタは、一般的なフロー エクスポート プロトコルをサポートするリソースからデータを受信して分析します。 LogicMonitor は、次の統計についてレポートできます。
- トップトーカー
- 上位の送信元/宛先エンドポイント
- トップフロー
- トップポート
- トップアプリケーション
- サービス品質(QoS)
次のネットワーク フロー エクスポート プロトコルがサポートされています。
- NetFlow バージョン 5、7、および 9
- 柔軟なネットフロー
- IPFIX
- sFlow バージョン 1、3、および 5。
注: sFlow バージョン 5 には、LogicMonitor Collector バージョン 29.105 以降が必要です。 - JFlow バージョン 5
- NBAR2
注: NBAR2 データを収集する機能は、LogicMonitor Enterprise アカウントに限定されており、LogicMonitor Collector バージョン 29.101 以降が必要です。 NBAR2 データを収集する場合は、LogicMonitor Collector の netflow.nbar.enable プロパティを TRUE に設定する必要があります。 詳細については、この記事の「ネットワーク トラフィック フローを監視するための LogicMonitor コレクタの構成」セクションを参照してください。
ベストプラクティス
- Collector に、ネットワーク トラフィック フローを監視する能力があることを確認します。 詳細については、次を参照してください。 コレクター容量.
- LogicMonitor コレクタとリソース間のネットワーク ホップを最小限に抑えます。 ネットワーク フロー レコードは、UDP 通信プロトコルを使用して送信されます。 UDP 配信は保証されていないため、ネットワークの輻輳や複雑さによるフローの中断の可能性を最小限に抑えるために、LogicMonitor コレクターがリソースへのネットワーク ホップをできるだけ少なくすることをお勧めします。
- 送信リソースと LogicMonitor コレクタをホストしているリソースの間でクロックを同期します。 リソースが異なるタイム ゾーンにある場合は、UTC を使用するか、単一のタイム ゾーンで標準化することをお勧めします。
- ポートの競合を解消します。 ネットワーク トラフィック データを収集しているホストには、同じポートでリッスンしている他のネットワーク トラフィック アナライザーがあってはなりません。 これにより、競合が発生し、トラフィック データが LogicMonitor に表示されなくなる可能性があります。
ネットワークトラフィックフロー監視用のLogicMonitorコレクターの構成
デフォルトでは、コレクタは、ほとんどの場合変更を必要としない標準のネットワーク トラフィック フロー監視設定でインストールされます。 ただし、デフォルト設定をオーバーライドして、監視環境固有のニーズを満たすことができます。
名前 | タイプ | デフォルト | 詳細 |
ネットフローを有効にする | ブーリアン | TRUE | TRUEの場合、ネットワークフローモジュールはコレクターで有効になります。 |
ネットフローポート | 整数 | 2055 | ネットワーク フロー プロトコル データの UDP リッスン ポート。 フロー データを送信するリソースの UDP ポートは、ここで指定した UDP ポートと一致する必要があります。 複数のポートで複数のプロトコルをサポートする必要がある場合は、ここで複数のポートを構成できます (たとえば、 netflow.ports=2055,4739 ).
|
netflow.sflow.ports | 整数 | 6343 | sFlowプロトコルデータのUDPリスニングポート。 |
netflow.datadir | 文字列 | ネットフロー | HSQLデータベースのパス。 |
netflow.datadir.maxSizeInMB | 整数 | 10240 | ネットワークフローデータディレクトリの最大サイズ(メガバイト単位)。 |
netflow.log.maxNumPerMinute | 整数 | 5 | XNUMX分間のネットワークフロー監視中に書き込むことができる最大ログ数。 |
netflow.netflow9.templateLife | 整数 | 720 | NetFlowバージョン9テンプレートの有効期限(時間単位)。 |
netflow.topFlowSamples | 整数 | 1000 | トップフローの最大サンプル数。 許容範囲は100〜2000です。 |
netflow.ignoreTimestampValidate | ブーリアン | 間違った情報 | TRUE の場合、コレクタはネットワーク フロー リソースの時間情報を無視します。 現在、既定の FALSE 値を上書きする必要がある既知のリソースは、SonicWall だけです。 |
netflow.nbar.enable | ブーリアン | 間違った情報 | TRUEの場合、コレクターはapplicationIDとApplicationTypeの解析を開始します。 LogicMonitorEnterpriseおよびCollectorバージョン29.101以降が必要です。 |
netflow.ipv6.enabled | ブーリアン | TRUE | FALSEの場合、コレクターはIPv6アドレスからのフローを無視します |
netflow.log.largeBytesOrPackets | 整数 | 1073741824 | 指定された整数より大きいパケットまたはバイトを含む監査ログのログフロー |
LogicMonitorでのネットワークトラフィック監視の有効化
ネットワーク トラフィックの監視は、リソースごとに有効になります。
ネットワーク トラフィックの監視を有効にするには、次の手順を実行します。
- [リソース] ページに移動し、ネットワーク トラフィックの監視を有効にするリソースを見つけます。
- リソースを選択した状態で、 管理
- 管理ページから、 ネットワークフロー分析を有効にする スイッチ。
- エクスポートされたネットワーク フロー データの受信に使用されるコレクタを選択します。 ネットワーク フローの収集義務は、Auto-Balanced Collector Group に割り当てることはできません。
- Save.
