NetFlowモニタリング操作のトラブルシューティング
最終更新日: 28 年 2024 月 XNUMX 日概要
LogicMonitorは、LogicMonitorによるネットワークトラフィックフローデータの監視に関する問題を特定して解決するのに役立ついくつかのトラブルシューティングツールを提供します。
NetFlowヘルスウィジェット
ネットワークトラフィックフローモニタリング操作の状態を一目で確認できるように、LogicMonitorはNetFlowHealthウィジェットを提供します。 このウィジェットは、デバイスレベルの[トラフィック]タブから利用でき、主要業績評価指標(KPI)を前面および中央に配置して、迅速なトラブルシューティングと問題解決を実現します。
ご注意: NetFlowHealthウィジェットのUIはXNUMX分ごとに更新されます。
ご注意: デバイスのネットワークトラフィックフローデータの監視に割り当てられたコレクターは、コレクターバージョン30.100以降である必要があります。
次に、NetFlowHealthウィジェットに表示される各カードについて詳しく説明します。
カード | KPIの説明 | 重大度レベル |
他のカードによって監視されているKPIのいずれかから発生する問題の重大度の最高レベルを反映します。 |
| |
NetFlowバージョン9テンプレートを受信してからの経過時間に応じて、テンプレートの状態をレポートします。 通常、デバイスはXNUMX分ごとにテンプレートを送信します。 |
| |
最新のフローデータグラムがデバイスから受信された時刻(およびそれ以降の経過時間)を表示します。 | このカードは、関連付けられた重大度レベルを明示的に表示しませんが、それに関連付けられたしきい値は、全体的なNetFlowヘルスカードによって表示される重大度レベルに影響します。
| |
デバイスのクロックとコレクタホストのクロックの間の時刻同期ステータスの状態を解釈します。 |
| |
過去XNUMX時間にNetFlowコレクタによって破棄されたパケットの数と割合を表示します。 | このカードは、関連付けられた重大度レベルを明示的に表示しませんが、それに関連付けられたしきい値は、全体的なNetFlowヘルスカードによって表示される重大度レベルに影響します。
| |
過去XNUMX時間に受信されたXNUMX秒あたりの平均フロー数をグラフ化します。 | 該当なし。 このカードはデータのみを表示します。 重大度を割り当てたり、そのメトリックがNetFlowヘルスカード全体のステータスに影響したりすることはありません。 ただし、 NetFlowデータソース このサポート記事のセクションでは、LogicMonitorを構成して、このデータを介してアラートを出すことができます。 LogicMonitor_Collector_NetflowMetrics 情報元。 |
NetFlowデータソース
LogicMonitorには、NetFlowの状態を監視するXNUMXつの組み込みデータソースがあります。 これらのデータソースは、トラブルシューティングに役立つ情報を追跡し、監視するメトリックの潜在的な問題を警告するように構成できます。
注意:次に説明するデータソースは両方とも、NetFlowHealthウィジェットによって表示されるメトリックに貢献します。 ただし、データソースによってデータが収集される間隔はウィジェットUIが更新される間隔(XNUMX分ごと)とは異なるため、ウィジェットのUIに表示されるデータを表示する場合と比較して、データソースレベルでデータを表示する場合は時間の不一致に気付く場合があります。 )。
Netflow_Device_Heartbeatデータソース
この NetFlow_デバイス_ハートビート DataSourceは、最新のフローデータグラムがコレクターによってデバイスから受信されてからの経過時間を計算します。 このデータソースは、ネットワークトラフィックフローの監視が有効になっているデバイスに自動的に関連付けられます。 ネットワークフロー分析を有効にする チェックボックス(このチェックボックスは、の値を制御します system.enablenetflow プロパティ)。
アイドル間隔条件はサイト固有であるため、このデータソースには現在、デフォルトのアラートしきい値が割り当てられていません。 経過時間が指定されたしきい値を超えたときにアラートを受信したい場合は、idleIntervalデータポイントにアラートしきい値を手動で割り当てることができます。 見る データポイントの静的しきい値の調整 しきい値の割り当ての詳細については。
LogicMonitor_Collector_NetflowMetricsデータソース
この LogicMonitor_Collector_NetflowMetrics DataSourceは、XNUMX秒あたりの平均フロー、処理時間、パケット処理の成功または失敗など、コレクターのNetFlow処理メトリックを監視します。 このデータソースは、さまざまなコレクタメトリックを監視するように設計された一連のデータソースの一部です。
このデータソースは、コレクターデバイスに自動的に関連付けられます。 と同じように NetFlow_デバイス_ハートビート データソース。このデータソースによって監視されている状態についてアラートを受け取りたい場合は、データポイントのしきい値を手動で設定する必要があります。
デバッグコマンド
この コレクターデバッグ機能 CollectorでNetFlowデバッグコマンドをリモートで実行するために使用できます。
コマンド/機能 | Description |
!netflow func = listDevices | 現在のNetFlow対応デバイス(ID、名前、IPアドレス、インターフェイス)を一覧表示します。 |
