サポートセンターホーム


NetFlowのモニタリングの設定

概要

ネットワークトラフィックフローモニタリングは、IPネットワークトラフィックがインターフェイスに出入りするときに収集する機能です。 LogicMonitorは、一般的なフローエクスポートプロトコルをサポートするすべてのデバイスのネットワークトラフィックフローデータを監視できます。

具体的には、LogicMonitorコレクターは、デバイスのエクスポートされたフロー統計を受信して​​分析するように構成されています。 LogicMonitorコレクターがレポートできる統計には次のものがあります。

  • トップトーカー
  • 上位の送信元/宛先エンドポイント
  • トップフロー
  • トップポート
  • トップアプリケーション
  • サービス品質(QoS)

システム要件

LogicMonitorコレクターをデバイスのエクスポートされたネットワークフローの受信者として割り当てる前に、次のシステム要件と推奨されるベストプラクティスを確認してください。

サポートされているプロトコル

LogicMonitorコレクターは、次のようなさまざまなネットワークフローエクスポートプロトコルをサポートします。

  • NetFlowバージョン5、7、および9
  • フレキシブルNetFlow(バージョン9と同じ構成が必要)
  • IPFIX(NetFlowバージョン10と呼ばれることもあります)
  • sFlow versions 1, 3, and 5 (version 5 requires Collector version 29.105 or higher) (version 2 is Studio上ではサポートされていません。 サポートされている)
  • JFlow(バージョン5)
  • NBAR2(LogicMonitor Enterpriseユーザーのみが利用可能)

注意: NetFlowLiteはサポートされていません。

LogicMonitorコレクターの要件

コレクターにネットワークトラフィックフローを快適に監視する能力があることを確認してください。 見る コレクター容量 さまざまな環境にわたるネットワークフロー容量制限のサンプルセット。

NBAR2の要件

次世代ネットワークベースのアプリケーション認識(NBAR2)データを収集する場合は、 netflow.nbar.enable LogicMonitor CollectorのプロパティをTRUE(デフォルトではFALSE)に設定します。 ネットワークトラフィックフロー監視用のLogicMonitorコレクターの構成 この記事のセクション。

注意: LogicMonitor内でNBAR2データを収集する機能は、LogicMonitorEnterpriseユーザーのみが利用できます。 さらに、このデータを収集するLogicMonitor Collectorは、バージョン29.101以降である必要があります。

推奨されるベストプラクティス

  • LogicMonitorコレクターとデバイス間のネットワークホップを最小限に抑えます。 ネットワークフローレコードは、UDP通信プロトコルを使用して送信されます。 UDP配信は保証されていないため、ネットワークの輻輳や複雑さによる潜在的なフローの中断を最小限に抑えるために、LogicMonitorコレクターがネットワークトラフィックフローレコードを生成するデバイスへのネットワークホップができるだけ少なくなるようにしてください。
  • クロックを同期します。 ネットワークトラフィックデータは、ネットワークトラフィックに関する詳細なリアルタイム統計で構成されます。 したがって、混乱を避けるために、送信デバイスとLogicMonitorコレクターをホストしているデバイスの間でクロックを同期させることが重要です。 これは、NTPプロトコルを介して行うのが最適です。 さらに、デバイスが異なるタイムゾーンにある場合は、UTCを使用するか、単一のタイムゾーンで標準化することを検討してください。
  • ポートの競合を排除します。 ネットワークトラフィックデータを収集しているコレクターホストには、指定されたポートでリッスンしている他のアプリケーション(つまり、別のネットワークトラフィックアナライザー)があってはなりません。 これにより、競合が発生し、トラフィックデータがLogicMonitorに表示されなくなる可能性があります。

LogicMonitorでのネットワークトラフィック監視の有効化

ネットワークトラフィックの監視は、LogicMonitorでデバイスごとに有効になっています。 これは、デバイスを最初に監視に追加するとき(エキスパートモード)またはその後の任意の時点で有効にできます。

デバイスのネットワークトラフィックモニタリングを有効にするには:

  1. [リソース]ページに移動し、[リソース]ツリーから、ネットワークトラフィックの監視を有効にするデバイスを見つけます。
  2. デバイスを選択した状態で、 管理 ヘッダーにあるボタン。
  3. [管理]ダイアログから、 ネットワークフロー分析を有効にする オプション。 (これは system.enablenetflow デバイスのプロパティをTRUEに設定します。)