注: ネットワーク フロー エクスポーターが、リソースの監視対象 IP アドレスとは異なる IP アドレスからデータを送信している場合は、リソースの netflow.allowips プロパティを、ネットワーク フローの発信元の IP アドレスでカスタマイズします。 このプロパティは、値として単一の IP またはカンマ区切りのリストを受け入れます。 詳細については、次を参照してください。 リソースとインスタンスのプロパティ.
リソースでのネットワーク トラフィック フロー モニタリングの有効化
LogicMonitor でネットワーク トラフィックの監視を有効にするだけでなく、リソースでも有効にする必要があります。 構成は、使用しているリソース、ベンダー、ネットワーク トポロジ、およびプロトコルによって異なります。 特定のリソースについて、製造元のガイドラインを確認することをお勧めします。
次のリソース構成は、すべてのプロトコルに適用できます。
- ネットワークフローモニタリングは、インターフェイスごとに有効にする必要があります。
- バージョン番号を指定する必要があります。
- フローエクスポータのソースインターフェイスを指定する必要があります。
- エクスポータ用に構成された UDP ポートは、コレクタの agent.conf ファイルで指定されたポートと一致する必要があります。 詳細については、この記事の「ネットワーク トラフィック フローを監視するための LogicMonitor コレクタの構成」セクションを参照してください。
- リソースのクロックは、コレクタ ホストのクロックと同期する必要があります。
- 宛先(LogicMonitorコレクター)のIPアドレスを指定する必要があります。
- (NetFlow バージョン 9 のみ) 追加のテンプレート構成オプションを設定する必要があります。
- (sFlow のみ) パケット データは、
enterprise=0
&format=1
RFC2233 で説明されているパケット構成。 さらに、sFlow はポート 6343 を使用します。 - (NBAR2) オプションアプリケーションテーブル & オプションアプリケーション属性 リソースのエクスポーター構成で有効にする必要があります。 詳細については、シスコの NBAR構成ガイド.
サンプル構成
以下は、NetFlow バージョン 9 リソース構成のサンプルです。 これらの設定例は、シスコが更新を行うにつれて古くなる可能性があるため、シスコの NetFlow設定 & 柔軟なNetFlow構成 最新の情報を確保するためのガイド。
Cisco IOS 3745ルータ– NetFlowバージョン9、メインキャッシュエクスポート
グローバル設定を構成します:送信元インターフェース、NetFlowバージョン、ターゲットNetFlowコレクター、およびUDPポート。
開始するには、コマンドラインで次のように入力します。
ルーター#conf t
次に、グローバル設定の構成を入力します。
Router(config)#ip flow-export source FastEthernet0/0
Router(config)#ip flow-export version 9
Router(config)#ip flow-export destination 10.0.0.10 2055
グローバルテンプレート設定を構成します:リフレッシュレート、タイムアウトレート、およびオプション。
開始するには、コマンドラインで次のように入力します。
ルーター#conf t
次に、グローバルテンプレート設定の構成を入力します。
Router(config)#ip flow-export template refresh-rate 15
Router(config)#ip flow-export template timeout-rate 90
Router(config)#ip flow-export template options export-stats
Router(config)#ip flow-export template options refresh-rate 25
Router(config)#ip flow-export template options timeout-rate 120
インターフェイス設定を構成します。ルートキャッシュフローを有効にします
開始するには、コマンドラインで次のように入力します。
ルーター#conf t
次に、グローバルテンプレート設定の構成を入力します。
Router(config)#interface fa0/0
Router(config-if)#ip route-cache flow
注(パロアルトユーザー): パロアルトインターフェースの名前をカスタマイズする機能には制限があります。 Palo Altoによると、インターフェイス名は編集できません。 ただし、サブインターフェイス、集約インターフェイス、VLANインターフェイス、ループバックインターフェイス、およびトンネルインターフェイスのインターフェイス名に数値のサフィックスを追加することはできます。
