ネットワーク トラフィック フローの監視 (新しい UI)

最終更新日: 27 年 2023 月 XNUMX 日

概要

ネットワーク トラフィック フロー (NetFlow) モニタリングは、IP ネットワーク トラフィックがインターフェイスに出入りするときに収集します。 LogicMonitor コレクタは、一般的なフロー エクスポート プロトコルをサポートするリソースからデータを受信して​​分析します。 LogicMonitor は、次の統計についてレポートできます。

  • トップトーカー
  • 上位の送信元/宛先エンドポイント
  • トップフロー
  • トップポート
  • トップアプリケーション
  • サービス品質(QoS)

次のネットワーク フロー エクスポート プロトコルがサポートされています。

  • NetFlow バージョン 5、7、および 9
  • 柔軟なネットフロー 
  • IPFIX
  • sFlow バージョン 1、3、および 5。
    注: sFlow バージョン 5 には、LogicMonitor Collector バージョン 29.105 以降が必要です。
  • JFlow バージョン 5
  • NBAR2
    注: NBAR2 データを収集する機能は、LogicMonitor Enterprise アカウントに限定されており、LogicMonitor Collector バージョン 29.101 以降が必要です。 NBAR2 データを収集する場合は、LogicMonitor Collector の netflow.nbar.enable プロパティを TRUE に設定する必要があります。 詳細については、この記事の「ネットワーク トラフィック フローを監視するための LogicMonitor コレクタの構成」セクションを参照してください。

ベストプラクティス

  • Collector に、ネットワーク トラフィック フローを監視する能力があることを確認します。 詳細については、次を参照してください。 コレクター容量
  • LogicMonitor コレクタとリソース間のネットワーク ホップを最小限に抑えます。 ネットワーク フロー レコードは、UDP 通信プロトコルを使用して送信されます。 UDP 配信は保証されていないため、ネットワークの輻輳や複雑さによるフローの中断の可能性を最小限に抑えるために、LogicMonitor コレクターがリソースへのネットワーク ホップをできるだけ少なくすることをお勧めします。 
  • 送信リソースと LogicMonitor コレクタをホストしているリソースの間でクロックを同期します。 リソースが異なるタイム ゾーンにある場合は、UTC を使用するか、単一のタイム ゾーンで標準化することをお勧めします。 
  • ポートの競合を解消します。 ネットワーク トラフィック データを収集しているホストには、同じポートでリッスンしている他のネットワーク トラフィック アナライザーがあってはなりません。 これにより、競合が発生し、トラフィック データが LogicMonitor に表示されなくなる可能性があります。

ネットワークトラフィックフロー監視用のLogicMonitorコレクターの構成

デフォルトでは、コレクタは、ほとんどの場合変更を必要としない標準のネットワーク トラフィック フロー監視設定でインストールされます。 ただし、デフォルト設定をオーバーライドして、監視環境固有のニーズを満たすことができます。

お名前 デフォルト 詳細
ネットフローを有効にする ブーリアン TRUE TRUEの場合、ネットワークフローモジュールはコレクターで有効になります。
ネットフローポート 整数 2055 ネットワーク フロー プロトコル データの UDP リッスン ポート。 フロー データを送信するリソースの UDP ポートは、ここで指定した UDP ポートと一致する必要があります。 複数のポートで複数のプロトコルをサポートする必要がある場合は、ここで複数のポートを構成できます (たとえば、 netflow.ports=2055,4739).
netflow.sflow.ports 整数 6343 sFlowプロトコルデータのUDPリスニングポート。
netflow.datadir 文字列 ネットフロー HSQLデータベースのパス。
netflow.datadir.maxSizeInMB 整数 10240 ネットワークフローデータディレクトリの最大サイズ(メガバイト単位)。
netflow.log.maxNumPerMinute 整数 5 XNUMX分間のネットワークフロー監視中に書き込むことができる最大ログ数。
netflow.netflow9.templateLife 整数 720 NetFlowバージョン9テンプレートの有効期限(時間単位)。
netflow.topFlowSamples 整数 1000 トップフローの最大サンプル数。 許容範囲は100〜2000です。
netflow.ignoreTimestampValidate ブーリアン 間違った情報 TRUE の場合、コレクタはネットワーク フロー リソースの時間情報を無視します。 現在、既定の FALSE 値を上書きする必要がある既知のリソースは、SonicWall だけです。
netflow.nbar.enable ブーリアン 間違った情報 TRUEの場合、コレクターはapplicationIDとApplicationTypeの解析を開始します。 LogicMonitorEnterpriseおよびCollectorバージョン29.101以降が必要です。
netflow.ipv6.enabled ブーリアン TRUE FALSEの場合、コレクターはIPv6アドレスからのフローを無視します
netflow.log.largeBytesOrPackets 整数 1073741824 指定された整数より大きいパケットまたはバイトを含む監査ログのログフロー