  4. ノーザンダイバー社の ネットワークフローコレクター 動的に表示されるフィールドで、エクスポートされたネットワークフローデータの受信に使用されるコレクターを識別します。 特定のコレクターを指定する必要があります。 ネットワークフロー収集の義務を自動バランスコレクタグループに割り当てることはできません。

    注意: ネットワークトラフィックフローモニタリングに割り当てられたコレクタは、デバイスモニタリングに割り当てられたコレクタとは異なる場合があります。 コレクターをネットワークトラフィックフローデータ専用にする機能では、負荷をより適切に制御するか、すべてのネットワークフローアクティビティを少数のコレクターに集中化して、コレクターホストで開く必要のあるファイアウォールポートの数を最小限に抑えることができます。

    注意: If you intend to collect NBAR2 data for a device, which requires LogicMonitor Enterprise and Collector version 29.101 or higher, you must additionally set the netflow.nbar.enable LogicMonitorコレクターのプロパティをTRUEに設定します(デフォルトではFALSEです)。 を参照してください ネットワークトラフィックフロー監視用のLogicMonitorコレクターの構成 詳細については、この記事のセクションを参照してください。

  5. 【送信】ボタンをクリックします。販売者は原則としてXNUMX日以内に回答を返信します。XNUMX日を過ぎても回答がない場合は、Artisanaryまでお問い合わせください。 セールで節約.

注意: ネットワークフローエクスポータが(LogicMonitorで構成されている)デバイスの監視対象IPと同じではないIPアドレスからデータを送信している場合は、 netflow.allowips ネットワークフローの発信元のIPアドレスを持つデバイスのプロパティ。 このプロパティは、単一のIPまたはコンマ区切りのリストのいずれかを値として受け入れます。 範囲を受け入れません。 プロパティの詳細については、を参照してください。 リソースとインスタンスのプロパティ.

ネットワークトラフィックフロー監視用のLogicMonitorコレクターの構成

デフォルトでは、コレクターは、ほとんどのユースケースで変更を必要としない標準のネットワークトラフィックフロー監視設定でインストールされます。 ただし、これらの設定は構成可能であるため、デフォルトをオーバーライドして、監視環境の固有のニーズを満たすことができます。

名前> 種類 デフォルト お問い合わせ内容
netflow.enable ブーリアン TRUE TRUEの場合、ネットワークフローモジュールはコレクターで有効になります。
netflow.ports 整数 2055 ネットワークフロープロトコルデータのUDPリスニングポート。 フローデータを送信するデバイスのUDPポートは、ここで指定されたUDPポートと一致する必要があります。 複数のポートで複数のプロトコルをサポートする必要がある場合は、ここで複数のポートを構成できます(たとえば、 netflow.ports=2055,4739).
netflow.sflow.ports 整数 6343 sFlowプロトコルデータのUDPリスニングポート。
netflow.datadir 文字列 ネットフロー HSQLデータベースのパス。
netflow.datadir.maxSizeInMB 整数 10240 ネットワークフローデータディレクトリの最大サイズ(メガバイト単位)。
netflow.log.maxNumPerMinute 整数 5 XNUMX分間のネットワークフロー監視中に書き込むことができる最大ログ数。
netflow.netflow9.templateLife 整数 720 NetFlowバージョン9テンプレートの有効期限(時間単位)。
netflow.topFlowSamples 整数 1000 トップフローの最大サンプル数。 許容範囲は100〜2000です。
netflow.ignoreTimestampValidate ブーリアン 間違った情報 TRUEの場合、コレクターはネットワークフローデバイスの時間情報を無視します。 現在、デフォルトのFALSE値をオーバーライドする必要がある既知のデバイスはSonicWallsのみです。
netflow.nbar.enable ブーリアン 間違った情報 If TRUE, the Collector begins parsing the applicationID and ApplicationType. LogicMonitor Enterprise and Collector version 29.101 or higher are required.
netflow.ipv6.enabled ブーリアン TRUE FALSEの場合、コレクターはIPv6アドレスからのフローを無視します
netflow.log.largeBytesOrPackets 整数 1073741824 指定された整数より大きいパケットまたはバイトを含む監査ログのログフロー

ネットワークフロー設定は、コレクターの構成ファイルからコレクターごとに編集できます。 手順については、を参照してください。 コレクター構成ファイルの編集.