注(バラクーダユーザー向け): IPFIX / NetFlowv9をエクスポートするBarracudaNG Firewallを使用している場合は、相談する必要があります。 バラクーダのドキュメント 適切な構成のため。 具体的には、次の設定を調整する必要があります。「バイト順序」を「リトルエンディアン」に変更し、エクスポートのIPFIXテンプレートを「バラクーダフィールドなしのデフォルト」に変更します。
NetFlowエクスポートに必須およびサポートされるフィールド
フィールドタイプ | 数 | 説明 | コメント |
プロトコル | 4 | IPプロトコルタイプ | 必須の |
IPV4_SRC_ADDR | 8 | IPv4送信元アドレス | IPv4アドレスには必須(コレクターがIPv6対応で、フローにIPv6アドレスがある場合、IPv6の送信元フィールドと宛先フィールド(IPV6_SRC_ADDRとIPV6_DST_ADDR)を交互に使用する必要があります) |
IPV4_DST_ADDR | 12 | IPv4宛先アドレス | |
方向 | 61 | 流れ方向 | オプション(指定されていない場合、デフォルト値の0が使用されます。これは入力を示します) |
SRC_TOS | 5 | 着信インターフェイスに入るときのサービスタイプバイト設定 | オプション |
DST_TOS | 55 | 発信インターフェイスを終了するときのサービスタイプのバイト設定 | オプション |
TCP_FLAGS | 6 | このフローで見られるすべてのTCPフラグの累積 | オプション |
LAST_SWITCHED_FT | 21 | このフローの最後のパケットが切り替えられたシステムの稼働時間 | オプション(指定されていない場合、現在のエポック時間がデフォルト値として使用されます) |
FIRST_SWITCHED_FT | 22 | このフローの最初のパケットが切り替えられたシステムの稼働時間 | オプション(指定されていない場合、現在のエポック時間から60秒を引いた値がデフォルト値として使用されます) |
マルチキャストグループ | |||
IS-マルチキャスト | 206 | このオクテットの最初のビットは、IPヘッダーのバージョンフィールドの値が1で、宛先アドレスフィールドに4〜224.0.0.0の範囲の予約済みマルチキャストアドレスが含まれている場合、239.255.255.255に設定されます。 それ以外の場合、このビットは0に設定されます。
このオクテットのXNUMX番目とXNUMX番目のビットは、将来の使用のために予約されています。 | オプション |
REPLICATION_FACTOR | 99 | マルチキャストレプリケーションファクター | オプション |
MUL_DST_PKTS | 19 | IPフローに関連付けられたパケット用の長さNx8ビットのIPマルチキャスト発信パケットカウンター | オプション |
MUL_DST_BYTES | 20 | IPフローに関連付けられたバイト用の長さNx8ビットのIPマルチキャスト発信バイトカウンター | オプション |
インターフェースグループ | |||
入力_SNMP | 10 | SNMP入力インターフェイスインデックス | これらのフィールドの少なくともXNUMXつが存在する必要があります |
出力_SNMP | 14 | SNMP出力インターフェイスインデックス | |
バイトグループ | |||
IN_BYTES | 1 | IPフローに関連付けられたバイト数の長さN×8ビットの着信カウンター | これらのフィールドの少なくともXNUMXつが存在する必要があります |
OUT_BYTES | 23 | IPフローに関連付けられたバイト数の長さNx8ビットの発信カウンター | |
送信元/宛先ポートグループ | |||
L4_SRC_ポート | 7 | TCP / UDP送信元ポート番号 | これらのフィールドの少なくともXNUMXつが存在する必要があります |
L4_DST_PORT | 11 | TCP / UDP宛先ポート番号 | |
パケットグループ | |||
IN_PKTS | 2 | IPフローに関連付けられたパケット数の長さNx8ビットの着信カウンター | これらのフィールドの少なくともXNUMXつが存在する必要があります |
OUT_PKTS | 24 | IPフローに関連付けられたパケット数の長さNx8ビットの発信カウンター | |
NBARグループ | |||
アプリケーションの説明 | 94 | アプリケーションの説明 | これらのフィールドの少なくともXNUMXつが存在する必要があります |
アプリケーション名 | 96 | 分類に関連付けられたアプリケーション名 | |
アプリケーションタグ | 95 | XNUMXビットのエンジンIDとそれに続くnビットの分類 | 必須の |
