Configurer l'importation de données ponctuelle à l'aide de NetFlow à des fins de test

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 3 minutes de lecture

    • Configurez et testez le processus de détection de Mappage des services en fonction des données collectées à l'aide du protocole NetFlow.

    Avant de commencer

    Pour en savoir plus, consultez Détection basée sur le trafic dans Mappage des services.

    Rôle requis : admin ou service_mapping_admin

    Pourquoi et quand exécuter cette tâche

    Dans les systèmes de base, la découverte basée sur le trafic utilise uniquement les données liées à TCP collectées à l'aide des commandes netstat, ss et lsof. La détection basée sur les journaux NetFlow et VPC nécessite une configuration supplémentaire. Vous pouvez enrichir votre détection basée sur le trafic en configurant l'application Mappage des services pour qu'elle utilise le protocole NetFlow. Pour en savoir plus sur la façon dont Mappage des services collecte des données NetFlow, consultez Collecte et détection de données à l'aide de NetFlow.

    À des fins de test, installez le collecteur NetFlow (nfdump) sur un serveur Unix de votre organisation. Dans ce cas, ce serveur Unix doit être différent du serveur hébergeant le Serveur MID.

    Configurez le connecteur ServiceNow pour déclencher la collecte de données par Serveur MID à partir du journal de flux ainsi que leur traitement.

    Procédure

    1. Téléchargez et installez le collecteur NetFlow (nfdump) sur un serveur Unix ou Ubuntu dans votre organisation.
      • Pour un serveur Linux, téléchargez, compilez et installez le package nfdump. Vous pouvez télécharger le package nfdump à partir de https://sourceforge.net/projects/nfdump/.
      • Pour un serveur Ubuntu, installez le package nfdump sans le précharger ni le compiler. Ouvrez la fenêtre de ligne de commande et exécutez la commande suivante :

        sudo apt-get install nfdump

      • Pour un serveur Ubuntu, en cas d'échec de la commande apt-get, préchargez le package nfdump, enregistrez-le localement, puis installez-le. Ouvrez la fenêtre de ligne de commande et exécutez les commandes suivantes :

        sudo dpkg -i nfdump_1.6.15-3_i386.deb -

        sudo apt-get -f install

        Remarque :
        Le nom de fichier du package nfdump a le format suivant : nfdump_<numéro de version> .deb. Dans cet exemple, ce sera nfdump_1.6.15-3_i386.deb.
    2. Configurez le collecteur NetFlow pour enregistrer les données pour une journée.
      1. Ouvrez la fenêtre de ligne de commande sur le serveur hébergeant le collecteur NetFlow.
      2. Créez une tâche cron.
        crontab -e
      3. Entrez la commande suivante à l'aide des chemins corrects.
        */10 * * * * /usr/local/bin/nfexpire -e /data/nfdump -t 1d
    3. Créez un fichier contenant les données nfdump.
      Par exemple, utilisez la commande suivante :

      nfdump -q -m -R /data/nfdump/ -o extended -t 2016/07/06.07:00:00-2016/07/06.07:10:00 'inet and proto tcp' >> /tmp/my_file

    4. Si le fichier est très volumineux, vous pouvez le compresser en utilisant le format gzip en utilisant la commande suivante :
      gzip /tmp/my_file
    5. Copiez le fichier de données nfdump sur le Serveur MID.
    6. Configurez l'application Mappage des services pour qu'elle reçoive les données collectées par le collecteur NetFlow :
      1. Accédez à la Mappage des services > Administration > Connecteurs de flux.
      2. Cliquez sur Nouveau.
      3. Cliquez sur fichier ndfdump.
      4. Sur la page du fichier dfdump, configurez les paramètres comme suit :
        Champ Description
        Nom Nom descriptif du connecteur.
        Chemin d'accès des données nfdump Chemin d'accès à un emplacement sur le Serveur MID sur lequel vous avez enregistré le fichier de données nfdump à l'étape 5.
        MID Server Serveur MID sur lequel vous avez copié le fichier nfdump.
        Fichier de compressé avec GZIP Si vous avez converti le fichier nfdump au format gzip avant de l'enregistrer sur le Serveur MID, définissez ce paramètre sur la valeur true pour le décompresser.
      5. Cliquez sur Envoyer.
    7. Vérifiez que Mappage des services collecte les données à l'aide de NetFlow :
      1. Sur le formulaire fichier nfdump, sélectionnez le connecteur que vous venez de configurer, puis cliquez sur Exécuter maintenant pour démarrer le flux de collecte de données et renseignez la table Connexion de flux [sa_flow_connection].
      2. Accédez à la Définitions des systèmes > Tables.
      3. Cliquez sur la table Connexion de flux [sa_flow_connection].
      4. Sous Liens connexes, cliquez sur Afficher la liste.
      5. Vérifiez que la table contient des données.

    Que faire ensuite

    Si vous êtes satisfait des résultats du test, configurez la collecte de données basée sur NetFlow comme décrit dans Configurer la collecte de données à l'aide de NetFlow.