デバイスでのネットワークトラフィックフロー監視の有効化

LogicMonitorでネットワークトラフィックフローの監視を有効にするだけでなく、デバイスでも有効にする必要があります。 構成は、使用しているデバイス、ベンダー、ネットワークトポロジ、およびプロトコルによって大きく異なります。 実際、このドキュメントでカバーできるよりも多くの組み合わせとオプションがあり、特定のセットアップについてメーカーのガイドラインを確認することをお勧めします。

ただし、次にいくつかの基本的な要件と、サンプルのNetFlow構成をリストしました。

基本的なデバイス構成要件

すべてのプロトコルに適用可能なデバイス構成:

  • ネットワークフローモニタリングは、インターフェイスごとに有効にする必要があります。
  • バージョン番号を指定する必要があります。
  • フローエクスポータのソースインターフェイスを指定する必要があります。
  • エクスポータ用に設定されたUDPポートは、コレクタのagent.confファイルで指定されたポートと一致する必要があります。 ネットワークトラフィックフロー監視用のLogicMonitorコレクターの構成 この記事のセクション。
  • デバイスのクロックは、コレクターホストのクロックと同期している必要があります。
  • 宛先(LogicMonitorコレクター)のIPアドレスを指定する必要があります。

NetFlowバージョン9に適用可能なデバイス構成:

  • NetFlowバージョン9の場合、追加のテンプレート設定オプションを設定する必要があります。

sFlowに適用可能なデバイス構成:

  • sFlowの場合、パケットデータはで提供する必要があります enterprise=0 影響により format=1 RFC2233で説明されているパケット構成。
  • sFlowはポート6343を使用します。

NBAR2に適用可能なデバイス構成:

  • NBAR2アプリケーション情報を収集するために、 オプションアプリケーションテーブル 影響により オプションアプリケーション属性 デバイスのエクスポータ構成で有効にする必要があります。 シスコの NBAR構成ガイド 詳細についてはこちら。

    注意: NBAR2データ収集には、LogicMonitorEnterpriseおよびCollectorバージョン29.101以降が必要です。

サンプル構成

次に、サンプルのNetFlowバージョン9デバイス構成を強調表示しました。 これらのサンプル構成は、シスコが更新を行うと古くなる可能性があるため、シスコの NetFlow設定 影響により 柔軟なNetFlow構成 最新の情報を確保するためのガイド。

Cisco IOS 3745ルータ– NetFlowバージョン9、メインキャッシュエクスポート

グローバル設定を構成します:送信元インターフェース、NetFlowバージョン、ターゲットNetFlowコレクター、およびUDPポート。

開始するには、コマンドラインで次のように入力します。

ルーター#conf t

次に、グローバル設定の構成を入力します。

Router(config)#ip flow-export source FastEthernet0/0
Router(config)#ip flow-export version 9
Router(config)#ip flow-export destination 10.0.0.10 2055

グローバルテンプレート設定を構成します:リフレッシュレート、タイムアウトレート、およびオプション。

開始するには、コマンドラインで次のように入力します。

ルーター#conf t

次に、グローバルテンプレート設定の構成を入力します。

Router(config)#ip flow-export template refresh-rate 15
Router(config)#ip flow-export template timeout-rate 90
Router(config)#ip flow-export template options export-stats
Router(config)#ip flow-export template options refresh-rate 25
Router(config)#ip flow-export template options timeout-rate 120

インターフェイス設定を構成します。ルートキャッシュフローを有効にします

開始するには、コマンドラインで次のように入力します。

ルーター#conf t

次に、グローバルテンプレート設定の構成を入力します。

Router(config)#interface fa0/0
Router(config-if)#ip route-cache flow

注(パロアルトユーザー): パロアルトインターフェースの名前をカスタマイズする機能には制限があります。 Palo Altoによると、インターフェイス名は編集できません。 ただし、サブインターフェイス、集約インターフェイス、VLANインターフェイス、ループバックインターフェイス、およびトンネルインターフェイスのインターフェイス名に数値のサフィックスを追加することはできます。