LogicMonitorでのネットワークトラフィック監視の有効化

ネットワーク トラフィックの監視は、リソースごとに有効になります。

ネットワーク トラフィックの監視を有効にするには、次の手順を実行します。

  1. [リソース] ページに移動し、ネットワーク トラフィックの監視を有効にするリソースを見つけます。 
  2. リソースを選択した状態で、 管理
  3. 管理ページから、 ネットワークフロー分析を有効にする スイッチ。
  4. エクスポートされたネットワーク フロー データの受信に使用されるコレクタを選択します。 ネットワーク フローの収集義務は、Auto-Balanced Collector Group に割り当てることはできません。
  5. Save.

注: ネットワーク フロー エクスポーターが、リソースの監視対象 IP アドレスとは異なる IP アドレスからデータを送信している場合は、リソースの netflow.allowips プロパティを、ネットワーク フローの発信元の IP アドレスでカスタマイズします。 このプロパティは、値として単一の IP またはカンマ区切りのリストを受け入れます。 詳細については、次を参照してください。 リソースとインスタンスのプロパティ.

リソースでのネットワーク トラフィック フロー モニタリングの有効化

LogicMonitor でネットワーク トラフィックの監視を有効にするだけでなく、リソースでも有効にする必要があります。 構成は、使用しているリソース、ベンダー、ネットワーク トポロジ、およびプロトコルによって異なります。 特定のリソースについて、製造元のガイドラインを確認することをお勧めします。

次のリソース構成は、すべてのプロトコルに適用できます。

  • ネットワークフローモニタリングは、インターフェイスごとに有効にする必要があります。
  • バージョン番号を指定する必要があります。
  • フローエクスポータのソースインターフェイスを指定する必要があります。
  • エクスポータ用に構成された UDP ポートは、コレクタの agent.conf ファイルで指定されたポートと一致する必要があります。 詳細については、この記事の「ネットワーク トラフィック フローを監視するための LogicMonitor コレクタの構成」セクションを参照してください。
  • リソースのクロックは、コレクタ ホストのクロックと同期する必要があります。
  • 宛先(LogicMonitorコレクター)のIPアドレスを指定する必要があります。
  • (NetFlow バージョン 9 のみ) 追加のテンプレート構成オプションを設定する必要があります。
  • (sFlow のみ) パケット データは、 enterprise=0 & format=1 RFC2233 で説明されているパケット構成。 さらに、sFlow はポート 6343 を使用します。
  • (NBAR2) オプションアプリケーションテーブル & オプションアプリケーション属性 リソースのエクスポーター構成で有効にする必要があります。 詳細については、シスコの NBAR構成ガイド.

サンプル構成

以下は、NetFlow バージョン 9 リソース構成のサンプルです。 これらの設定例は、シスコが更新を行うにつれて古くなる可能性があるため、シスコの NetFlow設定 & 柔軟なNetFlow構成 最新の情報を確保するためのガイド。

Cisco IOS 3745ルータ– NetFlowバージョン9、メインキャッシュエクスポート

グローバル設定を構成します:送信元インターフェース、NetFlowバージョン、ターゲットNetFlowコレクター、およびUDPポート。

開始するには、コマンドラインで次のように入力します。

ルーター#conf t

次に、グローバル設定の構成を入力します。

Router(config)#ip flow-export source FastEthernet0/0
Router(config)#ip flow-export version 9
Router(config)#ip flow-export destination 10.0.0.10 2055

グローバルテンプレート設定を構成します:リフレッシュレート、タイムアウトレート、およびオプション。

開始するには、コマンドラインで次のように入力します。

ルーター#conf t

次に、グローバルテンプレート設定の構成を入力します。

Router(config)#ip flow-export template refresh-rate 15
Router(config)#ip flow-export template timeout-rate 90
Router(config)#ip flow-export template options export-stats
Router(config)#ip flow-export template options refresh-rate 25
Router(config)#ip flow-export template options timeout-rate 120