!netflow func = query select * from raw | 生のフローデータのテーブルを照会します。 |
!netflow func = diagnose [タイムゾーン] | デバイスのクロックとコレクタホストのクロックの間のクロック同期をチェックします。 |
!netflow func = dump | テンプレートの不一致、必須フィールドの欠落などの例外メッセージでフローの追跡が失敗しました。 |
!netflow func = debug log no | all | error | NetFlowアクティビティのログレベルを更新します。 |
!netflow func = getWaitAggregateTables | 現在5分間の集計を待機しているテーブルを一覧表示します。 |
!netflow func = getActiveTables
| フローが挿入されている現在アクティブなテーブルを一覧表示します。 |
!netflow func = getDatasize | HSQLDBファイルのサイズを返します。 |
!netflow func = getFlowMetrics | 合計rawフロー、プロトコルごとの合計フロー、および合計集約フローの数を返します。 |
一般的な問題
次に、発生する可能性のある一般的なネットワークトラフィックフロー監視の問題を解決するのに役立ついくつかの問題とトラブルシューティング手順を特定しました。
問題:交通データがありません
- デバイス管理でネットワークトラフィックフローが有効になっていることを確認します
- デバイスが正しいコレクターに送信するように構成されていること、およびポートがファイアウォールによってブロックされていないことを確認してください
- コレクターとデバイス間の時間が同期されていることを確認します
- パケットキャプチャを実行して、cflowパケットがコレクタホストのインターフェイスに到達しているかどうかを確認します
問題:特定のインターフェースでトラフィックが欠落している
- LogicMonitorで、インターフェイスが「snmp64_if」で始まるデータソース名または名前付きのデータソース名で監視されていることを確認します SNMP_ネットワーク_インターフェース.
- コレクターデバッグ機能走る
!netflow func=listDevices
インターフェイスインデックスがリストされていることを確認します - フィルタをに設定して、コレクタホストでパケットキャプチャを実行します。
cflow.inputint == 1
(1は問題のインターフェースのインデックスです)フローがコレクターに送信されているかどうかを確認します
問題:出力トラフィックがありません
- フィルタをに設定して、コレクタホストでパケットキャプチャを実行します。
cflow.direction == 1
; パケットが表示されない場合は、デバイスをチェックして、出力を提供するように構成されていることを確認します
問題:NBAR2データがありません
- デバイス構成が欠落していないことを確認します アプリケーションを収集する フローレコードからの設定(Cisco)
- デバイス構成が欠落していないことを確認します オプションアプリケーションテーブル フローエクスポータからの設定(Cisco)
問題:NBAR2データにカテゴリデータがありません
- デバイス構成が欠落していないことを確認します オプションアプリケーション属性 フローエクスポータ(Cisco)から
問題:一貫性のないUDPポート構成
- デバイスで指定されたUDPポートがコレクターで指定されたUDPポートと一致することを確認します( ネットフローポート 構成)。
問題:ブロックされた/ファイアウォールで保護されたUDPポート
- 多くのUDPポートは、WindowsファイアウォールまたはLinuxiptablesによって自動的にブロックされます。 Collectorホストで、インバウンドトラフィックに構成されたUDPポートの例外を作成して、ネットワークトラフィックフローデータがLogicMonitorアプリケーションに到達できるようにします。 デバイスとコレクタの間にファイアウォールまたはACLがある場合は、設定されたUDPポートのトラフィックが許可されていることを確認してください。
問題:クロックの非同期
- 前述のように、ネットワークデバイスのクロックをコレクターのクロックと同期させることが重要です。 デバイスクロックがコレクタクロックより進んでいる、または遅れている場合、フローは破棄される可能性があります。 ザ・
!netflow func=diagnose [timezone]
debugコマンドを使用して、クロック同期を確認できます。 さらに、LogicMonitorは、最新のフロー更新のコレクタータイムスタンプ(LastData ReceiveTime)と、エクスポートされたフローのデバイスタイムスタンプ(Timestamp In Last RawData)を表示します。 これらの値がXNUMX分以上ずれている場合は、クロック同期が問題である可能性があります。 NTPを使用して、クロックを標準の一貫した時間とタイムゾーンに自動的に同期することを強くお勧めします。
問題:一貫性のないフローデータまたは不整合なデータ(Cisco ASA)
- Cisco ASAデバイスはNetFlowバージョン9のみをサポートします。ASAプラットフォームでのNetFlowエクスポートはイベント駆動型です(Ciscoルーティングプラットフォームとは異なり、Cisco ASAはインクリメンタルアップデートを送信しません)。 NSELレコードは、フローの作成、ティアダウン、またはACL拒否イベント中にのみ送信されます。 Cisco ASAデバイスは、ToSビットまたはTCPフラグを設定しません。