注(バラクーダユーザー向け): IPFIX / NetFlowv9をエクスポートするBarracudaNG Firewallを使用している場合は、相談する必要があります。 バラクーダのドキュメント 適切な構成のため。 具体的には、次の設定を調整する必要があります。「バイト順序」を「リトルエンディアン」に変更し、エクスポートのIPFIXテンプレートを「バラクーダフィールドなしのデフォルト」に変更します。

NetFlowエクスポートに必須およびサポートされるフィールド

フィールドタイプ 製品説明 コメント
プロトコル 4 IPプロトコルタイプ 必須の
IPV4_SRC_ADDR 8 IPv4送信元アドレス IPv4アドレスには必須(コレクターがIPv6対応で、フローにIPv6アドレスがある場合、IPv6の送信元フィールドと宛先フィールド(IPV6_SRC_ADDRとIPV6_DST_ADDR)を交互に使用する必要があります)
IPV4_DST_ADDR 12 IPv4宛先アドレス
方向 61 流れ方向 オプション(指定されていない場合、デフォルト値の0が使用されます。これは入力を示します)
SRC_TOS 5 着信インターフェイスに入るときのサービスタイプバイト設定 オプション
DST_TOS 55 発信インターフェイスを終了するときのサービスタイプのバイト設定 オプション
TCP_FLAGS 6 このフローで見られるすべてのTCPフラグの累積 オプション
LAST_SWITCHED_FT 21 このフローの最後のパケットが切り替えられたシステムの稼働時間 オプション(指定されていない場合、現在のエポック時間がデフォルト値として使用されます)
FIRST_SWITCHED_FT 22 このフローの最初のパケットが切り替えられたシステムの稼働時間 オプション(指定されていない場合、現在のエポック時間から60秒を引いた値がデフォルト値として使用されます)

マルチキャストグループ

IS-マルチキャスト 206 このオクテットの最初のビットは、IPヘッダーのバージョンフィールドの値が1で、宛先アドレスフィールドに4〜224.0.0.0の範囲の予約済みマルチキャストアドレスが含まれている場合、239.255.255.255に設定されます。 それ以外の場合、このビットは0に設定されます。

このオクテットのXNUMX番目とXNUMX番目のビットは、将来の使用のために予約されています。
オプション
REPLICATION_FACTOR 99 マルチキャストレプリケーションファクター オプション
MUL_DST_PKTS 19 IPフローに関連付けられたパケット用の長さNx8ビットのIPマルチキャスト発信パケットカウンター オプション
MUL_DST_BYTES 20 IPフローに関連付けられたバイト用の長さNx8ビットのIPマルチキャスト発信バイトカウンター オプション

インターフェースグループ

INPUT_SNMP 10 SNMP入力インターフェイスインデックス これらのフィールドの少なくともXNUMXつが存在する必要があります
OUTPUT_SNMP 14 SNMP出力インターフェイスインデックス

バイトグループ

IN_BYTES 1 IPフローに関連付けられたバイト数の長さN×8ビットの着信カウンター これらのフィールドの少なくともXNUMXつが存在する必要があります
OUT_BYTES 23 IPフローに関連付けられたバイト数の長さNx8ビットの発信カウンター

送信元/宛先ポートグループ

L4_SRC_PORT 7 TCP / UDP送信元ポート番号 これらのフィールドの少なくともXNUMXつが存在する必要があります
L4_DST_PORT 11 TCP / UDP宛先ポート番号

パケットグループ

IN_PKTS 2 IPフローに関連付けられたパケット数の長さNx8ビットの着信カウンター これらのフィールドの少なくともXNUMXつが存在する必要があります
OUT_PKTS 24 IPフローに関連付けられたパケット数の長さNx8ビットの発信カウンター

