Configurer la collecte de données à l'aide de NetFlow

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 3 minutes de lecture

    • Activez l'application Mappage des services pour qu'elle effectue la détection en fonction des données collectées à l'aide du protocole NetFlow. Cette configuration entraîne un flux de collecte de données entièrement automatisé, où tous les composants impliqués envoient, collectent et analysent automatiquement les données.

    Avant de commencer

    Pour en savoir plus, consultez Détection basée sur le trafic dans Mappage des services.

    Activez la tâche planifiée suivante : Planificateur de détection de flux [sysauto_script_74c676f0dbb0220060ff742eaf9619f2].

    Rôle requis : admin ou service_mapping_admin

    Pourquoi et quand exécuter cette tâche

    Dans les systèmes de base, la découverte basée sur le trafic utilise uniquement les données liées à TCP collectées à l'aide des commandes netstat, ss et lsof. La détection basée sur les journaux NetFlow et VPC nécessite une configuration supplémentaire. Vous pouvez enrichir votre détection basée sur le trafic en configurant l'application Mappage des services pour qu'elle utilise le protocole NetFlow. Pour en savoir plus sur la façon dont Mappage des services utilise NetFlow, consultez Collecte et détection de données à l'aide de NetFlow.

    Configurez le connecteur NetFlow de ServiceNow pour déclencher la collecte des données à partir des flux NetFlow et leur traitement par le Serveur MID.

    Procédure

    1. Installez le package nfdump sur un serveur hébergeant le Serveur MID dans votre organisation :
      • Pour un serveur Linux, téléchargez, compilez et installez le package nfdump. Vous pouvez télécharger le package nfdump à partir de https://sourceforge.net/projects/nfdump/.
      • Pour un serveur Ubuntu, installez le package nfdump sans le précharger ni le compiler. Ouvrez la fenêtre de ligne de commande et exécutez la commande suivante :

        sudo apt-get install nfdump

      • Pour un serveur Ubuntu, en cas d'échec de la commande apt-get, préchargez le package nfdump, enregistrez-le localement, puis installez-le. Ouvrez la fenêtre de ligne de commande et exécutez les commandes suivantes :

        sudo dpkg -i nfdump_1.6.15-3_i386.deb -

        sudo apt-get -f install

        Remarque :
        Le nom de fichier du package nfdump a le format suivant : nfdump_<numéro de version> .deb. Dans cet exemple, ce sera nfdump_1.6.15-3_i386.deb.
    2. Configurez le collecteur NetFlow pour enregistrer le fichier nfdump dans le répertoire requis.
      1. Ouvrez le fichier /etc/init.d/nfdump.
      2. Modifiez le paramètre d'enregistrement de ce fichier à l'emplacement requis.
        Par exemple, sur un serveur Ubuntu, spécifiez l'emplacement à l'aide du paramètre DEAMON_ARGS :

        DATA_BASE_DIR="/var/cache/nfdump"

        DAEMON_ARGS="-D -l $DATA_BASE_DIR -P $PIDFILE"

      Pour plus d'informations sur le fonctionnement, consultez https://sourceforge.net/projects/nfdump/.
    3. Configurez les commutateurs pour qu'ils transfèrent leurs fichiers nfdump vers le Serveur MID.
      La valeur par défaut du Serveur MID est le port 9995.
    4. Configurez le collecteur NetFlow pour enregistrer les données pour une journée.
      1. Ouvrez la fenêtre de ligne de commande sur le serveur hébergeant le collecteur NetFlow.
      2. Créez une tâche cron.
        crontab -e
      3. Entrez la commande suivante à l'aide des chemins corrects.
        */10 * * * * /usr/local/bin/nfexpire -e /data/nfdump -t 1d
    5. Vérifiez que le collecteur NetFlow est correctement configuré et qu'il reçoit les données correctes des ressources réseau.
      1. Exécutez la commande suivante : 
        nfdump -q -O tstart -R /data/nfdump/ -o extended
      2. Dans la sortie de commande, vérifiez que les champs marqués contiennent des données réelles :

        Sortie de la commande de vérification
    6. Configurez l'application Mappage des services pour qu'elle reçoive les données collectées par le collecteur NetFlow :
      1. Accédez à la Mappage des services > Administration > Connecteurs de flux.
      2. Cliquez sur Nouveau.
      3. Cliquez sur installation de nfdump.
      4. Sur la page d'installation de nfdump, configurez les paramètres comme suit :
        Champ Description
        Nom Nom descriptif du connecteur.
        MID Server Serveur MID sur lequel vous avez installé le collecteur NetFlow.
        répertoire des données nfdump Répertoire de données dans lequel vous avez configuré le collecteur NetFlow pour enregistrer les fichiers nfdump.
      5. Cliquez sur Envoyer.
    7. Vérifiez que Mappage des services collecte les données à l'aide de NetFlow :
      1. Sur le formulaire installation de nfdump, sélectionnez le connecteur que vous venez de configurer, puis cliquez sur Exécuter maintenant pour démarrer le flux de collecte de données et renseignez la table Connexion de flux [sa_flow_connection].
      2. Accédez à la Définitions des systèmes > Tables.
      3. Cliquez sur la table Connexion de flux [sa_flow_connection].
      4. Sous Liens connexes, cliquez sur Afficher la liste.
      5. Vérifiez que la table contient des données.