Collecter et détecter des données à l'aide des journaux de flux VPC

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 1 minute de lecture

    • Mappage des services peut effectuer des détections basées sur les données collectées à l'aide des journaux de flux VPC. Amazon VPC héberge des instances Amazon Elastic Compute Cloud (EC2) qui fournissent Amazon Web Services. Les journaux de flux VPC collectent des données sur le trafic IP existant vers et depuis les interfaces réseau dans le VPC.

    Dans les systèmes de base, la détection basée sur le trafic utilise uniquement les données liées à TCP collectées à l'aide des commandes netstat, ss et lsof. La détection basée sur les journaux NetFlow et VPC nécessite une configuration supplémentaire. Vous pouvez enrichir la détection basée sur le trafic en configurant l'application Mappage des services pour qu'elle utilise les journaux de flux VPC.

    Flux de la détection Mappage des services basée sur les journaux de flux VPC :
    1. Les instances Amazon EC2 collectent leurs journaux individuels dans des flux de journaux et les transfèrent au groupe de journaux de flux central.
      Figure 1. Les instances Amazon EC2 collectent leurs journaux individuels

      Les instances Amazon EC2 collectent leurs journaux individuels
    2. Le connecteur ServiceNow déclenche Serveur MID pour collecter les données à partir du journal de flux et les traite.
    3. Le Serveur MID place les informations traitées dans la file d'attente ECC.
      Figure 2. Serveur MID collecte les données du journal de flux et les place dans la file d'attente ECC

      Serveur MID collecte les données du journal de flux et les place dans la file d’attente ECC.
    4. Un capteur récupère les données traitées de la file d'attente ECC et les écrit dans la table Connexion au flux [sa_flow_connection].

    5. Chaque fois que Mappage des services vérifie la file d'attente ECC et reçoit des informations sur un CI détecté, il vérifie ces tables pour toutes les données sur les connexions sortantes liées au CI : les tables cmdb_tcp et sa_flow_connection. Si ces deux tables contiennent des données uniques que les modèles n'ont pas découvertes, Mappage des services enrichit les informations sur les connexions de CI et les ajoute à la carte.

      Figure 3. Les données collectées sont écrites dans la table sa_flow_connection à partir de laquelle Mappage des services collecte les données

      Les données collectées sont écrites dans la table sa_flow_connection à partir de laquelle Mappage des services les données sont collectées.

    Dans les déploiements comptant plusieurs groupes de journaux de flux, configurez un connecteur dédié qui fonctionne avec un Serveur MID pour chaque groupe de journaux de flux. Plusieurs groupes de journaux de flux peuvent utiliser les mêmes informations d'identification AWS.