NBARグループ

アプリケーションの説明 94 アプリケーションの説明 これらのフィールドの少なくともXNUMXつが存在する必要があります
アプリケーション名 96 分類に関連付けられたアプリケーション名
アプリケーションタグ 95 XNUMXビットのエンジンIDとそれに続くnビットの分類 必須の
アプリケーショングループ 12234 / 45002 同じネットワークアプリケーションに属するアプリケーションをグループ化します これらのフィールドの少なくともXNUMXつが存在する必要があります
CATEGORY 12232 / 45000 各アプリケーションの第XNUMXレベルの分類を提供します
暗号化 290 アプリケーションが暗号化されたネットワークプロトコルであるかどうかを指定します
P2Pテクノロジー 288 アプリケーションがピアツーピアテクノロジーに基づいているかどうかを指定します
サブカテゴリー 12233 / 45001 各アプリケーションの第XNUMXレベルの分類を提供します
トンネル技術 289 アプリケーションが他のプロトコルのトラフィックをトンネリングするかどうかを指定します

IPv6グループ

IPV6_SRC_ADDR 27 IPv6送信元アドレス IPv6アドレスのフローには必須
IPV6_DST_ADDR 28 IPv6宛先アドレス
IPV6_SRC_MASK 29 連続ビット単位のIPv6ソースマスクの長さ オプション
IPV6_DST_MASK 30 連続ビット単位のIPv6宛先マスクの長さ オプション
IPV6_FLOW_LABEL 31 RFC6定義に基づくIPv2460フローラベル オプション

サンプリンググループ

FLOW_SAMPLER_ID 48 「showflow-sampler」に表示される識別子 オプション
FLOW_SAMPLER_MODE 49 データのサンプリングに使用されるアルゴリズムのタイプ:0x02ランダムサンプリング オプション
SAMPLING_ALGORITHM 35 サンプリングされたNetFlowに使用されるアルゴリズムのタイプ:0x01決定論的サンプリング、0x02ランダムサンプリング オプション
FLOW_SAMPLER_RANDOM_INTERVAL 50 サンプリングするパケット間隔。 FLOW_SAMPLER_MODEと組み合わせて使用​​します オプション
SAMPLING_INTERVAL 34 サンプリングするパケット間隔 オプション
SAMPLER_NAME 84 フローサンプルの名前 オプション

拡張CiscoASAデバイスグループ

NF_F_CONN_ID 148 デバイスの一意のフローの識別子 オプション
NF_F_FLOW_CREATE_TIME_MSEC 152 フローが作成された時刻。これは、flow-createイベントが以前に送信されなかった拡張flow-teardownイベントに含まれます。 フロー期間は、フローティアダウン時間とフロー作成時間のイベント時間で決定できます。 オプション
NF_F_EVENT_TIME_MSEC 323 イベントが発生した時刻。IPFIXから取得されます。 マイクロ秒単位の時間には324を使用し、ナノ秒単位の時間には325を使用します。 0000年1月1970日XNUMXUTC以降、時間はミリ秒としてカウントされています。 オプション
NF_F_FLOW_BYTES 85 Cisco ASA9.0では必須
NF_F_FW_EVENT_90 40005 これらのフィールドの少なくともXNUMXつが存在する必要があります
NF_F_FW_EVENT_91 233 高レベルのイベントコード。 値は次のとおりです。

  • 0-デフォルト(無視)
  • 1-作成されたフロー
  • 2-フローが削除されました
  • 3-フローが拒否されました
  • 4-フローアラート
  • 5-フローの更新
NF_F_FWD_FLOW_DELTA_BYTES 231 ソースから宛先までのデルタバイト数 Cisco ASA9.1では必須
NF_F_REV_FLOW_DELTA_BYTES 232 宛先から送信元までのデルタバイト数 Cisco ASA9.1では必須

IPFIX / NetFlowバージョン10グループ

flowStartSeconds 150 このフローの最初のパケットの絶対タイムスタンプ オプション
flowEndSeconds 151 このフローの最後のパケットの絶対タイムスタンプ。 オプション
flowEndMilliseconds 153 このフローの最後のパケットの絶対タイムスタンプ オプション
systemInitTimeミリ秒 160 IPFIXデバイスの最後の再初期化の絶対タイムスタンプ オプション

ネットワークトラフィックフローデータの表示

ネットワークトラフィックフローデータは、有効なデバイスの[リソース]ページ(具体的には[トラフィック]タブ)に表示されます。 詳細については、を参照してください。 NetFlowデータの表示、フィルタリング、およびレポート.

記事上で