Datenerfassung und -erkennung mit Netflow

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 2 Minuten Lesedauer

    • Service-Mapping kann eine Erkennung basierend auf Daten durchführen, die mit dem Protokoll Netflow erfasst wurden. Netflow ist ein Protokoll das Service-Mapping zum Erfassen von Daten über CIs und ihren Verbindungen mit Netstat- und Isof-Befehlen nutzen kann.

    Die Verwendung des Netflow-Protokolls zum Erfassen von Daten ist eine der Methoden der datenverkehrsbasierten Erkennung. Andere von Service-Mapping bereitgestellte Methoden verwenden die Befehle netstat und lsof und die VPC-Flow-Protokolle. Weitere Informationen finden Sie unter Datenverkehrsbasierte Erkennung in Service-Mapping.

    In Basissystemen verwendet die Traffic-basierte Discovery nur TCP-Daten, die mithilfe der Befehle netstat, ss und lsof erfasst wurden. Die auf Netflow- und VPC-Protokollen basierende Discovery erfordert eine zusätzliche Konfiguration. Sie können Ihre datenverkehrsbasierte Erkennung bereichern, indem Sie Service-Mapping für die Verwendung des Protokolls Netflow konfigurieren.

    Die Komponente, die Daten im Netflow-Format empfängt, ist der Netflow Collector. Sein Speicherort hängt davon ab, ob Sie die Datenerfassung für Testzwecke oder für den Standardbetrieb konfigurieren:
    Zu Testzwecken
    Dieses Setup führt zu einem halbautomatisierten Datenerfassungs-Flow, wobei Service-Mapping Daten nur importiert, wenn Sie sie manuell aus dem Netflow Collector kopieren. Sie platzieren den Netflow Collector auf einem Server innerhalb Ihres Unternehmensnetzwerks. Dies muss ein anderer Server sein als der Server, auf dem der MID-Server gehostet wird . Sie konfigurieren und testen dieses Setup wie in Einmaligen Datenimport mit Netflow zu Testzwecken konfigurieren beschrieben.
    Für den Standardbetrieb
    Dieses Setup führt zu einem vollständig automatisierten Datenerfassungs-Flow, bei dem alle beteiligten Komponenten Daten automatisch senden, sammeln und analysieren. Sie platzieren den Netflow Collector auf demselben Server wie den MID-Server innerhalb Ihres Unternehmensnetzwerks. Anweisungen dazu finden Sie unter Datenerfassung mit Netflow konfigurieren.
    Die Netflow-basierte Erkennung folgt dem folgenden Flow:
    1. Der Netflow-Daemon wird ausgeführt und empfängt Daten von Switches, die mit Servern in der Organisation kommunizieren. Der Netflow Collector schreibt die vom Netflow-Daemon empfangenen Daten.
    2. Der Server, der den Netflow Collector hostet, verwendet das Netflow-Dienstprogramm nfdump, um die Daten in die nfdump-Ausgabedatei zu schreiben. Diese Datei fasst die Rohdaten aller für die Serverkommunikation verwendeten Switches zusammen.
      Abbildung : 1. Daten erfassen und in die nfdump-Ausgabedatei schreiben

      Standard-Netflow-Konfiguration: Daten werden erfasst und in die nfdump-Ausgabedatei geschrieben
    3. In Test-Setups, in denen sich der Netflow Collector nicht auf demselben Server wie der MID-Server befindet, müssen Sie nfdump möglicherweise in das gzip-Format konvertieren. Anschließend müssen Sie die Rohdaten aus der nfdump-Ausgabedatei manuell auf den MID-Server kopieren.
      Abbildung : 2. nfdump-Ausgabedatei auf MID-Server kopieren

      Standard-Netflow-Konfiguration: Die nfdump-Ausgabedatei wird in kopiert MID-Server
    4. Der MID-Server verarbeitet die Rohdaten in der nfdump-Ausgabedatei und platziert die verarbeiteten Informationen in der ECC-Warteschlange.
      Abbildung : 3. Rohdaten analysieren und in ECC-Warteschlange platzieren

      Standard-Netflow-Konfiguration: die Rohdaten werden analysiert und in der ECC-Warteschlange platziert
    5. Ein Sensor ruft die Prozessdaten aus der ECC-Warteschlange ab und schreibt sie in die Flow-Verbindungstabelle [sa_flow_connection].

    6. Wann auch immer Service-Mapping die ECC-Warteschlange prüft und Informationen zu einem ermittelten CI empfängt, prüft es diese Tabellen auf alle Daten zu ausgehenden Verbindungen, die sich auf das CI beziehen: die Tabellen cmdb_tcp und sa_flow_connection. Wenn diese beiden Tabellen eindeutige Daten enthalten, die von den Mustern nicht erkannt wurden, werden von Service-Mapping die Informationen zu den CI-Verbindungen erweitert, und die Informationen werden der Zuordnung hinzugefügt.

      Abbildung : 4. Service-Mapping ruft Daten aus der Tabelle sa_flow_connection ab

      Standardkonfiguration: Service-Mapping ruft Daten aus der Tabelle „sa_flow_connection“ ab