インターフェイス設定を構成します。ルートキャッシュフローを有効にします

開始するには、コマンドラインで次のように入力します。

ルーター#conf t

次に、グローバルテンプレート設定の構成を入力します。

Router(config)#interface fa0/0
Router(config-if)#ip route-cache flow

注(パロアルトユーザー): パロアルトインターフェースの名前をカスタマイズする機能には制限があります。 Palo Altoによると、インターフェイス名は編集できません。 ただし、サブインターフェイス、集約インターフェイス、VLANインターフェイス、ループバックインターフェイス、およびトンネルインターフェイスのインターフェイス名に数値のサフィックスを追加することはできます。

注(バラクーダユーザー向け): IPFIX / NetFlowv9をエクスポートするBarracudaNG Firewallを使用している場合は、相談する必要があります。 バラクーダのドキュメント 適切な構成のため。 具体的には、次の設定を調整する必要があります。「バイト順序」を「リトルエンディアン」に変更し、エクスポートのIPFIXテンプレートを「バラクーダフィールドなしのデフォルト」に変更します。

NetFlowエクスポートに必須およびサポートされるフィールド

フィールドタイプ 説明 コメント
プロトコル 4 IPプロトコルタイプ 必須の
IPV4_SRC_ADDR 8 IPv4送信元アドレス IPv4アドレスには必須(コレクターがIPv6対応で、フローにIPv6アドレスがある場合、IPv6の送信元フィールドと宛先フィールド(IPV6_SRC_ADDRとIPV6_DST_ADDR)を交互に使用する必要があります)
IPV4_DST_ADDR 12 IPv4宛先アドレス
方向 61 流れ方向 オプション(指定されていない場合、デフォルト値の0が使用されます。これは入力を示します)
SRC_TOS 5 着信インターフェイスに入るときのサービスタイプバイト設定 オプション
DST_TOS 55 発信インターフェイスを終了するときのサービスタイプのバイト設定 オプション
TCP_FLAGS 6 このフローで見られるすべてのTCPフラグの累積 オプション
LAST_SWITCHED_FT 21 このフローの最後のパケットが切り替えられたシステムの稼働時間 オプション(指定されていない場合、現在のエポック時間がデフォルト値として使用されます)
FIRST_SWITCHED_FT 22 このフローの最初のパケットが切り替えられたシステムの稼働時間 オプション(指定されていない場合、現在のエポック時間から60秒を引いた値がデフォルト値として使用されます)

マルチキャストグループ

IS-マルチキャスト 206 このオクテットの最初のビットは、IPヘッダーのバージョンフィールドの値が1で、宛先アドレスフィールドに4〜224.0.0.0の範囲の予約済みマルチキャストアドレスが含まれている場合、239.255.255.255に設定されます。 それ以外の場合、このビットは0に設定されます。

このオクテットのXNUMX番目とXNUMX番目のビットは、将来の使用のために予約されています。
オプション
REPLICATION_FACTOR 99 マルチキャストレプリケーションファクター オプション
MUL_DST_PKTS 19 IPフローに関連付けられたパケット用の長さNx8ビットのIPマルチキャスト発信パケットカウンター オプション
MUL_DST_BYTES 20 IPフローに関連付けられたバイト用の長さNx8ビットのIPマルチキャスト発信バイトカウンター オプション

インターフェースグループ

入力_SNMP 10 SNMP入力インターフェイスインデックス これらのフィールドの少なくともXNUMXつが存在する必要があります
出力_SNMP 14 SNMP出力インターフェイスインデックス

バイトグループ

IN_BYTES 1 IPフローに関連付けられたバイト数の長さN×8ビットの着信カウンター これらのフィールドの少なくともXNUMXつが存在する必要があります
OUT_BYTES 23 IPフローに関連付けられたバイト数の長さNx8ビットの発信カウンター

送信元/宛先ポートグループ

L4_SRC_ポート 7 TCP / UDP送信元ポート番号 これらのフィールドの少なくともXNUMXつが存在する必要があります
L4_DST_PORT 11 TCP / UDP宛先ポート番号

パケットグループ

IN_PKTS 2 IPフローに関連付けられたパケット数の長さNx8ビットの着信カウンター これらのフィールドの少なくともXNUMXつが存在する必要があります
OUT_PKTS 24 IPフローに関連付けられたパケット数の長さNx8ビットの発信カウンター