アプリケーショングループ | 12234/45002 | 同じネットワークアプリケーションに属するアプリケーションをグループ化します | これらのフィールドの少なくともXNUMXつが存在する必要があります |
CATEGORY | 12232/45000 | 各アプリケーションの第XNUMXレベルの分類を提供します | |
暗号化 | 290 | アプリケーションが暗号化されたネットワークプロトコルであるかどうかを指定します | |
P2Pテクノロジー | 288 | アプリケーションがピアツーピアテクノロジーに基づいているかどうかを指定します | |
サブカテゴリー | 12233/45001 | 各アプリケーションの第XNUMXレベルの分類を提供します | |
トンネル技術 | 289 | アプリケーションが他のプロトコルのトラフィックをトンネリングするかどうかを指定します | |
IPv6グループ | |||
IPV6_SRC_ADDR | 27 | IPv6送信元アドレス | IPv6アドレスのフローには必須 |
IPV6_DST_ADDR | 28 | IPv6宛先アドレス | |
IPV6_SRC_MASK | 29 | 連続ビット単位のIPv6ソースマスクの長さ | オプション |
IPV6_DST_MASK | 30 | 連続ビット単位のIPv6宛先マスクの長さ | オプション |
IPV6_FLOW_LABEL | 31 | RFC6定義に基づくIPv2460フローラベル | オプション |
サンプリンググループ | |||
FLOW_SAMPLER_ID | 48 | 「showflow-sampler」に表示される識別子 | オプション |
FLOW_SAMPLER_MODE | 49 | データのサンプリングに使用されるアルゴリズムのタイプ:0x02ランダムサンプリング | オプション |
SAMPLING_ALGORITHM | 35 | サンプリングされたNetFlowに使用されるアルゴリズムのタイプ:0x01決定論的サンプリング、0x02ランダムサンプリング | オプション |
FLOW_SAMPLER_RANDOM_INTERVAL | 50 | サンプリングするパケット間隔。 FLOW_SAMPLER_MODEと組み合わせて使用します | オプション |
サンプリング間隔 | 34 | サンプリングするパケット間隔 | オプション |
SAMPLER_NAME | 84 | フローサンプルの名前 | オプション |
拡張CiscoASAデバイスグループ | |||
NF_F_CONN_ID | 148 | リソースの一意のフローの識別子 | オプション |
NF_F_FLOW_CREATE_TIME_MSEC | 152 | フローが作成された時刻。これは、flow-createイベントが以前に送信されなかった拡張flow-teardownイベントに含まれます。 フロー期間は、フローティアダウン時間とフロー作成時間のイベント時間で決定できます。 | オプション |
NF_F_EVENT_TIME_MSEC | 323 | イベントが発生した時刻。IPFIXから取得されます。 マイクロ秒単位の時間には324を使用し、ナノ秒単位の時間には325を使用します。 0000年1月1970日XNUMXUTC以降、時間はミリ秒としてカウントされています。 | オプション |
NF_F_FLOW_BYTES | 85 | Cisco ASA9.0では必須 | |
NF_F_FW_EVENT_90 | 40005 | これらのフィールドの少なくともXNUMXつが存在する必要があります | |
NF_F_FW_EVENT_91 | 233 | 高レベルのイベントコード。 値は次のとおりです。
| |
NF_F_FWD_FLOW_DELTA_BYTES | 231 | ソースから宛先までのデルタバイト数 | Cisco ASA9.1では必須 |
NF_F_REV_FLOW_DELTA_BYTES | 232 | 宛先から送信元までのデルタバイト数 | Cisco ASA9.1では必須 |
IPFIX / NetFlowバージョン10グループ | |||
フロー開始秒数 | 150 | このフローの最初のパケットの絶対タイムスタンプ | オプション |
フロー終了秒数 | 151 | このフローの最後のパケットの絶対タイムスタンプ。 | オプション |
フロー終了ミリ秒 | 153 | このフローの最後のパケットの絶対タイムスタンプ | オプション |
systemInitTimeミリ秒 | 160 | IPFIXデバイスの最後の再初期化の絶対タイムスタンプ | オプション |
ネットワークトラフィックフローデータの表示
ネットワーク トラフィック フロー データは、 トラフィック 有効なリソースの [リソース] ページのタブ。 詳細については、次を参照してください。 ネットワーク トラフィック フロー データの表示、フィルタリング、およびレポート.