Collecte et découverte de données à l’aide de Netflow
Mappage des services peut effectuer une découverte basée sur les données collectées à l’aide du protocole NetFlow. NetFlow est un protocole que Mappage des services peut utiliser pour collecter des données sur les CI et leurs connexions, avec Netstat et les commandes lsof.
L’utilisation du protocole Netflow pour la collecte de données est l’une des méthodes de découverte basée sur le trafic. D’autres méthodes déployées utilisent Mappage des services les commandes netstat et lsof et les journaux de flux VPC. Pour plus d'informations, référez-vous à Découverte basée sur le trafic dans Mappage des services.
Dans les systèmes de base, qui sont les configurations par défaut ou standard, la découverte basée sur le trafic repose uniquement sur les données liées à TCP collectées à l’aide des netstatcommandes , sset lsof . La détection basée sur les journaux NetFlow et VPC nécessite une configuration supplémentaire. Vous pouvez enrichir votre découverte basée sur le trafic en configurant Mappage des services l’utilisation du protocole Netflow.
- À des fins de test
- Cette configuration entraîne un flux de collecte de données semi-automatisé, où Mappage des services les données sont importées uniquement si vous les copiez manuellement à partir du collecteur NetFlow. Vous placez le collecteur NetFlow sur un serveur à l’intérieur du réseau de votre organisation. Il doit s’agir d’un serveur différent du serveur hébergeant le Serveur MID fichier . Vous configurez et testez cette configuration comme décrit dans .Configurer l’importation unique de données à l’aide de NetFlow à des fins de test
- Pour un fonctionnement standard
- Cette configuration se traduit par un flux de collecte de données entièrement automatisé, dans lequel tous les composants impliqués envoient, collectent et analysent automatiquement les données. Vous placez le collecteur NetFlow sur le même serveur qu’à l’intérieur du Serveur MID réseau de votre organisation. Pour obtenir des instructions, consultez Configurer la collecte de données à l’aide de NetFlow.
- Le démon NetFlow exécute et reçoit des données des commutateurs communiquant avec les serveurs de l’organisation. Le collecteur NetFlow écrit les données reçues à partir du démon NetFlow.
- Le serveur, hébergeant le collecteur NetFlow, utilise l’utilitaire NetFlow nfdump pour écrire les données dans le fichier de sortie nfdump. Ce fichier résume les données brutes sur tous les commutateurs utilisés pour la communication entre serveurs.
Figure 1. Collecte de données et écriture dans le fichier de sortie nfdump
- Lors du test des configurations, où le collecteur NetFlow n’est pas situé sur le même serveur que le Serveur MID, vous devrez peut-être convertir le nfdump au format gzip. Ensuite, vous devez copier manuellement les données brutes du fichier de sortie nfdump sur le Serveur MID.
Figure 2. Copie du fichier de sortie nfdump sur le Serveur MID
- Traite Serveur MID les données brutes dans le fichier de sortie nfdump et place les informations traitées dans la file d’attente ECC.
Figure 3. Analyse des données brutes et placement dans la file d’attente ECC
- Un capteur récupère les données de processus à partir de la file d’attente ECC et les écrit dans la table Connexion de flux [sa_flow_connection].
Chaque fois que Mappage des services vérifie la file d'attente ECC et reçoit des informations sur un CI détecté, il vérifie ces tables pour toutes les données sur les connexions sortantes liées au CI : les tables cmdb_tcp et sa_flow_connection. Si ces deux tables contiennent des données uniques que les modèles n'ont pas découvertes, Mappage des services enrichit les informations sur les connexions de CI et les ajoute à la carte.
Figure 4. Mappage des services Récupère les données de la table sa_flow_connection