NBARグループ

アプリケーションの説明 94 アプリケーションの説明 これらのフィールドの少なくともXNUMXつが存在する必要があります
アプリケーション名 96 分類に関連付けられたアプリケーション名
アプリケーションタグ 95 XNUMXビットのエンジンIDとそれに続くnビットの分類 必須の
アプリケーショングループ 12234/45002 同じネットワークアプリケーションに属するアプリケーションをグループ化します これらのフィールドの少なくともXNUMXつが存在する必要があります
CATEGORY 12232/45000 各アプリケーションの第XNUMXレベルの分類を提供します
暗号化 290 アプリケーションが暗号化されたネットワークプロトコルであるかどうかを指定します
P2Pテクノロジー 288 アプリケーションがピアツーピアテクノロジーに基づいているかどうかを指定します
サブカテゴリー 12233/45001 各アプリケーションの第XNUMXレベルの分類を提供します
トンネル技術 289 アプリケーションが他のプロトコルのトラフィックをトンネリングするかどうかを指定します

IPv6グループ

IPV6_SRC_ADDR 27 IPv6送信元アドレス IPv6アドレスのフローには必須
IPV6_DST_ADDR 28 IPv6宛先アドレス
IPV6_SRC_MASK 29 連続ビット単位のIPv6ソースマスクの長さ オプション
IPV6_DST_MASK 30 連続ビット単位のIPv6宛先マスクの長さ オプション
IPV6_FLOW_LABEL 31 RFC6定義に基づくIPv2460フローラベル オプション

サンプリンググループ

FLOW_SAMPLER_ID 48 「showflow-sampler」に表示される識別子 オプション
FLOW_SAMPLER_MODE 49 データのサンプリングに使用されるアルゴリズムのタイプ:0x02ランダムサンプリング オプション
SAMPLING_ALGORITHM 35 サンプリングされたNetFlowに使用されるアルゴリズムのタイプ:0x01決定論的サンプリング、0x02ランダムサンプリング オプション
FLOW_SAMPLER_RANDOM_INTERVAL 50 サンプリングするパケット間隔。 FLOW_SAMPLER_MODEと組み合わせて使用​​します オプション
サンプリング間隔 34 サンプリングするパケット間隔 オプション
SAMPLER_NAME 84 フローサンプルの名前 オプション

拡張CiscoASAデバイスグループ

NF_F_CONN_ID 148 リソースの一意のフローの識別子 オプション
NF_F_FLOW_CREATE_TIME_MSEC 152 フローが作成された時刻。これは、flow-createイベントが以前に送信されなかった拡張flow-teardownイベントに含まれます。 フロー期間は、フローティアダウン時間とフロー作成時間のイベント時間で決定できます。 オプション
NF_F_EVENT_TIME_MSEC 323 イベントが発生した時刻。IPFIXから取得されます。 マイクロ秒単位の時間には324を使用し、ナノ秒単位の時間には325を使用します。 0000年1月1970日XNUMXUTC以降、時間はミリ秒としてカウントされています。 オプション
NF_F_FLOW_BYTES 85 Cisco ASA9.0では必須
NF_F_FW_EVENT_90 40005 これらのフィールドの少なくともXNUMXつが存在する必要があります
NF_F_FW_EVENT_91 233 高レベルのイベントコード。 値は次のとおりです。

  • 0-デフォルト(無視)
  • 1-作成されたフロー
  • 2-フローが削除されました
  • 3-フローが拒否されました
  • 4-フローアラート
  • 5-フローの更新
NF_F_FWD_FLOW_DELTA_BYTES 231 ソースから宛先までのデルタバイト数 Cisco ASA9.1では必須
NF_F_REV_FLOW_DELTA_BYTES 232 宛先から送信元までのデルタバイト数 Cisco ASA9.1では必須

IPFIX / NetFlowバージョン10グループ

フロー開始秒数 150 このフローの最初のパケットの絶対タイムスタンプ オプション
フロー終了秒数 151 このフローの最後のパケットの絶対タイムスタンプ。 オプション
フロー終了ミリ秒 153 このフローの最後のパケットの絶対タイムスタンプ オプション
systemInitTimeミリ秒 160 IPFIXデバイスの最後の再初期化の絶対タイムスタンプ オプション

ネットワークトラフィックフローデータの表示

ネットワーク トラフィック フロー データは、 トラフィック 有効なリソースの [リソース] ページのタブ。 詳細については、次を参照してください。 ネットワーク トラフィック フロー データの表示、フィルタリング、およびレポート.

記事上で